Begriffsdefinitionen hinterfragt

Was ist eigentlich »Stand der Technik«?

4. Februar 2019, 16:00 Uhr | Von Dr. Ralf Pfeifer

Fortsetzung des Artikels von Teil 1

Schwammige Begriffe präzisieren

Dabei muss man bedenken, dass es für das BVerfG in der Sache um einen »schnellen Brüter« ging, einen Kernreaktortyp, der erstmals in Kalkar seinen Betrieb aufnehmen sollte. Es ist leicht verständlich, dass die Wissenschaft Gefahren erkannte, die die Technik vielleicht noch nicht beherrscht hätte.

Umgekehrt nimmt das BVerfG auch dazu Stellung, warum der Gesetzgeber so schwammige Formulierungen wie »Stand von Wissenschaft und Technik« verwenden muss: Weil die Gesetzgebung nicht schnell reagieren kann, gibt der Gesetzgeber die Qualität einer Forderung mit einer der drei Definitionen vor. Die Einhaltung wird erst später im Genehmigungsverfahren (für Produkte, bei denen das erforderlich ist) von einer Behörde oder im Schadensfall von einem Gericht geprüft.

Viele Jahre später hat der Bundesgerichtshof (BGH) die Definitionen des BVerfG aufgegriffen und der Automobilindustrie im Airbag-Beschluss [12] zu verstehen gegeben, dass der »Stand von Wissenschaft und Technik« auch bei diesem Sicherheitssystem zu beachten sei. Für die Entwicklung lassen sich die Erkenntnisse so formulieren:

  • Wenn Stand der Wissenschaft und Technik erwartet wird, hilft es nicht, wenn schwächere Schutzmechanismen branchenüblich sind.
  • Eine einsatzfähige technische Lösung muss verfügbar sein. Was noch in der Erprobung ist, zählt nicht dazu.
  • Der Fokus liegt auf Systemen, von denen eine Gefahr für Menschen ausgeht. Infotainment-Systeme gehören also eher nicht zu diesen Systemen.
  • Die zugehörigen Gesetze (Produkthaftung) kennen immer nur einen Zeitpunkt, nämlich den des »Inverkehrbringens«.
  • Bleibt noch die Zumutbarkeit für den Hersteller, die eine Balance zwischen Gefahr einerseits und Auswirkung auf Herstellkosten und Absatz bietet. Aber eine zuverlässige Antwort gibt es erst im Einzel- oder Schadensfall und wird von amerikanischen Gerichten sicher anders beantwortet als von europäischen Gerichten.

Aber woher bekommt man den Stand von Wissenschaft und Technik, wenn man keine Pflanzenschutzmittel verkauft? In der Funktionalen Sicherheit könnte man auf die ISO 26262 verweisen, in der Cyber Security derzeit auf die SAE J3061.
Doch in diesem Zusammenhang schreckt der BGH mit einem älteren Urteil [13] auf, denn »Die DIN-Normen sind keine Rechtsnormen, sondern private technische Regelungen mit Empfehlungscharakter. Sie können die anerkannten Regeln der Technik wiedergeben oder hinter diesen zurückbleiben«.

Damit stuft der BGH die Normen auf »aRdT« oder noch weniger zurück, also auf das unterste und – wie aus dem Airbag-Fall bekannt – völlig unzureichende Niveau.
Aber: Was sich zunächst anhört wie eine Entwertung aller Normen (auf die besondere Erwähnung der DIN kommt es nicht an), ist ein wenig aus dem Zusammenhang gerissen. Im Urteil ging es um Lärmschutzmaßnahmen in einem Bauwerk und vom Kunden geforderte Mängelbeseitigung. Wenn man etwas genauer liest, finden sich interessante Anhaltspunkte für das Automotive-Geschäft.
Zum einen hat der BGH die Nomen als vermeintlichem Stand der Technik nur deshalb betrachtet, weil Kunde und Bauunternehmer zum Lärmschutz keine speziellen Vereinbarungen getroffen hatten. Um seine ordnungsgemäße Leistung zu verteidigen, berief sich der Bauunternehmer auf Normen, die er eingehalten habe.
Der Bauunternehmer hatte also die Lücken im Vertrag selbst interpretiert und mit Normen ausgefüllt. Daher musste der BGH diese Argumentation bewerten und stutzte die Normen zu allgemein anerkannten Regeln der Technik oder weniger herab – jedenfalls die in diesem Fall vorgetragenen Normen. Aber bezog sich das BGH pauschal auf alle Normen? Dazu später mehr.

Im Automotive-Bereich befinden sich Zulieferer dagegen häufig in der Situation, dass der Kunde (insbesondere ein OEM) selbst auf Werksnormen, internationale Normen und Gesetze verweist, die zu beachten sind. Das erleichtert zunächst die Lage des Zulieferers, denn der Kunde (OEM) füllt Lücken im Vertrag mit eigenen Normen. Ganz raus ist der Zulieferer aber nicht, denn er gilt als bester Experte seiner Produkte. Bei sicherheitsrelevanten Produkten muss er den Stand von Wissenschaft und Technik kennen und mit dem Kunden diskutieren.

Ein weiterer zentraler Punkt der BGH-Entscheidung war, dass im Bauvorhaben der Stand der Technik zum Zeitpunkt der Abnahme anzunehmen wäre, also dann, wenn alles fertig wäre. Aus Sicht des Käufers ist das eine sehr vernünftige Entscheidung, denn wenn der Bauunternehmer die Fertigstellung verzögert, weil er sich beispielsweise mit zu vielen Projekten oder unzuverlässigen Subunternehmern übernommen hat, muss sich der Kunde nicht mit einem neuen Haus bescheiden, welches nur veraltete Normen erfüllen würde.

Da Bauvorhaben ähnlich wie Automotive-Projekte von der Auftragserteilung bis zur Fertigstellung des Produktes Jahre dauern können, bedeutet dieser Punkt, dass Zulieferer sich bei Automotive-Projekten bei der Beurteilung mindestens auf den Zeitpunkt um den SOP (Abnahme durch den OEM) fokussieren sollten. Unabhängig davon verschiebt die Produkthaftung den Termin noch weiter nach hinten, nämlich zum Zeitpunkt des Inverkehrbringens.

Dennoch gibt es hier einen kleinen Unterschied: Im Automotive-Bereich gibt der Kunde einen Zeitplan vor, der meist in Stein gemeißelt ist. Der Zulieferer muss sich einfügen.

Sympol Hammer
Symbol Hammer
© Shutterstock

Unter dem Strich bleibt unklar, ob sich das BGH-Urteil, welches die unklare Ausgangslage zwischen einem gewerblichen Profi (Bauunternehmen) und einem Endverbraucher bereinigte, auf Verträge zweier Unternehmen übertragbar ist, so wie es Zulieferer und Fahrzeughersteller mit ihrer geballten Fachkompetenz sind.

Der Zulieferer hat es leichter als der Fahrzeughersteller im Geschäft mit Verbrauchern. Im Airbag-Fall ging es gerade um einen Endverbraucher und der BGH hätte eine zuverlässige Funktion des Airbags nach dem »Stand von Wissenschaft und Technik« erwartet [14]. Das kann es für den Fahrzeughersteller sehr aufwendig machen, besonders da ein Fahrzeugtyp bis zum Ende seines Lebenszyklus am fortschreitenden Stand der Technik gemessen wird.

Safety, Security und die Praxis

In der ersten Ausgabe der ISO 26262:2011 kommt »state of the art« gerade zwei Mal vor – in einer Note und einem Beispiel. In der ISO/FDIS 26262:2018 immerhin neun Mal, nämlich in drei Notes, zwei Examples und sonst als erläuternder Text in Part 11 »Guideline on application of ISO 26262 to semiconductors«.

Dabei benutzt die ISO den Begriff, erklärt aber nicht, was »state of the art« sein könnte. Daneben beschränkt sich die ISO auf Serienprodukte und auf die funktionale Sicherheit. Gefahren, die nicht durch die gewollte Funktion selbst entstehen, sind nicht im Fokus der ISO. In einem trockenen Sommer könnte also eine heiße Abgasanlage immer noch ein Waldbrandrisiko darstellen, die Norm liefert für solche Probleme keine Empfehlungen. Im Security Standard SAE J3061 fehlt der Begriff »state of the art« ganz.

In der Praxis lassen sich Entwickler von diesen Normen leiten, was zunächst dafür spricht, dass Safety und Security nur nach den anerkannten Regeln der Technik zu entwickeln wären. Bei einem genaueren Blick enthält die ISO nur in Teil 5 Annex D technische Konzepte, die jedoch informativ und nicht normativ sind. Sonst sind ISO und SAE eine Sammlung von Methoden, die der Anwender mit den neuesten Erkenntnissen füllen soll.

Ist die eben genannte Normen-Abwertung des BGH auf das Niveau von aRdT auch dann berechtigt, wenn man die ISO 26262 betrachtet? – Berücksichtigt man die Eigenheiten des Falles, den der BGH beurteilt hat, so ist die ISO nach wie vor als Anleitung zu sehen, um nach dem SvWuT zu entwickeln, sofern man immer die neuesten Methoden verwendet und beispielsweise mit neuesten Simulationswerkzeugen das Produktverhalten immer umfassender und genauer vorhersagen kann.

Welches Niveau für die Anwendungen?

Tabelle 1. Welches Niveau wofür? (Beispiele sind für ein konkretes Produkt individuell anzupassen)
Tabelle 1. Welches Niveau wofür? (Beispiele sind für ein konkretes Produkt individuell anzupassen).
© ZF Friedrichshafen

Die Cyber Security lässt derzeit große Herausforderungen erwarten, da sich Täter und Angriffsszenarien sehr viel schneller zu vermehren scheinen als man dem mit seriöser Entwicklungsarbeit folgen kann. Bei Techniken des autonomen Fahrens sollten die Maßstäbe von Wissenschaft und Technik angelegt werden, weil beim autonomen Fahren wenig auf Vorerfahrungen mit ähnlichen Systemen aufgebaut werden kann. Die Entwicklung muss sich daher neuesten wissenschaftlichen Erkenntnissen öffnen. So können die neuen Fähigkeiten implementiert werden, um diese dann mit Methoden von Safety und Security abzusichern.

Tabelle 2. Welches Niveau kann angenommen werden? (Beispiele sind für ein konkretes Produkt individuell anzupassen)
Tabelle 2. Welches Niveau kann angenommen werden? (Beispiele sind für ein konkretes Produkt individuell anzupassen).
© ZF Friedrichshafen

Als mögliche Hilfestellung, um die eigenen Anwendungen einzuordnen und das Niveau zu klären, sind zwei Tabellen sehr nützlich:

Tabelle 1 zeigt beispielhaft, wie Entwickler bewerten können, auf welchem Niveau sie entwickeln sollten. Hier sollten die Entwickler ihre Produkte ergänzen. Tabelle 2 gibt eine weitere Hilfestellung, woran man sich orientieren könnte, wenn man das einzuhaltende Entwicklungsniveau eingrenzen will.

Zugegeben, diese Tabellen lassen immer noch genug Interpretationsspielraum – aber sind die Kriterien für S, E und C in den Tabellen von ISO 26262-3 Annex B zur Bestimmung eines ASIL (Automotive Safety Integrity Level) konkreter?

Missverständnisse vermeiden

Ein wichtiger, aber gelegentlich teurer Irrtum entsteht bei der Frage, was denn in der Entwicklung eines Produktes (nicht) zu berücksichtigen sei. Aufgrund der schwammigen Definition ist dies nicht ganz einfach.

Zunächst einmal sollte gefragt werden, ob irgendeine Form von Sicherheit (Safety, Security, Produktsicherheit) betroffen ist. Falls ja, ist der Stand von Wissenschaft und Technik genau zu verfolgen, und marktfähige Verbesserungen sollten immer erwogen werden.

Aber selbst bei sicherheitsrelevanten Funktionen gibt es nicht immer Fortschritte zum Besseren, beispielsweise, wenn es um anatomisch vorgegebene Schnittstellen zum Menschen geht. Die Evolution hat uns seit mehreren tausend Jahren vergessen, daher werden Schnittstellen zum menschlichen Körper, wie z.B. die Ausformung von Sitzen oder von (Not-) Schaltern, Griffen, Taster, Lenkeinrichtungen, Pedalen in den nächsten Jahrzehnten nicht wesentlich verbessert werden können.
Ein interessantes Beispiel, das man sogar »Innovationsresistenz« im positiven Sinne nennen könnte, findet sich im Luftfahrzeugbau. So bietet Lycoming Kolbenflugmotoren wie den O 235 an, der Stoßstangen, Kipphebel und Vergaser besitzt, 1940 zugelassen wurde und sich so bis heute verkauft. Wenn ein sicherheitsrelevantes Produkt also erwiesenermaßen (wie dieser Motor) sicher ist und es keine anderen Gründe für eine Weiterentwicklung gibt – warum sollte man das Produkt an den aktuellen Stand von Wissenschaft und Technik anpassen und dadurch neue Risiken in Kauf nehmen?

Die Frage, ob nach dem aktuellen Stand von Wissenschaft und Technik entwickelt wurde, wird erst vor Gericht relevant. Stellen Sie sich vor, Sie ersetzen Ihr sicheres Produkt durch ein verbessertes Produkt, doch entgegen Ihrer besten Absichten ist es in der Hand des Kunden gefährlicher als das abgelöste Produkt. Sie haben es zwar gut gemeint, aber das Gericht wird sich vor allem mit dem gefährlichen Ergebnis auseinandersetzen!

Zuerst muss das Produkt also zuverlässig und sicher arbeiten. Wenn Ihr Produkt in Kundenhand gefährlich wird, haben Sie ein Problem, selbst wenn nach SvWuT alles richtig gemacht wurde. In allen anderen Fällen, wo kein Risiko für Mensch und Umwelt besteht, muss nicht zwingend der Stand von Wissenschaft und Technik verfolgt werden.

So stellt sich bei Normteilen die Frage, ob sinnvoller technischer Fortschritt wirklich möglich und nötig ist. Wenig Fortschritt könnte auch im Bereich der Cyber Security eine nützliche Strategie werden. Vielleicht lässt sich die Angriffsfläche kostengünstig minimieren, wenn man sich immer wieder die Frage stellt, ob dieses oder jenes System wirklich vernetzt werden muss oder ob ein System durch besondere Leistungsfähigkeit (ungenutzte Funktionen, wegen nachrangigen Forderungen überdimensionierte Hardware) für einen Hacker überhaupt erst attraktiv wird.
Die Reihenfolge für den Ingenieur ist damit klar: Zuerst braucht man zuverlässige und sichere Produkte. Wenn ein Produkt wirklich sicher ist, muss man nicht vor Gericht seine Entwicklungsleistungen belegen.


  1. Was ist eigentlich »Stand der Technik«?
  2. Schwammige Begriffe präzisieren
  3. Maßnahme: intensives Anforderungsmanagement

Das könnte Sie auch interessieren

Verwandte Artikel

ZF Friedrichshafen AG, ZF Friedrichshafen AG