EU-Digitalgesetzgebung
CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?
Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.
Der Einführer ist grundsätzlich nicht in den Herstellungsprozess involviert, sondern ausschließlich in den Vertrieb des Produkts mit digitalen Elementen. Diesem Umstand trägt auch der CRA-E mit den in Art. 13 CRA-E niedergelegten Pflichten Rechnung.
Art. 13 Abs. 1 CRA-E fordert vom Einführer, dass er ein Produkt mit digitalen Elementen nur dann in Verkehr bringen und damit erstmalig auf dem Unionsmarkt bereitstellen darf, wenn dieses sowie die vom Hersteller festgelegten Verfahren die in Anhang I genannten Anforderungen erfüllen. In der Praxis werden hierunter vor allem zwei Handlungsweisen fallen: Zum einen kann der Einführer das Produkt mit digitalen Elementen durch Weiterverkauf an den Händler auf dem Unionsmarkt bereitstellen. Zum anderen kann er das Produkt auch unmittelbar an den Endkunden veräußern. Denn die Verordnung definiert die Bereitstellung auf dem Markt in Art. 3 Nr. 23 CRA-E als „jede entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit.“ Zudem unterscheidet sich der Begriff des Händlers (Art. 3 Nr. 21 CRA-E) von dem des Einführers (Art. 3 Nr. 20 CRA-E) nur dadurch, dass ersterer das Produkt mit digitalen Elementen lediglich auf dem Markt bereitstellt und kein Hersteller oder Einführer ist.
Der Einführer hat dafür Sorge zu tragen, dass die grundlegenden Cybersicherheitsanforderungen erfüllt sind und der Hersteller geeignete Verfahren zur Behandlung von Schwachstellen implementiert hat. Da dies mithilfe der Konformitätserklärung, der technischen Dokumentation und den sonstigen nach Anhang II beizufügenden Informationen und Gebrauchsanleitungen nachgewiesen werden kann, muss der Einführer gemäß Art. 13 Abs. 2, Abs. 5 CRA-E sicherstellen, dass die genannten Nachweise vorhanden und dem Produkt mit digitalen Elementen beigefügt sind. Diese Nachweise können entweder in elektronischer Form (z.B. über eine Internetadresse) oder in Papierform beigefügt werden und müssen in einer leicht verständlichen Sprache abgefasst sein.
In diesem Zusammenhang stellt Art. 13 Abs. 3 CRA-E klar, dass der Einführer das Produkt bei Zweifeln an der Konformität nicht in Verkehr bringen darf. Folglich besteht hier ein hohes Haftungsrisiko und damit auch ein hoher Prüfungsaufwand für den Einführer. Zudem schreibt Art. 13 Abs. 4 CRA-E vor, dass der Einführer eigene Kontaktinformationen beim Produkt mit digitalen Elementen hinterlegen muss, was seine Verantwortung für die Gewähr der Konformität untermauert. Dafür spricht auch, dass der Einführer nach Art. 13 Abs. 6 CRA-E für die von ihm in Verkehr gebrachten Produkte mit digitalen Elementen selbst Korrekturmaßnahmen zu ergreifen und bei der Feststellung einer Schwachstelle den Hersteller und ggf. die Marktüberwachungsbehörden hierüber zu informieren hat.
Zudem soll der Einführer gemäß Art. 13 Abs. 7 CRA-E ein Exemplar der EU-Konformitätserklärung für eine Dauer von zehn Jahren ab dem Inverkehrbringen des Produkts mit digitalen Elementen aufbewahren und bei Verlangen der Marktüberwachungsbehörde vorlegen. Die gleiche Aufbewahrungsfrist gilt nach Art. 17 Abs. 2 CRA-E für Kontaktinformationen aller Wirtschaftsakteure, von denen er Produkte mit digitalen Elementen bezogen oder an die er solche abgegeben hat. Weiterhin sind Marktüberwachungsbehörden und Produktnutzer über die Einstellung der Betriebstätigkeit des Herstellers zu informieren, Art. 13 Abs. 9 CRA-E.
Eine Besonderheit hält der CRA-E in Art. 15 bereit. Hiernach wird der Einführer als ein „fingierter“ Hersteller angesehen, wenn er eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt, mit der Folge, dass er den Pflichten des Herstellers zumindest für die Teile des Produkts unterliegt, die von der wesentlichen Änderung betroffen sind. Gemäß Art. 3 Nr. 31 CRA-E liegt eine wesentliche Änderung dann vor, wenn das Produkt mit digitalen Elementen nach dem Inverkehrbringen derart verändert wird, dass sich die im Rahmen der Konformitätsbewertung festgestellte bestimmungsgemäße Verwendung wandelt oder sich die Veränderung generell auf die Konformität des Produkts und dessen Anforderungen in Anhang I Abschnitt 1 auswirkt. Sobald der Einführer also in die Beschaffenheit eines in Verkehr gebrachten Produkts mit digitalen Elementen eingreift, besteht das Risiko, dass sich sein Pflichtenkreis stark ausweitet.
Empfehlung für die Praxis:
Unternehmen, die digitale Produkte in den Unionsmarkt importieren, sollten sowohl die Vorschriften zum sachlichen als auch zum personellen Anwendungsbereich des CRA-E prüfen, um festzustellen, ob sie unter den Begriff des Einführers fallen. Sofern dies zutrifft, empfehlen wir, entsprechende Prozesse einzuführen, um den umfangreichen Prüfpflichten hinreichend Rechnung tragen zu können, da diesbezüglich ein hohes Haftungsrisiko besteht. Ferner sollte möglichst sichergestellt werden, keine wesentlichen Änderungen an den importierten Produkten mit digitalen Elementen vorzunehmen, um nicht unter die Herstellerfiktion zu fallen.
In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.
CRA-Update
CRA-Update – Episode 11: Finaler Entwurf des CRA – Übersicht der wichtigsten Änderungen
Am 10. Oktober 2024 hat der Rat der Minister den finalen Entwurf des Cyber Resilience Act (CRA) angenommen. Demnächst wird die Verordnung im Amtsblatt der Europäischen Union veröffentlicht und dann am darauffolgenden Tag in Kraft treten.
CRA-Update – Episode 10: Welche Sanktionen gelten nach dem CRA-E?
Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.
CRA-Update – Episode 9: Die Überwachungsbehörden
Der Kommissionsentwurf für den Cyber Resilience Act (CRA-E) erwähnt in seinem Verordnungstext an mehreren Stellen unterschiedliche Behörden mit verschiedenen Aufgaben für die Überwachung und Einhaltung der Normvorgaben.
CRA-Update – Episode 8: Das Konformitätsbewertungsverfahren
Damit eine Konformität von Produkten mit digitalen Elementen mit den Anforderungen des CRA nachgewiesen werden kann, müssen Hersteller gemäß Art. 24 Abs. 1 CRA-E ein sogenanntes Konformitätsbewertungsverfahren durchführen. Hierfür sieht der CRA-E grundsätzlich drei verschiedene Verfahrensarten vor, zu denen sich jeweils Informationen in Anhang VI finden. Die dort genannten Verfahren basieren auf dem Beschluss 768/2008/EG, der einen einheitlichen Rahmen für Rechtsvorschriften zur Harmonisierung der Bedingungen für die Vermarktung von Produkten bezweckt und hierfür Konformitätsbewertungsverfahren vorsieht.
CRA-Update – Episode 7: Was sind die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen und wann sind diese nach dem CRA konform?
Nach Art. 1 lit. c) CRA-E soll der geplante Cyber Resilience Act (CRA-E) auch Bestimmungen für die von Herstellern festgelegten Verfahren zur Behandlung von Schwachstellen vorsehen.
Mit diesen Verfahren wird die Sicherstellung der Cybersicherheit von Produkten mit digitalen Elementen über ihren gesamten Lebenszyklus bezweckt.
CRA-Update – Episode 6: Wann ist eine Konformität des Produkts mit digitalen Elementen gegeben?
Der geplante Cyber Resilience Act (CRA-E) bezweckt EU-einheitliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, um der wachsenden Bedrohung von Cyberangriffen entgegenzutreten. Zu diesem Zweck normiert die Verordnung zahlreiche Pflichten, die vor allem die Hersteller solcher Produkte treffen.
CRA-Update – Episode 5: Welche Pflichten gelten für den Händler nach dem CRA-E?
Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.
Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.
CRA-Update – Episode 4: Welche Pflichten gelten für den Einführer nach dem CRA-E?
Die Person des Einführers wird im CRA-E dann relevant, wenn dieser ein Produkt mit digitalen Elementen aus dem EU-Ausland unter dem Namen oder der Marke einer außerhalb der Union ansässigen (juristischen) Person in den Binnenmarkt einführt und dort erstmalig in Verkehr bringt. Für die Praxis bedeutet dies, dass bei einem im Drittland ansässigen Hersteller stets ein im Unionsmarkt niedergelassener Einführer in die Produktlieferungskette zu involvieren ist, während bei einem innerhalb der EU befindlichen Hersteller die Rechtsfigur des Einführers rechtlich keine aktive Rolle spielt. Der Einführer ist also im Sinne eines Importeurs zu verstehen.
CRA-Update – Episode 3: Welche Pflichten gelten für den Hersteller nach dem CRA-E?
Im Vergleich zu den übrigen Adressaten des CRA-E unterliegt der Hersteller den umfassendsten Pflichten, was daran liegen dürfte, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann. Die konkreten Pflichten für Hersteller legt die Verordnung in Art. 10 und 11 CRA-E fest.
CRA-Update – Episode 2: Wer sind die Adressaten des CRA-E?
In Kapitel II legt der CRA-E eine Vielzahl an Pflichten für „Wirtschaftsakteure“ fest. Hierzu zählen gemäß Art. 3 Nr. 17 CRA-E Hersteller, Bevollmächtigte, Einführer und Händler von Produkten mit digitalen Elementen. Das erklärte Ziel der EU-Kommission lautet, sämtliche Akteure der Lieferkette von Produkten mit digitalen Elementen in die Verantwortung zu nehmen und dadurch ein erhöhtes Maß an Cybersicherheit über die gesamte Produktlebensdauer zu gewährleisten. Das Gros der Pflichten wird dabei dem Hersteller auferlegt, was insbesondere dem Umstand Rechnung trägt, dass dieser die Entwicklung des Produkts mit digitalen Elementen maßgeblich steuert, dessen Eigenschaften festlegt und somit die immanenten Cybersicherheitsrisiken beeinflussen kann.
CRA-Update – Episode 1: Welche Produkte fallen in den Anwendungsbereich des CRA-E?
Der derzeitige Entwurf sieht gemäß ErwG 7 und Art. 2 Abs. 1 CRA-E vor, dass die Verordnung für Produkte mit digitalen Elementen gilt, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt.