Der EU-Richtlinie, die die Regeln für die Haftung und Verantwortlichkeit von Software neu definiert, wird in einem neuen Artikel von Andrew Power diskutiert. Die Realität der modernen Softwareentwicklung zeigt, dass viele Organisationen die Softwarequalität vernachlässigen, um die Geschwindigkeit zu priorisieren. Dies kann zu gravierenden Folgen führen, wie das $5,5 Milliarden teure CrowdStrike-Ausfall im letzten Jahr gezeigt hat. Mit der bevorstehenden Umsetzung der aktualisierten Produkthaftungsrichtlinie (PLD) der Europäischen Union im Jahr 2026 müssen Softwarehersteller viele neue Regeln und Verantwortlichkeiten beachten, um Haftungsrisiken zu minimieren.
Die PLD-Änderung bringt bedeutende Veränderungen für Softwarehersteller mit sich, die Sicherheit und Verantwortlichkeit in komplexen Softwaresystemen betonen. Softwarehersteller werden automatisch für Sicherheitsprobleme ihres Produkts verantwortlich sein. Es ist nicht notwendig, Fahrlässigkeit zu beweisen; die Tatsache, dass die Software Schaden verursacht hat, reicht aus, um sie haftbar zu machen. In dieser neuen Welt wird das Testen noch wichtiger, um Sicherheitsbedrohungen zu identifizieren und präventive Maßnahmen zu ergreifen.
Die neue Richtlinie sieht vor, dass Softwarehersteller für Sicherheitsmängel haften, die zu Personenschäden, Sachschäden oder materiellen Verlusten führen, unabhängig von Fahrlässigkeit oder Absicht. Dies gilt sowohl für Software, die in Hardware eingebettet ist, als auch für Cloud-Dienste oder auf Geräten installierte Software. Verletzte Parteien müssen Schaden und einen kausalen Zusammenhang mit einem Mangel nachweisen, sind jedoch nicht verpflichtet, Fehlverhalten des Herstellers zu beweisen.
Die Haftung beschränkt sich nicht nur auf die Softwareproduktion. Auch nach der Veröffentlichung von Updates gibt es eine zusätzliche Verantwortungsebene, bei der Defekte aus autorisierten Software-Updates, sich änderndem KI-Verhalten oder dem Versäumnis, notwendige Sicherheitspatches bereitzustellen, alle als Verantwortungsbereiche gelten. Ein alltägliches Beispiel könnte eine GPS-Navigations-App sein, die aufgrund eines fehlerhaften Updates falsche und potenziell unsichere Anweisungen liefert. Dies zeigt, wie scheinbar kleine Software-Updates, wenn sie unbeaufsichtigt bleiben, Sicherheitsrisiken darstellen können und die Notwendigkeit rigoroser Tests und Qualitätssicherung in der Softwareentwicklung und -wartung unterstreichen.
Um Haftungsrisiken zu minimieren, müssen Organisationen ihre Prozesse und Produkte bis Dezember 2026 mit den neuen PLD-Anforderungen in Einklang bringen. Softwarehersteller müssen die Sicherheit in jeder Entwicklungs- und Wartungsphase priorisieren und erkennen, dass ein effektives Produkt nicht unbedingt ein sicheres Produkt ist. Sie müssen über funktionale Tests hinausgehen, um Sicherheitsrisiken umfassend zu bewerten.
