IT-Haftpflicht 2026: Neue Produkthaftung fuer Software
Das Wichtigste in Kürze
- Ab 9. Dezember 2026: Software gilt als Produkt mit verschuldensunabhaengiger Haftung (EU 2024/2853)
- IT-Haftpflicht ab 170 EUR/Jahr (Markel), ab 15 EUR/Monat (Hiscox). Nachhaftung bis 10 Jahre moeglich.
- Hiscox Net IT seit Oktober 2025: Erste Police mit expliziter KI-Deckung am Markt
- NIS-2: MSPs und IT-Dienstleister sind explizit reguliert. GF haften persoenlich.
- 90 % der IT-Haftpflichtschaeden sind reine Vermoegenssschaeden (exali). Typisch: 53.000 bis 200.000 EUR.
Der deutsche ITK-Markt erreicht 2026 ein Volumen von 245 Milliarden EUR (Bitkom). 58 Milliarden davon entfallen auf Software, 4,1 Milliarden auf KI-Plattformen. Ab dem 9. Dezember 2026 gilt Software erstmals als Produkt im Sinne des Produkthaftungsrechts. Fuer IT-Freelancer, Softwareentwickler und IT-Dienstleister aendert das die Haftungslandschaft grundlegend. Und trotzdem haben nur 43 Prozent der IT-Selbstaendigen eine IT-Haftpflichtversicherung (freelance.de Studie 2026, Rueckgang von 55 Prozent im Vorjahr).
Was eine IT-Haftpflicht kostet
Die Praemien variieren je nach Anbieter, Umsatz und Deckungssumme. Hier ein Vergleich fuer einen Softwareentwickler mit 150.000 EUR Jahresumsatz:
| Anbieter | Jahrespraemie (ca.) | Max. Deckung VSH | Nachhaftung |
|---|---|---|---|
| Markel Pro IT | Ab 170 EUR | 15 Mio. EUR (Konsortium: 30 Mio.) | k. A. |
| Hiscox Net IT | Ca. 343 EUR (28,60/Monat) | 5 Mio. EUR | 5 Jahre |
| VHV FIRMENPROTECT | Ca. 380 EUR | 3 Mio. EUR | 10 Jahre |
| Zurich IT Safecare | Mittelbereich | 3 Mio. EUR | 10 Jahre |
| AXA IT-Police | Individuell | 1 bis 5 Mio. EUR | k. A. |
Markel bietet den guenstigsten Einstieg, VHV und Zurich die laengste Nachhaftung (10 Jahre). Hiscox hat seit Oktober 2025 als erster Anbieter explizite KI-Deckung in die IT-Haftpflicht integriert. Markel deckt weltweit inklusive USA und Kanada ohne Umsatzbeschraenkung.
Nachhaftung: Warum sie bei Software besonders wichtig ist
Softwarefehler koennen erst Jahre nach der Auslieferung Schaeden verursachen. Die Nachhaftung bestimmt, wie lange nach Vertragsende noch Schaeden gedeckt sind. Mit der neuen Produkthaftungsrichtlinie (Update-Pflicht!) wird eine lange Nachhaftung noch relevanter. VHV und Zurich bieten 10 Jahre, Hiscox 5, CNA Hardy nur 2.
Typische Schaeden: Was IT-Fehler wirklich kosten
90 Prozent aller IT-Haftpflichtschaeden sind reine Vermoegenssschaeden (exali). Hier konkrete Faelle:
| Szenario | Schaden |
|---|---|
| Programmierungsfehler verhindert 3.000 Datensaetze | 200.000 EUR |
| Fehlerhafte Datenbank-Migration, Wiederherstellung | 130.000 EUR |
| Server-Crash durch IT-Wartung, Datenverlust | 100.000 EUR |
| Kontaktformular deaktiviert, verlorene Buchungen | 90.000 EUR |
| Online-Shop Bug ("ausverkauft"), Umsatzausfall | 53.000 EUR |
| Fehlerhaftes Sicherheitsupdate crasht Client-Server | 100.000 EUR |
Diese Betraege koennen fuer Freelancer existenzbedrohend sein. Eine IT-Haftpflicht uebernimmt die Schadensersatzforderung und die Rechtsverteidigung. Ohne Versicherung zahlt der IT-Dienstleister aus dem Privatvermoegen. Mehr zu den haeufigsten Fehlern im Ratgeber IT-Haftpflicht Softwareentwickler.
Neue EU-Produkthaftungsrichtlinie: Software wird Produkt
Die Richtlinie EU 2024/2853 tritt am 9. Dezember 2026 in Kraft und ersetzt die alte Richtlinie von 1985.
| Aspekt | Alt (bis 2026) | Neu (ab Dez 2026) |
|---|---|---|
| Software | Kein Produkt | Explizit als Produkt definiert |
| KI-Systeme | Nicht geregelt | Eingeschlossen |
| Updates | Nicht geregelt | Haftung fuer fehlende Sicherheitsupdates |
| Beweislast | Beim Geschaedigten | Umkehr bei komplexen Produkten (KI, Software) |
| Haftungsobergrenze | 85 Mio. EUR | Keine Grenze mehr |
| Selbstbeteiligung | 500 EUR | Entfaellt |
Wer haftet in der Software-Lieferkette?
- Hersteller: Primaer haftbar fuer Produktfehler (verschuldensunabhaengig)
- Importeur: Haftet wie Hersteller bei Nicht-EU-Produkten
- Integrator: Haftet fuer das Gesamtprodukt (Open-Source-Komponenten eingeschlossen)
- Plattformbetreiber: Kann haften, wenn als Haendler agierend
- SaaS-Anbieter: Explizit erfasst (Cloud-Software ist Produkt)
Open-Source-Software und Produkthaftung
Nicht-kommerzielle Open-Source-Entwickler (Hobby, Non-Profit, Forschung) sind von der Produkthaftung ausgenommen. Sobald Open-Source aber kommerziell eingesetzt wird, aendert sich die Lage:
- Der Integrator haftet: Wer OSS in ein kommerzielles Produkt einbaut, haftet fuer das Gesamtprodukt
- Bezahlte OSS-Entwicklung: Wer fuer Open-Source-Arbeit bezahlt wird, ist nicht mehr "nicht-kommerziell"
- Risiko: 60 Prozent der analysierten Anwendungen mit OSS-Komponenten haben mindestens eine kritische Schwachstelle (Black Duck Security Audit)
Praxistipp: SBOM erstellen
Fuehren Sie ein Software Bill of Materials (SBOM) fuer alle eingesetzten Open-Source-Komponenten. So wissen Sie, welche Abhaengigkeiten bestehen, und koennen im Schadenfall schnell reagieren. Der Cyber Resilience Act macht SBOM ab Dezember 2027 ohnehin zur Pflicht.
NIS-2: IT-Dienstleister sind direkt betroffen
Das NIS-2-Umsetzungsgesetz ist seit Dezember 2025 in Kraft. Fuer IT-Dienstleister gibt es eine Besonderheit: Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) sind explizit als regulierte Einrichtungen aufgefuehrt. DNS-Provider fallen sogar ohne Schwellenwerte unter die Regulierung.
- MSPs und MSSPs: reguliert unabhaengig von Groesse (in vielen Faellen)
- BSI-Registrierung seit Januar 2026 moeglich
- Meldepflicht: 24 Stunden Erstmeldung, 72 Stunden Folgemeldung
- Geschaeftsfuehrer haften persoenlich (Paragraf 38 BSIG). Mehr dazu im Ratgeber Geschaeftsfuehrer-Haftung
NIS-2-Compliance erhoet den Bedarf an IT-Haftpflicht und D&O-Versicherung. Die persoenliche GF-Haftung laesst sich ueber D&O absichern, die Drittschaeden gegenueber Kunden ueber die IT-Haftpflicht.
Cyber Resilience Act: Meldepflichten ab September 2026
Der CRA (Cyber Resilience Act) ist seit Dezember 2024 in Kraft und wird schrittweise wirksam:
- Juni 2026: Marktaufsichtsregeln gelten, BSI als zustaendige Behoerde
- 11. September 2026: Meldepflichten: Aktiv ausgenutzte Schwachstellen und schwere Vorfaelle muessen innerhalb von 24 Stunden gemeldet werden
- 11. Dezember 2027: Volle CRA-Anforderungen (Security-by-Design, Update-Pflicht ueber gesamte Lebensdauer)
Der CRA betrifft primaer Hersteller und Distributoren von Produkten mit digitalen Elementen. Fuer Softwareentwickler bedeutet das: Wer Software fuer den Markt entwickelt, muss ab 2027 Security-by-Design nachweisen und Schwachstellen melden. Die IT-Haftpflicht sollte diese Risiken abdecken.
KI-Haftung: Was der AI Act fuer IT-Unternehmen bedeutet
Die KI-Haftungsrichtlinie wurde zurueckgezogen. Stattdessen greifen drei Regelwerke gleichzeitig:
- Produkthaftungsrichtlinie: KI-Systeme als Produkte (ab Dez 2026)
- AI Act: Hochrisiko-KI-Anforderungen (ab Aug 2026)
- Nationales Recht: BGB-Haftung bleibt anwendbar
Hiscox hat darauf reagiert: Die Net IT Police deckt seit Oktober 2025 Drittansprueche durch KI-Nutzung oder KI-Bereitstellung explizit ab. Wer KI-Systeme entwickelt oder einsetzt, sollte die IT-Haftpflicht auf KI-Klauseln pruefen. Eine Cyberversicherung deckt die Eigenschaeden (Ransomware, Datenverlust), die IT-Haftpflicht die Drittschaeden.
B2B vs. B2C: Wo gilt welche Haftung?
| Aspekt | B2C (Verbraucher) | B2B (Unternehmen) |
|---|---|---|
| Produkthaftung | Ja, uneingeschraenkt | Nur bei Verbraucherschaeden |
| Vertragliche Haftung | Stark geschuetzt | Beschraenkungen moeglich |
| Beweislast | Umkehr bei komplexen Produkten | Standard (beim Geschaedigten) |
| Schadensersatz | Keine Obergrenze | Vertragliche Beschraenkung moeglich |
Auch reine B2B-Software kann unter die Produkthaftung fallen, wenn sie indirekt Verbraucherschaeden verursacht. Im Zweifel gilt die schaerfere Haftung.
Checkliste: IT-Haftpflicht 2026
Versicherung
- ☐IT-Haftpflicht auf Produkthaftungsrisiken geprueft
- ☐Software explizit im Versicherungsschutz
- ☐KI-Deckung vorhanden (wenn KI eingesetzt/entwickelt wird)
- ☐Nachhaftung mindestens 5 Jahre (besser 10)
- ☐Deckungssumme angemessen (mind. 500.000 EUR fuer Freelancer)
Prozesse
- ☐SBOM (Software Bill of Materials) fuer OSS-Komponenten erstellt
- ☐Update-Prozess dokumentiert (Sicherheitspatches)
- ☐Qualitaetssicherung dokumentiert (Code Reviews, Tests)
- ☐NIS-2-Status geprueft (MSP/MSSP? BSI-Registrierung?)
Vertraege
- ☐AGB auf Produkthaftung geprueft
- ☐Haftungsbeschraenkungen aktualisiert
- ☐Subunternehmer-Haftung geregelt
Fazit: Dezember 2026 kommt schnell
Ab Dezember 2026 ist Software ein Produkt mit verschuldensunabhaengiger Haftung. Keine Haftungsobergrenze, Beweislastumkehr, Update-Pflicht. Fuer IT-Freelancer und -Unternehmen wird die IT-Haftpflicht damit von "empfehlenswert" zu "unverzichtbar". Gleichzeitig sinken die Einstiegskosten: Markel beginnt bei 170 EUR/Jahr, Hiscox bei 15 EUR/Monat.
Drei Dinge jetzt tun: Erstens die bestehende Police auf Produkthaftungsdeckung, KI-Klauseln und Nachhaftung pruefen. Zweitens ein SBOM fuer Open-Source-Komponenten erstellen. Drittens den NIS-2-Status klaeren (MSPs sind direkt betroffen). IT-Haftpflicht jetzt vergleichen.
Die EU-Produkthaftungsrichtlinie (2024/2853) tritt am 9. Dezember 2026 in Kraft. Software gilt dann als Produkt mit verschuldensunabhaengiger Haftung. Beweislastumkehr bei technisch komplexen Produkten. Bisherige Haftungsobergrenze von 85 Mio. EUR entfaellt. Zusaetzlich: Cyber Resilience Act ab September 2026 mit Meldepflichten.
Richtwerte: Markel Pro IT ab 170 EUR/Jahr, Hiscox ab ca. 15 EUR/Monat fuer IT-Spezialisten. Ein Softwareentwickler mit 150.000 EUR Umsatz zahlt bei VHV rund 380 EUR, bei Hiscox rund 340 EUR jaehrlich. Die Praemie haengt von Umsatz, Taetigkeit und Deckungssumme ab.
Empfehlung: Web-Entwickler mindestens 250.000 EUR, Softwareentwickler 500.000 EUR, IT-Berater mit Systemzugang mindestens 1 Mio. EUR. Viele Auftraggeber fordern vertraglich bestimmte Mindestdeckungen. 90 Prozent der IT-Haftpflichtschaeden sind reine Vermoegenssschaeden.
Nicht-kommerzielle Open-Source-Entwickler sind ausgenommen. Sobald Open-Source-Software aber kommerziell eingesetzt wird, haftet der Integrator fuer das Gesamtprodukt. 60 Prozent der analysierten Anwendungen mit Open-Source-Komponenten haben mindestens eine kritische Schwachstelle (Black Duck).
IT-Haftpflicht deckt Drittschaeden: Wenn Ihre Software oder Beratung einem Kunden Schaden zufuegt. Cyberversicherung deckt Eigenschaeden: Wenn Ihr eigenes Unternehmen angegriffen wird (Ransomware, Datenverlust, Betriebsunterbrechung). Fuer IT-Dienstleister sind oft beide noetig.
Sehr wichtig. Die Nachhaftung bestimmt, wie lange nach Vertragsende noch Schaeden gedeckt sind. Bei Software koennen Fehler erst Jahre spaeter auftreten. VHV und Zurich bieten 10 Jahre, Hiscox 5 Jahre, CNA Hardy nur 2 Jahre. Mit der neuen Produkthaftung wird lange Nachhaftung noch wichtiger.
Ja. Managed Service Provider (MSPs) und Managed Security Service Provider (MSSPs) sind explizit regulierte Einrichtungen unter NIS-2. DNS-Provider fallen sogar ohne Schwellenwerte unter die Regulierung. Geschaeftsfuehrer haften persoenlich fuer Cybersicherheit (Paragraf 38 BSIG).
Zunehmend ja. Hiscox hat im Oktober 2025 als erster Anbieter explizite KI-Deckung in die IT-Haftpflicht integriert (Drittansprueche durch KI-Nutzung). Ab August 2026 gelten die vollen EU-AI-Act-Anforderungen fuer Hochrisiko-KI. Wer KI-Systeme entwickelt oder einsetzt, sollte die Police darauf pruefen.
Fazit
Die IT-Haftpflicht bleibt 2026 fuer IT-Berater, Softwareentwickler und Agenturen unverzichtbar. Neue KI-Haftungsregeln und verschaerfte Datenschutzanforderungen erhoehen das Risiko. Pruefen Sie Ihre Deckungssumme und ergaenzen Sie bei Bedarf eine Cyberversicherung.