Wenn Sie als Hersteller oder Importeur ein Produkt in Frankreich anbieten und wegen Produkthaftung in Anspruch genommen werden, sind die französischen Regeln zu beachten. Sie können nämlich wegen Schäden aufgrund von Fehlern bzw. Mängeln eines Produkts nicht nur vertraglich, sondern auch unabhängig vom Inhalt des Vertrages mit Ihrem französischen Vertragspartner haften –und zwar mit oder ohne Verschulden. Sie erhalten in unserem Beitrag einen Überblick über die Produkthaftung im Deliktsrecht und im Kaufrecht und wir erklären, wann und wie das französische Recht eine Rolle spielt.

1. Welches Gericht ist zuständig?

Oft werden Sie als Hersteller auf das Thema Produkthaftung in Frankreich erstmals aufmerksam, wenn Ihr französischer Käufer bzw. Endkunde oder auch ein sonstiger Geschädigter:

• sich bei Ihnen in irgendeiner Weise über einen Defekt beschwert;
• Sie im Rahmen eines Gerichtsverfahrens zwingt, an einem französischen Beweisverfahren zur Feststellung der Fehlerhaftigkeit Ihres Produkts teilzunehmen;
• Sie wegen Produkthaftung bzw. Mängelgewährleistung vor einem Gericht in Frankreich verklagt.

Sie fragen sich dabei zu Recht, ob die französischen Gerichte zuständig sind oder nicht.

Produkthaftungsklage, die auf dem Deliktsrecht beruht

Die Brüssel-Ia-Verordnung Nr. 1215/2012 ermöglicht es nach Europarecht in einem Produkthaftungsfall neben dem Gericht am Wohnsitz des Beklagten auch die Gerichte des Ortes anzurufen, „an dem das schädigende Ereignis eingetreten ist oder einzutreten droht“. Nach Ansicht des Europäischen Gerichtshofs (EuGH) bezieht sich dieser Begriff sowohl auf den Ort, an dem der Schaden eingetreten ist, als auch auf den Ort des ursächlichen Ereignisses, das diesen Schaden verursacht hat. Nun hat der EuGH in Bezug auf fehlerhafte Produkte in einem Urteil festgestellt, dass der Ort des ursächlichen Ereignisses der Herstellungsort des fehlerhaften Produkts ist.

Sowohl der deutsche Hersteller als auch der französische Käufer dürfen ihr örtliches Gericht anrufen, um eine Haftung des Herstellers des Produkts prüfen zu lassen.

Jedoch ruft der Käufer des Produkts oder Geschädigte in Frankreich in der Regel aus Beweissicherungsgründen das französische Gericht an. Mehr dazu weiter unten im Artikel.

Entscheidet sich der französische Käufer nach der Beweissicherung dazu, eine Haftungsklage zu erheben, so wird sich das französische Gericht wieder für zuständig erklären, so dass die deutschen Gerichte trotz der oben genannten, ebenfalls möglichen Zuständigkeit im Herstellerland nicht mehr entscheiden dürfen.

In diesem Kontext einer potenziellen Produkthaftung in Frankreich ist es dringend empfohlen, von Anfang an einen deutsch-französischen Anwalt auf dem Gebiet französisches Vertragsrecht und Produkthaftung zu Rat zu ziehen. Das gilt auch (und gerade dann), wenn Sie der festen Überzeugung sind, dass Ihr Produkt gar keine Fehler hat. Jeder Schritt ist nämlich sowohl materiell rechtlich als verfahrensrechtlich taktisch relevant.

Klage auf der Grundlage eines Kaufvertrags

Als Verkäufer können Sie aufgrund der Brüssel-Ia-Verordnung Nr. 1215/2012 vom Käufer in Frankreich, dem Ort der Lieferung beweglicher Sachen, also dem sog. Erfüllungsort, verklagt werden. Die Möglichkeit der Klage wegen versteckter Mängel hat sowohl Ihr direkter Abnehmer als auch ein Endkäufer in einer Reihe von Kaufverträgen im Wege der Direktklage. Eine Gerichtsstandklausel zugunsten der deutschen Gerichte wirkt nur gegenüber Ihrem direkten Vertragspartner, jedoch nicht gegenüber weiteren Käufern in einer Kaufvertragskette.

Klage wegen der gesetzlichen Konformitätsgarantie

Sie dürfen nur Ihren direkten Vertragspartner verklagen, so dass diesbezüglich eine wirksam vereinbarte Gerichtsstandklausel im Kaufvertrag mit Ihrem direkten Abnehmer vor einem Gerichtsverfahren in Frankreich schützen kann. Da der Kreis der Anspruchsberechtigten begrenzt ist im Gegensatz zur deliktrechtlichen Produkthaftung und der Mängelgewährleistung für versteckte Mängel, sei diese Haftung nur kurz angesprochen. Diese Haftungsgrundlage sollte man trotzdem zumindest schon mal gehört haben.

2. Welches Recht ist anwendbar?

• Sie haben mit dem französischen Käufer oder Geschädigten ein Vertragsverhältnis: Es gilt das nationale Recht, das im Vertrag gewählt wurde. Wurde keine Wahl getroffen, und wird ein französisches Gericht angerufen, so wenden die Richter bei einem Vertrag nicht die Rom-II-Verordnung, sondern das Haager Übereinkommen von 1973 an, um das speziell auf die Produkthaftung anwendbare Recht zu bestimmen. Dieses Übereinkommen hat Vorrang vor der Rom-II-Verordnung. Wohnt der unmittelbar Geschädigte in Frankreich, so gilt nach diesem Übereinkommen das französische Recht.

Macht der Kläger Mängelgewährleistungsansprüche geltend, bestimmt sich das anzuwendende Recht hingegen nach der Rom-I-Verordnung, also entweder ist deutsches Recht anwendbar als das Recht des Landes, in dem der Verkäufer seinen gewöhnlichen Aufenthalt hat oder frz. Recht als das Recht des Landes des Aufenthalts des Käufers, soweit es sich um einen Verbraucher handelt.

• Sie haben mit dem französischen Geschädigten kein Vertragsverhältnis: Das französische Recht greift in den meisten Fällen.

3. Wie gestaltet sich die Haftung nach französischem Recht?

Dem Käufer bzw. Geschädigten aus Frankreich stehen verschiedene Haftungsgrundlagen zur Verfügung, auch wenn kein Vertrag mit dem Hersteller besteht: Die sehr strenge Produkthaftung des Herstellers im B to C- aber auch im B to B-Geschäft, parallel dazu die allgemeine deliktlische Haftung des Herstellers und schließlich die Direkthaftung des Verkäufers in der Verkaufskette gegenüber dem französischen Endkäufer.

Das französische Produkthaftungsrecht nach europäischen Vorgaben

Rechtsquellen

• Ein neuer Richtlinienentwurf, der die Richtlinie Nr. 85/374 ersetzt und modernisiert, wird derzeit verabschiedet (siehe unten). Bisher wurde er noch nicht im Amtsblatt der EU veröffentlicht.

Im Gegensatz zu Deutschland, wo das Produkthaftungsrecht in einem eigenen Gesetz, dem Produkthaftungsgesetz, geregelt ist, hat der frz. Gesetzgeber das Produkthaftungsrecht im frz. Zivilgesetzbuch verortet. Dort besteht es dennoch als eigenständige deliktische Anspruchsgrundlage neben dem allgemeinen frz. Delikthaftungsrecht und dem Kaufrecht.

Wer darf diese Produkthaftung in Anspruch nehmen?

Im sogenannten Deliktrecht, wozu das Produkthaftungsrecht gehört, ist nicht der Kaufvertrag zwischen dem Hersteller (oder irgendeinem Verkäufer in einer Kette von Verkaufsverträgen) und seinem Käufer relevant, sondern der Fehler des hergestellten Produkts und seine Auswirkung auf einen Geschädigten.

Wann greift die französische Produkthaftung nach europäischer Vorgabe?

Die französische Produkthaftung ist eine sogenannte verschuldensunabhängige Produkthaftung.

1. Es muss ein Produkt vorliegen: Hierbei wird der Begriff eines „Produkts“ sehr weit gefasst. Es muss sich um eine bewegliche Sache handeln, die entweder selbstständig besteht oder auch in eine andere Sache integriert worden sein kann. So zählt zum Beispiel ein Bauprodukt, das in ein Gebäude eingebaut wurde, als „Produkt“ in diesem Sinne. Oder auch Materialien, die zur Viehzucht oder Jagd verwendet werden. Sämtliche Elektrizitätsbestandteile sind z.B. auch von diesem Produktbegriff umfasst.
2. Das Produkt muss in den Verkehr gebracht worden sein: Das Produkt wurde hergestellt, um in den Warenverkehr gebracht zu werden. Das bedeutet für das frz. Zivilgesetzbuch (Code Civil), dass der Hersteller sich freiwillig von dem Produkt getrennt haben muss: Das Inverkehrbringen entspricht dem Inverkehrbringen des Produkts auf dem Markt (der Vermarktung).
3. Ein Fehler: Das Produkt muss einen Fehler aufweisen. Ein solcher Fehler liegt vor, wenn das Produkt „nicht die Sicherheit bietet, die man berechtigterweise erwarten kann“. Zur Bewertung des Fehlers wird unter anderem berücksichtigt, ob die Produktinformation ausreichend war, oder das Produkt der zu erwartenden Verwendung entspricht. Auch der Zeitpunkt, zu dem das Produkt auf den Markt gebracht wird, ist wichtig: Je früher der Fehler auftritt, desto eher ist von einer Abnormalität des Produkts auszugehen. Ein Fehler des Produkts liegt jedoch dann nicht vor, wenn eine verbesserte Version des Produkts verfügbar ist. Also wenn eine technische Weiterentwicklung das ehemalige Produkt „überholt“. Nach Art. 1245-10 des frz. Zivilgesetzbuchs (Code civil) wird eine Haftung des Herstellers ausgeschlossen, wenn der  „Stand der wissenschaftlichen und technischen Erkenntnisse zum Zeitpunkt, als [das Produkt] in Verkehr gebracht wurde“, es noch nicht ermöglichte, den Fehler zu erkennen. Diese Haftungsbefreiung gilt jedoch nicht, wenn der Schaden durch ein aus diesem hervorgegangenen Produkt verursacht.
4. Der Fehler zum Zeitpunkt des Inverkehrbringens: Liegt der Fehler nicht nachweislich spätestens bei Inverkehrbringen vor, so greift die Produkthaftung nicht.
5. Der Schaden: Das fehlerhafte Produkt hat bei dem Geschädigten, der sowohl Käufer als auch eine dritte Person sein kann, die das Produkt nicht gekauft hat, kausal einen Schaden verursacht. Es kann sich hierbei sowohl um einen Personen- als auch um einen Sachschaden handeln. Bei Personenschäden haftet der Hersteller, unabhängig davon wie hoch der Schaden beziffert ist. Bei Sachschäden haftet der Hersteller erst ab einem Schaden von EUR 500,00, und nur für durch ein Gut erlittene Schäden, dass nicht das fehlerhafte Produkt selbst ist.
6. Der Geschädigte: Der Geschädigte kann sowohl ein Verbraucher als auch ein gewerblicher Nutzer sein.
7. Kein Verschulden. Der Schaden braucht nicht durch den Hersteller verschuldet worden sein. Die Haftung des Herstellers besteht unabhängig davon, ob er den Fehler kannte oder hätte kennen müssen. Man spricht deshalb von einer Gefährdungshaftung.

Beweislast

Der Geschädigte muss beweisen, dass ihm ein Schaden durch das fehlerhafte Produkt (kausal) entstanden ist. In anderen Worten muss der Ursprung des Produktmangels bestimmt und auf das Produkt zurückgeführt werden. Der Geschädigte muss sowohl Schaden und Fehler als auch den Kausalzusammenhang zwischen Fehler und Schaden beweisen.

Der Hersteller kann den erbrachten Beweis des Geschädigten nicht dadurch widerlegen, dass:

1. er ein fehlerfreies Produkt in den Verkehr gebracht hat. Das frz. Zivilgesetzbuch (Code Civil) sieht ausdrücklich vor, dass der Hersteller auch dann für einen Fehler haften kann, wenn das Produkt unter Einhaltung der Regeln der Technik oder bestehender Normen hergestellt wurde oder Gegenstand einer behördlichen Genehmigung war. Das bedeutet: Die Einhaltung solcher Standards reicht nicht für einen Haftungsausschluss aus, sondern nur für die Fehlerfreiheit;
2. der Schaden auf das Verschulden des Geschädigten oder einer Person, für die der Geschädigte verantwortlich ist, zurückzuführen ist (mehr zum Thema bei der Frage des Haftungsausschlusses).

Hat der Geschädigte nachgewiesen, dass sein Schaden auf das fehlerhafte Produkt zurückzuführen ist, haftet der Hersteller.

Kann man diese Produkthaftung beschränken, um das Herstellerrisiko zu minimieren?

Der Grundsatz lautet: Nein: Eine Haftungsbeschränkung ist grundsätzlich nicht möglich. So sind in französischen (aber auch in deutschen) Verträgen Klauseln, die die Haftung für fehlerhafte Produkte ausschließen oder einschränken sollen, unwirksam.

Ausnahmen:

Für Schäden an Gütern, die vom Geschädigten nicht hauptsächlich für seinen privaten Gebrauch oder Verbrauch (d.h. die gewerblich) genutzt werden, sind bei Vorliegen einer entsprechenden Vertragsklausel zwischen Kaufleuten, die Art und die Höhe der Schäden beschränkbar.

Der Hersteller kann vorbringen, dass der Schaden die Folge eines Entwicklungsrisikos ist.

Die Haftung des Herstellers kann verringert oder aufgehoben werden, wenn das Verschulden des Geschädigten (Mitverschulden) eine erhebliche Rolle spielt. Das Verschulden eines Dritten ohne Verbindung zum Geschädigten verringert dagegen nicht die Produkthaftung.

Die letzte Ausnahmeregelung bietet immer wieder dem Hersteller eine effektive Möglichkeit, seine Haftung zu minimieren, sofern seine Verteidigungsstrategie wohlüberlegt und strukturiert ist. Andernfalls könnte der Versuch, von dieser Ausnahme zu profitieren, erfolglos verlaufen.

Fallbeispiel Frankreich : Mitverschulden des Geschädigten?

Die Beschränkung oder Verteilung der Haftung durch Mitverschulden des Geschädigten wird von der frz. Rechtsprechung in jedem Fall sehr eng ausgelegt. Hier ist ein Beispiel zur Verdeutlichung:

Bei einer Überspannung der Stromleitungen entstand ein Hausbrand. Da Strom auch als Produkt im Sinne des Produkthaftungsgesetz zählt, gilt das französische Produkthaftungsrecht. Der Stromanbieter haftet als Hersteller des Stroms für den Schaden der Hauseigentümer. Allerdings wurde festgestellt, dass die Hauseigentümer einen Schalter in ihren Stromkreis eingebaut hatten. Den Hauseigentümern war bewusst, dass dieser Schalter nicht erlaubt war. Es stellte sich heraus, dass dieser Schalter dazu geführt hatte, dass der Sachschaden überhaupt so groß wurde: Dieser Schalter hatte den Brand verschlimmert.

Dennoch haftete der Stromanbieter als Hersteller vollumfänglich, da ihm die Entstehung des Schadens angelastet wurde. Die Tatsache, dass der Schaden durch den Schalter verschlimmert wurde, ist für die Richter irrelevant, da der Schalter den Schaden nicht verursacht hat. Die Haftung des Stromanbieters wurde also nicht dadurch gemindert, dass die Hausbesitzer die Schadenshöhe mitverschuldet hatten. Er haftete für 100% des Schadens. Dieses Ergebnis ist in Frankreich strenger als in Deutschland, obwohl beide Länder das EU-Recht umgesetzt haben. Nach § 254 Abs. 1 BGB wäre den Hauseigentümern ein Mitverschulden angelastet worden (zumindest, was das Ausmaß der Schäden betrifft), was ihren Schadensersatzanspruch um ihren eigenen Mitverschuldensanteil gekürzt hätte. Der Stromanbieter hätte in Deutschland daher nicht 100% des Schadens übernehmen müssen.

Wann ist der Anspruch auf Produkthaftung verjährt?

Die Verjährungsfrist beträgt 3 Jahre. Sie beginnt ab dem Tag, an dem der Geschädigte Kenntnis von dem Schaden, dem Mangel und der Identität des Herstellers erlangt hat oder hätte erlangen müssen.

Unabhängig von der Kenntniserlangung, verjährt der Anspruch jedoch spätestens mit dem Ablauf von 10 Jahren ab dem Zeitpunkt des Inverkehrbringens des Produkts, es sei denn, der Geschädigte hat innerhalb dieser Zeit Klage eingereicht.

Welche Neuerungen hat der Richtlinien-Entwurf zu bieten?

Die EU steht kurz vor der endgültigen Verabschiedung einer neuen Richtlinie über fehlerhafte Produkte, die die Richtlinie Nr. 85/374 ersetzen wird. In Wirklichkeit geht es nicht darum, alles neu aufzusetzen, sondern vielmehr darum, die bestehenden Regeln zu modernisieren, um sie insbesondere an die technologischen Entwicklungen anzupassen.

Eine erweiterte Definition des fehlerhaften Produkts

Als erste Neuerung weitet der Richtlinienentwurf das System der verschuldensunabhängigen Haftung weit aus, indem es nunmehr sowohl auf materielle als auch auf immaterielle Produkte ausgedehnt wird. Tatsächlich zielt die Definition des Produkts im Richtlinienentwurf immer noch auf „bewegliche“ Güter ab, stellt aber klar, dass der Begriff auch Elektrizität, digitale Konstruktionsunterlagen, Rohstoffe und Software umfasst.

Auch die Beurteilung, ob ein Produkt fehlerhaft ist, wird geändert und an technologische Entwicklungen, wie z. B. insbesondere Software-Updates, angepasst. So erwähnt Artikel 7 des Entwurfs ausdrücklich, dass zu den zu berücksichtigenden Umständen unter anderem die „Auswirkungen der Fähigkeit des Produkts, nach seinem Inverkehrbringen oder seiner Inbetriebnahme weiter zu lernen oder neue Funktionen zu erwerben, auf das Produkt“ gehören. Daraus lässt sich folgern, dass die Haftung für fehlerhafte Produkte auf Schäden angewendet wird, die beispielsweise durch ein Software-Update verursacht werden.

Die Auslegung des Begriffs „Schaden“ ist breiter gefasst und mehr Akteure können zur Verantwortung gezogen werden

Schaden wird gleichfalls erweitert definiert. Um der wachsenden Bedeutung von den digitalen Daten der Verbraucher gerecht zu werden, sieht Artikel 6 des Richtlinienentwurfs nun vor, dass das Recht auf Schadenersatz auch für „die Zerstörung oder Verfälschung von Daten, die nicht für berufliche Zwecke verwendet werden“ gilt. Mit anderen Worten: Der Verlust von Daten, wie z. B. persönlichen Fotos oder Dokumenten, der durch ein fehlerhaftes Produkt verursacht wurde, wird entschädigungsfähig sein.

Der Richtlinienentwurf erweitert erheblich die Liste der Wirtschaftsakteure, die für den durch das fehlerhafte Produkt verursachten Schaden haftbar gemacht werden können. So können neben dem Hersteller des fehlerhaften Produkts oder Bauteils dieses Produkts zum Beispiel auch:

• der Importeur des fehlerhaften Produkts oder Bauteils dieses Produkts;
• der Bevollmächtigte des Herstellers;
• und, wenn es keinen in der EU niedergelassenen Importeur oder Bevollmächtigten gibt, der Dienstleister für die Auftragsausführung

haftbar gemacht werden.

Wenn keiner dieser Wirtschaftsakteure ermittelt werden kann, kann der Verbraucher sogar gegen jeden ermittelten Händler vorgehen.

Eine erleichterte Beweislast

Der europäische Gesetzgeber berücksichtigte auch Herausforderung, die die Beweislast für einen Verbraucher darstellen kann. So lautet die neue, in Artikel 9 aufgestellte Regel nunmehr, dass, wenn der Kläger (Verbraucher) ausreichende Tatsachen und Beweismittel zur Plausibilisierung seines Schadenersatzanspruchs vorgelegt hat, der Beklagte verpflichtet ist, die dem Beklagten zur Verfügung stehenden relevanten Beweismittel offenzulegen. Diese Grundsatzregel wird jedoch durch zahlreiche Bedingungen ausgeführt, da die vom Beklagten verlangten Informationen auf das Notwendige beschränkt und verhältnismäßig sein müssen und nicht gegen das Geschäftsgeheimnis verstoßen dürfen.

Darüber hinaus schafft die Richtlinie eine Vermutung für die Fehlerhaftigkeit komplexer technologischer Produkte. Tatsächlich sieht Artikel 10 vor, dass ein nationales Gericht von der Fehlerhaftigkeit des Produkts oder dem ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beidem ausgeht, wenn trotz der Offenlegung von Beweismitteln:

• es für den Kläger insbesondere aufgrund der technischen oder wissenschaftlichen Komplexität übermäßig schwierig ist, die Fehlerhaftigkeit des Produkts oder den ursächlichen Zusammenhang zwischen dessen Fehlerhaftigkeit und dem Schaden oder beides zu beweisen, und
• der Kläger nachweist, dass es wahrscheinlich ist, dass das Produkt fehlerhaft ist oder dass ein ursächlicher Zusammenhang zwischen der Fehlerhaftigkeit des Produkts und dem Schaden besteht, oder beides.

Wann ändert sich die französische Gesetzgebung?

Eine EU-Richtlinie gilt, anders als eine Verordnung, nicht direkt in der innerstaatlichen Rechtsordnung der Mitgliedsstaaten. Das bedeutet, dass diese sie innerhalb einer bestimmten Frist in ihr Rechtssystem umsetzen müssen. Der Entwurf spricht hier von 24 Monaten nach Inkrafttreten der Richtlinie.

Derzeit befindet sich der Entwurf am Ende des EU-Gesetzgebungsverfahrens, da der Rat der EU ihn am 10. und 11. Oktober 2024 genehmigt hat. Die Richtlinie sollte daher in Kürze im Amtsblatt veröffentlicht werden und am 20. Tag nach ihrer Veröffentlichung in Kraft treten. In Anbetracht der Frist, die den Staaten für die Umsetzung eingeräumt wurde, kann man daher davon ausgehen, dass die neuen Regeln aus dieser Richtlinie in Frankreich spätestens im Laufe des Jahres 2027 in Kraft treten werden.

Das allgemeine französische Delikthaftungsrecht

Rechtsquelle

Artikel 1240 ff. Code civil

Wer darf diese Deliktshaftung in Anspruch nehmen?

Im sogenannten Deliktsrecht darf ein Geschädigter klagen, auch wenn er zum Hersteller gar keine Vertragsbindung hat.

Wann greift das allgemeine französische Delikthaftungsrecht?

Es ist grundsätzlich eine verschuldensabhängige Haftung für eine Pflichtverletzung, in der Regel die Verletzung einer Sicherheitspflicht (obligation de sécurité). Es gibt außerdem spezielle Voraussetzungen für den Fall, dass ein Mitarbeiter des Herstellers/Verkäufers eine Pflicht verletzt.

1. Ein Schaden ist entstanden: Hierunter fallen materielle sowie immaterielle Schäden. Die Kategorien von Schäden sind sehr vielfältig: So kann z.B. eine Person einen Vermögensschaden erleiden. Es handelt sich hierbei um eine in Geld bewertbare Schädigung des Vermögens: Beschädigung eines Gegenstands, Umsatzeinbußen. Sie kann auch einen immateriellen Schaden davontragen (z. B. Verletzung der Privatsphäre, Schmerz über den Verlust eines Haustieres). Es kann sich auch um eine Verletzung der körperlichen Unversehrtheit handeln. Denkbar sind sichtbare Körperverletzungen, aber auch Funktionsstörungen, die mit dem Schaden zusammenhängen (Verlust der Empfindsamkeit, Lähmung usw.).
2. Die Pflichtverletzung durch einen Schädiger: Der sogenannte „Schädiger“ muss schuldhaft eine ihm obliegende Pflicht verletzt haben. Hierbei wird ein Sorgfaltsmaßstab herangezogen, an welchem er sich orientieren soll. Dementsprechend meint eine Pflichtverletzung des Schädigers einen Verstoß gegen eine gesetzlich vorgeschriebene Verhaltensregel oder einen Verstoß gegen die allgemeine Sorgfaltspflicht. Insofern wird unter schuldhaftem Verhalten des Schädigers vorsätzliches oder fahrlässiges Handeln verstanden. Vorsätzliches Handeln setzt grundsätzlich voraus, dass der Schädiger wissentlich und/oder willentlich eine ihm obliegende Pflicht verletzt hat. Dahingegen liegt fahrlässiges Handeln vor, wenn der Schädiger eine ihm obliegende Sorgfaltspflicht außer Acht lässt. Dies kann z.B. eine unterlassene Informationspflicht sein.
3. Die Pflichtverletzung durch einen Anderen oder Angestellten: Wird die Pflichtverletzung auf ein unachtsames Verhalten eines Angestellten zurückgeführt, so haftet der Geschäftsführer auch für dessen schuldhaftes Verhalten. Das ist ein bedeutender Unterschied zum deutschen Deliktsrecht. Nach §831 BGB kann sich nämlich der deutsche Geschäftsführer aus der Verantwortung ziehen, wenn er beweist, dass er den Angestellten sorgfältig ausgewählt und überwacht hat. Im französischen Deliktsrecht haftet der Geschäftsführer unabhängig davon, ob er den Angestellten sorgfältig ausgewählt und überwacht hat. Vorausgesetzt jedoch, es besteht eine Verbindung zwischen der Pflichtverletzung und der beruflichen Funktion.
4. Die Pflichtverletzung des Schädigers ist kausal für den Schaden: Der Schaden muss unmittelbar aus der Pflichtverletzung herrühren. Bei der verschuldensunabhängigen Haftung entscheiden sich die Richter für die adäquate Kausalität, was bedeutet, dass nur die entscheidende Ursache des Schadens berücksichtigt wird. Bei der verschuldensabhängigen Haftung berücksichtigen die Richter alle Ursachen, unabhängig von ihrer Bedeutung, die zur Entstehung des Schadens beigetragen haben. Würde man sich also vorstellen, dass die Pflichtverletzung nicht vorgenommen worden wäre und wäre der Schaden dann gerade nicht eingetreten, so fehlt die sog. Kausalität. Ebenso wenn der Schaden unabhängig von der Pflichtverletzung eingetreten wäre, weil er andere Ursachen hat. In diesem Fall würde kein Anspruch auf Schadensersatz bestehen.

Beweislast

Die geschädigte Person muss beweisen, dass der Schädiger den Schaden durch eine Pflichtverletzung verschuldet hat, dass ein Schaden vorliegt und dass zwischen den beiden Voraussetzungen ein Kausalzusammenhang besteht. Ohne Beweise kann der Anspruch im Fall des Bestreitens durch den vermeintlichen Schädiger nur abgelehnt werden.

Kann man diese Deliktshaftung beschränken, um das Herstellerrisiko zu minimieren?

• Der Grundsatz lautet: Nein. Da die Deliktshaftung im französischen Recht unabhängig von vertraglichen Grundlagen besteht, kann sie auch grundsätzlich nicht mittels vertraglicher Regelungen beschränkt oder ausgeschlossen werden;
• Ausnahmen sind begrenzt möglich, da der Gesetzgeber und die Rechtsprechung die Wirksamkeit dieser Art von Klauseln zur Beschränkung der Delikthaftung (mit Ausnahme von Körperschäden) zu befürworten scheint.

Wann ist der Anspruch wegen Deliktshaftung verjährt?

Die Regelverjährungsfrist im Deliktsrecht beträgt 5 Jahre bei Sachschäden und 10 Jahre bei Körper- bzw. Personenschäden. Die Verjährungsfrist beginnt dann zu laufen, wenn der Geschädigte Kenntnis von seinem Anspruch erlangt bzw. hätte erlangen müssen.

Das Mängelgewährleistungsrecht aus dem Kaufvertrag

Die Produkthaftung aus dem Deliktsrecht erlaubt es, Schäden zu ersetzen, die durch ein Produkt oder eine Pflichtverletzung verursacht wurden, aber nicht den Ersatz von Schäden an dem Produkt selbst. Der Käufer, auch als Glied in einer Reihe von Kaufverträgen, kann daher ergänzend folgende Mängelgewährleistungsansprüche geltend machen:

• Schäden an der Sache selbst, also der sog. schädigenden Sache, ersetzt bekommen
• eine Kaufpreisminderung durchsetzen
• eine neue Sache erhalten
• eine Rückabwicklung des Kaufvertrags durchsetzen

Rechtsquelle

Artikel 1641 bis 1649 Code civil 

Wer darf diese Haftung aus dem Kaufrecht in Anspruch nehmen?

Die Haftungsbestimmungen aus dem Kaufrecht gelten nur zwischen dem Käufer und dem Verkäufer, sie wirken sich nicht auf Dritte aus und grundsätzlich nicht auf den Hersteller. Daher ist nur der direkte Käufer berechtigt, Ansprüche geltend zu machen, bis auf die Ausnahme der Direktklage, mit welcher ein Endkunde gegen den Hersteller vorgehen kann.

Wann greift das französische Kaufrecht bei einem Produktfehler?

Es ist eine vertragliche Haftung. Sie greift, wenn diese beiden Voraussetzungen vorliegen:

1. Versteckter Mangel an der Sache: Der Verkäufer für sog. versteckte Mängel einer Sache („vice caché“). Hierbei sind diejenigen Mängel gemeint, welche die Sache für den bestimmungsgemäßen Gebrauch ungeeignet machen oder diesen Gebrauch so beeinträchtigen, dass der Käufer sie nicht erworben oder weniger bezahlt hätte, wenn er den Mangel gekannt hätte. Vorsicht: die Rügepflicht ist in Frankreich nicht streng, so dass die Fälle der versteckten Mängel häufiger als in Deutschland vorkommen.
2. Mangel vorhanden beim Zeitpunkt des Eigentumsübergangs an der Sache: Der Mangel muss in der Sache selbst zu finden sein, bzw. ihr anhaften. Weiterhin muss der Käufer den Mangel erst nach Vertragsschluss entdeckt haben. Insofern muss der Mangel dergestalt sein, dass er nicht ohne Weiteres für den Käufer bereits beim Kauf erkennbar gewesen wäre. Wichtig hierbei: Handelt es sich bei dem Käufer um bei dem Käufer um einen gewerblichen Käufer, so wird ein strengerer Maßstab an die mögliche Erkennbarkeit des Mangels herangezogen. Dies ist der Fall, weil sich der Maßstab der Erkennbarkeit an der Fachkunde des Käufers orientiert.

Beweislast

Der Käufer muss:

1. einen versteckten Mangel beweisen,
2. der bereits beim Verkauf vorhanden war
3. und die Sache für ihren Zweck ungeeignet macht.

Worauf hat der Käufer Anspruch?

1. Kaufpreiserstattung gegen Rückgabe der Sache (sog. action rédhibitoire) oder
2. Erstattung eines Teils bzw. des ganzen Kaufpreises (sog. action estimatoire);
3. Schadensersatz: Darüber hinaus haftet der Verkäufer auch für sämtliche weitere Schäden, die dem Käufer aufgrund der mangelhaften Sache entstanden sind, sofern der Verkäufer von dem Mangel Kenntnis hatte. Für den sog. bösgläubigen Verkäufer gilt demnach ein größerer Haftungsumfang.

Kann man diese Haftung aus dem Kaufvertrag beschränken, um das Herstellerrisiko zu minimieren?

Die Parteien können zwar auch vertragliche Haftungsbeschränkungen vereinbaren, nach Art. 1643 Code civil. Allerdings ist hierbei zu beachten, dass diese Einschränkungen dann nur im B2B-Bereich gelten, sofern Verkäufer und Käufer den gleichen Kenntnisstand bezüglich der Kaufsache haben. Andernfalls kann die vertragliche Haftungsbeschränkung durch das Gericht für unwirksam erklärt werden.

Wann ist der Anspruch wegen Sachmangels im Kaufrecht verjährt?

Die Verjährungsfrist im Kaufrecht beträgt 2 Jahre. Sie beginnt ab dem Zeitpunkt, ab dem der Käufer den Mangel an der Sache entdeckt. In diesem Zeitraum muss der Käufer seinen Anspruch auf Mängelgewährleistung gegen den Verkäufer geltend machen.

Die Durchgriffshaftung

Rechtsquelle

Artikel 1341-3 Code civil in Verbindung mit Art. 1641 Code civil

Wer darf diese Durchgriffshaftung in Anspruch nehmen?

Die sog. „action directe“ (direkter Anspruch des Käufers) bietet dem Gläubiger (also dem Endkäufer bzw. einem Käufer in der Kette) einen Anspruch direkt gegen „den Schuldner seines Schuldners“ (also den ersten Verkäufer in einer Kette von Kaufverträgen oder irgendeinen Verkäufer), auch wenn dieser nicht sein Vertragspartner war.

So hat beispielsweise der Verkäufer A das Produkt an den Verkäufer B verkauft. Der Kunde C erwirbt das Produkt beim Verkäufer B und stellt kurze Zeit später einen Mangel am Produkt fest. Anstatt dass der Kunde C nun seine vertraglichen Mängelgewährleistungsrechte gegenüber dem Verkäufer B geltend macht, kann er diese auch direkt gegenüber dem ursprünglichen Verkäufer A geltend machen. Die Geltendmachung von vertraglichen Haftungsansprüchen erfolgt damit im Wege der sog. Durchgriffshaftung („action directe“). Der Kunde C überspringt seinen Vertragspartner und kann dem ursprünglichen Verkäufer A seinen Vertrag entgegenhalten.

Diese Situation ähnelt den Regelungen des Produkthaftungsrechts. Allerdings mit dem Unterschied, dass der Endkunde keine gesetzlichen Voraussetzungen erfüllen muss, sondern sich auf seine individuellen Vertragsbedingungen berufen kann. Dementsprechend kann er aber im Rahmen dieser Haftung auch nur die vertraglich vorgesehenen Mängelrechte geltend machen. Eine vertragliche Haftungsbeschränkung zwischen dem Endkunden und seinem Vertragspartner zugunsten des Vertragspartners wirkt daher auch zugunsten des ursprünglichen Verkäufers. Der Anspruch aus dem Produkthaftungsrecht hingegen ist gesetzlich geregelt und nicht vertraglich einschränkbar.

4. Haftungsrecht gegenüber gewerblichen Vertragspartnern

Die französischen Produkthaftungsregeln sind auch dann anwendbar, wenn es sich bei den Parteien um Unternehmer im B2B-Geschäft handelt. Dahingegen ist beispielsweise nach deutschem Recht die Produkthaftung nur zwischen Hersteller-Unternehmer und Käufer-Verbraucher anwendbar. Damit ist die Rechtsprechung in Deutschland eng angelehnt an die europäische Vorgabe, wonach eine beschädigte Sache nur zu ersetzen ist, wenn diese privaten Zwecken dient.

Das europäische Recht setzt ebenfalls nicht voraus, dass die Produkthaftung auch zwischen zwei Unternehmern gelten soll. Da hier das französische Recht also mehr umfasst, als das europäische Recht vorsieht, kann die Produkthaftung im französischen Recht vertraglich beschränkt werden. Ein Hersteller-Unternehmer kann daher mit einem Käufer-Unternehmer vereinbaren, dass der Hersteller-Unternehmer nicht nach dem Produkthaftungsrecht haftet.

Die Möglichkeit dieser vertraglichen Beschränkung kann jedoch nur für Sachschäden vereinbart werden. Für Personenschäden ist eine solche Beschränkung unwirksam. Außerdem gilt die vertragliche Vereinbarung über eine Haftungsbeschränkung nur zwischen den Vertragsparteien. Nimmt also ein Käufer-Verbraucher den Hersteller-Unternehmer wegen deliktsrechtlicher Produkthaftung direkt in Anspruch, ohne sich zunächst an den (Zwischen-)Käufer-Unternehmer zu halten, gilt die vereinbarte Haftungsbeschränkung nicht gegenüber dem Käufer-Verbraucher.

5. Produkthaftung des Herstellers der Produktkomponente gegenüber dem Hersteller des Endprodukts

Wenn es sich um ein Produkt handelt, das aus verschiedenen Bauteilen besteht, stellt sich die Frage, wie die Haftungsverteilung der einzelnen Hersteller vorzunehmen ist. In dieser Konstellation unterscheidet das Gesetz zwischen dem Hersteller einer Produktkomponente und dem Hersteller des Endprodukts.

Der geschädigte (End-)kunde, bei dem der Schaden aufgetreten ist, kann beide Hersteller in Anspruch nehmen. Die beiden Hersteller haften ihm gegenüber als Gesamtschuldner. Untereinander haften sie jedoch je nach Mitverschuldensanteil. Mehr zum Thema Verteilung der Haftung der Hersteller in der Produkthaftung.

6. Das Beweisverfahren in Frankreich

Um Beweise zu erbringen, gibt es in Frankreich ein Beweisverfahren, in welchem Beweise förmlich beantragt werden können, um sie dann im Hauptverfahren der gegnerischen Partei entgegenhalten zu können.

Bevor der eigentliche Rechtsstreit um die Haftung wegen des fehlerhaften Produkts stattfindet, wird ein sogenanntes „Vorverfahren“ geführt: Das Beweisverfahren („mesure d’instruction in futurum“) der französischen Zivilprozessordnung. Zwar kann das Beweisverfahren auch noch während des Streitverfahren geführt werden, jedoch können die Erfolgsaussichten der Hauptsache im Vorverfahren kostengünstiger ausgewertet werden. Fällt das selbstständige Beweisverfahren nämlich positiv für den Antragsteller aus, so liegt die Wahrscheinlichkeit nahe, dass er auch das Hauptverfahren gewinnen wird.

So kann beispielsweise im selbstständigen Beweisverfahren ein Sachverständigengutachten beantragt werden. Der Sachverständiger wird oftmals bestellt, um insbesondere Folgendes festzustellen:

1. Ob tatsächlich ein Produktfehler vorliegt;
2. Um welche Art von Produktfehler es sich handelt;
3. Wer diesen Fehler verursacht hat;
4. Ob der Fehler einen Schaden verursacht hat und
5. Wie hoch der aus dem Produktfehler entstandene Schaden ist.

Im Hauptverfahren kann der Kläger dann den Hersteller auf Zahlung von Schadensersatz verklagen, ohne dass er ein großes Prozessrisiko eingehen muss, da bereits alle notwendigen Fakten im Rahmen des vorherigen Beweisverfahrens geklärt worden sind. Um ein Gerichtsverfahren zu vermeiden und die Kosten für alle Parteien zu begrenzen, kann auch eine Vergleichsvereinbarung getroffen werden.

Um sich gegen die Haftungsrisiken abzusichern, gibt es die Möglichkeit eine Produkthaftungsversicherung abzuschließen. Die typischen Fehler des Produkts und das Verschulden des Herstellers werden in der Regel versichert, wie z.B. auch den Beratungsfehler des Herstellers, der oft vorkommt.

Die Produkthaftungsversicherung kann je nach Versicherungspolice die folgenden Kosten decken:

1. Verteidigungskosten, einschl. Rechtsanwaltskosten (wobei die Wahl des Anwalts frei bleibt). Anzumerken ist, dass die Gerichtskosten in Frankreich bescheiden sind;
2. Sach- und Personenschäden mit Grenzen der Haftungssumme.

Entsteht ein Sach- oder Körperschaden durch ein mangelhaftes Produkt, so kann sich der Hersteller im Vorhinein gegen eine solche Inanspruchnahme versichern.

Natürlich sollte vor Abschluss einer solchen Produkthaftungsversicherung genau darauf geachtet werden, was von der Versicherungsdeckung ausgeschlossen wird. Wenn z.B. eine weltweite Produkthaftungsversicherung die Versicherung der Betriebsstätten im Ausland ausschließt, kann es passieren, dass der Versicherte sich unbewusst in dieser Situation befindet und daher gar keine Produkthaftungsversicherung hat.

Ferner ist stets zu beachten, dass wenn der Hersteller einen außergerichtlichen Vergleich über die Produkthaftung abschließt, die Produkthaftungsversicherung auf jeden Fall zu Rate gezogen werden sollte.

7. Praxistipps

Tipps vor dem Produkthaftungsfall

Sorgfältige Überarbeitung Ihrer Verträge

Achten Sie darauf, dass Sie

• einen ausschließlichen Gerichtsstand vereinbart haben, damit Sie im Streitfalle wissen, welches Gericht in welchem Land zuständig ist;
• bestimmen, welches nationale Recht im Streitfall anwendbar sein soll;
• eine zulässige Haftungsbeschränkung hinzufügen, die auch für Frankreich gilt, weil das französische Produkthaftungsrecht trotz Anwendung des deutschen Rechts eine Rolle spielen könnte;
• die Schadensminderungspflicht vereinbaren;
• das Produkthaftungsrecht für gewerbliche Käufer im Falle von Sachschäden (Unternehmer-Käufer) ausschließen.

Prüfung Ihrer Deckungskonditionen der bestehenden deutschen Produkthaftungsversicherung für den Verkauf nach Frankreich

Tipps bei Geltendmachung von Ansprüchen von Geschädigten

• Prüfen Sie Ihre Dokumentation im Hinblick auf die Voraussetzungen der Produkthaftung in Deutschland und in Frankreich;
• Überlassen Sie die Handhabung der Kommunikation nicht jemandem im Unternehmen, der die rechtliche Thematik der Produkthaftung gar nicht versteht und daher gravierende Fehler machen könnte;
• Holen Sie sich rechtlichen Rat von deutsch-französischen Rechtsanwälten, um die größten Fallstricke zu vermeiden. Dies wird Sie im Ergebnis weniger kosten als wenn Sie in diesem frühen Stadium sparen wollen. 

8. Fazit

Verkaufen Sie Produkte oder Produktbestandteile nach Frankreich, ist es unerlässlich, die Grundzüge des französischen Rechts zum Thema Produkthaftung zu verstehen, weil Sie die Berührung mit dieser Rechtsordnung nicht unbedingt vermeiden können.

Es ist nicht auszuschließen, dass trotz Vereinbarung des deutschen Rechts und Zuständigkeit der deutschen Gerichte, Sie sich als Hersteller doch vor einem französischen Gericht nach französischem Recht verteidigen müssen.

Frankreich hat keine amerikanischen Verhältnisse, was das Produkthaftungsrecht angeht, da die europäischen Regeln gelten. Aber die Fallstricke sind zahlreich und eine Kritik der Produkte durch den französischen Partner oder Endnutzer sollte nie auf die leichte Schulter genommen werden.

Françoise Berton, französische Rechtsanwältin

Alle Urheberrechte vorbehalten

Bild: MediaM

Fall von “Autsch”, aber heftig. Die Itsmydata GmbH betreibt ein Webportal, über das Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einholen können. Lilith Wittmann hat sich das zunutze gemacht, um die Bonität von Jens Spahn mal wieder abzufragen.

Was macht die Itsmydata GmbH?

Die Itsmydata GmbH ist ein in München residierendes Unternehmen, welches über ein gleichnamiges Portal Mietern gegen “Geld und gut Worte” das Erstellen einer “Mieter-Mappe” ermöglicht. Mit dieser Mappe, die “Wohnungsunterlagen” enthält, soll sich ein Mietinteressent gegenüber einem Vermieter bezüglich der Bonität ausweisen können.

Das Webportal ermöglicht Kunden Bonitätsauskünfte von Auskunfteien wie Creditreform Boniversum, Experian oder Schufa einzuholen und in der “Hausmappe” bereitzustellen. Das Versprechen des Unternehmens: “Sicheres Datenkonto. Bei itsmydata kannst du kostenlos deine Daten sicher speichern. Sie sind einzelverschlüsselt und nur du kannst auf sie zugreifen.”

Ich konnte mir nicht verkneifen, die Werbung von itsmydata auf X.com per Screenshot zu dokumentieren.

Die versprechen “mir als Mieter” also die Macht über meine Daten auf Basis der DSGVO zurück zu geben. Der informierte Zeitgenossen weiß “wo DSGVO drauf steht, ist oft was anderes drin”. Aber der Geschäftsführer von Haus & Grund jubelt, dass die itsmydata Mietermappe ein echter Vorteil für Mieter sei – ein großer Schritt in den digitalen Abgrund – vornehm als “digitale Vermietung” betitelt. 

Wittmann: Frag doch mal nach

Lilith Wittmann hat dieses Angebot so interessant gefunden – keine Ahnung, ob sie eine Wohnung sucht oder zu vermieten hat – dass sie das alles etwas genauer unter die Lupe genommen hat. Schnell ein Konto bei itsmydata erstellt und verifizieren lassen. Und schon konnte es losgehen – nicht mit der Mietermappe, sondern mit der Bonitätsauskunft von fremden Daten. 

Lieblings-Interessent von Wittman ist unser Ex Gesundheitsminister Jens Spahn – keine Ahnung, warum sie einen Narren an dem gefressen hat. Aber im Juli 2023 hatte sie über die App Schufa-Tochter Bonify die Bonitätsdaten von Herrn Spahn anzeigen lassen.

Ich hatte dies im Beitrag Schufa Bonify-App: Sicherheitslücke ermöglicht beliebige Daten abzufragen hier im Blog aufgegriffen. Aber erinnerungsmäßig gibt es einen Film mit dem Titel “Mach’s noch mal Sam …”, scheint Wittmann auch zu kennen.

Jedenfalls hat sie im Portal von itsmydata dann mal nach Jens Spahn gefragt – dessen Meldeadresse hat sie ja. DSGVO hin, DSGVO her, sowohl Creditreform/Boniversum als auch Experian haben dann die Daten herausgerückt (siehe obiger Screenshot von X oder auf Mastodon). Also Pustekuchen mit dem itsmydata-Versprechen “Du hast die Kontrolle über deine Daten”, denn ich kann mir nun nicht vorstellen, dass her Spahn zugestimmt hat, dass die Daten von Litlith Wittmann eingesehen werden können.

Sprich: Ein weiteres Beispiel, wo ein Portal ein Versprechen abgibt, das aber wegen Implementierungsproblemen nicht einhalten kann. Mit Hilfe der angezeigten Daten konnten auch die Zertifikate auf dieser Webseite überprüft werden.

Wittmann empfiehlt itsmydata das Portal abzuschalten. Ein Gutes hat die Sache – wir wissen jetzt, dass die Bonitätsdaten von “Jens Spahn” besser geworden sind. Insgesamt ist das alles “nicht gut” – und der oben bejubelte Schritt in Richtung digitale Vermietung ist ein weiterer Schritt in den digitalen Abgrund.

Ergänzung: Wittman scheint noch nichts zu den Details veröffentlicht zu haben. Aber ich Golem hat hier noch einige Erläuterungen veröffentlicht. Wittmann hat keine Details zur Schwachstelle veröffentlicht, aber gegenüber Golem gab sie an, dass es im Grunde die gleiche Sicherheitslücke wie bei Bonify gewesen sei, die aber leichter ausnutzbar war. Da freuen wir uns doch auf die Digitalisierung. Und dem Open-Data-Ansatz sind wir ein Stückchen näher gerückt – “wir haben ja nix zu verbergen”.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.

[English]Ich stelle mal eine Information in den Blog, die mir von einem Leser zugegangen ist (danke dafür). Kunden, die Fortinet-Produkte von der Telekom mit administrieren lassen, sind vermutlich von einer Schwachstelle im FortiManager tangiert. Die Telekom informiert Kunden über einen möglichen Datenabfluss über deren zentrale Admin-Oberfläche für Fortigate.

Fortinet SASE der Telekom

Die Deutsche Telekom bietet für Business-Kunden SD-WAN auf Basis Fortinet an und wirbt mit einer “umfassenden Sicherheitsstrategie für die Digitalisierung Ihres Netzwerkes”.

Telekom SD-WAN auf Basis Fortinet ist Bestandteil des voll integrierten Security Ökosystems mit einem zentralen Management, wirbt der Anbieter – also eine Lösung aus einer Hand, wo sich der Kunde nicht um die Fortinet-Infrastruktur kümmern muss.

FortiManager-Schwachstelle CVE-2024-47575

Zum 30. Oktober 2024 hat Fortinet den Sicherheitshinweis Fortinet Updates Guidance and Indicators of Compromise following FortiManager Vulnerability Exploitation zum FortiManager veröffentlicht.

Fortinet hat seinen Sicherheitshinweis zu einer kritischen FortiManager-Schwachstelle (CVE-2024-47575) aktualisiert und dabei zusätzliche Umgehungsmöglichkeiten und Kompromissindikatoren (IOCs) hinzugefügt. Ein nicht authentifizierter Cyber-Bedrohungsakteur könnte diese Schwachstelle remote ausnutzen, um Zugriff auf sensible Dateien zu erhalten oder die Kontrolle über ein betroffenes System zu übernehmen. Fortinet hatte Mitte Oktober 2024 Patches zum Schließen der Schwachstelle veröffentlicht.

Es hat bei der Telekom gescheppert

Ein Blog-Leser, der Kunde bei der Deutsche Telekom ist und die obige Fortinet-Lösung nutzt, hat sich per E-Mail bei mir gemeldet (danke dafür). Er wurde von der Telekom zum 7. November 2024 über “einen Datenabfluss” informiert. Der Meldung entnehme ich, dass Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat.

Laut Telekom-Mitteilung wurde der Patch zum Schließen der Schwachstelle unmittelbar, d.h. bereits am 24. Oktober 2024, installiert. Aber es gab eine Kompromittierung, die die Telekom auf Grund eigener forensischer Untersuchungen festgestellt hat.

Bereits rund einen Monat (am 22. und 23. September 2024) bevor Fortinet seine Schwachstelle veröffentlicht hat, sind zwei unautorisierte Zugriffe auf den zentralen FortiManager der Deutsche Telekom erfolgt. Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Fortinet hat die Telekom informiert, dass die Angreifer auf folgende Daten zugegriffen haben können:

• Admin Users Accounts
• Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
• VPN Pre-Shared Keys
• Local user accounts
• TACACS Key
• LDAP / Active Directory Passwords
• RADIUS Secret Keys
• SNMP Secrets
• OSPF/BGP Neighbour Passwords
• Wireless SSID / Mesh Keys
• Passwords stored inside automation stitches
• PPPoE Passwords
• SMTP Passwords
• HA Pre-shared Keys Cluster Password
• Konfigurationsdaten der Firewall

Also quasi die Kronjuwelen der Kunden. Die Telekom schreibt: “Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.”

Die Telekom fordert Kunden zur Sicherung der Firewalls auf, alle oben genannten Passwörter und Schlüssel auf der Kunden-Firewall (sofern diese die Firewall selbst administrieren) zu ändern. Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führt diese die notwendigen Maßnahmen in Abstimmung mit den Kunden durch. Die Telekom gibt an, bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert zu haben.

Mitteilung der Deutsche Telekom – Information über Maßnahmen zur Schließung der Sicherheitslücke Fortinet FortiManager

Sehr geehrte Damen und Herren,

seit unser Lieferant Fortinet am 23. Oktober 2024 eine Sicherheitslücke in Bezug auf das Produkt FortiManager gemeldet und einen entsprechenden Patch bereitgestellt hat, beobachten wir die Situation sehr aufmerksam. Zwar haben wir diesen Patch – wie vom Hersteller empfohlen – unmittelbar am 24. Oktober entsprechend eingesetzt. Aus heutiger Sicht möchten wir Sie dennoch bitten, unverzüglich weitere Maßnahmen zu ergreifen.

Wir haben mit eigenen forensischen Untersuchungen festgestellt, dass bereits rund einen Monat bevor Fortinet seine Schwachstelle veröffentlicht hat, zwei unautorisierte Zugriffe auf unseren zentralen FortiManager erfolgt sind (22. und 23. September 2024). Dafür wurde die mittlerweile geschlossene Sicherheitslücke genutzt. Bei diesen Zugriffen könnten auf dem zentralen System abgespeicherte Informationen abgeflossen sein. Wir haben Fortinet hierzu kontaktiert. Das Unternehmen gibt an, dass es sich dabei um folgende Daten handeln könnte:

Admin Users Accounts
Certificate’s private key and password (In case of ssl offloading/deep inspection/ipsec auth)
VPN Pre-Shared Keys
Local user accounts
TACACS Key
LDAP / Active Directory Passwords
RADIUS Secret Keys
SNMP Secrets
OSPF/BGP Neighbour Passwords
Wireless SSID / Mesh Keys
Passwords stored inside automation stitches
PPPoE Passwords
SMTP Passwords
HA Pre-shared Keys Cluster Password
Konfigurationsdaten der Firewall

Da die Firewall-Komponenten, die wir für Sie betreiben, über den zentralen FortiManager administriert werden, werden wir maximale Vorsicht walten lassen und sämtliche Eventualitäten ausschließen.

Um Ihre Firewall vor unautorisierten Zugriffen zu schützen, ändern Sie bitte alle der oben genannten Passwörter und Schlüssel auf Ihrer Firewall (sofern Sie Ihre Firewall selbst administrieren). Sollten diese Passwörter und Schlüssel auch an anderer Stelle verwendet worden sein, sind diese ebenfalls zu ändern.

Für alle Firewalls, die durch die Telekom administriert werden, führen wir die notwendigen Maßnahmen in Abstimmung mit Ihnen durch.

Wir haben unsererseits bereits sämtliche User Accounts für alle Firewalls erneuert, die administrativen User Accounts für den zentralen FortiManager, sowie für die Radius-Zugänge geändert.

Nähere Details über diese Sicherheitslücke finden sich hier oder hier.

[English]Die Liste der Bugs, die mit Windows 11 24H2 Einzug gehalten haben, wird länger. Nutzer haben mich bei einem der letzten Beiträge auf einen Bug im Explorer hingewiesen, der die Bedienung ggf. erschwert. Klickt man in der Multifunktionsleiste auf das Drei-Pünktchen-Symbol öffnet sich zwar ein Menü, aber nach oben – und die Befehle werden abgeschnitten. Es gibt aber einen Workaround.

Der Bug im Detail erklärt

Ruft man den Explorer in Windows 11 auf, wird am rechten Rand der Symbolleiste das Symbol mit den drei Pünktchen angezeigt (siehe folgendes Bild). Über dieses Symbol lässt sich ein Menü einblenden, über welches sich Befehle abrufen oder auf das Eigenschaftenfenster mit den Einstellungen zugreifen lässt.

Soweit so normal. Zum Problem wird das Ganze in Windows 11 24H2 aber durch einen Bug, der dazu führt, dass sich das Menü nach oben öffnet.

Ich habe es mal in einer virtuellen Maschine nachgestellt und in obigem Screenshot dokumentiert. Man sieht den Desktop samt den Verknüpfungen auf die von mir standardmäßig installierten zwei Browser – den Edge benutze ich nicht. Als ich auf die drei Pünktchen geklickt habe, öffnet sich zwar das erwartete Menü. Aber dieses wird nach oben aufgeklappt und einige der Menübefehle am oberen Rand ragen schlicht aus dem Bildschirm-Anzeigebereich heraus und werden nicht mehr angezeigt.

Doof, wenn der Explorer im Vollbildmodus betrieben wird – dann sind die Befehle nicht erreichbar. Um die Befehle zu erreichen, muss man das Explorer-Fenster weit nach unten ziehen und hoffen, dass die Bildschirmauflösung ausreicht, um alle Befehle anzuzeigen.

Problem bereits häufiger gemeldet

Blog-Leser MOM20xx hat sich zum 3. November 2204 in diesem Kommentar gemeldet und merkte an, “das es komisch sei, das noch keiner den Datei-Explorer Bug bei Microsoft anerkannt habe”. An “das haben wir noch nicht gehört” kann es nicht liegen.

Der Blog-Leser verwies beispielsweise auf den Microsoft-Answers-Forenbeitrag I have a problem with file explorer after windows 11 24h2 update, wo jemand den Bug bereits am 8. Oktober 2024 berichtet. Der Betroffene schreibt sinngemäß: “Wenn ich auf die drei Punkte klicke, öffnet das Menü nach oben. Sollte es nicht nach unten öffnen, weil die anderen Menüs auch nach unten öffnen?”

Auch im Eleven-Forum gibt es diesen Beitrag vom 6. Oktober 2024, der den Bug ebenfalls erwähnt. Dort schreibt jemand, dass er im Feedback-Hub nachgesehen habe. Das Problem wurde mit Windows 11 Version 26120.1843 gemeldet, die vermutlich eine Beta- oder Entwicklungsversion ist.

Ein weiterer Beitrag findet sich auf reddit.com (danke an MOM20xx für die Verlinkungen), der das Problem ebenfalls bestätigt. Es gibt in den verlinkten Threads Hinweise auf “Workarounds”, die bei meinen Tests aber nicht auf Anhieb funktioniert haben. Ich habe allerdings nicht allzu lange in der VM getestet. Auf reddit.com ledern die Nutzer über die zahlreichen Bugs in Windows 11 24H2 ab, und ein Teilnehmer hat einen netten Namen für diese Windows-Version gefunden: “Windows Issue Edition” – mehr ist nicht hinzuzufügen.

Es gibt Hinweise, dass Microsoft das Problem kennt und am 12. November 2024 (Patchday) fixen will.

Ein Workaround hilft

Das nach oben öffnende Menü wird (laut diesem Beitrag) durch das Feature mit der ID 51960011 verursacht. Als Workaround kann man die betreffende Funktion mittels des vivetool deaktivieren.

• Dazu ist das vivetool von GitHub herunterzuladen und in einen Ordner zu entpacken.
• Dann eine Eingabeaufforderung mit administrativen Rechten öffnen (cmd + Shift-Taste beim Aufruf drücken).
• In der Eingabeaufforderung zum betreffenden Ordner mit dem vivetool navigieren und dann folgenden Befehl eintippen:

vivetool.exe /disable /id:51960011

Wird die Meldung “Funktionskonfiguration(en) erfolgreich festgelegt” (oder ähnlich) angezeigt, Windows 11 neu starten. Im Anschluss sollte sich das Menü nach unten öffnen. Ich habe es bei mir in der VM getestet – das funktioniert.

[English]Kurze Information für Leser, die eventuell mit der Einkaufsplattform Synertrade in Geschäftsbeziehung stehen – oder auch Lieferanten, die mit Anbietern zusammen arbeiten, die Synertrade als Plattform nutzen. Es hat auf das Rechenzentrum des Systemanbieters (Synertrade, einen erfolgreichen Cyberangriff gegeben. Inzwischen veröffentlicht die Cactus Ransomware-Gruppe Daten, die beim Synertrade-Angriff abgezogen wurden. Inzwischen informieren Unternehmen, die Synertrade nutzen, ihre Kundschaft, dass Daten von Lieferanten betroffen sind.

Wer ist Synertrade?

Synertrade ist ein weltweit führender Anbieter von digitalen Beschaffungslösungen. Laut Eigenbeschreibung bietet deren Cloud-basierte Plattform Synertrade Accelerate™ einen vollständigen Überblick über den Beschaffungsprozess: vom Onboarding der Lieferanten über die Lieferantenverhandlungen, die rechtlichen Rahmenbedingungen, die Bestellung und die Rechnungsstellung bis hin zur Leistungsbewertung der Lieferanten und der Planung von Verbesserungsmaßnahmen.

Accelerate™ ermöglicht es den Verantwortlichen, so der Anbieter, im Beschaffungswesen, die Unternehmensstrategie in einer zuverlässigen und strukturierten Source-to-Pay-Plattform zu steuern, die eine durchgängige Zusammenarbeit und Steuerung zwischen den Abteilungen ermöglicht.

Es gab einen Cyberangriff

Blog-Leser Mark informierte mich gestern per E-Mail, dass es einen erfolgreichen Cyberangriff auf Synertrade gegeben haben muss und merkt an, dass es im Internet – speziell auf deren Webseite – noch keine Informationen gebe.

Mark hat aber am 29.10.2024 eine E-Mail von einem Kunden erhalten, das “seine Einkaufsplattform über Datenreichtum verfügt”. In der E-Mail heißt es: “(…) hiermit möchten wir Sie darüber informieren, dass es kürzlich einen Cyberangriff auf ein Rechenzentrum des Systemanbieters unserer Einkaufsplattform Synertrade gegeben hat.” Ich interpretiere es so, dass der Anbieter Synertrade angegriffen wurde.

Der übliche Hinweis, dass es trotz umfangreicher Sicherheitsmaßnahmen hierbei zu einem unbefugten Zugriff auf Daten gekommen ist, scheint in der Mail auch nicht gefehlt zu haben. Weiter heißt es, dass leider auch die Kontaktinformationen der Lieferanten (Vorname, Nachname, geschäftliche E-Mailadresse, gegebenenfalls Telefonnummer) von dem Vorfall betroffen sind.

Der betroffene Kunde gibt an, dass dessen internen IT- und Datenschutzverantwortlichen gemeinsam mit Synertrade mit Hochdruck daran arbeiten, die Sicherheit der Systeme zu gewährleisten und die Daten des Unternehmens und der Kunden zu schützen. Da die Daten aber abgeflossen sind, gibt es auch beim Arbeiten mit Hochdruck keine Lösung: Weg ist weg – oder stimmt das vielleicht gar nicht und die Daten sind nun nur woanders?

Der ungenannte Anbieter merkt an, dass er bei neuen Erkenntnissen die Geschäftspartner informieren möchte. Inzwischen sei die Sicherheit der Einkaufsplattform wiederhergestellt und diese könne uneingeschränkt genutzt werden, heißt es.

Angriff der Cactus-Ransomware

Es ist mir durchgerutscht, denn @HackManac hat bereits zum 16. Oktober 2024 auf X berichtet, dass die Cactus-Hackergruppe einen erfolgreichen Angriff auf Synertrade reklamiert.

Angeblich wurden 3 TB an Daten exfiltriert, darunter personenbezogene Daten, Datenbank-Backups, vertrauliche Unternehmensdokumente, Verträge, Korrespondenz, Projekte und vertrauliche Kundendaten. HackManac schreibt, dass Anhand der zur Verfügung gestellten Muster der Schluss naheliegt, dass wahrscheinlich die deutsche Niederlassung von Synertrade betroffen sei. Stimmt aber wohl nicht so ganz, wie nachfolgende Ausführungen belegen.

Der gesamte Vorfall war für mich zuerst recht mysteriös, denn bei konbriefing.com habe ich einen Eintrag vom 27. Juni 2024 gefunden. Dieser verweist auf eine französische Seite, die sich seit Juni 2024 mit dem Synertrade-Hack befasst. Eine aktualisierte Meldung La cyberattaque contre Synertrade revendiquée sous la bannière Cactus vom 18. Oktober 2024 auf lemagit.fr legt dann aber Details offen, die alles erklären.

Der französische Text besagt, dass der Ende Juni 2024 erfolgte Cyberangriff auf Synertrade am 16. Oktober 2024 auf der Leak-Seite der Ransomware-Gruppe Cactus bekannt gegeben worden sei. Dort wurden dann wohl abgezogene Daten aus dem Angriff veröffentlicht.

Das französische Medium schreibt, dass die die Kommunikationsabteilung von Econocom (eine europäische Gruppe, die die digitale Transformation von Unternehmen und öffentlichen Einrichtungen realisiert und wohl Synertrade als Plattform nutzt) einen “besonders aggressiven” Angriff beklagte.

Die Kommunikationsabteilung dieses Anbieters erklärte, dass “die Angreifer ihr Wissen genutzt haben, um einen zweiten Angriff auf unsere Systeme durchzuführen, den wir dank der seit Juli eingeleiteten Maßnahmen eindämmen konnten”. Dieser zweite Angriff führte jedoch zu einem “Datenleck, das einen Kunden betraf, der sofort informiert wurde und mit dem wir eng zusammenarbeiten”. Das Datenleck muss vor dem 27. Juni 2024 entstanden sein. Mit anderen Worten: Wenn ich das so lese, erwarte ich noch mehr solcher Meldungen.

[English]Microsoft hat das Inbound SMTP DANE mit DNSSEC für Exchange Online allgemein freigegeben, nachdem das Ganze bereits im Juli 2024 als Preview verfügbar war (siehe Exchange Online: Inbound SMTP DANE mit DNSSEC als Public Preview). Mit der neuen Funktion Inbound SMTP DANE with DNSSEC in Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards erhöht werden.

Die Ankündigung Microsofts

Mir ist das Thema über nachfolgenden Tweet untergekommen. Microsoft hat die Details zum 28. Oktober 2024 im Techcommunity-Beitrag Announcing General Availability of Inbound SMTP DANE with DNSSEC for Exchange Online veröffentlicht.

Dort freut man sich, die generelle Verfügbarkeit von Inbound SMTP DANE with DNSSEC bekannt zu geben. Die neue Funktion von Exchange Online soll die Sicherheit der E-Mail-Kommunikation durch die Unterstützung zweier Sicherheitsstandards (DANE und DNSSEC) erhöhen.

DANE und DNSSEC, was ist das?

DANE (DNS-based Authentication of Named Entities) ist ein Netzwerkprotokoll, das dazu dient, den Datenverkehr abzusichern. Das Protokoll erweitert die verbreitete Transportwegverschlüsselung SSL/TLS in der Weise, dass die verwendeten Zertifikate nicht unbemerkt ausgewechselt werden können, und erhöht so die Sicherheit beim verschlüsselten Transport von E-Mails und beim Zugriff auf Webseiten. Die Normen und Standards sind 2011 bis 2015 entstanden.

DNSSEC steht für Domain Name System Security Extensions, eine Reihe von Internetstandards, die das Domain Name System (DNS) um Sicherheitsmechanismen zur Gewährleistung der Authentizität und Integrität der Daten erweitern. Ein DNS-Teilnehmer kann damit verifizieren, dass die erhaltenen DNS-Zonendaten auch tatsächlich identisch sind mit denen, die der Ersteller der Zone autorisiert hat. DNSSEC wurde als Mittel gegen Cache Poisoning entwickelt. Es sichert die Übertragung von Resource Records durch digitale Signaturen ab. Eine Authentifizierung von Servern oder Clients findet nicht statt. Vertraulichkeit ist bei DNSSEC nicht vorgesehen, DNS-Daten werden daher nicht verschlüsselt.

Microsoft stellt das neue Feature bereit

Die beiden neuen Features stehen sofort (und kostenlos) für Exchange Online bereit. SMTP DANE verwendet einen TLS-Authentifizierungs-DNS-Eintrag (TLSA), um die Identität eines Ziel-Mailservers zu überprüfen. Die neue Funktion bietet eine sichere Verbindung zwischen dem sendenden und dem empfangenden Mailserver, die sowohl gegen TLS-Downgrade-Angriffe als auch gegen Adversary-in-the-Middle-Angriffe resistent ist.

DNSSEC verwendet kryptografische Signaturen, um sicherzustellen, dass die DNS-Einträge der Zieldomäne authentisch sind und während der Übertragung nicht manipuliert wurden. Diese beiden Standards werden kombiniert, um Spoofing, Hijacking und das Abfangen von E-Mail-Nachrichten in Exchange Online zu verhindern.

Microsoft hat Outbound SMTP DANE mit DNSSEC im Jahr 2022 veröffentlich. Im Jahr 2024 zog man mit der öffentlichen Vorschau für Inbound SMTP DANE mit DNSSEC und jetzt mit der allgemeinen Freigabe nach. Im Techcommunity-Beitrag gibt man folgende Roadmap für das Rollout an:

• Dezember 2024: Inbound SMTP DANE mit DNSSEC und MTA-STS-Reports im Exchange Admin Center.
• Dezember 2024 – März 2025: Bereitstellung von Inbound SMTP DANE mit DNSSEC für alle Consumer Outlook- und Hotmail-Domänen. Übergang der Bereitstellung von Mail-Einträgen für alle neu erstellten akzeptierten Domänen in eine DNSSEC-fähige Infrastruktur unter *.mx.microsoft
• Mai 2025: Obligatorische DANE für ausgehende SMTP-Nachrichten, die pro Tenant/pro entfernter Domäne festgelegt werden.

Anleitungen zur Implementierung in einem Tenant finden sich im Artikel How SMTP DNS-based Authentication of Named Entities (DANE) secures email communications. Ich erinnere eine Bemerkung eines Administrators zur Technical Preview, dass er dies bereits 2014 umgesetzt habe und Microsoft weitere 10 Jahre brauchte, um dies nachzuziehen.

[English]Kurze Rundfrage an die Leserschaft des Blogs, die den Adobe Reader DC einsetzen oder administrieren. Gibt es bei euch verstärkt Meldungen, dass der Reader unter Windows nach dem Aufruf vermehrt hängen bleibt und dann nicht mehr reagiert? Ich bin auf entsprechende Berichte gestoßen, habe aber noch kein klares Bild, ob das bedauerliche Einzelfälle sind.

Adobe Reader DC 2024.003.20180

Ich habe mal gerade nachgeschaut, das letzte Update des Adobe Reader DC auf die Build 2024.003.20180 erfolgte zum 3. Oktober 2024 (siehe diesen Adobe-Post, die Kollegen hier hatten es erwähnt). Die Neuerungen sind hier beschrieben – in den Release Notes der Build 2024.003.20180 wird nur der Fix 4482335 (Fehler beim Starten von Acrobat/Reader 32-Bit auf einem Windows 7-Rechner: Einstiegspunkt nicht gefunden) erwähnt.

Berichte über Freezes

Ich verwende den Adobe Reader DC nicht und verfolge dessen Updates hier im Blog auch nicht mehr. Daher bin ich mehr oder weniger per Zufall auf Problemberichte gestoßen und habe etwas recherchiert.

Bericht #1 über Freezes

Bei den Kollegen von administrator.de gibt es den Thread Adobe Reader – keine Reaktion vom 22. Oktober 2024, in dem Probleme beschrieben werden. Der Post ist recht unspezifisch (keine Versionsangabe zum Adobe Reader DC, keine Angabe zum Betriebssystem). Der Betroffen schreibt lediglich, dass er in den letzten Tagen massive Probleme mit dem Acrobad DC Reader habe. Das Fehlerbild: Der Nutzer öffnet ein PDF -Dokument und der Reader friert sofort ein. Es erfolgt keine Reaktion mehr, aber nach einer Weile funktioniert der Reader DC wieder und man kann das PDF normal weiter nutzen.

Das soll bei fast jedem PDF und auf verschiedensten Rechner (unter Windows) passieren. Im Thread bestätigen weitere Nutzer/Administratoren dieses Problem. Ein Administrator/Nutzer schrieb, dass er nun zum Microsoft Edge-Browser wechsele, da dort ein PDF-Viewer eingebaut sei. Ob es eine langfristige Lösung ist, weiß ich nicht, da Microsoft den Adobe Reader im Edge integrieren wollte.

Bericht #2 über Freezes

Im Adobe Forum gibt es den Beitrag Adobe Acrobat 24.003.20180 WIN11 – freezing problems vom 14. Oktober 2024, der sowohl die Acrobat Reader DC-Build als auch die Windows-Version mit angibt. Dort heißt es, dass der Reader beim Öffnen von PDF-Dateien direkt aus Outlook Probleme bereite.

Das Speichern auf der lokalen SSD oder auf Netzwerkfreigaben führe dazu, dass Acrobat beim Scrollen, beim Versuch zu drucken oder beim Versuch zu speichern, einfach einfriert. Auch dort bestätigen mehrere Nutzer dieses Fehlerbilds, während die Moderatoren im Adobe-Forum angeben, dass das Engineering-Team das Problem nicht nachvollziehen könne.

Mögliche Workarounds

Mir sind zwei Workarounds aus der Nutzerschaft untergekommen, die dieses Problem entschärfen sollen. Im administrator.de-Thread Adobe Reader – keine Reaktion schreibt ein Nutzer:

>wir haben zur Zeit auch wieder vermehrt Probleme. Bis zu diesem Eintrag hier sind wir davon ausgegangen, dass es wieder das “alte” Problem der Werbeeinblendungen ist (findet sich im Adobe-Forum). Zumindest bei uns hilft die gleiche Lösung:

Menü -> Neue Acrobat-Ansicht deaktivieren.

Und im Beitrag Adobe Acrobat 24.003.20180 WIN11 – freezing problems aus der Adobe-Community hat jemand gerade folgenden Fix gepostet:

Our workaround is:

1. Open Adobe (be sure to have no PDF’s open)

2. File and select “disable new acrobat”

Puts us back to the older version where these issues are not a problem!  Worked a treat.

Ist dann wohl der gleiche Workaround wie bei administrator.de. Jemand der die Probleme bestätigen kann und wo der Workaround funktioniert? Scheint irgendwie eine Dauerbaustelle zu sein, die neue Acrobat-Ansicht, da ich dieses Jahr das Thema schon mal hatte.