Skip to main content
Logo von MKM LEGAL
Blick von leicht oben ins Innere einer Fabrikhalle

Produkthaftung, Produktsicherheit & Compliance

Was Industrie- und Maschinenbauunternehmen jetzt wissen und wie sie handeln müssen

Sechs Rechtsakte. Vier Zeitfenster. Ein Maßnahmenbedarf – jetzt.

Der europäische Gesetzgeber hat den Rahmen für Produkthaftung, Produktsicherheit und digitale Compliance in einem historisch kurzen Zeitraum grundlegend neu gestaltet. Den Maschinen- und Anlagenbau sowie für die industrielle Fertigung trifft dieser Wandel besonders unmittelbar: Vernetzte Maschinen, eingebettete Steuerungen, KI-gestützte Sicherheitskomponenten und digitale Serviceleistungen rücken ins Zentrum gleich mehrerer neuer Regelwerke – und die Pflichten dieser Regelwerke greifen eng ineinander.

Ein ungepatchter Schwachstellenprozess kann gleichzeitig CRA-Meldepflichten verletzen, den Fehlerbegriff der neuen Produkthaftungsrichtlinie erfüllen und unter der Maschinenverordnung als sicherheitsrelevantes Versagensäquivalent gewertet werden. Wer jetzt wartet, häuft Parallelrisiken an.

Nachfolgend beleuchten wir die sechs aktuell relevantesten Regelwerke und benennen jeweils die konkrete Handlungspflicht, die unserer Einschätzung nach in Industrieunternehmen am häufigsten unterschätzt oder noch nicht umgesetzt ist.

1. GPSR – EU-Produktsicherheitsverordnung 
(VO (EU) 2023/988)

bereits in Kraft

Seit dem 13. Dezember 2024 gilt die General Product Safety Regulation, kurz GPSR, unmittelbar in allen EU-Mitgliedstaaten. Für Maschinenhersteller und Industrieausrüster, die Verbraucherprodukte oder gemischt genutzte Erzeugnisse vertreiben, bedeutet dies erweiterte Pflichten zur Sicherheitsbewertung, Kennzeichnung, Rückverfolgbarkeit und Marktüberwachung. Neu ist insbesondere die explizite Einbeziehung von Online-Marktplätzen und Fulfillment-Dienstleistern in den Haftungsverbund. Produkte, die GPSR-Anforderungen nicht erfüllen, gelten automatisch als unsicher – mit unmittelbaren Folgen für die Produkthaftung. Das angepasste nationale Produktsicherheitsgesetz (ProdSG) ist seit dem 19. Februar 2026 in Kraft.

Konkrete Handlungspflicht GPSR

Hersteller und Importeure sind verpflichtet, bei erkannten Produktrisiken unverzüglich Marktüberwachungsbehörden zu informieren und, soweit erforderlich, Rückrufmaßnahmen einzuleiten. Der Aufbau eines strukturierten internen Risikoüberwachungsprozesses ist damit keine Kür, sondern gesetzliche Pflicht.

Selbst-Check: Verfügen Sie über einen dokumentierten Prozess zur laufenden Produktbeobachtung nach dem Inverkehrbringen – einschließlich definierter Eskalations- und Meldewege an Behörden?

2. NIS2 – NIS-2-Umsetzungsgesetz (NIS2UmsuCG)

bereits in Kraft

Das NIS2-Umsetzungsgesetz trat am 6. Dezember 2025 in Kraft und erfasst neben klassischen kritischen Infrastrukturen erstmals auch große Teile der verarbeitenden Industrie. Maschinen- und Anlagenbauer mit mindestens 50 Mitarbeitenden oder über 10 Mio. EUR Jahresumsatz fallen häufig in den Anwendungsbereich – ebenso ihre Zulieferer, sofern diese als Teil kritischer Lieferketten eingestuft werden. Gefordert sind ein Informationssicherheits-Managementsystem, Lieferkettenabsicherung, regelmäßige Risikoprüfungen und strenge Meldepflichten bei Sicherheitsvorfällen in OT- und IT-Infrastrukturen.

Konkrete Handlungspflicht NIS2

Bei erheblichen Sicherheitsvorfällen – also auch bei Cyberangriffen auf Produktionssteuerungen, SCADA-Systeme oder vernetzte Maschinen – ist zwingend innerhalb von 24 Stunden eine Erstmeldung an das BSI zu erstatten. Eine detaillierte Analyse folgt spätestens nach 72 Stunden, ein Abschlussbericht nach einem Monat.

Selbst-Check: Hat Ihr Unternehmen den NIS2-Betroffenheitscheck des BSI durchgeführt – und sind auch Ihre OT-Umgebungen und Produktionsnetzwerke in den Incident-Response-Prozess einbezogen?

3. EU AI Act – KI-Verordnung (VO (EU) 2024/1689) 

ab 02.08.2026

Für den Maschinenbau ist der AI Act unmittelbar relevant, sobald KI-basierte Sicherheitskomponenten – etwa in kollaborierenden Robotern, autonomen Transportsystemen oder vorausschauenden Wartungssystemen mit sicherheitsrelevanten Funktionen – in Produkte integriert werden. Solche Systeme sind typischerweise als Hochrisiko-KI einzustufen (Anhang I i. V. m. Anhang III). Für eigenständige Hochrisiko-KI-Systeme gelten die vollständigen Anforderungen ab dem 2. August 2026, für KI in regulierten Produkten nach Anhang I bis August 2027. Das deutsche KI-Maßnahmen- und Innovationsgesetz (KI-MIG) wurde im Februar 2026 vom Kabinett beschlossen. 

Konkrete Handlungspflicht EU AI Act

Anbieter von KI-basierten Sicherheitskomponenten in Maschinen und Anlagen müssen gemäß Art. 72 KI-VO einen Plan zur Beobachtung nach dem Inverkehrbringen (Post-Market-Monitoring) einrichten, der den gesamten Produktlebenszyklus abdeckt – und schwerwiegende Vorfälle gemäß Art. 73 KI-VO melden. 

Selbst-Check: Haben Sie geprüft, ob in Ihren Maschinen und Anlagen verbaute KI-Komponenten als Hochrisiko-KI einzustufen sind – und sind die dafür erforderlichen Konformitätsbewertungs- und Monitoring-Prozesse bereits initiiert?

4. Cyber Resilience Act (CRA) – VO (EU) 2024/2847 

ab 11.09.2026

Der CRA trat im Dezember 2024 in Kraft und ist für den Maschinen- und Anlagenbau von herausragender Relevanz: Jeder vernetzte Sensor, jede SPS-Steuerung mit Ethernet-Schnittstelle, jede Fernwartungslösung und jede eingebettete Firmware fällt unter die Verordnung. Hersteller müssen künftig Cybersicherheit über den gesamten Produktlebenszyklus gewährleisten – von der sicheren Entwicklung bis zur Bereitstellung kostenloser Sicherheitsupdates über mindestens fünf Jahre. Erste operative Pflichten, insbesondere die Schwachstellenmeldepflicht, greifen ab dem 11. September 2026. Die vollständige CRA-Konformität einschließlich CE-Kennzeichnung ist ab Dezember 2027 Marktzugangsvoraussetzung.

Konkrete Handlungspflicht CRA

Ab dem 11. September 2026 müssen Hersteller aktiv ausgenutzte Schwachstellen in ihren Produkten – also auch in Bestandsprodukten, die sich bereits beim Kunden befinden – innerhalb von 24 Stunden an das zuständige nationale CSIRT und die ENISA melden. Dafür benötigen Sie einen etablierten PSIRT-Prozess (Product Security Incident Response Team) mit klaren Verantwortlichkeiten.

Selbst-Check: Haben Sie die vernetzten Komponenten Ihres Produktportfolios bereits auf CRA-Konformität geprüft – und existiert ein PSIRT-Prozess, der die Meldefristen ab Herbst 2026 operativ sicherstellt?

5. Neue Produkthaftungsrichtlinie – RL (EU) 2024/2853 

ab 08.12.2026

Die neue Produkthaftungsrichtlinie – erste Grundreform seit 1989 – trifft den Maschinenbau in mehrfacher Hinsicht: Software und eingebettete Systeme sind ausdrücklich als Produkte im Sinne der Haftung definiert. Wer über Fernwartungszugänge, Updates oder digitale Services nach dem Inverkehrbringen Kontrolle über die Maschine behält, riskiert eine zeitlich nach hinten verschobene Haftungslast. Hinzu kommen der Wegfall der bisherigen Haftungsobergrenze von 85 Mio. EUR, der Entfall des 500-EUR-Selbstbehalts sowie weitreichende Beweiserleichterungen für Geschädigte. Der deutsche Gesetzentwurf ist im Bundestag; das Gesetz soll am 9. Dezember 2026 in Kraft treten.

Konkrete Handlungspflicht Produkthaftungslinie

Maschinenhersteller, die Fernzugriff, OTA-Updates oder herstellerseitige Softwarepflege anbieten, müssen ihre technische Dokumentation so gestalten, dass sie über den gesamten Zeitraum der Kontrolle als Haftungsverteidigung taugt – nicht nur zum Zeitpunkt des Inverkehrbringens.

Selbst-Check: Ist Ihre technische Dokumentation für vernetzte Maschinen und Anlagen bereits so strukturiert, dass sie auch für Zeiträume nach dem Inverkehrbringen – während laufender Fernwartungs- und Updatepflichten – eine belastbare Haftungsgrundlage bildet?

6. Maschinenverordnung – VO (EU) 2023/1230 

ab 20.01.2027

Die Maschinenverordnung ersetzt ab dem 20. Januar 2027 die Maschinenrichtlinie 2006/42/EG vollständig und gilt unmittelbar in allen EU-Mitgliedstaaten – ohne Übergangsfrist. Für Hersteller, Importeure und Händler werden Cybersicherheit und KI-basierte Sicherheitskomponenten erstmals explizit in den Pflichtenkanon integriert. Besonders praxisrelevant: Der Begriff der „wesentlichen Änderung“ ist nun kodifiziert. Wer eine Maschine nach dem Inverkehrbringen physisch oder digital so verändert – etwa durch Software-Upgrades, funktionale Erweiterungen oder Umkonfigurationen – dass neue Gefährdungen entstehen, wird selbst zum Hersteller mit allen daraus folgenden Pflichten. Die Hochrisiko-Maschinenliste in Anhang I soll künftig dynamisch an den Stand der Technik angepasst werden.

Konkrete Handlungspflicht Maschinenverordnung

Unternehmen, die Maschinen nachträglich modifizieren – sei es als Betreiber, Systemintegrator oder Retrofitter – müssen jede physische oder digitale Änderung daraufhin prüfen, ob sie eine „wesentliche Änderung“ im Sinne von Art. 18 der Verordnung darstellt. In diesem Fall ist ein vollständiges neues Konformitätsbewertungsverfahren durchzuführen.

Selbst-Check: Haben Sie für Ihre Retrofit-, Integrations- oder Modernisierungsprojekte einen standardisierten Prüfprozess etabliert, der zuverlässig erkennt, wann eine „wesentliche Änderung“ vorliegt – und damit ein neues Konformitätsverfahren auslöst?

Handlungsbedarf erkannt?

Die genannten Regelwerke stellen Industrie- und Maschinenbauunternehmen vor erhebliche operative und rechtliche Anforderungen. Gerade die Verschränkung von CRA, Maschinenverordnung und neuer Produkthaftungsrichtlinie – sowie deren Wechselwirkung mit dem AI Act – erfordert eine koordinierte Compliance-Strategie, die über isolierte Einzelmaßnahmen hinausgeht. Vorlaufzeiten von mehreren Monaten sind realistisch einzuplanen.

 

Autor: Thilo Märtin (Rechtsanwalt)

Unterstützung durch MKM LEGAL

Schreibtisch mit Laptop, dahinter ein Bücherregal, das u.a. eine Drohne und einen Mini-Roboter enthält

Beratung zu Produktrecht & Co.

MKM Legal unterstützt Sie bei der rechtlichen Einordnung vernetzter Maschinen und eingebetteter Systeme, der Gestaltung CRA- und GPSR-konformer Lieferkettenverträge, der Vorbereitung auf das neue Produkthaftungsregime sowie bei der KI-Compliance nach AI Act und Maschinenverordnung. 

Zur Beratung
Eine Hand ist nach vorn ausgestreckt, darüber ist eine virtuelle Grafik mit "AI" in der Mitte zu sehen

KI-Kompetenz-Schulung

Sie und Ihre Mitarbeitenden brauchen einen Nachweis zur KI-Kompetenz (gem. Art. 4 KI-Verordnung)? Unsere Schulung vermittelt Rechtswissen, Pflichten und Haftungsrisiken verständlich und praxisnah. 

Zur Schulung

Weitere Insights zum Thema

article
15. Dezember 2025
Was Unternehmen jetzt wissen müssen
EU-Sanktionsrecht wird schärfer durchgesetzt
article
19. Februar 2026
Unternehmensnachfolge im Mittelstand
Die Zukunft im Blick
article
6. März 2024
Einschränkungen bei Aufrechnung in der Insolvenz
Aufrechnung in der Bauinsolvenz – was bleibt erlaubt?
article
6. März 2024
Einhaltung von Menschenrechten & Umweltvorschriften beim LkSG
Menschenrechtsbeauftragter im Sinne des LkSG - Was gilt es zu beachten?
article
5. Februar 2024
Neues zur IT-Sicherheit
Neues zur IT-SicherheitHello NIS 2.0! Goodbye KRITIS?
article
4. Oktober 2023
Europäische KI Verordnung
Mal was Intelligentes aus Brüssel - Die europäische KI-Verordnung kommt!
article
25. Juli 2023
Zusammenarbeit in der Lieferkette: Unternehmen & ihre Zulieferer
Kleine und mittlere Unternehmen in der Lieferkette (LkSG)
article
19. Februar 2026
Wirksame Vorbehalte erklären, Urheberrecht beachten und Haftung ausschließen
KI-Inhalte und Urheberrecht: Von Data-Mining bis zur Haftung für Output
Logo von MKM LEGAL
Rechtliches

Impressum

Datenschutzerklärung

AGB

Hinweisgebersystem

Kontakt

+49 911 669 577-0

info@mkm-partner.de

LinkedIn

Adressen

Äußere Sulzbacher Str. 124a
90491 Nürnberg

Martin-Albert-Str. 1
90491 Nürnberg

Bernburger Str. 30-31
10963 Berlin

Newsletter-Anmeldung