Menü öffnen
Produkthaftung und Product Compliance | 26.05.2026 | Roland Hartmannsberger

zurück

 

Der richtige Umgang mit einem potentiellen Rückruf – was sich mit dem Cyber Resilience Act ändert

I. Einführung – die „Produktkrise“

Treten nach dem Inverkehrbringen eines Produkts Anhaltspunkte für einen Verstoß gegen rechtliche Vorgaben oder für eine Gefahr für die Sicherheit von Anwendern oder Dritten auf, wird dies häufig als „Produktkrise“ bezeichnet. Typische Auslöser sind eigene Nachforschungen und Qualitätsprüfungen, Unfälle oder sonstige Vorfälle, Beanstandungen von Marktüberwachungsbehörden, Beschwerden von Kunden oder Geschäftspartnern sowie Hinweise aus Whistleblowing-Systemen. Nicht selten besteht zu diesem Zeitpunkt noch erhebliche Unsicherheit über Bestehen, Ursache und Umfang eines Risikos – es wird aber bereits rechtlich erheblicher Handlungsdruck ausgelöst.

Bei vernetzten und softwarebasierten Produkten führt ab 12. September 2026 bzw. ab Ende 2027 der Cyber Resilience Act (VO (EU) 2024/2847, „CRA“) zu neuen und ergänzenden Maßgaben. Die Anforderungen an Cybersicherheit, Schwachstellenmanagement und die Behandlung von Sicherheitsvorfällen für Produkte mit digitalen Elementen werden deutlich verschärft und stärker formalisiert. Hersteller müssen künftig über den gesamten Lebenszyklus hinweg Sicherheitsrisiken überwachen, Schwachstellen strukturiert behandeln und unter engen Fristen auf Sicherheitsvorfälle reagieren. Damit wird die „klassische“ Produktkrise um eine digitale Dimension erweitert, in der technische, organisatorische, regulatorische und strafrechtliche Fragen noch enger ineinandergreifen.

In einer Produktkrise entscheidet die Qualität der internen Strukturen bzw. die Fähigkeit zu effizienter ad-hoc-Handlung darüber, ob das Unternehmen kontrolliert und rechtssicher agiert oder in eine unkontrollierte Eskalation gerät. Es ist sowohl aus rechtlicher Sicht als auch unternehmenspolitisch von zentraler Bedeutung, über klare und etablierte Prozesse für den Umgang mit entsprechenden Hinweisen zu verfügen: Wer ist zu informieren? Wer bewertet das Risiko? Wer trifft Entscheidungen – und auf welcher Grundlage? Fehlen solche Strukturen oder werden sie im Ernstfall nicht schnell etabliert und beachtet, drohen nicht nur erhebliche haftungsrechtliche Folgen, sondern regelmäßig auch gravierende Reputationsschäden.

Anschaulich zeigt dies ein jüngerer Fall aus der Lebensmittelbranche: Dort ging über eine allgemeine E‑Mail-Adresse des Unternehmens eine Erpressungsnachricht wegen vergifteter Lebensmittel ein. Die Nachricht wurde jedoch erst verspätet und nach Ablauf der Erpresserfrist entdeckt, weil das entsprechende Postfach nicht regelmäßig kontrolliert wurde. Die Verzögerung führte zu einer erheblich verspäteten Reaktion und damit im Ergebnis zu gesteigerten Risiken für die Öffentlichkeit. Das wäre recht einfach zu vermeiden gewesen, wenn das Postfach der offenbar öffentlich bekannten E-Mail-Adresse in kurzen Abständen kontrolliert worden wäre.

Derartige Konstellationen machen deutlich, dass eine Produktkrise nicht nur eine technische oder juristische Fragestellung ist, sondern eine Querschnittsaufgabe für das gesamte Unternehmen – künftig verstärkt auch im Lichte der neuen digitalen Pflichten nach dem Cyber Resilience Act. Der nachfolgende Beitrag gibt einen Überblick über den maßgeblichen rechtlichen Rahmen, die typischen Handlungsebenen und das praktische Vorgehen. Zugleich werden klassische Fehler und Herausforderungen aufgezeigt, mit denen Hersteller in der Praxis regelmäßig konfrontiert sind. Der Fokus liegt auf Non-Food-Artikeln.

II. Maßgebliche Handlungsebenen und Aufgaben

Sobald sich der Verdacht einer Produktkrise konkretisiert, kommt es darauf an, schnell die richtigen Weichen zu stellen und die wesentlichen Handlungsstränge strukturiert aufzusetzen. Erfahrungsgemäß sind Unternehmen in dieser Phase mit hoher Unsicherheit, internem Zeitdruck und externen Erwartungen (Kunden, Behörden, Öffentlichkeit) konfrontiert. Umso wichtiger ist ein klar definiertes Set an Kernaufgaben, das unabhängig vom konkreten Produkt und Rechtsregime Orientierung bietet. Die folgenden Punkte bilden die typischen „Must-Haves“ eines professionellen Krisenmanagements in Produktsachverhalten:

  • Festlegung personeller und fachlicher Verantwortlichkeiten und Zuständigkeiten für den weiteren Prozess.
  • Etwaige Sofortmaßnahmen (zum Beispiel Vertriebsstopp).
  • Schnellstmögliche Klärung der technischen Situation und Identifizierung der relevanten Risiken.
  • Prüfung der rechtlichen Situation unter besonderer Berücksichtigung etwaiger Handlungspflichten.
  • Klärung versicherungstechnischer Fragen, insbesondere Überprüfung des bestehenden Versicherungsschutzes und Schadensmeldung an die Versicherung.
  • Kontinuierliche Dokumentation aller maßgeblichen Schritte und Maßnahmen sowie Entscheidungen, einschließlich sämtlicher interner und externer Kosten (für möglichen Regress/Versicherung).
  • Steuerung der internen (Information und Kommunikationssteuerung von Mitarbeitern) und externen Kommunikation (etwa mit Geschädigten oder Kunden).
  • Steuerung der Kommunikation mit Behörden (z.B. im Zuge gesetzlicher Meldepflichten).
  • Prüfung und Sicherung möglichen Regresses (z.B. gegenüber Lieferanten und früheren Unternehmensleitern).

III. Technische Aufarbeitung und Risikobewertung

Soweit etwaige Sicherheitsrisiken, deren Ursachen und mögliche Verstöße gegen gesetzliche (regulatorische) Vorgaben unklar sind, bedarf es einer sorgfältigen und belastbaren technischen Klärung. Je nach Intensität und Dringlichkeit der Risiken besteht hierbei häufig erheblicher Zeitdruck – bei gleichzeitigem Erfordernis sachlicher Richtigkeit und Angemessenheit der Bewertung. Ab dem Moment, in dem ein Unternehmen von einem potenziellen Risiko Kenntnis erlangt, besteht im Falle von späteren Personen- oder Sachschäden ein erhebliches Haftungsrisiko, auch und im Besondern in strafrechtlicher Hinsicht (hierzu näher unten).

Im Non-Food-Bereich empfiehlt sich regelmäßig eine strukturierte Risikobewertung nach der Safety-Gate-Systematik („Safety-Gate-Bewertung“, vormals „RAPEX-Bewertung“). Auch hier ist hohe Sorgfalt geboten. In der Praxis sollten erfahrene Mitarbeiter und – je nach Komplexität – externe Spezialisten eingebunden werden. Die Risikobewertung bildet in aller Regel den Kern der technisch-regulatorischen Beurteilung einer Produktkrise und ist zugleich Grundlage für die Entscheidung über weitere Maßnahmen. Die Safety-Gate-Bewertung folgt einem formalisierten, mehrstufigen Vorgehen. Zunächst wird das konkrete Produkt möglichst genau beschrieben: Modell, technische Merkmale, mögliche Fehlfunktionen, Zielgruppe und typische Verwendungssituationen. Auf dieser Grundlage werden die relevanten Gefährdungen identifiziert, etwa Stromschlag, mechanische Verletzungen, Erstickungsgefahr, chemische Risiken oder Brandgefahr.

Im nächsten Schritt werden realistische Nutzungsszenarien definiert, die zu einem Personenschaden führen. Je nach Schutzzweck der zugrunde liegenden Regulatorik können auch Sachschäden sowie Nachteile für die Umwelt maßgeblich sein. Die Intensität von (Personen-Schäden ist dabei in vier Gruppen (Schweregrade 1-4) untergliedert. In aller Regel sind mehrere – mitunter sehr viele – Nutzungsszenarien zu betrachten, etwa weil verschiedene Wege zu einem Verletzungserfolg oder unterschiedliche Schweregrade der Verletzung denkbar sind. Jeder einzelne Schritt auf dem Weg zum Verletzungserfolg (nach aktuellem Stand dürfen max. 5 Schritte erfolgen) ist mit einer Eintrittswahrscheinlichkeit zu versehen. Zum Schluss werden die Einzelwahrscheinlichkeiten multipliziert. Hieraus ergibt sich ein Gesamtrisikograd (gering, mittel, hoch, ernst). Dieser Einstufung kommt erhebliche Bedeutung zu: Sie ist rechtlich sowie praktisch eine maßgebliche Grundlage für die Entscheidung, ob ein Rückruf, Warnhinweise, eine Vertriebsunterbrechung oder andere Maßnahmen erforderlich sind – und dient auch als entscheidende Referenz gegenüber Behörden.

Bei Cyber-Security-Risiken nach dem Cyber Resilience Act stößt die klassische Safety-Gate-Systematik auf besondere Herausforderungen. So ist eine spannende Frage, ob und mit welchen Maßgaben und Modifikationen die Safety-Gate-Richtlinien auch für Gesetzesverstöße herangezogen werden können, die nicht zu Personen- oder Sachrisiken führen, sondern „nur“ gegen sonstige Schutzzwecke der CRA verstoßen. Das kann etwa der Schutz personenbezogener Daten vor Missbrauch oder der Schutz von Dateien gegen Beschädigung oder Zerstörung sein. Soweit „klassische“ gesundheitsbezogene Schadensszenarien zu bewerten sind, werden diese häufig mehrstufig sein und nicht nur von technischen Fehlfunktionen abhängen, sondern auch vom bewussten Verhalten eines Angreifers (Motivation, Fähigkeiten, Ressourcen) oder dem Nutzerverhalten. Außerdem sind im Hinblick auf vernetzte Geräte gegebenenfalls extrem vielfältige und nutzerindividuelle Konstellationen zu berücksichtigen, etwa die Einbindung in andere Systeme wie Smart-Homes. Das erschwert sowohl die Beschreibung als auch die Abgrenzung realistischer Szenarien. Die Kausalitätskette – von der Schwachstelle über einen konkreten Angriff bis hin zum Personen- oder Sachschaden – ist oft deutlich komplexer nachzuzeichnen als bei „rein physischen“ Defekten. Hinzu kommt, dass Eintrittswahrscheinlichkeiten regelmäßig auf unsicheren Daten beruhen (z.B. begrenzte Erkenntnisse zur tatsächlichen Ausnutzung bestimmter Schwachstellen, Dark-Figure-Problematik) und sich die Bedrohungslage durch neue Exploits oder Updates dynamisch verändert. Dies erfordert in der Praxis eine enge Zusammenarbeit zwischen technischen Cyber-Security-Experten und Juristen sowie eine besonders transparente Begründung der getroffenen Annahmen.

Allgemein betrachtet sind häufig folgende Punkte bei Safety-Gate-Risikobewertungen besonders herausfordernd und fehleranfällig:

  • Die Identifikation und gegebenenfalls zahlenmäßige Begrenzung der maßgeblichen Verletzungsszenarien.
  • Die konsistente Bewertung der Risikowahrscheinlichkeiten der einzelnen Schritte ohne Doppelberücksichtigungen.
  • Die realistische Einschätzung und vor allem auch Begründung sowie empirische Untermauerung der Eintrittswahrscheinlichkeiten.
  • Der Umgang mit unsicheren oder lückenhaften Daten (z.B. unklarer Fehlerursache).
  • Die abschließende Bewertung des Ergebnisses und Festlegung etwaiger Folgemaßnahmen.

IV. Rechtliche Aspekte

1. Relevante Rechtsbereiche

Der sachgerechte Umgang mit potenziellen Sicherheitsrisiken ist nicht nur eine technische und organisatorische, sondern stets auch eine vielschichtige rechtliche Aufgabe. Bereits früh im Prozess müssen die relevanten Rechtsgebiete identifiziert und geprüft werden, da sich hieraus sowohl akute Handlungspflichten als auch mittel- und langfristige Haftungsrisiken ergeben können. Die Herausforderung besteht darin, diese Anforderungen parallel zur laufenden technischen Aufarbeitung und Risikobewertung zu bewältigen und die Ergebnisse jeweils miteinander zu verzahnen. In der Praxis sind regelmäßig folgende Rechtsbereiche relevant, die nachfolgend näher betrachtet werden:

  • Versicherungsrecht
  • Vertragsrecht
  • Deliktische Produzentenhaftung gemäß §§ 823 ff. BGB
  • Produkthaftungsgesetz und sondergesetzliche Regelungen mit produkthaftungsrechtlichem Einschlag (z.B. Arzneimittelgesetz)
  • Produktsicherheitsrecht
  • Strafrecht/Ordnungswidrigkeitenrecht
  • Ausländisches (lokales) und international vereinheitlichtes Recht und Kollisionsrecht (z.B. Rom I- und Rom II-Verordnung, CISG)

2. Versicherungsmeldung und -begleitung

Zu Beginn einer Produktkrise sollte umgehend geprüft werden, ob und in welchem Umfang Versicherungsschutz besteht (typischerweise in Form einer Rückrufkosten- oder Produkthaftpflichtversicherung) und welche Anzeige- und Mitwirkungspflichten daraus folgen. Um Obliegenheitsverletzungen und damit verbundene Deckungsrisiken zu vermeiden, sollte – ggf. zusammen mit einem Versicherungsmakler oder einem rechtskundigen Berater – zeitnah eine vorsorgliche Schadensmeldung geprüft werden.

Es ist im weiteren Fortgang meist erforderlich, mit der Versicherung zur Ursachenermittlung, Risikobewertung und insbesondere zu Art und Umfang etwaiger Feldmaßnahmen im dauerhaften Austausch zu bleiben. So lässt sich sicherstellen, dass die Maßnahmen mit dem Versicherungsvertrag vereinbar sind und nicht später mit dem Argument in Frage gestellt werden, sie seien unnötig, überzogen oder außerhalb der vereinbarten Deckung erfolgt.

3. Vertragsrecht

Etwaige vertragliche Handlungspflichten oder Haftungsrisiken (soweit Ansprüche, zum Beispiel aufgrund fehlender Kenntnis, bisher nicht geltend gemacht wurden) können aus dem Gewährleistungsrecht oder aus eigenständigen, vertraglich vereinbarten Obliegenheiten oder Garantien entstehen. Je nach Sachlage können die hieraus folgenden Ansprüche auf Reparatur oder Ersatzlieferung gerichtet sein und gegebenenfalls durch Schadenersatzansprüche ergänzt werden. Jedenfalls soweit ein Produkt die einschlägigen regulatorischen Vorgaben (z.B. das Produktsicherheitsrecht) nicht einhält, liegt regelmäßig ein Sachmangel vor. Denn regulatorische Verstöße führen in aller Regel dazu, dass das Produkt nicht verkehrsfähig ist, d.h. nicht in Verkehr gebracht werden darf oder durfte. Für einen Wiederverkäufer hat das Produkt damit objektiv keinen oder nur einen deutlich eingeschränkten wirtschaftlichen Wert, was in der Konsequenz einen Sachmangel begründet. Hinzu kommt, dass ein Wiederverkäufer als Händler häufig nach dem produktrechtlichen Regime verpflichtet ist, vor Inverkehrgabe die Einhaltung bestimmter formaler regulatorischer Vorgaben zu prüfen (z.B. CE-Kennzeichnung, weitere Pflichtkennzeichnungen, Begleitunterlagen). Stellt er insoweit Verstöße fest oder – das ist eine eigenständige Verpflichtung – hat er konkrete Anhaltspunkte für Verstöße gegen sicherheitsrechtliche Vorgaben, darf er das Produkt nicht verkaufen. Vertragsrechtlich verschärft dies den Mangelvorwurf gegenüber dem Lieferanten zusätzlich oder kann im Einzelfall sogar unmittelbar Ansprüche auslösen.

Endkunden können Gewährleistungsrechte insbesondere dann geltend machen, wenn der regulatorische Verstoß die Gebrauchstauglichkeit beeinträchtigt, angepriesene Eigenschaften nicht vorliegen oder das Produkt Sicherheitsrisiken aufweist. Umstritten ist, ob und inwieweit Gewährleistungsrechte bereits aufgrund eines bloßen, aber hinreichend begründeten Verdachts auf Sicherheitsrisiken bestehen. Jedenfalls soweit sich dieser Verdacht auf plausible Hinweise für Verstöße gegen produktrechtliche Vorgaben stützt, wird man in der Praxis regelmäßig von einem Sachmangel ausgehen müssen.

Ein im Verhältnis zu produkthaftungsrechtlichen, strafrechtlichen und regulatorischen Handlungspflichten limitierender Faktor ist die Verjährung der vertraglichen Ansprüche (z.B. zwei Jahre im Kaufrecht gegenüber Verbrauchern, ggf. verkürzt oder verlängert durch vertragliche Regelungen im B2B-Bereich). Gegenüber Wiederverkäufern sind Gewährleistungsrechte in der Praxis zudem nicht selten wegen Verstoßes gegen die handelsrechtliche Mängelrügeobliegenheit nach § 377 HGB ausgeschlossen.

4. Deliktische Produzentenhaftung

Die deliktische Produzentenhaftung beruht auf der allgemeinen Verkehrssicherungspflicht: Wer ein Produkt in den Verkehr bringt, muss alle zumutbaren Maßnahmen treffen, um Schäden für Leben, Gesundheit und sonstige Rechtsgüter Dritter zu vermeiden. Die Rechtsprechung unterscheidet hierbei klassisch zwischen Konstruktions-, Fabrikations- und Instruktionspflichten, ergänzt um die Pflicht zur Produktbeobachtung. Verstößt der Hersteller gegen eine dieser Pflichten und kommt es dadurch zu einem Schaden, haftet er deliktisch (§ 823 Abs. 1 BGB). Bereits ab dem Zeitpunkt, in dem ein entsprechender Pflichtverstoß oder zumindest ein konkreter Verdacht bekannt wird, entstehen Handlungsobliegenheiten zur Gefahrenabwehr. Der Hersteller muss prüfen, ob Maßnahmen erforderlich sind, um Schäden zu verhindern. Maßgeblich ist dabei die Maxime der Effektivität der Gefahrenabwehr: Die gewählte Maßnahme muss geeignet sein, das relevante Risiko tatsächlich und hinreichend sicher zu beherrschen. Gleichzeitig verlangt die Rechtsprechung keine „Übermaßreaktion“. Die Produzentenhaftung führt auch nicht zu Gewährleistungsansprüchen für Produktfehler. Daher kann gerade bei weniger gravierenden Risiken eine Warnung ausreichend sein. Gleichzeitig bestehen weiterreichende Pflichten, wenn ein relevantes Risiko für die Missachtung der Warnung oder eine unkontrollierbare Drittgefährdung besteht. Ist eine Warnung ausreichend, besteht regelmäßig keine Pflicht, eine kostenfreie Reparatur oder einen kostenlosen Austausch anzubieten.

Zentral ist zudem die Produktbeobachtungspflicht: Auch bei ordnungsgemäßer Konstruktion, Fertigung und Instruktion im Zeitpunkt des Inverkehrbringens muss der Hersteller das Produkt im Feld beobachten (Servicefälle, Reklamationen, Unfälle, neue Erkenntnisse). Treten später bislang unbekannte Risiken auf, sind die Gefahren neu zu bewerten und ggf. – unter Beachtung der Effektivitätserfordernisse – geeignete Maßnahmen zu ergreifen.

Besteht eine Handlungspflicht, kommen insbesondere folgende Maßnahmen in Betracht:

  • Warnungen an Kunden und/oder Nutzer, in Form eines Nutzungsverbots oder einer Stilllegung (mit Reparaturaufforderung), ergänzenden Sicherheitshinweisen oder Kontroll- und Wartungsanweisungen.
  • Vertriebsstopp (ggf. als Interimsmaßnahme zu Beginn der Krise bis zur abschließenden Klärung).
  • Rücknahme aus der Vertriebskette, also vor Erreichen der Endkunden (stand-alone oder bei Rückruf als zusätzliche Maßnahme).
  • Nachbesserung (kostenlos oder kostenpflichtig), Austausch oder Rückführung bereits ausgelieferter Produkte gegen Wertersatz.
  • Anpassung von Konstruktion/Fertigung (häufig kumulativ zu einer der vorgenannten Maßnahmen).

Beim bloßen Gefahrenverdacht, also einer Situation, bei der Bestehen oder Ausmaß eines Produktrisikos nicht feststehen, sondern der bloße Verdacht besteht, verlangt die Rechtsprechung, dass der Hersteller bereits bei einem hinreichend konkreten Verdacht tätig wird, wenn schwere Schäden (insbesondere für Leib und Leben) drohen können. Ein Abwarten, bis sich Risiken „endgültig bestätigen“, ist in solchen Fällen nicht zulässig. Es gelten im Hinblick auf Handlungspflichten im Wesentlichen die gleichen Maßstäbe, wie bei einer feststehenden Gefahr.

5. Produkthaftungsgesetz

Aus dem Produkthaftungsgesetz (ProdHaftG) selbst ergeben sich keine unmittelbaren Handlungspflichten zur Gefahrenabwehr. Es regelt primär die verschuldensunabhängige Haftung für Personen- und bestimmte Sachschäden durch fehlerhafte Produkte. Eine solche Haftung besteht regelmäßig dann, wenn gegen regulatorische Sicherheitsvorgaben verstoßen wird. Mittelbar erzeugt das ProdHaftG jedoch erheblichen Druck, frühzeitig und angemessen auf Sicherheitsrisiken zu reagieren, da ohne ein hinreichendes Einschreiten das Haftungsrisiko im Feld verbleibt und sich entsprechend realisieren kann. In der Praxis ist das ProdHaftG damit ein wesentlicher wirtschaftlicher Treiber für ein strukturiertes Risikomanagement und konsequente Korrekturmaßnahmen in der Produktkrise.

6. Regulatorische Handlungspflichten

Für den weit überwiegenden Teil der innerhalb der EU vertriebenen Produkte bestehen produktrechtliche Handlungspflichten, sobald Rechtsverstöße oder Sicherheitsrisiken erkennbar werden. Welche Pflichten konkret greifen, hängt vom einschlägigen Rechtsregime ab. Dies bestimmt sich insbesondere nach Art des Produkts, seinen technischen Eigenschaften (z.B. elektrische Spannung, Digital-/Softwareanteil, chemische Zusammensetzung) und seinem Anwendungsbereich (z.B. Verbraucherprodukt, Industrieanwendung). Bei bloßen formalen Verstößen, also etwa Vorgaben hinsichtlich der Produktkennzeichnung und der Begleitdokumentation, die keine Sicherheitsrisiken mit sich bringen, reicht oftmals eine entsprechende Korrektur für künftig verkaufte Produkte. Handlungspflichten entstehen sowohl bei festgestellten Gesetzesverstößen als auch bei erkannten Produktrisiken trotz Gesetzeskonformität – bei Verbraucherprodukten regelmäßig in besonders weitreichender Form. In der Praxis werden diese Pflichten oft unterschätzt und sind teils weitergehend als das, was aus Produkthaftungs- oder Strafrecht folgt.

a. Beispiel: Elektroprodukte

Bei Elektroprodukten im Geltungsbereich der Niederspannungsrichtlinie (2014/35/EU) muss der Hersteller u.a. sicherstellen, dass die grundlegenden Sicherheitsanforderungen erfüllt sind (u.a. Schutz vor elektrischem Schlag, Brand, übermäßiger Erwärmung). Handlungsbedarf entsteht insbesondere, wenn:

  • Konstruktive oder fertigungstechnische Mängel identifiziert werden (z.B. unzureichende Isolation, Brandrisiken, Überhitzungsgefahr).
  • Formale Konformitätsvorgaben verletzt wurden und hieraus Sicherheitsrisiken resultieren können.
  • Im Feld unbekannte Sicherheitsrisiken sichtbar werden (z.B. Brandereignisse, Stromschläge).

Der Hersteller muss dann das technische Risiko bewerten, interne Korrekturmaßnahmen (Konstruktion, Fertigung, Qualitätskontrolle) umsetzen und geeignete Feldmaßnahmen ergreifen. Maßstab ist, dass die gewählten Maßnahmen das Risiko effektiv und zumutbar beherrschen.

b. Cyber Resilience Act (CRA) – Sicherheit von Produkten mit digitalen Elementen

Geräte, Software, IoT-Produkte). Er begründet eigenständige Sicherheitsanforderungen, die über die „klassische“ physische Produktsicherheit hinausgehen. Hersteller haben insbesondere:

  • Sicherheit-by-Design und by-Default umzusetzen (sichere Architektur, Minimierung von Angriffsflächen),
  • bekannte Schwachstellen systematisch zu identifizieren und zu behandeln (Vulnerability Management),
  • während eines definierten Zeitraums Sicherheitsupdates bereitzustellen,
  • sicherzustellen, dass Updates einfach installiert werden können und die Sicherheit nicht beeinträchtigen und
  • Sicherheitsfunktionen (z.B. Authentifizierung, Zugriffskontrolle, Verschlüsselung) angemessen auszugestalten.

Handlungsobliegenheiten entstehen, wenn Sicherheitsanforderungen nicht eingehalten wurden oder sich neue Schwachstellen ergeben, die zu erheblichen Risiken führen können – etwa Datenverlust, Funktionsausfälle oder physische Schäden (z.B. bei vernetzten Maschinen). Der Hersteller muss dann insbesondere folgendes tun:

  • Die Schwachstelle technisch bewerten und priorisieren.
  • Geeignete Sicherheitsupdates entwickeln und bereitstellen.
  • Nutzer so informieren, dass sie die Schutzmaßnahmen tatsächlich umsetzen können.
  • Gegebenenfalls die Nutzung einschränken oder Produkte außer Betrieb nehmen, wenn ein gravierendes Risiko nicht kurzfristig beherrschbar ist.

Die Herausforderungen liegen hier in der Verzahnung von IT-Sicherheitsprozessen mit klassischem Produktdesign, in der Geschwindigkeit der Reaktion (insbesondere bei Zero-Day-Lücken) und in der Koordination über komplexe Lieferketten und Softwareabhängigkeiten.

c. REACH- und RoHS-Verordnung: chemische Stoffbeschränkungen

REACH und RoHS unterscheiden sich vom klassischen Produktsicherheitsrecht, weil sie primär die chemische Beschaffenheit bzw. den Grenzwert bestimmter Stoffe regulieren.

  • REACH enthält insbesondere Stoffbeschränkungen (z.B. Anhang XVII) und Pflichten im Umgang mit besonders besorgniserregenden Stoffen (SVHC).
  • RoHS begrenzt bestimmte gefährliche Stoffe in Elektro- und Elektronikgeräten (u.a. Blei, Cadmium, bestimmte Flammschutzmittel).

Handlungsobliegenheiten entstehen hier u.a, wenn:

  • verbotene Stoffe verwendet oder Grenzwerte überschritten werden oder
  • sich herausstellt, dass Stoffbeschränkungen oder Informationspflichten nicht eingehalten wurden.

Die Konsequenz ist in der Regel die fehlende Verkehrsfähigkeit des Produkts. Es muss ggf. vom Markt genommen, ersetzt oder technisch angepasst werden. Besonders kritisch ist, dass Verstöße gegen REACH und RoHS häufig die gesetzliche Vermutung eines sogenannten „ernsten Risikos“ nach der Safety-Gate-Risikobewertung auslösen und generell von Behörden regelmäßig äußerst streng bewertet werden. Im Übrigen greifen hierbei oft strafrechtliche Sanktionen, etwa bei vorsätzlicher oder fahrlässiger Überschreitung von Grenzwerten, und zwar ohne, dass es zu Personen- oder Sachschäden kommen muss.

d. Besonderheiten und Herausforderungen nach der GPSR

Für Verbraucherprodukte verschärfte die EU-Produktsicherheitsverordnung (GPSR) die Handlungspflichten deutlich. Liegt ein Sicherheitsrisiko vor, müssen Hersteller dem Verbraucher grundsätzlich mindestens zwei von drei Optionen anbieten (Reparatur, Ersatz, Erstattung des Kaufpreises). Dies ist unabhängig von Verschulden und typischen Gewährleistungsgrenzen und führt dazu, dass die regulatorischen Pflichten im Ergebnis häufig weiter reichen als das, was etwa aus Gewährleistungs- und Produkthaftungsrecht oder allgemeinem Deliktsrecht unmittelbar folgt. Für Unternehmen bedeutet dies: Produktkrisen lassen sich nicht allein über zivilrechtliche Haftungsrisiken steuern. Die produktrechtlichen Regime setzen eigenständige, oft strengere Maßstäbe für das „richtige“ Verhalten bei Sicherheitsrisiken.

7. Strafrechtliche Handlungspflichten

Strafrechtlich relevante Handlungspflichten setzen ein, sobald ein Unternehmen mögliche Gesundheits- oder erhebliche Sachgefahren durch ein Produkt kennt oder bei ordnungsgemäßer Organisation kennen müsste (fahrlässige Unkenntnis). Ab diesem Zeitpunkt muss es aktiv Gefahren abwehren. Ein abwartendes Verhalten ist nur bei geringem Risiko und unklarem Verdachtsgrad zulässig. Die Rechtsprechung (insb. Holzschutzmittelfall und „Leder-Spray“-Entscheidung des BGH) betont, dass Verantwortliche frühzeitig reagieren müssen, auch wenn technische Ursachen noch nicht abschließend geklärt sind.

Bei ernsthaften Gefahren für Leib und Leben verlangt die Rechtsprechung regelmäßig weitreichende Maßnahmen. Im Leder-Spray-Fall sah der BGH aufgrund schwerer Lungenschäden betroffener Verbraucher eine Pflicht zum umfassenden Rückruf. Warnhinweise allein reichten nicht. Bei weniger gravierenden Risiken können differenzierte Maßnahmen zulässig sein (z.B. Sicherheitshinweise, Nutzung nur unter bestimmten Bedingungen, kostenlose Überprüfung oder Nachrüstung), sofern sie die Gefahr effektiv und verlässlich beherrschen.

Bezüglich Strafbarkeitsrisiken ist insbesondere zu unterscheiden zwischen weiterem Inverkehrbringen trotz Kenntnis oder fahrlässiger Unkenntnis und unterlassenem oder unzureichendem Rückruf/fehlender Warnung: Wer Produkte weiter vertreibt, obwohl konkrete Hinweise auf erhebliche Risiken vorliegen, verletzt seine Verkehrssicherungspflichten. Kommt es infolgedessen zu Personenschäden, droht eine Strafbarkeit wegen fahrlässiger Körperverletzung oder Tötung. Je klarer das Risikobild und je schwerer die möglichen Schäden, desto eher ist der weitere Vertrieb unzulässig. Auch für bereits in Verkehr gebrachte Produkte bestehen Handlungsobliegenheiten. Unterlässt der Verpflichtete erforderliche Maßnahmen oder beschränkt sich auf offensichtlich unzureichende Maßnahmen, kann er sich wegen Unterlassens strafbar machen, wenn sich das Risiko realisiert. Maßstab ist, ob „alles Erforderliche und Zumutbare“ getan wurde.

Strafrechtlich unbedingt zu berücksichtigen sind mögliche Umweltdelikte, etwa wenn Schadstoffe aus Produkten Boden, Wasser oder Luft verunreinigen (z.B. Leckagen, Emissionen aus Materialien). Unternehmen, die trotz Kenntnis entsprechender Gefahren keine geeigneten Maßnahmen ergreifen, können sich strafbar machen, auch wenn der primäre Schaden „nur“ die Umwelt betrifft.

V. Entscheidung über das Vorgehen

Die Entscheidung, ob und welche Maßnahmen in einer Produktkrise ergriffen werden, ist in erster Linie rechtlich determiniert. Ausgangspunkt sind die dargestellten Pflichten aus Vertragsrecht, Produkthaftungsrecht, deliktischer Produzentenhaftung, Produktsicherheitsrecht (LVD, CRA, REACH/RoHS, GPSR etc.) sowie die strafrechtlichen Handlungspflichten. Diese Regime definieren den Mindeststandard dessen, was rechtlich „erforderlich und zumutbar“ ist, um Gefahren zu beherrschen und Haftungs- sowie Strafbarkeitsrisiken zu minimieren. Im Ergebnis bilden sie den Rahmen, in dem sich das Unternehmen bewegen muss. In manchen Konstellationen lassen die Pflichten kaum Spielraum (z.B. gravierende Gefahren für Leib und Leben, erhebliche Verstöße gegen Chemikalienrecht, GPSR-„zwei-aus-drei“-Vorgaben bei Verbraucherprodukten). In anderen Fällen besteht ein gewisser Korridor möglicher Maßnahmen, innerhalb dessen unterschiedliche Lösungen rechtlich vertretbar sind.

Soweit Spielräume verbleiben, können unternehmerische Erwägungen einfließen: Kosten und wirtschaftliche Belastungen, Auswirkungen auf Lieferfähigkeit, Kundenbeziehungen und Marke, sowie die interne Ressourcenlage. Diese Gesichtspunkte dürfen jedoch nicht dazu führen, dass rechtlich gebotene Maßnahmen unterbleiben oder unzureichend ausgestaltet werden.

Ein zusätzlich wichtiges Kriterium ist die Abstimmung mit Versicherungsgesellschaften (siehe oben). Ob und inwieweit Vorgaben oder Präferenzen der Versicherung die rechtlichen Pflichten vollständig abdecken, ist stets kritisch zu hinterfragen. Hier können im Einzelfall komplexe Konflikte zwischen „versicherungskonformem“ und rechtlich gebotenem Vorgehen entstehen.

VI. Behördliche Meldepflichten

Behördliche Meldepflichten knüpfen je nach Rechtsrahmen an unterschiedliche Auslöser an, folgen aber einer gemeinsamen Grundlogik: Ab einem hinreichenden Verdacht eines Sicherheitsrisikos bzw. bei bestimmten Unfällen oder Vorkommnissen müssen Unternehmen die zuständigen Behörden informieren. Für Verbraucherprodukte und viele technische Produkte sind insbesondere die GPSR, das allgemeine Produktsicherheitsrecht sowie – für Produkte mit digitalen Elementen – der Cyber Resilience Act maßgeblich. Für eine Vielzahl von Produkten gilt: Sobald ein Produkt ein Sicherheitsrisiko aufweist, nach objektiver Bewertung also ein Risiko für Sicherheit oder Gesundheit von Personen besteht oder realistisch in Betracht kommt, ist die zuständige Marktüberwachungsbehörde zu informieren. Werden die Produkte im (EU-)Ausland vertrieben, sind auch dort Meldungen abzugeben. Erforderlich ist weder ein „erhebliches“ Risiko noch eine abgeschlossene Ursachenklärung. Ausreichend ist ein hinreichend konkretisierter Verdacht, der über bloße Spekulation hinausgeht.

Daneben besteht nach Art. 9 Abs. 12 GPSR eine eigenständige Meldepflicht über Unfälle oder Vorkommnisse, bei denen Verbraucherprodukte beteiligt sind und die zu Tod, schweren Gesundheitsschäden oder vergleichbar gravierenden Folgen geführt haben oder führen können. Diese Pflicht knüpft an tatsächliche Ereignisse im Feld an und gilt unabhängig davon, ob bereits eine Risikomeldung abgegeben wurde (siehe oben) oder ein Feldmaßnahme läuft.

Für Produkte mit digitalen Elementen entsprechend der CRA bestehen ebenfalls spezifische Meldepflichten. Nach Art. 14 CRA müssen Hersteller insbesondere aktiv ausgenutzte Schwachstellen und schwere Sicherheitsvorfälle melden, wenn hierdurch die Cybersicherheit des Produkts wesentlich beeinträchtigt wird und Risiken für Nutzer, deren Daten, deren Systeme oder mittelbar für deren körperliche Unversehrtheit bestehen können. Die Meldung erfolgt über die zentrale „Single reporting platform“ (Art. 16 CRA), die die Informationen an die zuständigen Stellen (u.a. CSIRTs und ENISA) verteilt. Art. 14 CRA sieht eine gestufte Meldepflicht vor: eine Frühwarnmeldung innerhalb von 24 Stunden nach Kenntnis, eine vertiefte Detailmeldung innerhalb von 72 Stunden sowie einen Abschlussbericht, sobald belastbare Erkenntnisse zu Ursache, Verlauf und Maßnahmen vorliegen. Diese Meldepflichten gelten ab dem 11. September 2026, sodass Hersteller ihre internen Prozesse bis dahin entsprechend ausrichten müssen.

Allen genannten Regimen ist gemeinsam, dass Meldepflichten bereits im Stadium eines hinreichenden Verdachts ausgelöst werden können – also oft, bevor interne Untersuchungen abgeschlossen sind und obwohl sich der Verdacht später als unbegründet erweisen kann. Verstöße sind regelmäßig bußgeldbewehrt. Unternehmerisch besteht häufig die berechtigte Sorge, durch frühe Meldungen erhebliche Reputations- und Marktfolgen oder schwierige und zeitraubende Diskussionen mit Behörden auszulösen.

VII. Regress

1. Lieferantenregress

Bereits zu Beginn einer Produktkrise sollten mögliche Regressansprüche gegen Lieferanten geprüft werden, sofern der Fehler im Vorprodukt, in Komponenten oder in zugelieferten Dienstleistungen verursacht oder mitverursacht sein könnte. Dies setzt eine sorgfältige Vertragsanalyse voraus, insbesondere zu Gewährleistung, Haftungsbegrenzungen, Freistellungsklauseln, Untersuchungs- und Rügeobliegenheiten sowie etwaigen Besonderheiten für Rückrufe oder Feldmaßnahmen. Daneben sind gesetzliche Rückgriffsansprüche aus Produkthaftungsrecht zu prüfen.  Nach deutschem Recht ist kaufrechtlich in der Regel eine rechtzeitige und hinreichend konkrete Mängelrüge erforderlich, um Ansprüche nicht zu gefährden. Parallel sind Verjährungsfristen zu prüfen und – soweit nötig – durch verjährungshemmende Maßnahmen abzusichern.

Die Sicherung möglichen Lieferantenregresses muss fortlaufend aktualisiert und ggf. auf der Handlungseben berücksichtig werden. Neue Erkenntnisse zur Ursache, zur Fehlerverteilung oder zu Kostenpositionen sind zeitnah zu dokumentieren und in die Regressstrategie zu integrieren. Spätestens mit Beginn etwaiger Feldmaßnahmen sollte regelmäßig die operative Umsetzung des Regresses vorbereitet und eingeleitet werden.

2. Haftung früherer Geschäftsleiter

Bei unsicheren oder nicht gesetzeskonformen Produkten können neben externen Anspruchsgegnern auch aktuelle und frühere Geschäftsleiter (z.B. Geschäftsführer, Vorstände) für eine Schadloshaltung relevant sein, wenn und soweit das Problem durch Fehler in der Unternehmensleitung verursacht wurde. Erfasst sind sowohl aktives Tun (z.B. bewusstes Ignorieren von Sicherheitsstandards, unsachgemäße Produktfreigaben) als auch Unterlassen, etwa wegen unzureichender Organisation von Compliance- und Qualitätsstrukturen oder mangelhafter Überwachung. Haftungsrelevantes Nichtstun kann insbesondere vorliegen, wenn frühere Geschäftsleiter bei bereits bestehenden Hinweisen auf Risiken nicht angemessen reagiert haben – etwa, indem sie trotz erkennbarer Gefahren keinen oder keinen ausreichenden Rückruf veranlasst haben oder interne Strukturen für Risikoerkennung und -bewertung nicht eingerichtet haben. Dann kann sich eine Innenhaftung gegenüber der Gesellschaft (und mittelbar gegenüber Gesellschaftern/Aktionären) ergeben.

Für aktuelle Geschäftsleiter kann es rechtlich zwingend sein, mögliche Ansprüche gegen Vorgänger oder Mitgeschäftsleiter zu prüfen und bei ausreichender Grundlage geltend zu machen. Unterlassene Inanspruchnahme kann selbst als Pflichtverletzung gewertet werden, wenn dadurch der Gesellschaft ein vermeidbarer Schaden verbleibt. Im Rahmen dieser Prüfung ist frühzeitig zu klären, ob und in welchem Umfang eine D&O-Versicherung Deckung bieten kann. Sie kann ggf. das wirtschaftliche Risiko für Gesellschaft und betroffene Geschäftsleiter abmildern. Die Frage, ob und wie Ansprüche gegen Geschäftsleiter tatsächlich durchgesetzt werden, ist neben der rechtlichen Bewertung auch eine strategische und corporate-governance-relevante Entscheidung, die sorgfältig vorbereitet und dokumentiert werden sollte.

VIII. Typische Fehler und Herausforderungen

  • Kommunikation – intern wie extern: Ein häufiger Fehler besteht darin, Kommunikation nicht frühzeitig zentral zu steuern. Intern müssen Mitarbeiter informiert und geführt werden, damit sie nicht etwa aus Unwissenheit haftungsträchtige Aussagen tätigen. Gleichzeitig braucht es klare Vorgaben für den Umgang mit Anfragen von Kunden, Geschäftspartnern, Medien oder die Kommunikation in sozialen Netzwerken. Extern ist eine konsistente, abgestimmte Kommunikation gegenüber Kunden, Geschädigten, Marktpartnern und Öffentlichkeit entscheidend, um Rechtsrisiken und Reputationsschäden zu minimieren.
  • Kommunikation mit Behörden: Angesichts weitreichender Marktüberwachungsbefugnisse und teils strenger Meldepflichten ist der Umgang mit Behörden zu einem zentralen Erfolgs- oder Risikofaktor von Produktkrisen geworden. Fehler entstehen häufig, wenn nur formal „reagiert“ wird, ohne ein strategisch und kommunikativ durchdachtes Vorgehen. So sind mitunter Risikobewertungen (z.B. nach Safety-Gate-Leitlinien) schwach, uneinheitlich oder schlecht begründet, oder werden Informationen bruchstückhaft oder widersprüchlich geliefert. Problematisch ist auch, wenn mögliche Bußgelder, Gewinnabschöpfungen oder spätere Beweiswirkungen von Stellungnahmen in der Kommunikation nicht bedacht werden.
  • Rechtliche Maßgaben im Ausland: Innerhalb der EU sind viele regulatorische Anforderungen harmonisiert, aber nicht immer vollständig. Außerdem bestehen im Zivil- und Produkthaftungsrecht sowie im Prozessrecht erhebliche nationale Besonderheiten und Spielräume. In der Praxis wird bei international vertriebenen Produkten mitunter vorschnell auf Basis „allgemeinen EU-Rechts“ oder des eigenen Heimatrechts agiert, weil dies pragmatisch erscheint. Erforderlich ist jedoch regelmäßig eine länderspezifische Bewertung – gegebenenfalls mit Unterstützung lokaler Berater –, um Haftungs-, Verjährungs- und Verfahrensrisiken in den wichtigsten Zielmärkten angemessen zu adressieren.
  • Dokumentation und Nachweisführung sowie neue Offenlegungspflichten: Ein häufiger Fehler bleibt eine lückenhafte oder unsystematische Dokumentation der Produktkrise, obgleich eine saubere Dokumentation für Regulatorik, Corporate Governance, Organhaftung, Regress und Versicherungsfälle essenziell ist. Insoweit entsteht allerdings mit der neuen Produkthaftungsrichtlinie ein massives Spannungsfeld: Künftig können Gerichte in Produkthaftungsverfahren unter bestimmten Voraussetzungen anordnen, dass Hersteller interne Unterlagen offenlegen müssen, etwa wenn der Kläger konkrete Anhaltspunkte für einen Produktfehler darlegt, die relevanten Informationen typischerweise beim Hersteller liegen und die Offenlegung für die Anspruchsdurchsetzung erforderlich und verhältnismäßig ist. In solchen Konstellationen müssen im Haftungsprozess gegebenenfalls interne Risikobewertungen, Protokolle und E‑Mails zur Verfügung gestellt werden. Das ändert nichts daran, dass eine gründliche Dokumentation unverzichtbar ist – sie bildet die Grundlage für Verteidigung, Entlastung von Organen und Regress. Gleichzeitig sollte nunmehr aber bei jeder Dokumentation berücksichtigt werden, dass sie später potenziell in einem Prozess offengelegt wird. Art und Inhalt von Dokumenten jedweder Form, auch digital, sollten konzeptionell und inhaltlich gesteuert und kontrolliert werden, um keine unnötigen Dokumentenrisiken zu erzeugen. Werkzeuge hierbei können sein:
    • Entwurfskennzeichnungen
    • Kenntlichmachung von Betriebs- und Geschäftsgeheimnissen
    • Trennung von Dokumentinhalten (Separierung geschützter Informationen)
    • Trennung und Kenntlichmachung anwaltlicher Dokumente (Attorney-client privilege).