Der Arbeitsplatz in Frankreich

Alles über die Regeln zum Arbeitsort in Frankreich

Der Arbeitsplatz ist ein wesentlicher Bestandteil des Arbeitsverhältnisses. Die Lebensqualität des Arbeitnehmers hängt ja teilweise von der geografischen Lage seines Arbeitsplatzes ab. Der Arbeitgeber seinerseits ist darauf angewiesen, dass sein Arbeitnehmer je nach den anstehenden Aufgaben verfügbar ist. Da Homeoffice in zahlreichen Berufen weit verbreitet ist, ist das Thema „Arbeitsplatz“ in Frankreich aktueller denn je.

Der Arbeitsplatz kann auch zu Konflikten führen, wenn der Arbeitgeber oder der Arbeitnehmer den Ort der Vertragserfüllung ändern möchten oder wenn ein Arbeitnehmer weiter weg von seinem Arbeitsplatz umziehen möchte.

Nachstehend finden Sie die Antworten auf die wichtigsten Fragen, die sich stellen könnten.

Was ist der Arbeitsplatz?

Laut dem INSEE (Institut National de la Statistique et des Etudes Economiques, Nationales Institut für Statistik und wirtschaftliche Studien) ist der Arbeitsplatz „das geografische Gebiet, in dem eine Person ihre Berufstätigkeit ausübt“.  Der Arbeitsplatz kann auch als Räumlichkeit oder Gebäude definiert werden, in der der Arbeit üblicherweise nachgegangen wird. Das frz. Arbeitsgesetzbuch definiert Arbeitsstätten als „Orte, die dazu bestimmt sind, Arbeitsplätze aufzunehmen, die sich in den Gebäuden der Einrichtung befinden oder nicht, sowie jeder andere Ort innerhalb des Bereichs der Einrichtung, zu dem der Arbeitnehmer im Rahmen seiner Arbeit Zugang hat“.

Die meiste Zeit befindet sich der Arbeitsplatz am Sitz des Arbeitgebers. Für Außendienstmitarbeiter ist dies jedoch nicht der Fall. Der tatsächliche Arbeitsplatz ist derjenige, an dem der Beschäftigte seinen Aufgaben nachgeht. Wenn den Aufgaben an mehreren Orten nachgegangen wird, hat der Arbeitnehmer mehrere Arbeitsplätze oder wechselt den Arbeitsplatz und kann dazu verpflichtet sein, sich regelmäßig an den Sitz seines Arbeitgebers zu begeben. Der Arbeitsplatz ist ein Begriff des frz. Arbeitsrechts und nicht dasselbe wie das Arbeitsgebiet, das meist einen bestimmten Bereich in Bezug auf einen größeren Gebäudekomplex bezeichnet.

Der Begriff „Arbeitsplatz“ kann Gemeinschaftsräume von Gemeinschaftsgebäuden, Büros in einem „Co-Working“-Bereich, Gewerbegebiete und Businessparks usw. umfassen. Für einige Berufe, wie zum Beispiel Taxifahrer, Kaufleute oder Lastwagenfahrer wird der Arbeitsplatz aufgrund der ständigen Fahrten oft am Wohnsitz errichtet.  Wenn ein Arbeitnehmer in diesem Fall bei mehreren Kunden arbeiten muss, wird der Einsatzort oft auf einem Arbeitsauftrag angegeben – der Arbeitsplatz bleibt im Prinzip der Wohnsitz.

Der Arbeitsplatz ist für die Gesundheit und Sicherheit der Beschäftigten von wesentlicher Bedeutung, da die Arbeit in einer gesunden Umgebung ermöglichen soll. Der Arbeitgeber muss zum Beispiel prüfen, ob die Gebäude in gutem Zustand sind, er muss sicherstellen, dass alle Geräte ordnungsgemäß funktionieren, und er muss gefährliche Situationen wie herabfallendes Material vermeiden. Der Arbeitgeber ist folglich Garant für die Gesundheit und Sicherheit seiner Beschäftigten am Arbeitsplatz, auch wenn diese aus der Ferne arbeiten.

Der Arbeitsplatz und der tatsächliche Arbeitsplatz sind nicht immer ein- und derselbe: Wenn im Arbeitsvertrag z. B. vorgesehen ist, dass der Arbeitsplatz am Sitz der Gesellschaft ist, der Arbeitnehmer in Wirklichkeit aber viel Homeoffice macht. Folglich ist der tatsächliche Arbeitsplatz in diesem Fall der Wohnsitz. Der tatsächliche Arbeitsplatz ist letztlich der Ort, an dem der Arbeitnehmer seiner Tätigkeit wirklich nachgeht und nicht nur der Ort, an den seine Tätigkeit gebunden ist

Ausstattung des Arbeitsplatzes: Rechte und Pflichten in Frankreich

Die Ausstattung des Arbeitsplatzes ist ein zentraler Punkt im Arbeitsverhältnis. In Frankreich regelt das Arbeitsrecht, dass der Arbeitgeber verpflichtet ist, seinen Arbeitnehmern die notwendigen Mittel und Bedingungen bereitzustellen, um ihre Arbeit sicher und effizient auszuführen. Diese Abschnitt beschreibt die wichtigsten Aspekte.

Pflichten des Arbeitgebers

Der französische Arbeitgeber hat die gesetzliche Verpflichtung, den Arbeitsplatz so auszustatten, dass er den Bedürfnissen des Arbeitnehmers entspricht und die gesetzlichen Normen erfüllt. Dazu gehören:

  • Bereitstellung der notwendigen Materialien, wie Computer, Schreibtisch, Werkzeuge oder Maschinen, die für die Erfüllung der Aufgaben erforderlich sind. Sicherstellung, dass die Geräte den geltenden Sicherheitsstandards entsprechen (z. B. CE-Kennzeichnung).
  • Der Arbeitsplatz muss ergonomisch gestaltet sein, insbesondere in Büros. Stühle, Tische und Bildschirme sollten so eingerichtet werden, dass sie gesundheitlichen Problemen vorbeugen (z. B. Rückenbeschwerden).
  • Zugang zu funktionierenden Netzwerken, Software und Kommunikationsmitteln, insbesondere bei digitalen Arbeitsplätzen.
  • Bereitstellung von persönlicher Schutzausrüstung (PSA), wie Helme, Handschuhe oder Sicherheitsbrillen, wenn die Arbeit dies erfordert.

Zur Garantie der Gesundheit und Sicherheit seiner Arbeitnehmer am Arbeitsplatz obliegen dem Arbeitgeber mehrere Verpflichtungen. Er muss dafür sorgen, dass die im folgenden aufgelisteten Umstände eingehalten und Ausstattungen bereit gestellt werden.

  • frische Luft, also regelmäßig erneuert, um eine saubere Atmosphäre zu erhalten und zu hohe Temperaturen sowie schlechte Gerüche zu vermeiden;
  • ein guter Betriebszustand der Einrichtungen;
  • geeignete Beleuchtung, um die Ermüdung der Augen zu vermeiden und es den Arbeitnehmern zu ermöglichen, „Risiken zu erkennen, die mit den Augen wahrnehmbar sind“ (Artikel R. 4223-2 des frz. Arbeitsgesetzbuches);
  • möglichst viel natürliches Licht in den Räumlichkeiten;
  • beheizte Räumlichkeiten im Winter;
  • Erste-Hilfe-Material Ausstattung;
  • Bereitstellung von trinkbarem und frischem Wasser für die Beschäftigten, damit sie ausreichend Flüssigkeit zu sich nehmen können;
  • Bereitstellung von einen angemessenen Stuhl in jedem Büro;
  • Bereitstellung von Umkleiden, Waschbecken, für Männer und Frauen getrennte Toiletten und ggf. Duschen für die Arbeitnehmer (Artikel R. 4228-1 des frz. Arbeitsgesetzbuches);
  • mindestens eine Toilette und ein Urinal für 20 Männer und zwei Toiletten für 20 Frauen.

Rechte des Arbeitnehmers

Arbeitnehmer haben in Frankreich das Recht auf einen Arbeitsplatz, der ihren beruflichen Aufgaben entspricht und die Sicherheit sowie Gesundheit gewährleistet.

Arbeitnehmer können sich an den Arbeitgeber wenden, wenn die bereitgestellte Ausstattung unzureichend ist oder Sicherheitsrisiken birgt. Falls der Arbeitgeber nicht reagiert, kann die Arbeitsinspektion (Inspection du Travail) eingeschaltet werden.

Sollte die unzureichende Ausstattung zu gesundheitlichen Schäden oder Leistungseinbußen führen, können Arbeitnehmer Schadensersatzansprüche geltend machen.

Ist der Arbeitsplatz eine Pflichtangabe des Arbeitsvertrages?

Die Angabe des Arbeitsplatzes ist keine Pflichtangabe des Arbeitsvertrages. Sie dient lediglich der Information, außer im französischen Arbeitsvertrag wird durch eine klare und präzise Klausel festgelegt, dass der Arbeitnehmer seine Arbeit ausschließlich an einem bestimmten Ort ausüben kann. Eine solche Klausel kann, solange sie explizit ist, den Arbeitsplatz folglich vertraglich festhalten.

Sobald der Arbeitsplatz vertraglich festgelegt ist, erschwert dies den Antrag eines Arbeitsplatzwechsels für den Arbeitgeber und den Arbeitnehmer. Es kommt auch vor, dass ein Tarifvertrag Pflichtangaben vorsieht, wie z. B. den Arbeitsplatz. Folglich ist es wichtig, dies immer zu überprüfen. Die meiste Zeit ist der Arbeitsplatz jedoch im Arbeitsvertrag angegeben.

Muss der Arbeitgeber die Transportkosten des Arbeitnehmers, der sich von seinem Wohnsitz zum Arbeitsplatz begibt, tragen?

Nutzt der Arbeitnehmer öffentliche Transportmittel oder einen öffentlichen Fahrradverleih (z. B. „Vélib“ in Paris), um sich von seinem gewöhnlichen Aufenthaltsort an seinen Arbeitsplatz zu begeben, muss der Arbeitgeber einen Teil der vom Arbeitnehmer gezahlten Kosten übernehmen

Wenn der Arbeitnehmer seine Tätigkeit an mehreren Arbeitsorten für ein und dieselbe Gesellschaft ausführt und diese nicht für den Transport zwischen diesen verschiedenen Orten sowie zwischen diesen verschiedenen Orten und dem gewöhnlichen Wohnsitz des Arbeitnehmers sorgt, kann der Arbeitnehmer die Übernahme der Transportkosten für seine gesamten Fahrten verlangen.

Die Übernahme durch den Arbeitgeber entspricht 50 % des Abopreises. Er muss dem Arbeitnehmer die Kosten schnell erstatten, spätestens am Ende des auf den Kartenkauf folgenden Monats. Handelt es sich um eine Jahreskarte, erfolgt die Erstattung jeden Monat. Der Arbeitnehmer muss seinem Arbeitgeber Nachweise vorlegen, um die Erstattung zu verlangen.

Was geschieht, wenn der Arbeitsplatz zu weit vom Wohnort entfernt ist?

Spontan denkt man an Arbeitnehmer, deren Arbeitsort Paris ist und die in einem entgegengesetzten Vorort von Paris leben. Zuerst ist es wichtig, in Erinnerung zu rufen, dass im Prinzip niemand nur aufgrund seines Wohnortes sanktioniert, gekündigt oder Gegenstand einer direkten oder indirekten diskriminierenden Maßnahme sein kann.

In der Tat ist die Wahl des Wohnorts ein Bestandteil des Privatlebens des Arbeitnehmers, der durch Artikel 8 der Europäischen Menschenrechtskonvention geschützt wird. Die Aufforderung eines Arbeitgebers an seinen Beschäftigten, sich dem Arbeitsort zu nähern, kann folglich eine Beeinträchtigung der Grundfreiheit des Arbeitnehmers darstellen. Artikel L. 1121-1 des frz. Arbeitsgesetzbuches besagt jedoch, dass es möglich ist, die Grundfreiheit eines Arbeitnehmers zu beeinträchtigen, wenn dies begründet und mit Blick auf die besetzte Stelle und die dem Arbeitnehmer anvertrauten Aufgaben verhältnismäßig ist.

Das Berufungsgericht von Versailles hat sich kürzlich zu dieser Frage geäußert. In einem Beschluss vom 10.03.2022 bestätigte das Berufungsgericht beispielsweise die fristlose Kündigung eines Arbeitnehmers, der sich geweigert hatte, näher an seinen Dienstort zu ziehen. Er war 2018 400 km von seinem Dienstort entfernt umgezogen. Prinzipiell konnte der Wohnort die Kündigung nicht begründen, da der Arbeitnehmer frei sein sollte, dort zu leben, wo er möchte. Dennoch hat sich das Berufungsgericht auf die dem Arbeitgeber obliegende Verpflichtung zur Sicherheit berufen, indem es angegeben hat, dass die Entfernung eine Quelle der Müdigkeit für den Arbeitnehmer sei. Darüber hinaus sollte der Arbeitgeber gemäß der unterzeichneten Vereinbarung zur Tagespauschale über die täglichen Ruhezeiten seines Beschäftigten sowie über das Gleichgewicht zwischen Privat- und Familienleben wachen. Das Berufungsgericht hat sich ebenfalls auf die dem Arbeitnehmer obliegende Verpflichtung zur Sicherheit gegenüber ihm selbst gemäß Artikel L. 4122-1 des frz. Arbeitsgesetzbuches berufen. Der Arbeitnehmer hätte sich bei der Ausführung seiner Arbeit aufgrund der Müdigkeit durch die langen Fahrten gefährden können.

So wurde die Beeinträchtigung des Privatlebens des Arbeitnehmers als gerechtfertigt und in Bezug auf die Verpflichtung zur Gesundheit und Sicherheit des Arbeitnehmers als verhältnismäßig eingestuft.

Welche Vorschriften gelten, wenn der Arbeitnehmer mehrere Arbeitsplätze hat?

Die Mehrheit der Arbeitnehmer übt Ihre Tätigkeit an einem Arbeitsort aus, ob in den Räumlichkeiten des Unternehmens, am Wohnort oder anderswo. Einige Arbeitnehmer üben Ihre Tätigkeit jedoch an mehreren Orten aus: es kann sich z. B. um mehrere Niederlassungen desselben Unternehmens handeln. In diesem Fall müssen die folgenden Vorschriften beachtet werden:

  • Auch bei mehreren Arbeitsorten wird nur ein Arbeitsvertrag verfasst. Die Anschrift des Sitzes des Arbeitgebers wird angegeben.
  • Der Arbeitsvertrag weist darauf hin, dass der Arbeitnehmer mehreren Arbeitsorten zugeordnet ist. Handelt es sich um eine bestimmte Liste, werden die verschiedenen Adressen angegeben. Wenn die verschiedenen Arbeitsorte im Voraus nicht festgelegt sind, ist es ausreichend, den Ort, an dem die Tätigkeit hauptsächlich ausgeübt wird, anzugeben, und das betroffene geografische Gebiet oder die Einrichtungstypen, in denen der Arbeitnehmer eventuell regelmäßig arbeiten könnte, anzugeben.
  • Der anwendbare Tarifvertrag sieht eventuell besondere Regeln vor, die zu berücksichtigen sind.
  • Auch bei mehreren Arbeitsorten unterliegt der Arbeitgeber Verpflichtungen in Bezug auf die Erstattung von Transportkosten.

Kann der Arbeitgeber den Arbeitsplatz ohne Einwilligung des Arbeitnehmers ändern? Die Versetzung

Wenn der Arbeitsort nicht vertraglich festgehalten ist

Wird der Arbeitsort im Vertrag zur Information erwähnt, ist aber nicht vertraglich festgelegt, kann der Arbeitgeber den Arbeitnehmer ohne dessen Einwilligung versetzen, solange sich der neue Arbeitsort in demselben geografischen Sektor befindet. Der Arbeitsortwechsel ist juristisch gesehen eine simple Änderung der Vertragsbedingungen. In diesem Fall ist keine Vertragsänderung erforderlich.

Lehnt der Arbeitnehmer die Versetzung ohne Begründung ab, kann dies eine Sanktionsmaßnahme nach sich ziehen, die bis zu einer Kündigung wegen Verweigerung des Arbeitsortwechsels führen kann. Um seine Anlehnung zu begründen, müsste der Arbeitnehmer z. B. eine erhebliche Störung der Bedingungen seines Familienlebens geltend machen.

Über diesen geografischen Sektor hinaus kann der Arbeitnehmer die Versetzung verweigern, da es sich um eine Veränderung eines Vertragsbestandteils handeln würde. Der Arbeitgeber kann dem Arbeitnehmer aus diesem Grund nicht kündigen.

 Bei einer Änderung des Arbeitsortes außerhalb des geografischen Sektors ist die Einwilligung des Arbeitnehmers in einigen Fällen nicht notwendig. Die Rechtsprechung zur Änderung des Arbeitsortes ist in dieser Hinsicht recht umfangreich:

  • Anwendung einer Klausel zur geografischen Mobilität;
  • Unterzeichnung einer kollektiven Leistungsvereinbarung im Unternehmen;
  • temporäre Versetzung im Interesse des Unternehmens, die durch außergewöhnliche Umstände gerechtfertigt ist.

Der geografische Sektor wird von der Rechtsprechung bestimmt. Es ist klar, dass eine Nachbarstadt zu demselben geografischen Sektor gehört. In weniger offensichtlichen Situationen müssen die verschiedenen Anzeichen analysiert werden, wie die Transportmittel, die Verkehrsbedingungen, die Kilometeranzahl, das Beschäftigungsgebiet usw. Die Rechtsprechung kann davon ausgehen, dass der geografische Sektor sich auf eine gesamte Region ausweitet. Es handelt sich um eine Analyse von Fall zu Fall.

So wurde z. B. entschieden, dass selbst, wenn Pau und Tarbes 40 km voneinander entfernt sind und sich in zwei verschiedenen Departements befinden, beide Städte in demselben geografischen Sektor liegen, da sie durch eine Autobahn verbunden werden. In der Region von Paris hingegen sind die Fahrten schwierig und lang: So wurde entschieden, dass eine Verlegung des Arbeitsortes von Blanc-Mesnil (93) nach Gargenville (78) nicht als derselbe geografische Sektor analysiert wird. Und auch eine Versetzung von Chartres nach Plaine-Saint-Denis geht über die Grenzen eines geografischen Sektors hinaus.

Wenn der Arbeitsplatz vertraglich festgelegt wird

Wenn der Arbeitsvertrag den Arbeitsplatz in einer klaren und präzisen Klausel festlegt ist, kann der Wechsel des Arbeitsortes vom Arbeitgeber nicht auferlegt werden. In der Tat erfordert eine Änderung des Arbeitsvertrages die Einwilligung des Arbeitnehmers.

Der Versetzung geht folglich voraus:

  • ein Vorschlag der beruflichen Versetzung durch den Arbeitgeber und
  • ein Nachtrag zum Arbeitsvertrag.

Gibt es eine Benachrichtigungsfrist bei einer Versetzung?

Es gibt keine gesetzliche Benachrichtigungsfrist zwischen dem Zeitpunkt, zu dem der Arbeitgeber die Versetzung ankündigt und dem Moment, in dem sich der Arbeitnehmer an seinen neuen Arbeitsplatz begibt. Bei einer Mobilitätsklausel kommt es vor, dass diese Klausel eine Frist vorsieht. Auch Tarifverträge können Fristen vorsehen.

In jedem Fall muss der Arbeitgeber dem Arbeitnehmer vor der tatsächlichen Versetzung eine angemessene Frist einräumen. Der Arbeitnehmer muss sich der neuen Situation anpassen können. Je weiter die Versetzung weg ist, desto länger muss die Frist sein, insbesondere, wenn der Arbeitnehmer gezwungen ist, umzuziehen. Nachstehend einige Beispiele für die Benachrichtigungsfrist für den Wechsel des Arbeitsortes, die in der Rechtsprechung festgelegt wurde:

  • Es wurde z. B. entschieden, dass eine Frist von zwei Monaten für eine Versetzung in eine Entfernung von 40 km angemessen ist, ebenso wie eine Frist von 18 Tagen, die dem Arbeitnehmer gewährt wurde, um sich an seinen neuen Arbeitsplatz in einer Entfernung von 164 km zu begeben, wenn man bedenkt, dass der Arbeitgeber zahlreiche Reise- und Umzugskosten übernommen hatte;
  • im Gegensatz dazu wurde eine Frist von einer Woche, um sich an einen neuen Arbeitsplatz in einer Entfernung von über 500 km zu begeben, oder eine Frist von 20 Tagen, um von Toulouse nach Paris zu ziehen, als nicht angemessen eingestuft.

Kann der Arbeitgeber den Arbeitsplatz ohne die Einwilligung des geschützten Arbeitnehmers ändern?

Der Fall der geschützten Arbeitnehmer ist besonders: jeder Vorschlag der geografischen Versetzung stellt eine Änderung des Arbeitsvertrages dar, auch wenn diese in demselben geografischen Sektor liegt. Diese erfordert folglich die Einwilligung des Mitarbeiters.

Der Arbeitgeber kann eine Änderung des Arbeitsplatzes nicht auferlegen, unabhängig von der Lokalisation. Nimmt der Arbeitnehmer diese an, muss sein Vertrag Gegenstand eines Nachtrags sein, da es sich um eine Änderung des Arbeitsvertrages handelt.  Lehnt er die Versetzung ab, laufen das Arbeitsverhältnis und das Vertretungsamt weiter, außer es handelt sich um ein Amt innerhalb einer Niederlassung und nicht im gesamten Betrieb. Die Ausnahme der Klausel zur geografischen Mobilität, die keine Einwilligung des Arbeitnehmers erfordert, gilt nicht für geschützte Arbeitnehmer. Bei Letzteren ist die Einwilligung des Arbeitnehmers immer erforderlich.

Was ist eine Klausel zur geografischen Mobilität? 

Die Klausel zur geografischen Mobilität kann in einen Arbeitsvertrag integriert oder von einem Tarifvertrag vorgesehen werden. Diese Klausel sieht vor, dass der Arbeitnehmer im Voraus die Änderung seines Arbeitsplatzes annimmt. Der Arbeitnehmer muss also auf Verlangen des Arbeitgebers versetzt werden. Auch wenn eine Mobilitätsklausel geschlossen wurde, kann der Arbeitgeber diese nur anwenden, wenn ein objektiver Bedarf für das Unternehmen besteht, z. B., wenn die Aktivitäten in einer anderen Niederlassung zunehmen.

Die Mobilitätsklausel muss präzise sein und das betroffene geografische Gebiet bestimmen. Es ist z. B. möglich, vorzusehen, dass das Gebiet einem Departement oder einer Region entspricht. Das Gebiet kann je nach den Aufgaben des Arbeitnehmers mehr oder weniger ausgedehnt sein.

Die Mobilitätsklausel kann ein ausgedehnteres geografisches Gebiet vorsehen als ein geografischer Sektor. Der Arbeitgeber ist nicht berechtigt, den Umfang des geographischen Gebietes nach der Unterzeichnung des Vertrages, ohne die Einwilligung des Arbeitnehmers zu ändern.

Der Arbeitnehmer kann die Anwendung der Klausel nicht verweigern, wenn diese unterzeichnet wurde, außer in den folgenden Fällen:

  • die beantragte Versetzung befindet sich außerhalb des im Vertrag vorgesehenen geografischen Gebietes;
  • die Versetzung geht mit einer Änderung eines wesentlichen Bestandteils des Arbeitsvertrages einher (z. B. bei einer Lohnminderung);
  • der Arbeitnehmer wird zu kurz vorher informiert (je nach Umständen unterschiedlich);
  • die beantragte Versetzung beeinträchtigt das Privat- und Familienleben des Beschäftigten (z. B., wenn die Versetzung Änderungen der Arbeitszeiten, die mit dem Familienleben nicht vereinbar sind, mit sich bringt).

Der Antrag der geografischen Versetzung durch den Arbeitnehmer

Es kann vorkommen, dass der Arbeitnehmer eine Verlegung des Arbeitsortes zu einer anderen Niederlassung beantragt. Dieser Antrag kann mündlich oder schriftlich stattfinden, wobei schriftlich immer zu bevorzugen ist. Der Antrag muss beruflich oder persönlich begründet sein und den Ausübungsort der Stelle, an den der Arbeitnehmer versetzt werden möchte, präzisieren.

Der Arbeitnehmer kann diesen Antrag verweigern, muss die Verweigerung jedoch objektiv begründen können – und zwar ohne diskriminierende Gründe.

Kann der Arbeitgeber bei einem Umzug eine Änderung des Arbeitsplatzes auferlegen?

Wenn das Unternehmen in demselben geografischen Sektor umzieht, ist die Einwilligung des Arbeitnehmers nicht notwendig. Bei einer Ablehnung kann Letzterem gekündigt werden.

Zieht das Unternehmen jedoch in einen anderen geografischen Sektor, ist die Einwilligung des Arbeitnehmers erforderlich. Der Beschäftigte kann nicht gezwungen werden, seinem Arbeitgeber zu folgen. Wenn die Verlegung des Arbeitsplatzes durch wirtschaftliche Schwierigkeiten begründet wird, schlägt der Arbeitgeber per Einschreiben mit Rückschein eine Änderung des Arbeitsplatzes vor. Der Arbeitnehmer verfügt über einen Monat, um seine Anlehnung mitzuteilen. Nach Ablauf dieser Frist gilt der Vorschlag als angenommen. Bei einer Ablehnung kann dem Arbeitnehmer aus betriebsbedingtem Grund gekündigt werden.

Enthält der Vertrag eine Mobilitätsklausel, muss der Arbeitnehmer seinem Arbeitgeber folgen, solange der Umzug in dem vorgesehenen geografischen Gebiet stattfindet. Ansonsten muss er seine Kündigung einreichen.

Kann der Arbeitsplatz nach einer Vertragsbeendigung eingeschränkt sein?

Der Arbeitsvertrag kann eine Wettbewerbsverbotsklausel enthalten, die infolge der Vertragsbeendigung Auswirkungen auf die Möglichkeiten des Arbeitnehmers, dort zu arbeiten, wo er möchte, hat. So kann der Arbeitsort selbst nach der Vertragsbeendigung eingeschränkt sein.

Die Wettbewerbsverbotsklausel schränkt die Freiheit des Arbeitnehmers ein, nach der Arbeitsvertragsbeendigung äquivalente Aufgaben bei einem Konkurrenten oder als Freiberufler auszuüben.

Die Wettbewerbsverbotsklausel muss mehrere Bedingungen erfüllen und insbesondere räumlich begrenzt sein. Sie muss ein geografisches Gebiet vorsehen. Dies bedeutet z. B.: wenn eine Wettbewerbsverbotsklausel dem Arbeitnehmer untersagt, in der Region Ile-de-France zu arbeiten, der zukünftige Arbeitsort des betroffenen Arbeitnehmers eingeschränkt ist, da er sich nicht in diesem geografischen Gebiet befinden darf.

Was ist Telearbeit und welche Vorschriften gelten? 

Telearbeit ist eine Berufstätigkeit, die von der Ferne aus mithilfe von Kommunikationsmitteln ausgeübt wird. Diese kann von zu Hause aus ausgeübt werden (Heimarbeit, neudeutsch auch Homeoffice genannt) oder aber z. B. in Coworking-Räumlichkeiten oder auf mobile Art. Dadurch handelt es sich um keinen „klassischen“ Arbeitsort. Er wird in Artikel L. 1222-9 des frz. Arbeitsgesetzbuches als „jede Form der Arbeitsorganisation, bei der eine Arbeit, die auch in den Räumlichkeiten des Arbeitgebers hätte ausgeführt werden können, freiwillig außerhalb dieser Räumlichkeiten ausgeführt wird, indem Informations- und Kommunikationstechnologien genutzt werden“.

Telearbeiter haben dieselben Rechte wie Beschäftigte, die in den Räumlichkeiten des Unternehmens arbeiten. Zur Einführung von Telearbeit hat der Arbeitgeber drei Optionen: die Verabschiedung einer Betriebsvereinbarung, einer vom Arbeitgeber ausgearbeiteten Betriebsordnung oder einer einfachen zwischen dem Arbeitgeber und dem Arbeitnehmer individuell durch jedwedes Mittel abgeschlossenen Vereinbarung.

Im Prinzip muss immer die Einwilligung des Arbeitnehmers eingeholt werden, wenn möglich schriftlich, außer unter außergewöhnlichen Umständen (wie es bei der Coronapandemie der Fall war).

Der Arbeitgeber unterliegt bei der Einführung von Telearbeit mehreren Pflichten:

  • Der Telearbeiter hat Vorrang bei der Besetzung oder der Wiederaufnahme einer Stelle ohne Telearbeit in den Räumlichkeiten der Gesellschaft, die seinen Qualifikationen und beruflichen Kompetenzen entspricht, und die Verfügbarkeit von Stellen jedweder Art muss diesem zur Kenntnis gebracht werden;
  • Der Telearbeiter muss über jedwede Einschränkung der Nutzung der Ausstattung oder der IT-Werkzeuge oder der elektronischen Kommunikationsdienste und die Sanktionen bei Nichteinhaltung informiert werden;
  • Ein Jahresgespräch über die Tätigkeitsbedingungen des Telearbeiters und seine Arbeitslast muss organisiert werden;
  • Dem Telearbeiter muss angemessenes Material bereitgestellt werden (insbesondere IT);
  • Die beruflichen Kosten, die der Telearbeiter für die Ausübung seiner Aufgaben im Interesse der Gesellschaft (insbesondere für Telefon- und Internetabo, Strom- und Heizkosten für das Homeoffice-Büro, für die Ausstattung und Einrichtung des Homeoffice-Büros usw.) ausgibt, müssen erstattet werden;
  • Dem Telearbeiter muss eine monatliche Nutzungsentschädigung gezahlt werden, die der Beeinträchtigung der Zuweisung eines Teils seines privaten Wohnsitzes zu Berufszwecken entspricht. Diese Entschädigung ist jedoch nicht geschuldet, wenn dem Arbeitnehmer zu Berufszwecken eine Räumlichkeit bereitgestellt wurde oder wenn der Arbeitnehmer auf seine Anfrage hin im Homeoffice arbeitet, obwohl er in einem von der Gesellschaft angebotenen Büro hätte arbeiten können;
  • Bei einer Kontrolle des Wohnsitzes des Arbeitnehmers zur Überprüfung, ob er einen Arbeitsbereich unter Einhaltung der Hygiene- und Sicherheitsvorschriften sowie der Arbeitsbedingungen vorgesehen hat, muss der Arbeitnehmer einige Tage vorher benachrichtigt werden;
  • Die Verpflichtung zum Schutz der genutzten und bearbeiteten personenbezogenen Daten der Arbeitnehmer muss eingehalten werden.

Wichtig: jeder Unfall, der sich während der Arbeitszeit am Homeoffice-Arbeitsplatz ereignet, wird als Arbeitsunfall eingestuft.

Kann der Arbeitnehmer oder der Arbeitgeber Homeoffice auferlegen?

Antrag durch den Arbeitnehmer

Der Arbeitnehmer kann die Einführung von Homeoffice schriftlich oder mündlich beantragen. Der Arbeitgeber kann diesen Antrag ablehnen, auch wenn der Beschäftigte eine Stelle besetzt, die für diese Arbeitsform unter den in der Betriebsvereinbarung oder Betriebsordnung festgelegten Bedingungen in Frage kommt, vorausgesetzt, er begründet seine Ablehnung.

Antrag durch den Arbeitgeber

Im Prinzip kann der Arbeitgeber seinen Arbeitnehmer keine Telearbeit auferlegen, da der Rückgriff auf Homeoffice notwendigerweise freiwillig ist. Dem Beschäftigten, der eine Stelle in Telearbeit ablehnt, kann nicht aus diesem Grund gekündigt werden.

Aber im Fall von außergewöhnlichen Umständen, insbesondere bei einer Bedrohung durch eine Epidemie oder bei höherer Gewalt: „kann die Einführung von Telearbeit als eine notwendig gewordene Anpassung der Arbeitsstelle betrachtet werden, um die Fortführung der Unternehmenstätigkeit zu ermöglichen und den Schutz der Arbeitnehmer zu gewährleisten“. Dies war insbesondere während der Coronapandemie der Fall.

Auch der Arbeitgeber kann vom Mitarbeiter nicht verlangen, das Homeoffice zu beenden und an den Arbeitsplatz zurückzukehren, da die Rückkehrbedingungen zu einer Arbeit ohne Homeoffice im Prinzip in einer Betriebsvereinbarung, -ordnung oder dem Arbeitsvertrag vorgesehen werden (Artikel L. 1222-9 des frz. Arbeitsgesetzbuches). Wenn nichts vorgesehen ist, kann der Arbeitgeber die Homeoffice-Arbeit nicht ohne Zustimmung des Arbeitnehmers beenden, denn dies stellt eine Änderung des Arbeitsvertrages dar.

Bezüglich seit mehreren Jahren informell ausgeübten Homeoffices hat die Rechtsprechung vor Kurzem entschieden, dass die Einwilligung des Arbeitnehmers erforderlich ist.

Welches ist der ideale Arbeitsplatz?

Der ideale Arbeitsplatz ist ein Arbeitsplatz, der dem Arbeitnehmer ermöglicht, in der Erfüllung seiner Aufgaben aufzublühen und seine Gesundheit und sein Wohlbefinden zu bewahren. Die Definition des idealen Arbeitsortes unterscheidet sich natürlich je nach Arbeitgeber, da für einige der ideale Arbeitsplatz das eigene zu Hause ist, für andere ein Büro am Gesellschaftssitz und wieder für andere regelmäßige Fahrten wie beispielsweise für Vertriebsmitarbeiter. So bevorzugen einige die Arbeit in einem geschlossenen individuellen Büro während andere lieber in einem Open-Space arbeiten möchten, um ständigen Kontakt zu den Kollegen zu haben. Wenn Beschäftigte in den Räumlichkeiten des Unternehmens arbeiten, ist es ebenso wichtig, einen einladenden Essensbereich vorzusehen, um eine gute Arbeitsatmosphäre zu schaffen.

Was ist eine Arbeitsumgebung?

Eine Arbeitsumgebung ist die Gesamtheit von Eigenschaften, die die Ausführung der Arbeit im Allgemeinen umfassen, wie die Organisation, die Arbeitsbedingungen und der Arbeitsplatz. Die Arbeitsumgebung kann auch die Beziehung unter Kollegen und zum Arbeitgeber umfassen. Oft wird vom Arbeitsumfeld gesprochen, um von der Atmosphäre auf der Arbeit und der Work-Life-Balance zu sprechen.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: Onzon



law

Der Arbeitsplatz in Frankreich Der Arbeitsplatz ist ein wesentlicher Bestandteil des Arbeitsverhältnisses. Die Lebensqualität des Arbeitnehmers hängt ja teilweise von der geografischen Lage seines Arbeitsplatzes ab. Der Arbeitgeber seinerseits ist darauf angewiesen, dass sein Arbeitnehmer je nach den anstehenden Aufgaben verfügbar ist. Da Homeoffice in zahlreichen Berufen weit verbreitet ist, ist das Thema „Arbeitsplatz“ in Frankreich aktueller denn je. Der


[English]In der Fernwartungssoftware AnyDesk für Windows gibt es bis Version 8.1.0 eine Schwachstelle (CVE-2024-52940, Base-Score 7.5). Werden in den betroffenen Windows-Versionen von AnyDesk Windows Direktverbindungen zulassen aktiviert, legt die Software versehentlich eine öffentliche IP-Adresse im Netzwerkverkehr offen.

Der Angreifer muss die AnyDesk-ID des Opfers kennen, um das auszunutzen. Auf dieser GitHub-Seite legt Ebrahim Shafiei die Details offen. Es gibt ein Tool, Abdal AnyDesk Remote IP Detector genannt, als Proof-of-Concept (PoC), das diese Zero-Day-Schwachstelle ausnutzt. Entdeckt wurde die Schwachstelle am 27. Oktober 2024 in der AnyDesk-Funktion “Allow Direct Connections” entdeckt wurde.

Ist diese Option aktiviert und der Verbindungsport nur auf dem System des Angreifers auf 7070 eingestellt, kann ein Angreifer die öffentliche IP-Adresse eines Ziels nur mit Hilfe der AnyDesk-ID abrufen. Es müssen keinen Konfigurationsänderungen auf dem Zielsystem vorgenommen werden.

Befinden sich beide Systeme im selben Netzwerk, kann der Angreifer außerdem die private IP-Adresse des Zielsystems abrufen. Der Entdecker schreibt, dass diese Schwachstelle ein erhebliches Risiko für die Privatsphäre darstellt, insbesondere bei unzureichend geschützten Sicherheitskonfigurationen des Fernzugriffstools. Details sind der verlinkten Github-Seite zu entnehmen. Es gibt wohl noch keinen Patch für die Schwachstelle.

Dieser Beitrag wurde unter Sicherheit, Software, Windows abgelegt und mit AnyDesk, Sicherheit, Windows verschlagwortet. Setze ein Lesezeichen auf den Permalink.



law

[English]In der Fernwartungssoftware AnyDesk für Windows gibt es bis Version 8.1.0 eine Schwachstelle (CVE-2024-52940, Base-Score 7.5). Werden in den betroffenen Windows-Versionen von AnyDesk Windows Direktverbindungen zulassen aktiviert, legt die Software versehentlich eine öffentliche IP-Adresse im Netzwerkverkehr offen. Der Angreifer muss die AnyDesk-ID des Opfers kennen, um das auszunutzen. Auf dieser GitHub-Seite legt Ebrahim Shafiei die Details offen. Es gibt ein


Das französische Produkthaftungsrecht für deutsche Hersteller und Verkäufer

Alles über die Produkthaftung in Frankreich

Wenn Sie als Hersteller oder Importeur ein Produkt in Frankreich anbieten und wegen Produkthaftung in Anspruch genommen werden, sind die französischen Regeln zu beachten. Sie können nämlich wegen Schäden aufgrund von Fehlern bzw. Mängeln eines Produkts nicht nur vertraglich, sondern auch unabhängig vom Inhalt des Vertrages mit Ihrem französischen Vertragspartner haften –und zwar mit oder ohne Verschulden. Sie erhalten in unserem Beitrag einen Überblick über die Produkthaftung im Deliktsrecht und im Kaufrecht und wir erklären, wann und wie das französische Recht eine Rolle spielt.

1. Welches Gericht ist zuständig?

Oft werden Sie als Hersteller auf das Thema Produkthaftung in Frankreich erstmals aufmerksam, wenn Ihr französischer Käufer bzw. Endkunde oder auch ein sonstiger Geschädigter:

  • sich bei Ihnen in irgendeiner Weise über einen Defekt beschwert;
  • Sie im Rahmen eines Gerichtsverfahrens zwingt, an einem französischen Beweisverfahren zur Feststellung der Fehlerhaftigkeit Ihres Produkts teilzunehmen;
  • Sie wegen Produkthaftung bzw. Mängelgewährleistung vor einem Gericht in Frankreich verklagt.

Sie fragen sich dabei zu Recht, ob die französischen Gerichte zuständig sind oder nicht.

Produkthaftungsklage, die auf dem Deliktsrecht beruht

Die Brüssel-Ia-Verordnung Nr. 1215/2012 ermöglicht es nach Europarecht in einem Produkthaftungsfall neben dem Gericht am Wohnsitz des Beklagten auch die Gerichte des Ortes anzurufen, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“. Nach Ansicht des Europäischen Gerichtshofs (EuGH) bezieht sich dieser Begriff sowohl auf den Ort, an dem der Schaden eingetreten ist, als auch auf den Ort des ursächlichen Ereignisses, das diesen Schaden verursacht hat. Nun hat der EuGH in Bezug auf fehlerhafte Produkte in einem Urteil festgestellt, dass der Ort des ursächlichen Ereignisses der Herstellungsort des fehlerhaften Produkts ist.

Sowohl der deutsche Hersteller als auch der französische Käufer dürfen ihr örtliches Gericht anrufen, um eine Haftung des Herstellers des Produkts prüfen zu lassen.

Jedoch ruft der Käufer des Produkts oder Geschädigte in Frankreich in der Regel aus Beweissicherungsgründen das französische Gericht an. Mehr dazu weiter unten im Artikel.

Entscheidet sich der französische Käufer nach der Beweissicherung dazu, eine Haftungsklage zu erheben, so wird sich das französische Gericht wieder für zuständig erklären, so dass die deutschen Gerichte trotz der oben genannten, ebenfalls möglichen Zuständigkeit im Herstellerland nicht mehr entscheiden dürfen.

In diesem Kontext einer potenziellen Produkthaftung in Frankreich ist es dringend empfohlen, von Anfang an einen deutsch-französischen Anwalt auf dem Gebiet französisches Vertragsrecht und Produkthaftung zu Rat zu ziehen. Das gilt auch (und gerade dann), wenn Sie der festen Überzeugung sind, dass Ihr Produkt gar keine Fehler hat. Jeder Schritt ist nämlich sowohl materiell rechtlich als verfahrensrechtlich taktisch relevant.

Klage auf der Grundlage eines Kaufvertrags

Als Verkäufer können Sie aufgrund der Brüssel-Ia-Verordnung Nr. 1215/2012 vom Käufer in Frankreich, dem Ort der Lieferung beweglicher Sachen, also dem sog. Erfüllungsort, verklagt werden. Die Möglichkeit der Klage wegen versteckter Mängel hat sowohl Ihr direkter Abnehmer als auch ein Endkäufer in einer Reihe von Kaufverträgen im Wege der Direktklage. Eine Gerichtsstandklausel zugunsten der deutschen Gerichte wirkt nur gegenüber Ihrem direkten Vertragspartner, jedoch nicht gegenüber weiteren Käufern in einer Kaufvertragskette.

Klage wegen der gesetzlichen Konformitätsgarantie

Sie dürfen nur Ihren direkten Vertragspartner verklagen, so dass diesbezüglich eine wirksam vereinbarte Gerichtsstandklausel im Kaufvertrag mit Ihrem direkten Abnehmer vor einem Gerichtsverfahren in Frankreich schützen kann. Da der Kreis der Anspruchsberechtigten begrenzt ist im Gegensatz zur deliktrechtlichen Produkthaftung und der Mängelgewährleistung für versteckte Mängel, sei diese Haftung nur kurz angesprochen. Diese Haftungsgrundlage sollte man trotzdem zumindest schon mal gehört haben.

2. Welches Recht ist anwendbar?

  • Sie haben mit dem französischen Käufer oder Geschädigten ein Vertragsverhältnis: Es gilt das nationale Recht, das im Vertrag gewählt wurde. Wurde keine Wahl getroffen, und wird ein französisches Gericht angerufen, so wenden die Richter bei einem Vertrag nicht die Rom-II-Verordnung, sondern das Haager Übereinkommen von 1973 an, um das speziell auf die Produkthaftung anwendbare Recht zu bestimmen. Dieses Übereinkommen hat Vorrang vor der Rom-II-Verordnung. Wohnt der unmittelbar Geschädigte in Frankreich, so gilt nach diesem Übereinkommen das französische Recht.

Macht der Kläger Mängelgewährleistungsansprüche geltend, bestimmt sich das anzuwendende Recht hingegen nach der Rom-I-Verordnung, also entweder ist deutsches Recht anwendbar als das Recht des Landes, in dem der Verkäufer seinen gewöhnlichen Aufenthalt hat oder frz. Recht als das Recht des Landes des Aufenthalts des Käufers, soweit es sich um einen Verbraucher handelt.

  • Sie haben mit dem französischen Geschädigten kein Vertragsverhältnis: Das französische Recht greift in den meisten Fällen.

3. Wie gestaltet sich die Haftung nach französischem Recht?

Dem Käufer bzw. Geschädigten aus Frankreich stehen verschiedene Haftungsgrundlagen zur Verfügung, auch wenn kein Vertrag mit dem Hersteller besteht: Die sehr strenge Produkthaftung des Herstellers im B to C- aber auch im B to B-Geschäft, parallel dazu die allgemeine deliktlische Haftung des Herstellers und schließlich die Direkthaftung des Verkäufers in der Verkaufskette gegenüber dem französischen Endkäufer.

Das französische Produkthaftungsrecht nach europäischen Vorgaben

Rechtsquellen

  • Ein neuer Richtlinienentwurf, der die Richtlinie Nr. 85/374 ersetzt und modernisiert, wird derzeit verabschiedet (siehe unten). Bisher wurde er noch nicht im Amtsblatt der EU veröffentlicht.

Im Gegensatz zu Deutschland, wo das Produkthaftungsrecht in einem eigenen Gesetz, dem Produkthaftungsgesetz, geregelt ist, hat der frz. Gesetzgeber das Produkthaftungsrecht im frz. Zivilgesetzbuch verortet. Dort besteht es dennoch als eigenständige deliktische Anspruchsgrundlage neben dem allgemeinen frz. Delikthaftungsrecht und dem Kaufrecht.

Wer darf diese Produkthaftung in Anspruch nehmen?

Im sogenannten Deliktrecht, wozu das Produkthaftungsrecht gehört, ist nicht der Kaufvertrag zwischen dem Hersteller (oder irgendeinem Verkäufer in einer Kette von Verkaufsverträgen) und seinem Käufer relevant, sondern der Fehler des hergestellten Produkts und seine Auswirkung auf einen Geschädigten.

Wann greift die französische Produkthaftung nach europäischer Vorgabe?

Die französische Produkthaftung ist eine sogenannte verschuldensunabhängige Produkthaftung.

  1. Es muss ein Produkt vorliegen: Hierbei wird der Begriff eines „Produkts“ sehr weit gefasst. Es muss sich um eine bewegliche Sache handeln, die entweder selbstständig besteht oder auch in eine andere Sache integriert worden sein kann. So zählt zum Beispiel ein Bauprodukt, das in ein Gebäude eingebaut wurde, als „Produkt“ in diesem Sinne. Oder auch Materialien, die zur Viehzucht oder Jagd verwendet werden. Sämtliche Elektrizitätsbestandteile sind z.B. auch von diesem Produktbegriff umfasst.
  2. Das Produkt muss in den Verkehr gebracht worden sein: Das Produkt wurde hergestellt, um in den Warenverkehr gebracht zu werden. Das bedeutet für das frz. Zivilgesetzbuch (Code Civil), dass der Hersteller sich freiwillig von dem Produkt getrennt haben muss: Das Inverkehrbringen entspricht dem Inverkehrbringen des Produkts auf dem Markt (der Vermarktung).
  3. Ein Fehler: Das Produkt muss einen Fehler aufweisen. Ein solcher Fehler liegt vor, wenn das Produkt „nicht die Sicherheit bietet, die man berechtigterweise erwarten kann“. Zur Bewertung des Fehlers wird unter anderem berücksichtigt, ob die Produktinformation ausreichend war, oder das Produkt der zu erwartenden Verwendung entspricht. Auch der Zeitpunkt, zu dem das Produkt auf den Markt gebracht wird, ist wichtig: Je früher der Fehler auftritt, desto eher ist von einer Abnormalität des Produkts auszugehen. Ein Fehler des Produkts liegt jedoch dann nicht vor, wenn eine verbesserte Version des Produkts verfügbar ist. Also wenn eine technische Weiterentwicklung das ehemalige Produkt „überholt“. Nach Art. 1245-10 des frz. Zivilgesetzbuchs (Code civil) wird eine Haftung des Herstellers ausgeschlossen, wenn der  „Stand der wissenschaftlichen und technischen Erkenntnisse zum Zeitpunkt, als [das Produkt] in Verkehr gebracht wurde“, es noch nicht ermöglichte, den Fehler zu erkennen. Diese Haftungsbefreiung gilt jedoch nicht, wenn der Schaden durch ein aus diesem hervorgegangenen Produkt verursacht.
  4. Der Fehler zum Zeitpunkt des Inverkehrbringens: Liegt der Fehler nicht nachweislich spätestens bei Inverkehrbringen vor, so greift die Produkthaftung nicht.
  5. Der Schaden: Das fehlerhafte Produkt hat bei dem Geschädigten, der sowohl Käufer als auch eine dritte Person sein kann, die das Produkt nicht gekauft hat, kausal einen Schaden verursacht. Es kann sich hierbei sowohl um einen Personen- als auch um einen Sachschaden handeln. Bei Personenschäden haftet der Hersteller, unabhängig davon wie hoch der Schaden beziffert ist. Bei Sachschäden haftet der Hersteller erst ab einem Schaden von EUR 500,00, und nur für durch ein Gut erlittene Schäden, dass nicht das fehlerhafte Produkt selbst ist.
  6. Der Geschädigte: Der Geschädigte kann sowohl ein Verbraucher als auch ein gewerblicher Nutzer sein.
  7. Kein Verschulden. Der Schaden braucht nicht durch den Hersteller verschuldet worden sein. Die Haftung des Herstellers besteht unabhängig davon, ob er den Fehler kannte oder hätte kennen müssen. Man spricht deshalb von einer Gefährdungshaftung.

Beweislast

Der Geschädigte muss beweisen, dass ihm ein Schaden durch das fehlerhafte Produkt (kausal) entstanden ist. In anderen Worten muss der Ursprung des Produktmangels bestimmt und auf das Produkt zurückgeführt werden. Der Geschädigte muss sowohl Schaden und Fehler als auch den Kausalzusammenhang zwischen Fehler und Schaden beweisen.

Der Hersteller kann den erbrachten Beweis des Geschädigten nicht dadurch widerlegen, dass:

  1. er ein fehlerfreies Produkt in den Verkehr gebracht hat. Das frz. Zivilgesetzbuch (Code Civil) sieht ausdrücklich vor, dass der Hersteller auch dann für einen Fehler haften kann, wenn das Produkt unter Einhaltung der Regeln der Technik oder bestehender Normen hergestellt wurde oder Gegenstand einer behördlichen Genehmigung war. Das bedeutet: Die Einhaltung solcher Standards reicht nicht für einen Haftungsausschluss aus, sondern nur für die Fehlerfreiheit;
  2. der Schaden auf das Verschulden des Geschädigten oder einer Person, für die der Geschädigte verantwortlich ist, zurückzuführen ist (mehr zum Thema bei der Frage des Haftungsausschlusses).

Hat der Geschädigte nachgewiesen, dass sein Schaden auf das fehlerhafte Produkt zurückzuführen ist, haftet der Hersteller.

Kann man diese Produkthaftung beschränken, um das Herstellerrisiko zu minimieren?

Der Grundsatz lautet: Nein: Eine Haftungsbeschränkung ist grundsätzlich nicht möglich. So sind in französischen (aber auch in deutschen) Verträgen Klauseln, die die Haftung für fehlerhafte Produkte ausschließen oder einschränken sollen, unwirksam.

Ausnahmen:

Für Schäden an Gütern, die vom Geschädigten nicht hauptsächlich für seinen privaten Gebrauch oder Verbrauch (d.h. die gewerblich) genutzt werden, sind bei Vorliegen einer entsprechenden Vertragsklausel zwischen Kaufleuten, die Art und die Höhe der Schäden beschränkbar.

Der Hersteller kann vorbringen, dass der Schaden die Folge eines Entwicklungsrisikos ist.

Die Haftung des Herstellers kann verringert oder aufgehoben werden, wenn das Verschulden des Geschädigten (Mitverschulden) eine erhebliche Rolle spielt. Das Verschulden eines Dritten ohne Verbindung zum Geschädigten verringert dagegen nicht die Produkthaftung.

Die letzte Ausnahmeregelung bietet immer wieder dem Hersteller eine effektive Möglichkeit, seine Haftung zu minimieren, sofern seine Verteidigungsstrategie wohlüberlegt und strukturiert ist. Andernfalls könnte der Versuch, von dieser Ausnahme zu profitieren, erfolglos verlaufen.

Fallbeispiel Frankreich : Mitverschulden des Geschädigten?

Die Beschränkung oder Verteilung der Haftung durch Mitverschulden des Geschädigten wird von der frz. Rechtsprechung in jedem Fall sehr eng ausgelegt. Hier ist ein Beispiel zur Verdeutlichung:

Bei einer Überspannung der Stromleitungen entstand ein Hausbrand. Da Strom auch als Produkt im Sinne des Produkthaftungsgesetz zählt, gilt das französische Produkthaftungsrecht. Der Stromanbieter haftet als Hersteller des Stroms für den Schaden der Hauseigentümer. Allerdings wurde festgestellt, dass die Hauseigentümer einen Schalter in ihren Stromkreis eingebaut hatten. Den Hauseigentümern war bewusst, dass dieser Schalter nicht erlaubt war. Es stellte sich heraus, dass dieser Schalter dazu geführt hatte, dass der Sachschaden überhaupt so groß wurde: Dieser Schalter hatte den Brand verschlimmert.

Dennoch haftete der Stromanbieter als Hersteller vollumfänglich, da ihm die Entstehung des Schadens angelastet wurde. Die Tatsache, dass der Schaden durch den Schalter verschlimmert wurde, ist für die Richter irrelevant, da der Schalter den Schaden nicht verursacht hat. Die Haftung des Stromanbieters wurde also nicht dadurch gemindert, dass die Hausbesitzer die Schadenshöhe mitverschuldet hatten. Er haftete für 100% des Schadens. Dieses Ergebnis ist in Frankreich strenger als in Deutschland, obwohl beide Länder das EU-Recht umgesetzt haben. Nach § 254 Abs. 1 BGB wäre den Hauseigentümern ein Mitverschulden angelastet worden (zumindest, was das Ausmaß der Schäden betrifft), was ihren Schadensersatzanspruch um ihren eigenen Mitverschuldensanteil gekürzt hätte. Der Stromanbieter hätte in Deutschland daher nicht 100% des Schadens übernehmen müssen.

Wann ist der Anspruch auf Produkthaftung verjährt?

Die Verjährungsfrist beträgt 3 Jahre. Sie beginnt ab dem Tag, an dem der Geschädigte Kenntnis von dem Schaden, dem Mangel und der Identität des Herstellers erlangt hat oder hätte erlangen müssen.

Unabhängig von der Kenntniserlangung, verjährt der Anspruch jedoch spätestens mit dem Ablauf von 10 Jahren ab dem Zeitpunkt des Inverkehrbringens des Produkts, es sei denn, der Geschädigte hat innerhalb dieser Zeit Klage eingereicht.

Welche Neuerungen hat der Richtlinien-Entwurf zu bieten?

Die EU steht kurz vor der endgültigen Verabschiedung einer neuen Richtlinie über fehlerhafte Produkte, die die Richtlinie Nr. 85/374 ersetzen wird. In Wirklichkeit geht es nicht darum, alles neu aufzusetzen, sondern vielmehr darum, die bestehenden Regeln zu modernisieren, um sie insbesondere an die technologischen Entwicklungen anzupassen.

Eine erweiterte Definition des fehlerhaften Produkts

Als erste Neuerung weitet der Richtlinienentwurf das System der verschuldensunabhängigen Haftung weit aus, indem es nunmehr sowohl auf materielle als auch auf immaterielle Produkte ausgedehnt wird. Tatsächlich zielt die Definition des Produkts im Richtlinienentwurf immer noch auf „bewegliche“ Güter ab, stellt aber klar, dass der Begriff auch Elektrizität, digitale Konstruktionsunterlagen, Rohstoffe und Software umfasst.

Auch die Beurteilung, ob ein Produkt fehlerhaft ist, wird geändert und an technologische Entwicklungen, wie z. B. insbesondere Software-Updates, angepasst. So erwähnt Artikel 7 des Entwurfs ausdrücklich, dass zu den zu berücksichtigenden Umständen unter anderem die „Auswirkungen der Fähigkeit des Produkts, nach seinem Inverkehrbringen oder seiner Inbetriebnahme weiter zu lernen oder neue Funktionen zu erwerben, auf das Produkt“ gehören. Daraus lässt sich folgern, dass die Haftung für fehlerhafte Produkte auf Schäden angewendet wird, die beispielsweise durch ein Software-Update verursacht werden.

Die Auslegung des Begriffs „Schaden“ ist breiter gefasst und mehr Akteure können zur Verantwortung gezogen werden

Schaden wird gleichfalls erweitert definiert. Um der wachsenden Bedeutung von den digitalen Daten der Verbraucher gerecht zu werden, sieht Artikel 6 des Richtlinienentwurfs nun vor, dass das Recht auf Schadenersatz auch für „die Zerstörung oder Verfälschung von Daten, die nicht für berufliche Zwecke verwendet werden“ gilt. Mit anderen Worten: Der Verlust von Daten, wie z. B. persönlichen Fotos oder Dokumenten, der durch ein fehlerhaftes Produkt verursacht wurde, wird entschädigungsfähig sein.

Der Richtlinienentwurf erweitert erheblich die Liste der Wirtschaftsakteure, die für den durch das fehlerhafte Produkt verursachten Schaden haftbar gemacht werden können. So können neben dem Hersteller des fehlerhaften Produkts oder Bauteils dieses Produkts zum Beispiel auch:

  • der Importeur des fehlerhaften Produkts oder Bauteils dieses Produkts;
  • der Bevollmächtigte des Herstellers;
  • und, wenn es keinen in der EU niedergelassenen Importeur oder Bevollmächtigten gibt, der Dienstleister für die Auftragsausführung

haftbar gemacht werden.

Wenn keiner dieser Wirtschaftsakteure ermittelt werden kann, kann der Verbraucher sogar gegen jeden ermittelten Händler vorgehen.

Eine erleichterte Beweislast

Der europäische Gesetzgeber berücksichtigte auch Herausforderung, die die Beweislast für einen Verbraucher darstellen kann. So lautet die neue, in Artikel 9 aufgestellte Regel nunmehr, dass, wenn der Kläger (Verbraucher) ausreichende Tatsachen und Beweismittel zur Plausibilisierung seines Schadenersatzanspruchs vorgelegt hat, der Beklagte verpflichtet ist, die dem Beklagten zur Verfügung stehenden relevanten Beweismittel offenzulegen. Diese Grundsatzregel wird jedoch durch zahlreiche Bedingungen ausgeführt, da die vom Beklagten verlangten Informationen auf das Notwendige beschränkt und verhältnismäßig sein müssen und nicht gegen das Geschäftsgeheimnis verstoßen dürfen.

Darüber hinaus schafft die Richtlinie eine Vermutung für die Fehlerhaftigkeit komplexer technologischer Produkte. Tatsächlich sieht Artikel 10 vor, dass ein nationales Gericht von der Fehlerhaftigkeit des Produkts oder dem ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beidem ausgeht, wenn trotz der Offenlegung von Beweismitteln:

  • es für den Kläger insbesondere aufgrund der technischen oder wissenschaftlichen Komplexität übermäßig schwierig ist, die Fehlerhaftigkeit des Produkts oder den ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beides zu beweisen, und
  • der Kläger nachweist, dass es wahrscheinlich ist, dass das Produkt fehlerhaft ist oder dass ein ursächlicher Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden besteht, oder beides.

Wann ändert sich die französische Gesetzgebung?

Eine EU-Richtlinie gilt, anders als eine Verordnung, nicht direkt in der innerstaatlichen Rechtsordnung der Mitgliedsstaaten. Das bedeutet, dass diese sie innerhalb einer bestimmten Frist in ihr Rechtssystem umsetzen müssen. Der Entwurf spricht hier von 24 Monaten nach Inkrafttreten der Richtlinie.

Derzeit befindet sich der Entwurf am Ende des EU-Gesetzgebungsverfahrens, da der Rat der EU ihn am 10. und 11. Oktober 2024 genehmigt hat. Die Richtlinie sollte daher in Kürze im Amtsblatt veröffentlicht werden und am 20. Tag nach ihrer Veröffentlichung in Kraft treten. In Anbetracht der Frist, die den Staaten für die Umsetzung eingeräumt wurde, kann man daher davon ausgehen, dass die neuen Regeln aus dieser Richtlinie in Frankreich spätestens im Laufe des Jahres 2027 in Kraft treten werden.

Das allgemeine französische Delikthaftungsrecht

Rechtsquelle

Artikel 1240 ff. Code civil

Wer darf diese Deliktshaftung in Anspruch nehmen?

Im sogenannten Deliktsrecht darf ein Geschädigter klagen, auch wenn er zum Hersteller gar keine Vertragsbindung hat.

Wann greift das allgemeine französische Delikthaftungsrecht?

Es ist grundsätzlich eine verschuldensabhängige Haftung für eine Pflichtverletzung, in der Regel die Verletzung einer Sicherheitspflicht (obligation de sécurité). Es gibt außerdem spezielle Voraussetzungen für den Fall, dass ein Mitarbeiter des Herstellers/Verkäufers eine Pflicht verletzt.

  1. Ein Schaden ist entstanden: Hierunter fallen materielle sowie immaterielle Schäden. Die Kategorien von Schäden sind sehr vielfältig: So kann z.B. eine Person einen Vermögensschaden erleiden. Es handelt sich hierbei um eine in Geld bewertbare Schädigung des Vermögens: Beschädigung eines Gegenstands, Umsatzeinbußen. Sie kann auch einen immateriellen Schaden davontragen (z. B. Verletzung der Privatsphäre, Schmerz über den Verlust eines Haustieres). Es kann sich auch um eine Verletzung der körperlichen Unversehrtheit handeln. Denkbar sind sichtbare Körperverletzungen, aber auch Funktionsstörungen, die mit dem Schaden zusammenhängen (Verlust der Empfindsamkeit, Lähmung usw.).
  2. Die Pflichtverletzung durch einen Schädiger: Der sogenannte „Schädiger“ muss schuldhaft eine ihm obliegende Pflicht verletzt haben. Hierbei wird ein Sorgfaltsmaßstab herangezogen, an welchem er sich orientieren soll. Dementsprechend meint eine Pflichtverletzung des Schädigers einen Verstoß gegen eine gesetzlich vorgeschriebene Verhaltensregel oder einen Verstoß gegen die allgemeine Sorgfaltspflicht. Insofern wird unter schuldhaftem Verhalten des Schädigers vorsätzliches oder fahrlässiges Handeln verstanden. Vorsätzliches Handeln setzt grundsätzlich voraus, dass der Schädiger wissentlich und/oder willentlich eine ihm obliegende Pflicht verletzt hat. Dahingegen liegt fahrlässiges Handeln vor, wenn der Schädiger eine ihm obliegende Sorgfaltspflicht außer Acht lässt. Dies kann z.B. eine unterlassene Informationspflicht sein.
  3. Die Pflichtverletzung durch einen Anderen oder Angestellten: Wird die Pflichtverletzung auf ein unachtsames Verhalten eines Angestellten zurückgeführt, so haftet der Geschäftsführer auch für dessen schuldhaftes Verhalten. Das ist ein bedeutender Unterschied zum deutschen Deliktsrecht. Nach §831 BGB kann sich nämlich der deutsche Geschäftsführer aus der Verantwortung ziehen, wenn er beweist, dass er den Angestellten sorgfältig ausgewählt und überwacht hat. Im französischen Deliktsrecht haftet der Geschäftsführer unabhängig davon, ob er den Angestellten sorgfältig ausgewählt und überwacht hat. Vorausgesetzt jedoch, es besteht eine Verbindung zwischen der Pflichtverletzung und der beruflichen Funktion.
  4. Die Pflichtverletzung des Schädigers ist kausal für den Schaden: Der Schaden muss unmittelbar aus der Pflichtverletzung herrühren. Bei der verschuldensunabhängigen Haftung entscheiden sich die Richter für die adäquate Kausalität, was bedeutet, dass nur die entscheidende Ursache des Schadens berücksichtigt wird. Bei der verschuldensabhängigen Haftung berücksichtigen die Richter alle Ursachen, unabhängig von ihrer Bedeutung, die zur Entstehung des Schadens beigetragen haben. Würde man sich also vorstellen, dass die Pflichtverletzung nicht vorgenommen worden wäre und wäre der Schaden dann gerade nicht eingetreten, so fehlt die sog. Kausalität. Ebenso wenn der Schaden unabhängig von der Pflichtverletzung eingetreten wäre, weil er andere Ursachen hat. In diesem Fall würde kein Anspruch auf Schadensersatz bestehen.

Beweislast

Die geschädigte Person muss beweisen, dass der Schädiger den Schaden durch eine Pflichtverletzung verschuldet hat, dass ein Schaden vorliegt und dass zwischen den beiden Voraussetzungen ein Kausalzusammenhang besteht. Ohne Beweise kann der Anspruch im Fall des Bestreitens durch den vermeintlichen Schädiger nur abgelehnt werden.

Kann man diese Deliktshaftung beschränken, um das Herstellerrisiko zu minimieren?

  • Der Grundsatz lautet: Nein. Da die Deliktshaftung im französischen Recht unabhängig von vertraglichen Grundlagen besteht, kann sie auch grundsätzlich nicht mittels vertraglicher Regelungen beschränkt oder ausgeschlossen werden;
  • Ausnahmen sind begrenzt möglich, da der Gesetzgeber und die Rechtsprechung die Wirksamkeit dieser Art von Klauseln zur Beschränkung der Delikthaftung (mit Ausnahme von Körperschäden) zu befürworten scheint.

Wann ist der Anspruch wegen Deliktshaftung verjährt?

Die Regelverjährungsfrist im Deliktsrecht beträgt 5 Jahre bei Sachschäden und 10 Jahre bei Körper- bzw. Personenschäden. Die Verjährungsfrist beginnt dann zu laufen, wenn der Geschädigte Kenntnis von seinem Anspruch erlangt bzw. hätte erlangen müssen.

Das Mängelgewährleistungsrecht aus dem Kaufvertrag

Die Produkthaftung aus dem Deliktsrecht erlaubt es, Schäden zu ersetzen, die durch ein Produkt oder eine Pflichtverletzung verursacht wurden, aber nicht den Ersatz von Schäden an dem Produkt selbst. Der Käufer, auch als Glied in einer Reihe von Kaufverträgen, kann daher ergänzend folgende Mängelgewährleistungsansprüche geltend machen:

  • Schäden an der Sache selbst, also der sog. schädigenden Sache, ersetzt bekommen
  • eine Kaufpreisminderung durchsetzen
  • eine neue Sache erhalten
  • eine Rückabwicklung des Kaufvertrags durchsetzen

Rechtsquelle

Artikel 1641 bis 1649 Code civil 

Wer darf diese Haftung aus dem Kaufrecht in Anspruch nehmen?

Die Haftungsbestimmungen aus dem Kaufrecht gelten nur zwischen dem Käufer und dem Verkäufer, sie wirken sich nicht auf Dritte aus und grundsätzlich nicht auf den Hersteller. Daher ist nur der direkte Käufer berechtigt, Ansprüche geltend zu machen, bis auf die Ausnahme der Direktklage, mit welcher ein Endkunde gegen den Hersteller vorgehen kann.

Wann greift das französische Kaufrecht bei einem Produktfehler?

Es ist eine vertragliche Haftung. Sie greift, wenn diese beiden Voraussetzungen vorliegen:

  1. Versteckter Mangel an der Sache: Der Verkäufer für sog. versteckte Mängel einer Sache („vice caché“). Hierbei sind diejenigen Mängel gemeint, welche die Sache für den bestimmungsgemäßen Gebrauch ungeeignet machen oder diesen Gebrauch so beeinträchtigen, dass der Käufer sie nicht erworben oder weniger bezahlt hätte, wenn er den Mangel gekannt hätte. Vorsicht: die Rügepflicht ist in Frankreich nicht streng, so dass die Fälle der versteckten Mängel häufiger als in Deutschland vorkommen.
  2. Mangel vorhanden beim Zeitpunkt des Eigentumsübergangs an der Sache: Der Mangel muss in der Sache selbst zu finden sein, bzw. ihr anhaften. Weiterhin muss der Käufer den Mangel erst nach Vertragsschluss entdeckt haben. Insofern muss der Mangel dergestalt sein, dass er nicht ohne Weiteres für den Käufer bereits beim Kauf erkennbar gewesen wäre. Wichtig hierbei: Handelt es sich bei dem Käufer um bei dem Käufer um einen gewerblichen Käufer, so wird ein strengerer Maßstab an die mögliche Erkennbarkeit des Mangels herangezogen. Dies ist der Fall, weil sich der Maßstab der Erkennbarkeit an der Fachkunde des Käufers orientiert.

Beweislast

Der Käufer muss:

  1. einen versteckten Mangel beweisen,
  2. der bereits beim Verkauf vorhanden war
  3. und die Sache für ihren Zweck ungeeignet macht.

Worauf hat der Käufer Anspruch?

  1. Kaufpreiserstattung gegen Rückgabe der Sache (sog. action rédhibitoire) oder
  2. Erstattung eines Teils bzw. des ganzen Kaufpreises (sog. action estimatoire);
  3. Schadensersatz: Darüber hinaus haftet der Verkäufer auch für sämtliche weitere Schäden, die dem Käufer aufgrund der mangelhaften Sache entstanden sind, sofern der Verkäufer von dem Mangel Kenntnis hatte. Für den sog. bösgläubigen Verkäufer gilt demnach ein größerer Haftungsumfang.

Kann man diese Haftung aus dem Kaufvertrag beschränken, um das Herstellerrisiko zu minimieren?

Die Parteien können zwar auch vertragliche Haftungsbeschränkungen vereinbaren, nach Art. 1643 Code civil. Allerdings ist hierbei zu beachten, dass diese Einschränkungen dann nur im B2B-Bereich gelten, sofern Verkäufer und Käufer den gleichen Kenntnisstand bezüglich der Kaufsache haben. Andernfalls kann die vertragliche Haftungsbeschränkung durch das Gericht für unwirksam erklärt werden.

Wann ist der Anspruch wegen Sachmangels im Kaufrecht verjährt?

Die Verjährungsfrist im Kaufrecht beträgt 2 Jahre. Sie beginnt ab dem Zeitpunkt, ab dem der Käufer den Mangel an der Sache entdeckt. In diesem Zeitraum muss der Käufer seinen Anspruch auf Mängelgewährleistung gegen den Verkäufer geltend machen.

Die Durchgriffshaftung

Rechtsquelle

Artikel 1341-3 Code civil in Verbindung mit Art. 1641 Code civil

Wer darf diese Durchgriffshaftung in Anspruch nehmen?

Die sog. „action directe“ (direkter Anspruch des Käufers) bietet dem Gläubiger (also dem Endkäufer bzw. einem Käufer in der Kette) einen Anspruch direkt gegen „den Schuldner seines Schuldners“ (also den ersten Verkäufer in einer Kette von Kaufverträgen oder irgendeinen Verkäufer), auch wenn dieser nicht sein Vertragspartner war.

So hat beispielsweise der Verkäufer A das Produkt an den Verkäufer B verkauft. Der Kunde C erwirbt das Produkt beim Verkäufer B und stellt kurze Zeit später einen Mangel am Produkt fest. Anstatt dass der Kunde C nun seine vertraglichen Mängelgewährleistungsrechte gegenüber dem Verkäufer B geltend macht, kann er diese auch direkt gegenüber dem ursprünglichen Verkäufer A geltend machen. Die Geltendmachung von vertraglichen Haftungsansprüchen erfolgt damit im Wege der sog. Durchgriffshaftung („action directe“). Der Kunde C überspringt seinen Vertragspartner und kann dem ursprünglichen Verkäufer A seinen Vertrag entgegenhalten.

image

Diese Situation ähnelt den Regelungen des Produkthaftungsrechts. Allerdings mit dem Unterschied, dass der Endkunde keine gesetzlichen Voraussetzungen erfüllen muss, sondern sich auf seine individuellen Vertragsbedingungen berufen kann. Dementsprechend kann er aber im Rahmen dieser Haftung auch nur die vertraglich vorgesehenen Mängelrechte geltend machen. Eine vertragliche Haftungsbeschränkung zwischen dem Endkunden und seinem Vertragspartner zugunsten des Vertragspartners wirkt daher auch zugunsten des ursprünglichen Verkäufers. Der Anspruch aus dem Produkthaftungsrecht hingegen ist gesetzlich geregelt und nicht vertraglich einschränkbar.

4. Haftungsrecht gegenüber gewerblichen Vertragspartnern

Die französischen Produkthaftungsregeln sind auch dann anwendbar, wenn es sich bei den Parteien um Unternehmer im B2B-Geschäft handelt. Dahingegen ist beispielsweise nach deutschem Recht die Produkthaftung nur zwischen Hersteller-Unternehmer und Käufer-Verbraucher anwendbar. Damit ist die Rechtsprechung in Deutschland eng angelehnt an die europäische Vorgabe, wonach eine beschädigte Sache nur zu ersetzen ist, wenn diese privaten Zwecken dient.

Das europäische Recht setzt ebenfalls nicht voraus, dass die Produkthaftung auch zwischen zwei Unternehmern gelten soll. Da hier das französische Recht also mehr umfasst, als das europäische Recht vorsieht, kann die Produkthaftung im französischen Recht vertraglich beschränkt werden. Ein Hersteller-Unternehmer kann daher mit einem Käufer-Unternehmer vereinbaren, dass der Hersteller-Unternehmer nicht nach dem Produkthaftungsrecht haftet.

Die Möglichkeit dieser vertraglichen Beschränkung kann jedoch nur für Sachschäden vereinbart werden. Für Personenschäden ist eine solche Beschränkung unwirksam. Außerdem gilt die vertragliche Vereinbarung über eine Haftungsbeschränkung nur zwischen den Vertragsparteien. Nimmt also ein Käufer-Verbraucher den Hersteller-Unternehmer wegen deliktsrechtlicher Produkthaftung direkt in Anspruch, ohne sich zunächst an den (Zwischen-)Käufer-Unternehmer zu halten, gilt die vereinbarte Haftungsbeschränkung nicht gegenüber dem Käufer-Verbraucher.

5. Produkthaftung des Herstellers der Produktkomponente gegenüber dem Hersteller des Endprodukts

Wenn es sich um ein Produkt handelt, das aus verschiedenen Bauteilen besteht, stellt sich die Frage, wie die Haftungsverteilung der einzelnen Hersteller vorzunehmen ist. In dieser Konstellation unterscheidet das Gesetz zwischen dem Hersteller einer Produktkomponente und dem Hersteller des Endprodukts.

Der geschädigte (End-)kunde, bei dem der Schaden aufgetreten ist, kann beide Hersteller in Anspruch nehmen. Die beiden Hersteller haften ihm gegenüber als Gesamtschuldner. Untereinander haften sie jedoch je nach Mitverschuldensanteil. Mehr zum Thema Verteilung der Haftung der Hersteller in der Produkthaftung.

6. Das Beweisverfahren in Frankreich

Um Beweise zu erbringen, gibt es in Frankreich ein Beweisverfahren, in welchem Beweise förmlich beantragt werden können, um sie dann im Hauptverfahren der gegnerischen Partei entgegenhalten zu können.

Bevor der eigentliche Rechtsstreit um die Haftung wegen des fehlerhaften Produkts stattfindet, wird ein sogenanntes „Vorverfahren“ geführt: Das Beweisverfahren („mesure d’instruction in futurum“) der französischen Zivilprozessordnung. Zwar kann das Beweisverfahren auch noch während des Streitverfahren geführt werden, jedoch können die Erfolgsaussichten der Hauptsache im Vorverfahren kostengünstiger ausgewertet werden. Fällt das selbstständige Beweisverfahren nämlich positiv für den Antragsteller aus, so liegt die Wahrscheinlichkeit nahe, dass er auch das Hauptverfahren gewinnen wird.

So kann beispielsweise im selbstständigen Beweisverfahren ein Sachverständigengutachten beantragt werden. Der Sachverständiger wird oftmals bestellt, um insbesondere Folgendes festzustellen:

  1. Ob tatsächlich ein Produktfehler vorliegt;
  2. Um welche Art von Produktfehler es sich handelt;
  3. Wer diesen Fehler verursacht hat;
  4. Ob der Fehler einen Schaden verursacht hat und
  5. Wie hoch der aus dem Produktfehler entstandene Schaden ist.

Im Hauptverfahren kann der Kläger dann den Hersteller auf Zahlung von Schadensersatz verklagen, ohne dass er ein großes Prozessrisiko eingehen muss, da bereits alle notwendigen Fakten im Rahmen des vorherigen Beweisverfahrens geklärt worden sind. Um ein Gerichtsverfahren zu vermeiden und die Kosten für alle Parteien zu begrenzen, kann auch eine Vergleichsvereinbarung getroffen werden.

Um sich gegen die Haftungsrisiken abzusichern, gibt es die Möglichkeit eine Produkthaftungsversicherung abzuschließen. Die typischen Fehler des Produkts und das Verschulden des Herstellers werden in der Regel versichert, wie z.B. auch den Beratungsfehler des Herstellers, der oft vorkommt.

Die Produkthaftungsversicherung kann je nach Versicherungspolice die folgenden Kosten decken:

  1. Verteidigungskosten, einschl. Rechtsanwaltskosten (wobei die Wahl des Anwalts frei bleibt). Anzumerken ist, dass die Gerichtskosten in Frankreich bescheiden sind;
  2. Sach- und Personenschäden mit Grenzen der Haftungssumme.

Entsteht ein Sach- oder Körperschaden durch ein mangelhaftes Produkt, so kann sich der Hersteller im Vorhinein gegen eine solche Inanspruchnahme versichern.

Natürlich sollte vor Abschluss einer solchen Produkthaftungsversicherung genau darauf geachtet werden, was von der Versicherungsdeckung ausgeschlossen wird. Wenn z.B. eine weltweite Produkthaftungsversicherung die Versicherung der Betriebsstätten im Ausland ausschließt, kann es passieren, dass der Versicherte sich unbewusst in dieser Situation befindet und daher gar keine Produkthaftungsversicherung hat.

Ferner ist stets zu beachten, dass wenn der Hersteller einen außergerichtlichen Vergleich über die Produkthaftung abschließt, die Produkthaftungsversicherung auf jeden Fall zu Rate gezogen werden sollte.

7. Praxistipps

Tipps vor dem Produkthaftungsfall

Sorgfältige Überarbeitung Ihrer Verträge

Achten Sie darauf, dass Sie

  • einen ausschließlichen Gerichtsstand vereinbart haben, damit Sie im Streitfalle wissen, welches Gericht in welchem Land zuständig ist;
  • bestimmen, welches nationale Recht im Streitfall anwendbar sein soll;
  • eine zulässige Haftungsbeschränkung hinzufügen, die auch für Frankreich gilt, weil das französische Produkthaftungsrecht trotz Anwendung des deutschen Rechts eine Rolle spielen könnte;
  • die Schadensminderungspflicht vereinbaren;
  • das Produkthaftungsrecht für gewerbliche Käufer im Falle von Sachschäden (Unternehmer-Käufer) ausschließen.

Prüfung Ihrer Deckungskonditionen der bestehenden deutschen Produkthaftungsversicherung für den Verkauf nach Frankreich

Tipps bei Geltendmachung von Ansprüchen von Geschädigten

  • Prüfen Sie Ihre Dokumentation im Hinblick auf die Voraussetzungen der Produkthaftung in Deutschland und in Frankreich;
  • Überlassen Sie die Handhabung der Kommunikation nicht jemandem im Unternehmen, der die rechtliche Thematik der Produkthaftung gar nicht versteht und daher gravierende Fehler machen könnte;
  • Holen Sie sich rechtlichen Rat von deutsch-französischen Rechtsanwälten, um die größten Fallstricke zu vermeiden. Dies wird Sie im Ergebnis weniger kosten als wenn Sie in diesem frühen Stadium sparen wollen. 

8. Fazit

Verkaufen Sie Produkte oder Produktbestandteile nach Frankreich, ist es unerlässlich, die Grundzüge des französischen Rechts zum Thema Produkthaftung zu verstehen, weil Sie die Berührung mit dieser Rechtsordnung nicht unbedingt vermeiden können.

Es ist nicht auszuschließen, dass trotz Vereinbarung des deutschen Rechts und Zuständigkeit der deutschen Gerichte, Sie sich als Hersteller doch vor einem französischen Gericht nach französischem Recht verteidigen müssen.

Frankreich hat keine amerikanischen Verhältnisse, was das Produkthaftungsrecht angeht, da die europäischen Regeln gelten. Aber die Fallstricke sind zahlreich und eine Kritik der Produkte durch den französischen Partner oder Endnutzer sollte nie auf die leichte Schulter genommen werden.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: MediaM



law

Das französische Produkthaftungsrecht für deutsche Hersteller und Verkäufer Wenn Sie als Hersteller oder Importeur ein Produkt in Frankreich anbieten und wegen Produkthaftung in Anspruch genommen werden, sind die französischen Regeln zu beachten. Sie können nämlich wegen Schäden aufgrund von Fehlern bzw. Mängeln eines Produkts nicht nur vertraglich, sondern auch unabhängig vom Inhalt des Vertrages mit Ihrem französischen Vertragspartner haften –und


Fall von “Autsch”, aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen.

Was macht die Itsmydata GmbH?

Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal Mietern gegen “Geld und gut Worte” das Erstellen einer “Mieter-Mappe” ermöglicht. Mit dieser Mappe, die “Wohnungsunterlagen” enthält, soll sich ein Mietinteressent gegenüber einem Vermieter bezüglich der Bonität ausweisen können.

ItsMyData GmbH

Das Webportal ermöglicht Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einzuholen und in der “Hausmappe” bereitzustellen. Das Versprechen des Unternehmens: “Sicheres Datenkonto. Bei itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen.”

Ich konnte mir nicht verkneifen, die Werbung von itsmydata auf X.com per Screenshot zu dokumentieren.

@itsmydata-Werbung

Die versprechen “mir als Mieter” also die Macht über meine Daten auf Basis der DSGVO zurück zu geben. Der informierte Zeitgenossen weiß “wo DSGVO drauf steht, ist oft was anderes drin”. Aber der Geschäftsführer von Haus & Grund jubelt, dass die itsmydata Mietermappe ein echter Vorteil für Mieter sei – ein großer Schritt in den digitalen Abgrund – vornehm als “digitale Vermietung” betitelt. 

Wittmann: Frag doch mal nach

Lilith Wittmann hat dieses Angebot so interessant gefunden – keine Ahnung, ob sie eine Wohnung sucht oder zu vermieten hat – dass sie das alles etwas genauer unter die Lupe genommen hat. Schnell ein Konto bei itsmydata erstellt und verifizieren lassen. Und schon konnte es losgehen – nicht mit der Mietermappe, sondern mit der Bonitätsauskunft von fremden Daten. 

Lieblings-Interessent von Wittman ist unser Ex Gesundheitsminister Jens Spahn – keine Ahnung, warum sie einen Narren an dem gefressen hat. Aber im Juli 2023 hatte sie über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen.

Ich hatte dies im Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen hier im Blog aufgegriffen. Aber erinnerungsmäßig gibt es einen Film mit dem Titel “Mach’s noch mal Sam …”, scheint Wittmann auch zu kennen.

Bonitätsauskunft Jens Spahn

Jedenfalls hat sie im Portal von itsmydata dann mal nach Jens Spahn gefragt – dessen Meldeadresse hat sie ja. DSGVO hin, DSGVO her, sowohl Creditreform/Boniversum als auch Experian haben dann die Daten herausgerückt (siehe obiger Screenshot von X oder auf Mastodon). Also Pustekuchen mit dem itsmydata-Versprechen “Du hast die Kontrolle über deine Daten”, denn ich kann mir nun nicht vorstellen, dass her Spahn zugestimmt hat, dass die Daten von Litlith Wittmann eingesehen werden können.

Sprich: Ein weiteres Beispiel, wo ein Portal ein Versprechen abgibt, das aber wegen Implementierungsproblemen nicht einhalten kann. Mit Hilfe der angezeigten Daten konnten auch die Zertifikate auf dieser Webseite überprüft werden.

Wittmann empfiehlt itsmydata das Portal abzuschalten. Ein Gutes hat die Sache – wir wissen jetzt, dass die Bonitätsdaten von “Jens Spahn” besser geworden sind. Insgesamt ist das alles “nicht gut” – und der oben bejubelte Schritt in Richtung digitale Vermietung ist ein weiterer Schritt in den digitalen Abgrund.

Ergänzung: Wittman scheint noch nichts zu den Details veröffentlicht zu haben. Aber ich Golem hat hier noch einige Erläuterungen veröffentlicht. Wittmann hat keine Details zur Schwachstelle veröffentlicht, aber gegenüber Golem gab sie an, dass es im Grunde die gleiche Sicherheitslücke wie bei Bonify gewesen sei, die aber leichter ausnutzbar war. Da freuen wir uns doch auf die Digitalisierung. Und dem Open-Data-Ansatz sind wir ein Stückchen näher gerückt – “wir haben ja nix zu verbergen”.



law

Fall von “Autsch”, aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen. Was macht die Itsmydata GmbH? Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal


Verdiene ich als Chief Information Security Officer (CISO) in meinem Unternehmen genug? Und wie ist das Gehaltsgefüge im Vergleich mit den europäischen Kollegen? Ich hätte da was für euch …

Das Executive-Search- und Management-Beratungsunternehmen Heidrick & Struggles hat wohl einen Ländervergleich der CISO-Einkommen publiziert.

CISO-Gehälter

Ist mir über obigen Tweet untergekommen – die Kollegen haben hier einige Informationen zusammen getragen. Für den Report hat Heidrick & Struggles weltweit über 400 CISOs zu ihrer Vergütung und organisatorischen Aspekten ihrer Funktion befragt. Details finden sich im Dokument 2024 Global Chief Information Security Officer Organization and Compensation Survey.

Dieser Beitrag wurde unter Allgemein abgelegt und mit Allgemein verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.



law

Verdiene ich als Chief Information Security Officer (CISO) in meinem Unternehmen genug? Und wie ist das Gehaltsgefüge im Vergleich mit den europäischen Kollegen? Ich hätte da was für euch … Das Executive-Search- und Management-Beratungsunternehmen Heidrick & Struggles hat wohl einen Ländervergleich der CISO-Einkommen publiziert. Ist mir über obigen Tweet untergekommen – die Kollegen haben hier einige Informationen zusammen getragen. Für


[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke dafür). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden über einen möglichen Datenabfluss über deren zentrale Admin-Oberfläche für Fortigate.

Fortinet SASE der Telekom

Die Deutsche Telekom bietet für Business-Kunden SD-WAN auf Basis Fortinet an und wirbt mit einer “umfassenden Sicherheitsstrategie für die Digitalisierung Ihres Netzwerkes”.

Telekom Fortinet SD-WAN

Telekom SD-WAN auf Basis Fortinet ist Bestandteil des voll integrierten Security Ökosystems mit einem zentralen Management, wirbt der Anbieter – also eine Lösung aus einer Hand, wo sich der Kunde nicht um die Fortinet-Infrastruktur kümmern muss.

FortiManager-Schwachstelle CVE-2024-47575

Zum 30. Oktober 2024 hat Fortinet den Sicherheitshinweis Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation zum FortiManager veröffentlicht.

Fortinet hat seinen Sicherheitshinweis zu einer kritischen FortiManager-Schwachstelle (CVE-2024-47575) aktualisiert und dabei zusätzliche Umgehungsmöglichkeiten und Kompromissindikatoren (IOCs) hinzugefügt. Ein nicht authentifizierter Cyber-Bedrohungsakteur könnte diese Schwachstelle remote ausnutzen, um Zugriff auf sensible Dateien zu erhalten oder die Kontrolle über ein betroffenes System zu übernehmen. Fortinet hatte Mitte Oktober 2024 Patches zum Schließen der Schwachstelle veröffentlicht.

Es hat bei der Telekom gescheppert

Ein Blog-Leser, der Kunde bei der Deutsche Telekom ist und die obige Fortinet-Lösung nutzt, hat sich per E-Mail bei mir gemeldet (danke dafür). Er wurde von der Telekom zum 7. November 2024 über “einen Datenabfluss” informiert. Der Meldung entnehme ich, dass Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat.

Laut Telekom-Mitteilung wurde der Patch zum Schließen der Schwachstelle unmittelbar, d.h. bereits am 24. Oktober 2024, installiert. Aber es gab eine Kompromittierung, die die Telekom auf Grund eigener forensischer Untersuchungen festgestellt hat.

Bereits rund einen Monat (am 22. und 23. September 2024) bevor Fortinet seine Schwachstelle veröffentlicht hat, sind zwei unautorisierte Zugriffe auf den zentralen FortiManager der Deutsche Telekom erfolgt. Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Fortinet hat die Telekom informiert, dass die Angreifer auf folgende Daten zugegriffen haben können:

  • Admin Users Accounts
  • Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
  • VPN Pre-Shared Keys
  • Local user accounts
  • TACACS Key
  • LDAP / Active Directory Passwords
  • RADIUS Secret Keys
  • SNMP Secrets
  • OSPF/BGP Neighbour Passwords
  • Wireless SSID / Mesh Keys
  • Passwords stored inside automation stitches
  • PPPoE Passwords
  • SMTP Passwords
  • HA Pre-shared Keys Cluster Password
  • Konfigurationsdaten der Firewall

Also quasi die Kronjuwelen der Kunden. Die Telekom schreibt: “Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.”

Die Telekom fordert Kunden zur Sicherung der Firewalls auf, alle oben genannten Passwörter und Schlüssel auf der Kunden-Firewall (sofern diese die Firewall selbst administrieren) zu ändern. Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führt diese die notwendigen Maßnahmen in Abstimmung mit den Kunden durch. Die Telekom gibt an, bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert zu haben.


Mitteilung der Deutsche Telekom – Information über Maßnahmen zur Schließung der Sicherheitslücke Fortinet FortiManager

Sehr geehrte Damen und Herren,

seit unser Lieferant Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat, beobachten wir die Situation sehr aufmerksam. Zwar haben wir diesen Patch – wie vom Hersteller empfohlen – unmittelbar am 24. Oktober entsprechend eingesetzt. Aus heutiger Sicht möchten wir Sie dennoch bitten, unverzüglich weitere Maßnahmen zu ergreifen.

Wir haben mit eigenen forensischen Untersuchungen festgestellt, dass bereits rund einen Monat bevor Fortinet seine Schwachstelle veröffentlicht hat, zwei unautorisierte Zugriffe auf unseren zentralen FortiManager erfolgt sind (22. und 23. September 2024). Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Wir haben Fortinet hierzu kontaktiert. Das Unternehmen gibt an, dass es sich dabei um folgende Daten handeln könnte:

Admin Users Accounts
Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
VPN Pre-Shared Keys
Local user accounts
TACACS Key
LDAP / Active Directory Passwords
RADIUS Secret Keys
SNMP Secrets
OSPF/BGP Neighbour Passwords
Wireless SSID / Mesh Keys
Passwords stored inside automation stitches
PPPoE Passwords
SMTP Passwords
HA Pre-shared Keys Cluster Password
Konfigurationsdaten der Firewall

Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.

Um Ihre Firewall vor unautorisierten Zugriffen zu schützen, ändern Sie bitte alle der oben genannten Passwörter und Schlüssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren). Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führen wir die notwendigen Maßnahmen in Abstimmung mit Ihnen durch.

Wir haben unsererseits bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert.

Nähere Details über diese Sicherheitslücke finden sich hier oder hier.



law

[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke dafür). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden über einen möglichen Datenabfluss über deren zentrale Admin-Oberfläche für Fortigate. Fortinet SASE der Telekom Die Deutsche Telekom bietet für Business-Kunden SD-WAN auf


[English]Die Liste der Bugs, die mit Windows 11 24H2 Einzug gehalten haben, wird länger. Nutzer haben mich bei einem der letzten Beiträge auf einen Bug im Explorer hingewiesen, der die Bedienung ggf. erschwert. Klickt man in der Multifunktionsleiste auf das Drei-Pünktchen-Symbol öffnet sich zwar ein Menü, aber nach oben – und die Befehle werden abgeschnitten. Es gibt aber einen Workaround.

Der Bug im Detail erklärt

Ruft man den Explorer in Windows 11 auf, wird am rechten Rand der Symbolleiste das Symbol mit den drei Pünktchen angezeigt (siehe folgendes Bild). Über dieses Symbol lässt sich ein Menü einblenden, über welches sich Befehle abrufen oder auf das Eigenschaftenfenster mit den Einstellungen zugreifen lässt.

Windows Explorer Dot menu

Soweit so normal. Zum Problem wird das Ganze in Windows 11 24H2 aber durch einen Bug, der dazu führt, dass sich das Menü nach oben öffnet.

Windows 11 24H2: Explorer-Bug öffnet Menü nach oben

Ich habe es mal in einer virtuellen Maschine nachgestellt und in obigem Screenshot dokumentiert. Man sieht den Desktop samt den Verknüpfungen auf die von mir standardmäßig installierten zwei Browser – den Edge benutze ich nicht. Als ich auf die drei Pünktchen geklickt habe, öffnet sich zwar das erwartete Menü. Aber dieses wird nach oben aufgeklappt und einige der Menübefehle am oberen Rand ragen schlicht aus dem Bildschirm-Anzeigebereich heraus und werden nicht mehr angezeigt.

Doof, wenn der Explorer im Vollbildmodus betrieben wird – dann sind die Befehle nicht erreichbar. Um die Befehle zu erreichen, muss man das Explorer-Fenster weit nach unten ziehen und hoffen, dass die Bildschirmauflösung ausreicht, um alle Befehle anzuzeigen.

Problem bereits häufiger gemeldet

Blog-Leser MOM20xx hat sich zum 3. November 2204 in diesem Kommentar gemeldet und merkte an, “das es komisch sei, das noch keiner den Datei-Explorer Bug bei Microsoft anerkannt habe”. An “das haben wir noch nicht gehört” kann es nicht liegen.

Der Blog-Leser verwies beispielsweise auf den Microsoft-Answers-Forenbeitrag I have a problem with file explorer after windows 11 24h2 update, wo jemand den Bug bereits am 8. Oktober 2024 berichtet. Der Betroffene schreibt sinngemäß: “Wenn ich auf die drei Punkte klicke, öffnet das Menü nach oben. Sollte es nicht nach unten öffnen, weil die anderen Menüs auch nach unten öffnen?”

Auch im Eleven-Forum gibt es diesen Beitrag vom 6. Oktober 2024, der den Bug ebenfalls erwähnt. Dort schreibt jemand, dass er im Feedback-Hub nachgesehen habe. Das Problem wurde mit Windows 11 Version 26120.1843 gemeldet, die vermutlich eine Beta- oder Entwicklungsversion ist.

Ein weiterer Beitrag findet sich auf reddit.com (danke an MOM20xx für die Verlinkungen), der das Problem ebenfalls bestätigt. Es gibt in den verlinkten Threads Hinweise auf “Workarounds”, die bei meinen Tests aber nicht auf Anhieb funktioniert haben. Ich habe allerdings nicht allzu lange in der VM getestet. Auf reddit.com ledern die Nutzer über die zahlreichen Bugs in Windows 11 24H2 ab, und ein Teilnehmer hat einen netten Namen für diese Windows-Version gefunden: “Windows Issue Edition” – mehr ist nicht hinzuzufügen.

Es gibt Hinweise, dass Microsoft das Problem kennt und am 12. November 2024 (Patchday) fixen will.

Ein Workaround hilft

Das nach oben öffnende Menü wird (laut diesem Beitrag) durch das Feature mit der ID 51960011 verursacht. Als Workaround kann man die betreffende Funktion mittels des vivetool deaktivieren.

  • Dazu ist das vivetool von GitHub herunterzuladen und in einen Ordner zu entpacken.
  • Dann eine Eingabeaufforderung mit administrativen Rechten öffnen (cmd + Shift-Taste beim Aufruf drücken).
  • In der Eingabeaufforderung zum betreffenden Ordner mit dem vivetool navigieren und dann folgenden Befehl eintippen:

vivetool.exe /disable /id:51960011

Wird die Meldung “Funktionskonfiguration(en) erfolgreich festgelegt” (oder ähnlich) angezeigt, Windows 11 neu starten. Im Anschluss sollte sich das Menü nach unten öffnen. Ich habe es bei mir in der VM getestet – das funktioniert.



law

[English]Die Liste der Bugs, die mit Windows 11 24H2 Einzug gehalten haben, wird länger. Nutzer haben mich bei einem der letzten Beiträge auf einen Bug im Explorer hingewiesen, der die Bedienung ggf. erschwert. Klickt man in der Multifunktionsleiste auf das Drei-Pünktchen-Symbol öffnet sich zwar ein Menü, aber nach oben – und die Befehle werden abgeschnitten. Es gibt aber einen Workaround.


[English]Kurze Information für Leser, die eventuell mit der Einkaufsplattform Synertrade in Geschäftsbeziehung stehen – oder auch Lieferanten, die mit Anbietern zusammen arbeiten, die Synertrade als Plattform nutzen. Es hat auf das Rechenzentrum des Systemanbieters (Synertrade, einen erfolgreichen Cyberangriff gegeben. Inzwischen veröffentlicht die Cactus Ransomware-Gruppe Daten, die beim Synertrade-Angriff abgezogen wurden. Inzwischen informieren Unternehmen, die Synertrade nutzen, ihre Kundschaft, dass Daten von Lieferanten betroffen sind.

Wer ist Synertrade?

Synertrade ist ein weltweit führender Anbieter von digitalen Beschaffungslösungen. Laut Eigenbeschreibung bietet deren Cloud-basierte Plattform Synertrade Accelerate™ einen vollständigen Überblick über den Beschaffungsprozess: vom Onboarding der Lieferanten über die Lieferantenverhandlungen, die rechtlichen Rahmenbedingungen, die Bestellung und die Rechnungsstellung bis hin zur Leistungsbewertung der Lieferanten und der Planung von Verbesserungsmaßnahmen.

Accelerate™ ermöglicht es den Verantwortlichen, so der Anbieter, im Beschaffungswesen, die Unternehmensstrategie in einer zuverlässigen und strukturierten Source-to-Pay-Plattform zu steuern, die eine durchgängige Zusammenarbeit und Steuerung zwischen den Abteilungen ermöglicht.

Es gab einen Cyberangriff

Blog-Leser Mark informierte mich gestern per E-Mail, dass es einen erfolgreichen Cyberangriff auf Synertrade gegeben haben muss und merkt an, dass es im Internet – speziell auf deren Webseite – noch keine Informationen gebe.

Mark hat aber am 29.10.2024 eine E-Mail von einem Kunden erhalten, das “seine Einkaufsplattform über Datenreichtum verfügt”. In der E-Mail heißt es: “(…) hiermit möchten wir Sie darüber informieren, dass es kürzlich einen Cyberangriff auf ein Rechenzentrum des Systemanbieters unserer Einkaufsplattform Synertrade gegeben hat.” Ich interpretiere es so, dass der Anbieter Synertrade angegriffen wurde.

Der übliche Hinweis, dass es trotz umfangreicher Sicherheitsmaßnahmen hierbei zu einem unbefugten Zugriff auf Daten gekommen ist, scheint in der Mail auch nicht gefehlt zu haben. Weiter heißt es, dass leider auch die Kontaktinformationen der Lieferanten (Vorname, Nachname, geschäftliche E-Mailadresse, gegebenenfalls Telefonnummer) von dem Vorfall betroffen sind.

Der betroffene Kunde gibt an, dass dessen internen IT- und Datenschutzverantwortlichen gemeinsam mit Synertrade mit Hochdruck daran arbeiten, die Sicherheit der Systeme zu gewährleisten und die Daten des Unternehmens und der Kunden zu schützen. Da die Daten aber abgeflossen sind, gibt es auch beim Arbeiten mit Hochdruck keine Lösung: Weg ist weg – oder stimmt das vielleicht gar nicht und die Daten sind nun nur woanders?

Der ungenannte Anbieter merkt an, dass er bei neuen Erkenntnissen die Geschäftspartner informieren möchte. Inzwischen sei die Sicherheit der Einkaufsplattform wiederhergestellt und diese könne uneingeschränkt genutzt werden, heißt es.

Angriff der Cactus-Ransomware

Es ist mir durchgerutscht, denn @HackManac hat bereits zum 16. Oktober 2024 auf X berichtet, dass die Cactus-Hackergruppe einen erfolgreichen Angriff auf Synertrade reklamiert.

Cyber-Attac on Synertrade

Angeblich wurden 3 TB an Daten exfiltriert, darunter personenbezogene Daten, Datenbank-Backups, vertrauliche Unternehmensdokumente, Verträge, Korrespondenz, Projekte und vertrauliche Kundendaten. HackManac schreibt, dass Anhand der zur Verfügung gestellten Muster der Schluss naheliegt, dass wahrscheinlich die deutsche Niederlassung von Synertrade betroffen sei. Stimmt aber wohl nicht so ganz, wie nachfolgende Ausführungen belegen.

Synertrade France hacked

Der gesamte Vorfall war für mich zuerst recht mysteriös, denn bei konbriefing.com habe ich einen Eintrag vom 27. Juni 2024 gefunden. Dieser verweist auf eine französische Seite, die sich seit Juni 2024 mit dem Synertrade-Hack befasst. Eine aktualisierte Meldung La cyberattaque contre Synertrade revendiquée sous la bannière Cactus vom 18. Oktober 2024 auf lemagit.fr legt dann aber Details offen, die alles erklären.

Der französische Text besagt, dass der Ende Juni 2024 erfolgte Cyberangriff auf Synertrade am 16. Oktober 2024 auf der Leak-Seite der Ransomware-Gruppe Cactus bekannt gegeben worden sei. Dort wurden dann wohl abgezogene Daten aus dem Angriff veröffentlicht.

Das französische Medium schreibt, dass die die Kommunikationsabteilung von Econocom (eine europäische Gruppe, die die digitale Transformation von Unternehmen und öffentlichen Einrichtungen realisiert und wohl Synertrade als Plattform nutzt) einen “besonders aggressiven” Angriff beklagte.

Die Kommunikationsabteilung dieses Anbieters erklärte, dass “die Angreifer ihr Wissen genutzt haben, um einen zweiten Angriff auf unsere Systeme durchzuführen, den wir dank der seit Juli eingeleiteten Maßnahmen eindämmen konnten”. Dieser zweite Angriff führte jedoch zu einem “Datenleck, das einen Kunden betraf, der sofort informiert wurde und mit dem wir eng zusammenarbeiten”. Das Datenleck muss vor dem 27. Juni 2024 entstanden sein. Mit anderen Worten: Wenn ich das so lese, erwarte ich noch mehr solcher Meldungen.



law

[English]Kurze Information für Leser, die eventuell mit der Einkaufsplattform Synertrade in Geschäftsbeziehung stehen – oder auch Lieferanten, die mit Anbietern zusammen arbeiten, die Synertrade als Plattform nutzen. Es hat auf das Rechenzentrum des Systemanbieters (Synertrade, einen erfolgreichen Cyberangriff gegeben. Inzwischen veröffentlicht die Cactus Ransomware-Gruppe Daten, die beim Synertrade-Angriff abgezogen wurden. Inzwischen informieren Unternehmen, die Synertrade nutzen, ihre Kundschaft, dass Daten


[English]Microsoft hat das Inbound SMTP DANE mit DNSSEC für Exchange Online allgemein freigegeben, nachdem das Ganze bereits im Juli 2024 als Preview verfügbar war (siehe Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview). Mit der neuen Funktion Inbound SMTP DANE with DNSSEC in Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards erhöht werden.

Die Ankündigung Microsofts

Mir ist das Thema über nachfolgenden Tweet untergekommen. Microsoft hat die Details zum 28. Oktober 2024 im Techcommunity-Beitrag Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online veröffentlicht.

Inbound SMTP DANE with DNSSEC for Exchange Online

Dort freut man sich, die generelle Verfügbarkeit von Inbound SMTP DANE with DNSSEC bekannt zu geben. Die neue Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards (DANE und DNSSEC) erhöhen.

DANE und DNSSEC, was ist das?

DANE (DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. Die Normen und Standards sind 2011 bis 2015 entstanden.

DNSSEC steht für Domain Name System Security Extensions, eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt. Es sichert die Übertragung von Resource Records durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt. Vertraulichkeit ist bei DNSSEC nicht vorgesehen, DNS-Daten werden daher nicht verschlüsselt.

Microsoft stellt das neue Feature bereit

Die beiden neuen Features stehen sofort (und kostenlos) für Exchange Online bereit. SMTP DANE verwendet einen TLS-Authentifizierungs-DNS-Eintrag (TLSA), um die Identität eines Ziel-Mailservers zu überprüfen. Die neue Funktion bietet eine sichere Verbindung zwischen dem sendenden und dem empfangenden Mailserver, die sowohl gegen TLS-Downgrade-Angriffe als auch gegen Adversary-in-the-Middle-Angriffe resistent ist.

DNSSEC verwendet kryptografische Signaturen, um sicherzustellen, dass die DNS-Einträge der Zieldomäne authentisch sind und während der Übertragung nicht manipuliert wurden. Diese beiden Standards werden kombiniert, um Spoofing, Hijacking und das Abfangen von E-Mail-Nachrichten in Exchange Online zu verhindern.

Microsoft hat Outbound SMTP DANE mit DNSSEC im Jahr 2022 veröffentlich. Im Jahr 2024 zog man mit der öffentlichen Vorschau für Inbound SMTP DANE mit DNSSEC und jetzt mit der allgemeinen Freigabe nach. Im Techcommunity-Beitrag gibt man folgende Roadmap für das Rollout an:

  • Dezember 2024: Inbound SMTP DANE mit DNSSEC und MTA-STS-Reports im Exchange Admin Center.
  • Dezember 2024 – März 2025: Bereitstellung von Inbound SMTP DANE mit DNSSEC für alle Consumer Outlook- und Hotmail-Domänen. Übergang der Bereitstellung von Mail-Einträgen für alle neu erstellten akzeptierten Domänen in eine DNSSEC-fähige Infrastruktur unter *.mx.microsoft
  • Mai 2025: Obligatorische DANE für ausgehende SMTP-Nachrichten, die pro Tenant/pro entfernter Domäne festgelegt werden.

Anleitungen zur Implementierung in einem Tenant finden sich im Artikel How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications. Ich erinnere eine Bemerkung eines Administrators zur Technical Preview, dass er dies bereits 2014 umgesetzt habe und Microsoft weitere 10 Jahre brauchte, um dies nachzuziehen.



law

[English]Microsoft hat das Inbound SMTP DANE mit DNSSEC für Exchange Online allgemein freigegeben, nachdem das Ganze bereits im Juli 2024 als Preview verfügbar war (siehe Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview). Mit der neuen Funktion Inbound SMTP DANE with DNSSEC in Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards erhöht werden. Die


Unschöne Erkenntnis von Sicherheitsforschern: Die App-Manie schlägt sicherheitstechnisch zurück. Bei Inspektionen hat man fest hinterlegte Schlüssel für Zugänge zu AWS- und Azure-Konten in Android- und iOS-Apps gefunden. Entwickler haben gepatzt und Angreifern potentiell den Zugang zu ihren Cloud-Angeboten geöffnet.

Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Man kommt kaum noch an Apps vorbei, um bestimmte Angebote zu nutzen, auch wenn ich immer noch versuche, diese Dienste per Browser-App abzurufen. Mit Millionen von App-Downloads auf Plattformen wie dem Google Play Store und dem Apple App Store stellt sich die Frage, wie es mit der Sicherheit aussieht?

Sicherheitsforscher haben eine versteckte Bedrohung aufgespürt, die Nutzerdaten und Backend-Dienste erheblich gefährden könnte. Bekannt wurde dies durch einen Bericht von Symantec, wo sich deren Sicherheitsforscher diverse Android- und iOS-Apps genauer angeschaut haben. In mehreren populären Apps für iOS und Android finden sich fest kodierte Anmeldeinformationen für Cloud-Dienste wie Amazon Web Services (AWS) und Microsoft Azure Blob Storage, die zusätzlich unverschlüsselt per Internet übertragen werden. Die Kollegen von Bleeping Computer haben erstmals in diesem Beitrag drüber berichtet.

AWS-Credentials in Apps

Die App Collage Maker, die im Google Play Store über 5 Millionen Mal heruntergeladen wurde, enthält direkt in ihrem Code fest einkodierte AWS-Anmeldeinformationen, was ein erhebliches Sicherheitsrisiko darstellt. Ich habe mir mal die App-Liste, die die Kollegen von Bleeping Computer zusammen gestellt haben und die Beispiele aus dem Symantec-Artikel angeschaut – es sind für mich recht unbekannte Apps, die sich auf den englischen Nutzerkreis fokussieren. Aber ich gehe davon aus, dass viel mehr Apps solche Anmelde-Informationen fest kodiert im Code aufweisen.

Die betreffenden Schlüssel für den Zugriff auf AWS- und Azure-Instanzen sind aufgrund von Fehlern und schlechten Praktiken während der Entwicklungsphase in die Codebasis der jeweiligen Apps geraten. Schaut man sich die Beispiele im Symantec-Beitrag an, werden die Zugangsschlüssel fest in Konstanten im Programmcode definiert, und sind für Dritte mit entsprechenden Tools auslesbar.

Die Offenlegung solcher Anmeldeinformationen kann zu unbefugtem Zugriff auf Speicherbereiche und Datenbanken mit sensiblen Benutzerdaten führen. Abgesehen davon könnte ein Angreifer sie nutzen, um Daten zu manipulieren oder zu stehlen. Symantec schreibt von ernsthaften Sicherheitsrisiken, die von fest kodierten und unverschlüsselten Cloud-Service-Anmeldeinformationen in mobilen Anwendungen ausgehen. Diese Praxis setzt kritische Infrastrukturen potenziellen Angriffen aus und gefährdet Nutzerdaten und Backend-Dienste. Die weite Verbreitung dieser Schwachstellen sowohl auf iOS- als auch auf Android-Plattformen unterstreicht laut Symantec die dringende Notwendigkeit einer Umstellung auf sicherere Entwicklungspraktiken.

Dieser Beitrag wurde unter App, Sicherheit abgelegt und mit App, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.



law

Unschöne Erkenntnis von Sicherheitsforschern: Die App-Manie schlägt sicherheitstechnisch zurück. Bei Inspektionen hat man fest hinterlegte Schlüssel für Zugänge zu AWS- und Azure-Konten in Android- und iOS-Apps gefunden. Entwickler haben gepatzt und Angreifern potentiell den Zugang zu ihren Cloud-Angeboten geöffnet. Mobile Apps sind aus unserem Alltag nicht mehr wegzudenken. Man kommt kaum noch an Apps vorbei, um bestimmte Angebote zu nutzen,