Installiert man ein Internet-of-Things-Gerät im Unternehmen, dann betritt man eine neue Welt. Mit dieser Welt hatte man bisher wenige oder keine Berührungspunkte. Wird es Haftungsfragen bei der Nutzung von IoT-Geräten geben? Welche Regelungen gelten und werden weitere Regelungen folgen? Wer ist hierfür zuständig? Ist die mangelnde Sicherheit von IoT-Geräten ein Grund für einen Haftungsanspruch?
Ich bin kein Anwalt, von daher kann ich nicht mit juristischen Argumenten dienen, ich argumentiere aus der Motivation heraus, dass viele IoT-Hersteller die Haftungs- und Sicherheitsfragen ignorieren. Die drei wichtigsten Haftungsbereiche im Zusammenhang mit IoT sind:
- IoT-Gerät arbeiten fehlerhaft und/oder liefern ungenaue Ergebnisse.
- Durch Cyber-Attacken kommen persönlichen Daten, die auf IoT-Geräten gespeichert sind, abhanden.
- Man nutzt IoT-Geräte und/oder Software, die Schäden verursacht.
Wenn die IoT-Geräte nicht richtig funktionieren
Mein Nachdenken über die Haftung in Bezug auf IoT-Geräte, IoT-Plattformen und IoT-Services wurde durch den von den großen Tageszeitungen veröffentlichten Artikel über ein selbstfahrendes Uber-Fahrzeug initiiert, das durch einen unglücklichen Zufall einen Fußgänger tötete. Uber reagierte auf diesen Unfall, indem alle Tests seiner autonomen Fahrzeuge in ganz Nordamerika sofort eingestellt wurden.
Wer haftet bei so einem Unfall? Handelt es sich hierbei um ein strafrechtliches oder zivilrechtliches Delikt? Wer wird als Folge des Unfalls verklagt werden? Sind diese Fälle durch entsprechende Bundesgesetze abgedeckt? War das fahrerlose Auto entsprechend versichert?
Die Schuldzuweisung hat schon begonnen
Der Uber-Vorfall fordert vom Gesetzgeber klare Vorgaben. Einige Artikel, die in der Folge des Unfalls veröffentlicht wurden, gehen davon aus, dass der Unfall durch die Frau (die in an den Unfallfolgen gestorben ist) für den Unfall die Verantwortung trägt. Unter Umständen steckt in dieser Aussage sogar die Wahrheit drin, aber wenn die Familie der Verstorbenen kein Schuldeingeständnis akzeptiert, wird es einen langen gerichtlichen Streit geben und es werden erhebliche Kosten entstehen. In eine ähnliche Situation wird man früher oder später mit den IoT-Systemen geraten.
Was ist Produkthaftung?
Die Produkthaftung bezeichnet die Haftung auf Schadensersatz gegen den Hersteller für Schäden, die beim Endabnehmer infolge eines fehlerhaften Produkts entstanden sind. Die Produkthaftung beruht in den EU-Staaten auf der EG-Richtlinie 85/374 EG. Voraussetzung der Produkthaftung ist gemäß § 1 Abs. 1 S. 1 ProdHaftG ferner, dass ein Fehler der schadensursächlichen Sache vorlag. Ein Fehler liegt dann vor, wenn ein Produkt nicht die erforderliche Sicherheit bietet. Bei der Bewertung des erforderlichen Maßes an Sicherheit müssen besonders die Darbietung des Produkts, der zu erwartende Gebrauch und der Zeitpunkt des Inverkehrbringens beachtet werden. Der Fehler muss zum Zeitpunkt des Inverkehrbringens schon vorgelegen haben und darf nicht später durch übliche Abnutzung oder Einwirkung entstanden sein.
Arbeitet der IoT-Endpunkt korrekt?
Die heute im Markt verfügbaren IoT-Komponenten arbeiten möglicherweise nicht genau genug und sind daher nicht in der Lage, entsprechende logische Entscheidungen auf Basis der gesammelten IoT-Daten zu treffen. Wer haftet, wenn eine geschäftliche Entscheidungen unter der Annahme getroffen wird, dass die gesammelten Daten genau sind? Die aus den zugrunde liegenden Daten resultierende Analyse wird bei oberflächlicher Betrachtung korrekt aussehen. Da jedoch die Basisdaten fehlerhaft sind, wird auch das sich aus der Analyse ergebende Ergebnis nicht korrekt sein. Da man den IoT-Endpunkt nicht für das falsche Analyseergebnis haftbar machen kann, bleibt die Frage der Haftung offen.
Wer haftet für das fehlerhafte Endergebnis?
Aus der Vertriebskette ergibt sich folgende Haftungskette:
- Der Einzelhandel, der das Produkt an den Endkunden verkauft bzw. dort installiert hat.
- Der Großhändler, der das Produkt an den Einzelhändler verkauft hat.
- Der Produkthersteller, der das Produkt in den Markt gebracht hat.
Hierbei muss man jedoch beachten, dass viele IoT-Geräte als Bestandteil einer IoT-Plattformen arbeiten. Daher müssen noch folgende Aspekte bei der Produkthaftung berücksichtigt werden:
- Die Software, die das Produkt ausführt, unabhängig davon, ob diese vom Hersteller der Hardware bereitgestellt wird oder es sich Software von Drittanbietern handelt.
- Das Netzwerk, das die notwendigen Verbindungen zum Produkt bereitstellt,
- Die integrierten Sicherheitsfunktionen, mit denen das IoT-Produkt und seine Informationen geschützt werden sollen.
- Unternehmen, die die IoT-Geräte nutzen.
Wie aus dieser Liste der Akteure hervorgeht, ist der Grad der Haftung in vielen Fällen nur schwer zu bestimmen.
Wird es eine IoT-Versicherung geben?
Unternehmen schließen Versicherungen ab, weil diese die finanziellen Risiken minimieren wollen. Die zu bezahlenden Versicherungsprämien basieren auf statistischen Analysen vergangener Ereignisse (Schadensfälle). Da bisher noch auf keine oder wenig Erfahrung mit IoT-Geräten mit integrierter Software bzw. Anwendungen zurückgegriffen werden kann, bleibt die Frage, ob man eine entsprechende Absicherung der Risiken überhaupt erhält? Kann ein Unternehmen keine entsprechende Haftpflichtversicherung im Markt finden, kann keine Markteinführung der Geräte umgesetzt werden.
IoT ist Work in Progress
Es besteht immer die Möglichkeit, dass IoT-Geräte falsch arbeiten bzw. dass das Gerät oder das Netzwerk gehackt wird. Der Einsatz von IoT-Geräten schafft neue Risiken und erfordert ein Überdenken der Haftungsfragen. Wahrscheinlich werden die Gesetzgeber und Aufsichtsbehörden in Kürze entsprechende Vorgaben und Rahmenbedingungen festlegen.
Allen Unternehmen, die sich eine Implementierung von IoT-Geräten oder IoT-Dienstleistungen planen, sollten daher die Geräte bzw. Leistungen ihres Lieferanten genau auf Mängel prüfen, um sicherzustellen, dass die durch IoT-Probleme entstehende Haftungsfragen gelöst sind. Unter Umständen kann eine solche Analyse dazu führen, dass von einem geplanten Kauf eines Produkts oder Services abzuraten ist.
