neustes

AUS DEM BAUCH HERAUS Recht & Compliance Technisch

Die Haftungsfalle im Hobbykeller: Wann Bastler plötzlich zu Herstellern werden

Sie tüfteln in ihrer Freizeit an smarten Geräten, bauen eine IoT-Steuerung für den Kleingartenverein oder installieren dem Kumpel eine selbst entwickelte Überwachungslösung? Dann sollten Sie jetzt genau hinschauen. Denn mit den neuen EU-Regelungen zur Produktsicherheit und Produkthaftung werden Hobbybastler und Gefälligkeitsinstallateure schnell zu Herstellern mit erheblichen rechtlichen Pflichten – oft ohne es zu wissen.

1. Einleitung: Wenn der Bastelkeller zur Grauzone wird

Die Digitalisierung hat auch den Hobbykeller erobert. Immer mehr Technikbegeisterte entwickeln eigene IoT-Geräte, bauen smarte Steuerungen für den Verein oder helfen Freunden mit selbst konstruierten elektronischen Lösungen aus. Was als kreatives Hobby beginnt, kann rechtlich jedoch schnell brisant werden.

Die entscheidende Schwelle ist nicht etwa der Gewerbeschein oder eine Gewinnerzielungsabsicht. Maßgeblich ist das sogenannte „Inverkehrbringen“. Rechtlich werden Sie zum Hersteller, sobald Sie Ihr selbstgebautes IoT-Gerät einer anderen Person überlassen – völlig egal, ob gegen Geld, als Geschenk oder als reine „Gefälligkeit“ beim Kumpel .

Die neue EU-Produktsicherheitsverordnung (GPSR) sowie die grundlegend überarbeitete Produkthaftungsrichtlinie haben die Anforderungen drastisch verschärft. Hinzu kommt der Cyber Resilience Act (CRA), der ab Dezember 2027 für vernetzte Geräte strenge Cybersicherheitsanforderungen vorschreibt . Dieser Artikel zeigt, wann aus dem Bastler ein Hersteller wird, welche Risiken drohen und wie der Weg zu rechtssicheren Produkten aussieht.

2. Die Rechtslage im Detail: Wann werden Sie zum Hersteller?

2.1 Wer ist Hersteller nach dem Produkthaftungsgesetz?

Nach § 4 ProdHaftG ist Hersteller jeder, der ein Produkt hergestellt und in den Verkehr gebracht hat. Die Rechtsprechung definiert dies extrem weit:

  • Ein Landwirt, der Silage herstellt und an Pferde Dritter verfüttert, ist Hersteller
  • Wer Speisen zubereitet und weitergibt, ist Hersteller
  • Entscheidend: Es kommt nicht auf Gewinnerzielungsabsicht an. Auch das unentgeltliche Überlassen („Schenken“, „Einbauen beim Kumpel“) ist ein Inverkehrbringen, sofern das Produkt Ihrer Herrschaftssphäre entlassen wird .

2.2 Wer ist Hersteller nach dem Produktsicherheitsgesetz?

Nach der neuen EU-Verordnung über die allgemeine Produktsicherheit (GPSR), die seit dem 13. Dezember 2024 gilt, sind Sie bereits dann Hersteller, wenn Sie :

  • Ein Produkt herstellen oder herstellen lassen und es unter eigenem Namen vermarkten
  • Oder geschäftsmäßig Ihren Namen oder Ihr Kennzeichen anbringen
  • Oder Sicherheitseigenschaften beeinflussen und es auf dem Markt bereitstellen

Die IHK Erfurt präzisiert in ihrem Leitfaden: „Hersteller ist jede natürliche oder juristische Person, die ein Produkt herstellt oder entwickeln oder herstellen lässt und dieses Produkt unter ihrem eigenen Namen oder ihrer eigenen Marke vermarktet oder es für eigene Zwecke verwendet“ .

Besonders wichtig: Auch Händler können als Hersteller gelten, wenn sie ein konkretes Produkt mit ihrem Namen kennzeichnen oder ein Produkt wesentlich verändern .

2.3 Wann sind Sie also rechtlich „drin“?

  • Einbau beim Kumpel: Sie sind Hersteller. Das Gerät wird in Verkehr gebracht. Der Umstand, dass Sie es selbst installieren, ändert daran nichts .
  • Verein/Bastelgruppe: Stellen Sie Geräte für Vereinsmitglieder her, sind Sie Hersteller. Der Verein haftet als „wirtschaftlicher Akteur“, wenn er die Geräte beschafft oder verwendet .
  • Verschenken: Auch hier haften Sie. Die GPSR definiert „Bereitstellen auf dem Markt“ ausdrücklich als jede entgeltliche oder unentgeltliche Abgabe eines Produkts .

3. Was passiert, wenn mein selbstgebautes IoT-Gerät brennt?

Hier gilt seit Dezember 2024 eine völlig neue Rechtslage mit weitreichenden Konsequenzen.

3.1 Produkthaftung (verschuldensunabhängig)

Nach der neuen EU-Produkthaftungsrichtlinie 2024/2853 haften Hersteller verschuldensunabhängig für Fehler ihrer Produkte. Das bedeutet: Der Geschädigte muss kein Verschulden (also kein fahrlässiges oder vorsätzliches Handeln) nachweisen, sondern lediglich :

  • dass ein Produkt fehlerhaft war,
  • dass ein Schaden entstanden ist und
  • dass ein Kausalzusammenhang zwischen Fehler und Schaden besteht.

Ein Produkt gilt als fehlerhaft, wenn es nicht die Sicherheit bietet, die man berechtigterweise erwarten kann . Die Fehlerarten umfassen:

  • Konstruktionsfehler: Unsicheres Schaltungsdesign
  • Fabrikationsfehler: Ein Wackelkontakt, der beim Löten entstand
  • Instruktionsfehler: Sie haben nicht vor „vorhersehbarem Fehlgebrauch“ gewarnt (z. B. Kind steckt Metallgegenstand in offene Schnittstelle)

Neu ab Dezember 2026 (Umsetzungsfrist der Produkthaftungsrichtlinie): Auch Softwarefehler, fehlerhafte Updates und Sicherheitslücken lösen Haftung aus. Die Beweislast wird zulasten des Herstellers verschärft – bei technisch oder wissenschaftlich komplexen Produkten wird die Fehlerhaftigkeit vermutet, wenn ein Fehler und dessen Kausalität für den Schaden zumindest wahrscheinlich sind .

3.2 Produktsicherheit (Präventivpflichten)

Seit Dezember 2024 gilt die EU-GPSR mit weitreichenden präventiven Pflichten :

  • Risikoanalyse: Sie sind verpflichtet, vor dem Inverkehrbringen eine interne Risikoanalyse durchzuführen und technische Unterlagen zu erstellen
  • Kennzeichnung: Name, eingetragener Handelsname, Postanschrift und E-Mail-Adresse müssen auf dem Produkt angebracht werden (Ausnahmen nur bei Unmöglichkeit: dann auf Verpackung oder Begleitunterlage)
  • Dokumentation: Die technischen Unterlagen müssen zehn Jahre lang aufbewahrt werden
  • Kommunikationskanal: Sie müssen einen öffentlich zugänglichen Kanal für Verbraucherhinweise einrichten

Tun Sie dies nicht, begehen Sie eine Ordnungswidrigkeit mit möglichen Bußgeldern.

3.3 Cyber Resilience Act (CRA) – die Zeitbombe für IoT-Bastler

Der Cyber Resilience Act ist am 10. Dezember 2024 in Kraft getreten und stellt die Weichen für die Zukunft . Ab 11. Dezember 2027 dürfen Produkte mit digitalen Elementen nur noch in Verkehr gebracht werden, wenn sie die CRA-Anforderungen erfüllen :

  • Security by Default: Sichere Voreinstellungen müssen gewährleistet sein
  • Update-Pflicht: Regelmäßige und dokumentierte Sicherheitsupdates über den gesamten Produktlebenszyklus
  • Schwachstellenmanagement: Prozesse zur Bewertung und Behebung von Sicherheitslücken
  • Meldepflicht: Bei schwerwiegenden Sicherheitsvorfällen bestehen Meldepflichten (bereits ab 11. Dezember 2026)

Für den Hobbykeller bedeutet das: Ab 2027 ist jedes selbstgebaute IoT-Gerät, das Sie verschenken oder verkaufen, faktisch illegal, wenn es keine Konformität nach CRA nachweisen kann. Die Übergangsfrist von 36 Monaten läuft bereits .

4. Risikoszenarien für Kleinunternehmer, Vereine und Gefälligkeitsinstallateure

SzenarioHaftungRechtliche Bewertung
Ich baue eine smarte Steckdose für meinen VaterVollhaftungInverkehrbringen. Sie sind Hersteller. Bei Brand haften Sie privat 
Der Kleingartenverein lässt mich die Bewässerung bauenVerein & Sie haftenDer Verein ist wirtschaftlicher Akteur, Sie sind Hersteller. Beide in der Haftungskette 
Ich stelle die Baupläne kostenlos ins NetzGeringes RisikoKein Produkt, sondern Dienstleistung/Information. Aber: Instruktionshaftung bei fehlerhafter Anleitung möglich 
Ich kaufe China-Modul und löte es nur zusammenVollhaftungSie werden durch das Zusammenfügen und Anbringen Ihres Logos/Dokumentation zum Hersteller 
Ich repariere das Gerät beim KumpelKeine HerstellerhaftungReparatur macht nicht zum Hersteller. Aber: Wenn Sie Sicherheitskomponenten verändern, haften Sie aus Werkvertrag 

Besondere Aufmerksamkeit verdient der letzte Punkt: Die GPSR definiert erstmals, wann eine Produktveränderung als „wesentlich“ gilt und damit neue Herstellerpflichten auslöst – nämlich wenn sich unter anderem die Art der Gefahr geändert hat .

5. Der sichere Weg von der Bastellei zum industrie- und CRA-tauglichen Produkt

Wer nicht nur für sich selbst basteln, sondern Geräte an Dritte weitergeben oder sogar vertreiben möchte, muss einen grundlegenden Perspektivwechsel vollziehen: Weg vom kreativen Trial-and-Error, hin zur systematischen Risikominimierung und Dokumentation.

Phase 1: Die 36-Monate-Strategie (ab sofort bis 11. Dezember 2027)

1. Trennen Sie privat und gewerblich:
Jedes Gerät, das Ihr Haus verlässt, muss dokumentiert sein. Führen Sie ein „Inverkehrbringungs-Buch“ mit Datum, Empfänger, Geräte-ID und verwendeter Firmware-Version .

2. Risikoanalyse vor dem ersten Einschalten:
Nach Art. 9 GPSR müssen Hersteller eine interne Risikoanalyse durchführen . Stellen Sie sich fünf Fragen:

  • Kann Feuer entstehen?
  • Kann das Gerät Strom schlagen?
  • Was passiert bei Firmware-Crash?
  • Ist das Gehäuse brandhemmend?
  • Was passiert bei Manipulation durch den Nutzer?

3. Instruktion ist Pflicht:
Eine reine Bauanleitung reicht nicht. Sie brauchen eine Gebrauchsanleitung mit Sicherheitshinweisen in leicht verständlicher Sprache – für den deutschen Markt: in deutscher Sprache . Fehlt diese, ist das Produkt fehlerhaft.

4. Kennzeichnung:
Ihre Adresse und eine E-Mail-Adresse müssen auf dem Gerät oder der Verpackung stehen. Die Angabe der E-Mail-Adresse ist eine neue Pflicht der GPSR .

Phase 2: Der Sprung zur Konformität (ab 2027/2028)

Der Cyber Resilience Act ist kein Papiertiger. Für ernsthafte Vertriebsvorhaben müssen Sie ab 2027 folgende Anforderungen erfüllen :

1. Secure Development Process:
Sie müssen dokumentieren, dass Sie Sicherheit von Beginn an in der Entwicklung berücksichtigen:

  • Bedrohungsanalyse (Threat Modeling) für Ihr Gerät
  • Verwaltung von Schwachstellen
  • Plan für Sicherheitsupdates – ein IoT-Gerät ohne Update-Fähigkeit ist ab 2027 nicht mehr verkehrsfähig

2. Konformitätsbewertung:
Je nach Risikoklasse Ihres Geräts benötigen Sie :

  • Bei „Standard-IoT“: Interne Bewertung (Selbsterklärung)
  • Bei kritischen Komponenten (Firewall, Router, Smart Locks): Prüfung durch benannte Stelle (Notified Body) – das kostet Geld und Zeit

3. Technische Dokumentation:
Sie müssen eine EU-Konformitätserklärung ausstellen können, die belegt, dass Ihr Gerät den Anforderungen aller relevanten Rechtsakte entspricht .

6. Rechtliche Handlungsanweisungen: Absicherung für Kleinunternehmer

6.1 Vertragliche Absicherung (nur bedingt wirksam)

  • Freizeichnung: Im privaten Bereich unwirksam. Sie können die Haftung für Personenschäden nicht ausschließen .
  • „Vereinbarung zur Risikoübernahme“: Wenn der Kumpel schriftlich bestätigt, dass er das Gerät „auf eigenes Risiko“ nutzt, schützt das vor Ansprüchen aus Produkthaftung nicht. Es kann aber im Innenverhältnis die Regressquote mindern.

6.2 Praktische Absicherung

  • CE-Kennzeichen nicht fälschen: Ein selbst geklebtes CE ohne Prüfung ist eine Straftat (Verwenden unzulässiger Kennzeichen, Betrug) .
  • Versicherung: Prüfen Sie, ob Ihre Privathaftpflicht die Produkthaftung für selbstgebaute und weiterverschenkte Elektronik abdeckt – meist nicht. Eine Betriebshaftpflicht (ab ca. 60 €/Jahr für Kleinunternehmer) kann diese Lücke schließen.

6.3 Organisatorische Absicherung

  • Dokumentation: Bewahren Sie Fotos, Schaltpläne, verwendete Bauteillisten und Prüfprotokolle auf. Im Schadensfall müssen Sie beweisen können, dass Sie den Stand der Technik eingehalten haben .
  • Rückruffähigkeit: Wenn Sie 20 Geräte im Verein verbaut haben, müssen Sie im Fehlerfall alle Adressen benennen können. Führen Sie eine Liste .

7. Zusammenfassung: Was Sie jetzt tun müssen

Die neue Rechtslage macht deutlich: Der „Hobbykeller“ als rechtsfreier Raum existiert nicht mehr. Die neuen EU-Regularien (GPSR, ProdHaftRL, CRA) zielen explizit darauf ab, auch kleine Stückzahlen und nicht-gewerbliche Akteure zu erfassen, sobald ein Produkt den Bereich der eigenen, beherrschbaren Sphäre verlässt.

Die Kernbotschaft für Bastler, Vereine und Gefälligkeitsinstallateure:

  1. Basteln Sie für sich selbst – das ist rechtlich sicher.
  2. Sobald Sie etwas bauen und aus der Hand geben (auch geschenkt), sind Sie Hersteller mit allen Pflichten und Risiken.
  3. Dokumentieren Sie alles – Risikoanalyse, technische Unterlagen, Kennzeichnung.
  4. Prüfen Sie Ihren Versicherungsschutz – die Privathaftpflicht reicht meist nicht.
  5. Bereiten Sie sich auf 2027 vor – ab dann gelten die CRA-Anforderungen auch für kleine Stückzahlen.

Der Schritt zum „industrietauglichen“ Produkt erfordert keine Millioneninvestition, aber einen methodischen Bruch: Weg vom kreativen Trial-and-Error, hin zur systematischen Risikominimierung und Dokumentation. Wer dies beherzigt, kann auch weiterhin seiner Leidenschaft nachgehen – nur eben mit dem nötigen rechtlichen Schutz.

Quellenverzeichnis

  1. Grau Rechtsanwälte: „Neue EU-Produkthaftungsregelungen – Was müssen Unternehmer wissen?“ (2025) 
  2. ECOVIS legal: „Neue EU-Verordnung über die allgemeine Produktsicherheit“ (2025) 
  3. Taylor Wessing: „Software als Produkt – Was bedeutet die neue EU Produkthaftungsrichtlinie für Automobilhersteller?“ (2025) 
  4. IHK Berlin / Berliner Wirtschaft: „Ihre Frage, unsere Antwort: Was muss beim Online-Verkauf bezüglich der neuen Produktsicherheitsverordnung beachtet werden?“ (März 2025) 
  5. IP in Italia: „Product Liability Directive 2024/2853 provides Protection against Digital-Era Defects“ (2025) 
  6. CBBL Cross Border Business Law AG: „Aufgepasst: Die neue EU-Produktsicherheitsverordnung“ (2025) 
  7. Visiativ: „Produkthaftungsrichtlinie 2024/2853: Herausforderungen & Chancen“ (2025) 
  8. SKW Schwarz / Lexology: „Vierfach reguliert: Was Hersteller vernetzter Produkte jetzt wissen müssen“ (2025) 
  9. Dr. Datenschutz: „Was bringt die neue Produkthaftungsrichtlinie?“ (2024) 
  10. IHK Erfurt: „Leitfaden zur Produktsicherheitsverordnung“ 

Hinweis: Dieser Beitrag dient der allgemeinen Information und stellt keine Rechtsberatung dar. Aufgrund der dynamischen Rechtsentwicklung (insb. Umsetzung der Produkthaftungsrichtlinie bis Dezember 2026 und CRA ab Dezember 2027) sollten konkrete Vertriebsvorhaben frühzeitig von einem Rechtsanwalt geprüft werden .

Ähnliche Beiträge

Kommentar abschicken

Das hast du vielleicht verpasst