IT-Haftpflicht fuer Softwareentwickler
Das Wichtigste in Kürze
- Softwareentwickler haften fuer Vermoegensschaeden, die ein Bug beim Kunden ausloest. Schon ein fehlerhaftes Update kann fuenf- bis sechsstellige Forderungen nach sich ziehen.
- Die IT-Haftpflicht uebernimmt Programmierfehler beim Kunden. Die Cyberversicherung springt nur bei Angriffen auf Ihre eigenen Systeme ein.
- Fuer Entwickler ist eine Deckungssumme ab 500.000 EUR sinnvoll, bei sicherheitskritischen oder grossen Projekten eher 1 bis 2 Mio. EUR.
- Open Source bringt eigene Haftungsfragen mit: GPL-Lizenzpflichten und bekannte Schwachstellen (CVE) in Abhaengigkeiten gehoeren geprueft.
- Ab dem 9. Dezember 2026 gilt Software unter der EU-Produkthaftungsrichtlinie als Produkt. Das verschaerft die Haftung auch fuer KI-generierten Code.
Softwareentwickler haften fuer Vermoegensschaeden, die ein Fehler im Code beim Kunden ausloest. Eine IT-Haftpflicht (die Berufshaftpflicht fuer IT-Berufe) traegt diese Forderungen und prueft zugleich, ob sie ueberhaupt berechtigt sind. Praemien beginnen je nach Taetigkeit bei rund 400 EUR im Jahr. Dieser Ratgeber zeigt, welche Haftungsszenarien fuer Entwickler typisch sind, wie Open-Source-Lizenzen und KI-generierter Code ins Spiel kommen und was sich durch die EU-Produkthaftungsrichtlinie ab Dezember 2026 aendert.

Praxisfall: Fehlerhaftes Update
Ein freiberuflicher Entwickler liefert ein Update fuer ein Warenwirtschaftssystem. Durch einen Bug werden Bestelldaten falsch verarbeitet. Der Kunde verschickt Ware an falsche Adressen. Schaden: 85.000 EUR Warenverlust plus Rueckholkosten - fuer den Entwickler ohne Versicherung existenzbedrohend.
Welche Haftungsrisiken treffen Entwickler?
Die Risiken eines Entwicklers unterscheiden sich von denen anderer IT-Dienstleister. Es geht selten um gestohlene Hardware, fast immer um Vermoegensschaeden, die aus dem Code selbst entstehen. Fuenf Szenarien tauchen in der Praxis besonders haeufig auf.
1. Fehler im Code (Bugs)
Der haeufigste Fall: Software laeuft nicht wie spezifiziert oder verhaelt sich unerwartet. Ein falsch gerundeter Betrag in einer Abrechnung, eine Schleife, die Datensaetze ueberschreibt, ein Timeout, der eine Bestellung doppelt ausloest.
- Berechnungsfehler mit finanziellen Folgen
- Datenverlust durch fehlerhafte Speicherung
- Systemabstuerze und Betriebsunterbrechungen
- Falsche Datenverarbeitung
2. Sicherheitsluecken
Hat Ihre Software eine Luecke, die ein Angreifer ausnutzt, kann die Forderung schnell hoch werden. Typische Schwachstellen:
- SQL-Injection (Einschleusen von Datenbankbefehlen) oeffnet den Datenbankzugriff
- Cross-Site-Scripting (XSS) kompromittiert Nutzer
- Unzureichende Authentifizierung
- Fehlende Verschluesselung sensibler Daten
Haftung bei Sicherheitsluecken
Bei Sicherheitsluecken kann die Haftung enorm sein: Der Kunde erleidet einen Cyberangriff, Daten werden gestohlen, DSGVO-Bussgelder drohen. Als Entwickler koennen Sie fuer all das haftbar gemacht werden, wenn die Luecke auf Ihre Arbeit zurueckzufuehren ist.
3. Verzoegerungen und Terminueberschreitungen
Zieht sich ein Projekt, kann das teuer werden, vor allem wenn feste Termine vereinbart waren:
- Vertragsstrafen bei vereinbarten Terminen
- Folgeschaeden durch verspaeteten Go-Live
- Entgangener Gewinn beim Kunden
4. Verletzung von Schutzrechten
Unbeabsichtigte Verwendung von geschuetztem Code oder Methoden:
- Patentverletzungen
- Verletzung von Open-Source-Lizenzen (GPL, etc.)
- Urheberrechtsverletzungen
5. Beratungsfehler
Auch Beratungsleistungen bergen Risiken:
- Falsche Technologieempfehlung
- Fehleinschaetzung von Projektaufwand
- Unzureichende Anforderungsanalyse
Welche Versicherung greift wann?
Berufshaftpflicht, Cyberversicherung und Betriebshaftpflicht decken unterschiedliche Schaeden ab. Wer als Entwickler arbeitet, braucht meist mehr als eine davon. Die Tabelle ordnet typische Faelle zu.
| Merkmal | Schadenart | Berufshaftpflicht | Cyberversicherung | Betriebshaftpflicht |
|---|---|---|---|---|
| Bug verursacht Schaden beim Kunden | ||||
| Sicherheitsluecke fuehrt zu Datenleck | Teilweise | |||
| Hackerangriff auf eigene Systeme | ||||
| Ransomware verschluesselt Ihre Daten | ||||
| Kunde stolpert in Ihrem Buero | ||||
| Beratungsfehler |
Empfehlung
Die meisten Entwickler brauchen mindestens eine IT-Haftpflicht fuer IT-Berater und Entwickler und eine Cyberversicherung fuer IT-Dienstleister. Viele Versicherer bieten Kombi-Produkte an. Den regulatorischen Rahmen dazu fasst unser Ratgeber IT-Haftpflicht 2026 zusammen.
Was deckt die IT-Haftpflicht?
Typischerweise gedeckt
- Vermoegensschaeden: Finanzielle Verluste des Kunden durch Ihre Fehler
- Programmier-/Entwicklungsfehler: Bugs, logische Fehler, falsche Implementierung
- Beratungsfehler: Falsche Empfehlungen, Fehleinschaetzungen
- Versaeumnisse: Unterlassene Pruefungen, fehlende Dokumentation
- Rechtsverteidigungskosten: Auch bei unberechtigten Anspruechen
Oft ausgeschlossen oder eingeschraenkt
- Vorsatz: Absichtliche Schaedigung ist nie versichert
- Garantien: Wenn Sie Erfolg garantiert haben
- Vertragsstrafen: Oft nur gegen Aufpreis oder sublimitiert
- Eigenschaeden: Schaeden an Ihrer eigenen Software
- Bekannte Maengel: Fehler, die Sie bei Lieferung kannten
- USA/Kanada: Oft ausgeschlossen wegen hoher Prozessrisiken
Wie haften Entwickler bei Open Source?
Kaum ein Projekt kommt heute ohne Open-Source-Bibliotheken aus. Wer fremden Code einbindet, uebernimmt damit auch Verantwortung fuer dessen Lizenzbedingungen und Schwachstellen. Zwei Themenfelder sind fuer Entwickler relevant.
Lizenzverletzungen
- GPL erfordert Offenlegung des Quellcodes bei Weitergabe
- Copyleft-Klauseln koennen ganze Projekte "infizieren"
- Fehlende Lizenzdokumentation kann zu Abmahnungen fuehren
Sicherheitsluecken in Abhaengigkeiten
- Bekannte Schwachstellen (CVE) in verwendeten Bibliotheken
- Supply-Chain-Angriffe ueber kompromittierte Pakete
- Veraltete Abhaengigkeiten mit ungepatchten Luecken
Versicherungsschutz pruefen
Manche Versicherer schliessen Schaeden durch "bekannte Schwachstellen" in Open-Source-Komponenten aus. Pruefen Sie die Bedingungen, besonders wenn Sie viel mit Open Source arbeiten.
Tipps fuer den Versicherungsschutz
Bei der Taetigkeitsbeschreibung
- Vollstaendig sein: Alle Taetigkeiten angeben (Entwicklung, Beratung, Wartung, Hosting)
- Branchen nennen: Besonders bei sicherheitskritischen Bereichen (Finanzen, Gesundheit)
- Technologien erwaehnen: Bei kritischen Technologien (embedded, IoT, KI) den Versicherer informieren
Bei der Deckungssumme
- Projektvolumen beruecksichtigen: Deckung sollte mindestens dem groessten Projekt entsprechen
- Kundenanforderungen pruefen: Grosskunden fordern oft 1-2 Mio. EUR Mindestdeckung
- Jahresmaxima beachten: Bei vielen Projekten auf ausreichendes Jahreslimit achten
Wichtige Zusatzdeckungen
- Nachhaftung: Mindestens 3-5 Jahre Nachmeldefrist
- Subunternehmer: Deckung auch bei Einsatz von Freelancern
- Weltweite Deckung: Falls Sie internationale Kunden haben
Was kostet eine IT-Haftpflicht?
Die Praemie haengt von Taetigkeit, Umsatz und gewuenschter Deckungssumme ab. Die folgenden Werte sind Richtgroessen fuer den Einstieg, kein Tarifangebot.
| Unternehmensgroesse | Deckungssumme | Praemie ab |
|---|---|---|
| Freelancer (Einzelunternehmer) | 500.000 EUR | 400 EUR/Jahr |
| Kleine IT-Agentur (2-5 MA) | 1 Mio. EUR | 800 EUR/Jahr |
| Mittelgrosse Agentur (5-20 MA) | 2 Mio. EUR | 1.500 EUR/Jahr |
| Softwarehaus (20+ MA) | 5 Mio. EUR | 3.000 EUR/Jahr |
Die tatsaechlichen Kosten haengen von Taetigkeit, Umsatz, Kundenstruktur und Sicherheitsniveau ab.
Checkliste: IT-Haftpflicht fuer Entwickler
- Taetigkeitsbeschreibung: Alle Taetigkeiten vollstaendig und korrekt?
- Deckungssumme: Mindestens groesstes Einzelprojekt abgedeckt?
- Nachhaftung: Ausreichend lange Nachmeldefrist?
- Ausschluesse: Kritische Ausschluesse (Vertragsstrafen, Open Source) geprueft?
- Cyberversicherung: Zusaetzlich fuer eigene Risiken abgeschlossen?
- Subunternehmer: Bei Einsatz von Freelancern mitversichert?
- Internationale Projekte: Weltweite Deckung vorhanden?
EU-Produkthaftung fuer Software ab Dezember 2026
Die neue EU-Produkthaftungsrichtlinie (2024/2853) aendert die Spielregeln fuer Softwareentwickler grundlegend: Ab dem 9. Dezember 2026 gilt Software als Produkt im Sinne des Produkthaftungsrechts. Das Bundeskabinett hat den entsprechenden Gesetzentwurf zur Umsetzung in deutsches Recht bereits am 17. Dezember 2025 beschlossen.
Was bedeutet das konkret?
- Alle Software betroffen: Lokale Anwendungen, Cloud-Dienste, SaaS-Loesungen und KI-Systeme fallen unter die Produkthaftung.
- Verschuldensunabhaengige Haftung: Hersteller haften fuer fehlerhafte Software, unabhaengig davon, ob sie den Fehler verschuldet haben.
- Beweiserleichterung fuer Geschaedigte: Kunden muessen kuenftig weniger beweisen, um Schadensersatz durchzusetzen. Das erhoeht das Haftungsrisiko fuer Entwickler erheblich.
- Open Source nur teilweise ausgenommen: Die Ausnahme gilt ausschliesslich fuer nicht-kommerzielle Open-Source-Projekte. Wer Open Source kommerziell einsetzt oder vertreibt, haftet wie jeder andere Hersteller.
Fuer Softwareentwickler bedeutet das: Der Versicherungsbedarf steigt. Wer bisher ohne IT-Haftpflicht gearbeitet hat, sollte spaetestens jetzt handeln. Und wer bereits versichert ist, sollte seine Deckungssummen und Vertragsbedingungen auf die neuen Anforderungen pruefen.
KI-Entwicklung: Besonderes Haftungsrisiko
Die EU-Produkthaftungsrichtlinie stellt KI-Systeme explizit unter die Produkthaftung. In Kombination mit dem EU AI Act entsteht fuer KI-Entwickler ein besonders hohes Haftungsrisiko:
- KI-basierte Empfehlungen, die zu Fehlentscheidungen fuehren, koennen Schadensersatzansprueche ausloesen.
- Algorithmische Diskriminierung oder fehlerhafte Prognosen fallen unter die erweiterte Produkthaftung.
- Die Nachweispflichten fuer KI-Systeme sind besonders streng, da die Entscheidungslogik oft schwer nachvollziehbar ist.
Empfehlung fuer KI-Entwickler: Eine Deckungssumme von mindestens 1 bis 2 Mio. EUR ist bei KI-Projekten dringend anzuraten. Pruefen Sie zudem, ob Ihre Police KI-spezifische Risiken explizit einschliesst oder ausschliesst.
Fazit
IT-Haftpflicht ist kein Luxus, sondern Berufsschutz
Softwareentwickler haften fuer Bugs, Sicherheitsluecken und Projektverzoegerungen. Ab 2026 kommt die EU-Produkthaftung dazu. Eine IT-Haftpflichtversicherung ist fuer Freelancer und IT-Dienstleister unverzichtbar. Die Kosten (ab ca. 400 EUR/Jahr) stehen in keinem Verhaeltnis zum Risiko.
Wer zusaetzlich eigene Systeme absichern will, braucht eine Cyberversicherung fuer IT-Dienstleister. Beide Policen ergaenzen sich.
Ja, unbedingt. Softwareentwickler haften fuer Schaeden, die durch Fehler in ihrer Software entstehen. Ein einziger Bug kann Millionenschaeden verursachen. Die Berufshaftpflicht (auch IT-Haftpflicht) schuetzt vor den finanziellen Folgen.
Die IT-Haftpflicht (Berufshaftpflicht) deckt Schaeden durch berufliche Fehler - etwa Bugs in Ihrer Software. Die Cyberversicherung deckt Schaeden durch Cyberangriffe auf Ihre eigenen Systeme. Viele IT-Dienstleister brauchen beide.
Grundsaetzlich ja, wenn er die Komponente verwendet hat. Der Entwickler ist fuer die Gesamtloesung verantwortlich, die er liefert - auch fuer enthaltene Open-Source-Bibliotheken. Allerdings gibt es bei manchen Versicherern Ausschluesse fuer bekannte Schwachstellen.
Mindestens 500.000 EUR, besser 1-2 Mio. EUR. Die Hoehe haengt von der Art der Projekte ab. Bei Software fuer sicherheitskritische Bereiche (Finanzen, Gesundheit) oder hohen Projektvolumen entsprechend mehr.
Vertragsstrafen sind in der Standard-Berufshaftpflicht oft ausgeschlossen oder nur eingeschraenkt gedeckt. Wenn Sie mit Vertragsstrafen arbeiten, sollten Sie den Versicherungsschutz explizit pruefen und ggf. erweitern.
Fuer Solo-Freelancer mit Umsaetzen bis 100.000 EUR liegen die Praemien bei etwa 400 bis 800 EUR pro Jahr. Bei groesseren Teams oder hoeheren Deckungssummen steigt der Preis auf 1.000 bis 3.000 EUR. Gemessen am Haftungsrisiko ist das ueberschaubar.
Ja. Ab Dezember 2026 gilt Software als Produkt im Sinne der EU-Produkthaftung. Das bedeutet: Entwickler und Vertreiber haften verschuldensunabhaengig fuer Schaeden durch fehlerhafte Software. Eine IT-Haftpflicht wird damit noch wichtiger.
Die meisten Policen decken EU- und EWR-Staaten standardmaessig ab. Fuer Projekte in den USA oder anderen Laendern mit hohem Klagerisiko brauchen Sie in der Regel eine explizite Erweiterung. Pruefen Sie den raeumlichen Geltungsbereich Ihrer Police.
In der Regel nicht. Wer fest angestellt ist, haftet gegenueber dem Arbeitgeber nur eingeschraenkt, und Schaeden gegenueber Dritten deckt meist die Betriebshaftpflicht des Arbeitgebers ab. Sobald Sie nebenbei oder selbststaendig Auftraege uebernehmen, fehlt dieser Schutz und eine eigene Police wird relevant.
Wenn Sie KI-generierten Code in eine Lieferung uebernehmen, haften Sie dafuer wie fuer selbst geschriebenen Code. Der Auftraggeber sieht Sie als verantwortlichen Entwickler. Ab Dezember 2026 stuft die EU-Produkthaftungsrichtlinie zudem KI-Systeme als Produkt ein, was das Risiko zusaetzlich erhoeht.
Hinweis: Die Inhalte auf dieser Seite dienen der allgemeinen Information. Sie ersetzen keine individuelle Beratung durch einen zugelassenen Versicherungsvermittler oder -berater. Wer zusaetzlich mit fremden Kundendaten arbeitet, sollte ergaenzend eine Cyberversicherung fuer Freiberufler pruefen.