Die Verordnung (EU) 2024/2847 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnungen (EU) Nr. 168/2013 und (EU) 2019/1020 und der Richtlinie (EU) 2020/1828 (Cyberresilienz-Verordnung) ist am 20. November 2024 im Amtsblatt der EU veröffentlicht worden und hat den Zweck, die Cybersicherheit von Produkten mit digitalen Elementen zu erhöhen und tritt dabei neben die bereits bestehenden Regelungen zur Sicherheit von Produkten aus der Datenschutzgrundverordnung und der NIS2-Richtlinie. Nachfolgend eine kurze Zusammenfassung der Inhalte, wobei Händler von betroffenen Produkten angesprochen werden. Die Verordnung tritt in den relevanten Teilen ab dem 11. Dezember 2027 in Kraft.
A. Anwendungsbereich
I.
Betroffen sind „Produkt mit digitalen Elementen“ nach Art. 3 Nr.1. Dies ist nach der Legaldefinition ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden. Die Begriffe „Software“ und „Hardware“ werden in den Art. 3 Nr.4 und Nr.5 definiert und entsprechenden dem allgemeinen Sprachgebrauch. Unter einer „Datenfernverarbeitung“ versteht der EU-Gesetzgeber nach Art. 3 Nr.2 eine „entfernt stattfindende Datenverarbeitung, für die eine Software vom Hersteller selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte“. Hier sind die Hersteller von Produkten in der Pflicht, die z.B. die Fernsteuerung von Produkten mit digitalen Elementen ermöglichen und dazu den Nutzern eine Cloud-Lösung anbieten. In ErwG (12) heißt es dazu:
„Cloud-Lösungen gelten nur dann als Datenfernverarbeitungslösungen im Sinne dieser Verordnung, wenn sie der in dieser Verordnung festgelegten Begriffsbestimmung entsprechen. So fallen beispielsweise vom Hersteller von intelligenten Haushaltsgeräten angebotene Cloud-Funktionen, die es den Nutzern ermöglichen, das Gerät aus der Ferne zu steuern, in den Anwendungsbereich dieser Verordnung. Dagegen fallen Websites, die die Funktionalität eines Produkts mit digitalen Elementen nicht unterstützen, oder Cloud-Dienste, die außerhalb der Verantwortung eines Herstellers eines Produkts mit digitalen Elementen entworfen und entwickelt wurden, nicht in den Anwendungsbereich dieser Verordnung…“
II.
Die Handlung, die eine Einhaltung der Vorgaben verursacht, ist eine „Bereitstellung am Markt“ nach Art. 3 Nr.22 ist dies „die entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit“. Von den Vorgaben sind somit betroffen:
- Hersteller
- Bevollmächtigte von Herstellern
- Importeure
- Händler von Produkten mit digitalen Elementen
B. Pflichten von Händlern
Händlern werden in Art. 20 Pflichten auferlegt, die beachtet werden sollten.
I. Grundsätzliche Pflichten
Art. 20 I gibt dem Händler vor, die Vorschriften der Verordnung mit der „gebührenden Sorgfalt“ zu beachten. Nähere Vorgaben enthält die Verordnung und die Erwägungsgründe nicht.
II. Vorabprüfungspflicht vor dem Verkauf oder Vertrieb
Art. 20 II schreibt dem Händler vor, dass dieser prüft, ob dass jeweilige Produkt mit digitalen Elementen mit der CE-Kennzeichnung versehen ist.
Zudem ist der Händler zu prüfen, ob der Hersteller oder Einführer des Produktes mit digitalen Elementen verschiedene Anforderungen erfüllt hat. Dies sind folgende:
Artikel 13 Absatz 15 | Die Hersteller gewährleisten, dass ihre Produkte mit digitalen Elementen eine Typen-, Chargen- oder Seriennummer oder ein anderes Kennzeichen zu ihrer Identifikation tragen, oder, falls dies nicht möglich ist, dass die diese Informationen auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen angegeben werden |
Artikel 13 Absatz 16 | Die Hersteller geben den Namen, den eingetragenen Handelsnamen oder die eingetragene Handelsmarke des Herstellers, die Postanschrift, die E-Mail-Adresse oder andere digitale Kontaktangaben sowie, soweit vorhanden, die Website, unter der der Hersteller zu erreichen ist, entweder auf dem Produkt mit digitalen Elementen selbst oder, wenn dies nicht möglich ist, auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Diese Informationen werden auch in die in Informationen und Anleitungen für den Nutzer gemäß Anhang II aufgenommen. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann. |
Artikel 13 Absatz 18 | Die Hersteller gewährleisten, dass den Produkten mit digitalen Elementen die in Anhang II genannten Informationen und Anleitungen für den Nutzer in Papierform oder elektronischer Form beigefügt sind. Diese Informationen und Anleitungen müssen in einer Sprache bereitgestellt werden, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann. Sie müssen klar, verständlich, deutlich und lesbar sein. Sie müssen die sichere Installation, den sicheren Betrieb und die sichere Verwendung der Produkte mit digitalen Elementen ermöglichen. Die Hersteller stellen die Informationen und Anleitungen für den Nutzer gemäß Anhang II nach dem Inverkehrbringen des Produkts mit digitalen Elementen mindestens zehn Jahre lang oder für die Dauer des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, den Nutzern zur Verfügung. Werden diese Informationen und Anleitungen online bereitgestellt, so stellen die Hersteller sicher, dass sie zugänglich, benutzerfreundlich und mindestens zehn Jahre lang nach dem Inverkehrbringen des Produkts mit digitalen Elementen oder während des Unterstützungszeitraums, je nachdem, welcher Zeitraum länger ist, online verfügbar sind. |
Artikel 13 Absatz 19 | Die Hersteller stellen sicher, dass das Enddatum des in Absatz 8 genannten Unterstützungszeitraums, zum Zeitpunkt des Kaufs in leicht zugänglicher Weise und sofern zutreffend auf dem Produkt mit digitalen Elementen, seiner Verpackung oder mit digitalen Mitteln klar und verständlich angegeben wird, wobei mindestens der Monat und das Jahr anzugeben sind. Sofern dies angesichts der Art des Produkts mit digitalen Elementen technisch machbar ist, zeigen die Hersteller den Nutzern eine Mitteilung an, um sie darüber zu unterrichten, dass das Ende des Unterstützungszeitraums ihres Produkts mit digitalen Elementen erreicht ist. |
Artikel 13 Absatz 20 | Die Hersteller fügen dem Produkt mit digitalen Elementen entweder eine Kopie der EU-Konformitätserklärung oder eine vereinfachte EU-Konformitätserklärung bei. Wird nur eine vereinfachte EU-Konformitätserklärung bereitgestellt, muss darin die genaue Internetadresse angegeben sein, unter der die vollständige EU-Konformitätserklärung eingesehen werden kann. |
Artikel 19 Absatz 4 | Die Einführer geben ihren Namen, ihren eingetragenen Handelsnamen oder ihre eingetragene Handelsmarke, ihre Postanschrift, ihre E-Mail-Adresse oder andere digitale Kontaktmöglichkeiten sowie gegebenenfalls die Website, unter der sie zu erreichen sind, entweder auf dem Produkt mit digitalen Elementen selbst oder auf der Verpackung oder in den dem Produkt mit digitalen Elementen beigefügten Unterlagen an. Die Kontaktangaben sind in einer Sprache abzufassen, die von den Nutzern und den Marktüberwachungsbehörden leicht verstanden werden kann. |
Dem Händler müssen zu dem alle erforderlichen Dokumente zur Verfügung gestellt worden sein, entweder durch den Hersteller oder den Einführer des Produktes mit digitalen Elementen.
III. Pflichten bei Nichteinhaltung der Cybersicherheitsanforderungen der Verordnung
Art. 20 III gibt dem Händler die Pflicht auf, wenn ein Produkt mit digitalen Elementen nicht die nach der Verordnung erforderlichen Cybersicherheitsanforderungen erfüllt, das Produkt erst bei Erfüllung der Vorgaben auf dem Markt bereitzustellen. Bei einem erheblichen Sicherheitsrisiko muss der Händler unverzüglich den Hersteller und die Marktüberwachungsbehörden über seine Bedenken informieren.
IV. Pflichten bei Nichteinhaltung der Verfahren der Verordnung
Art. 20 IV gibt dem Händler die Pflicht auf, wenn ihm bekannt ist oder Informationen dazu vorliegen, dass die in der Verordnung festgelegten Verfahren eingehalten werden, Korrekturmaßnahmen zu ergreifen oder andernfalls das Produkt mit digitalen Elementen vom Markt zu nehmen.
V. Pflichten bei Kenntnis einer Schwachstelle
Sofern der Händler Kenntnis von einer Schwachstelle in einem Produkt mit digitalen Elementen haben, müssen Sie den Hersteller darüber unverzüglich informieren. Bestehen erhebliche Sicherheitsrisiken, müssen Händler auch hier die Marktüberwachungsbehörden der Mitgliedstaaten, in denen sie das Produkt mit digitalen Elementen auf dem Markt bereitgestellt haben, informieren. Dabei ist eine bloße Information nicht ausreichend, sondern es sind genaue Angaben insbesondere über die Nichtkonformität und ergriffene Korrekturmaßnahmen erforderlich.
VI. Pflicht bei Einschreiten der Marktüberwachungsbehörden
Art. 20 V regelt, welche Maßnahme durch Händler zu ergreifen sind, sofern eine Marktüberwachungsbehörde bezogen auf ein konkretes Produkt mit digitalen Elementen mit einem Händler in Kontakt tritt. Dann ist folgendes vorzunehmen:
- Übermittlung aller Informationen und Unterlagen in Papierform oder in elektronischer Form in einer Sprache, die von der Behörde leicht verstanden werden kann, die für den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren nach der Verordnung erforderlich sind
- Zusammenarbeit mit der Marktüberwachungsbehörde auf deren Verlangen bei allen Maßnahmen zur Abwendung der Cybersicherheitsrisiken, die mit einem von ihnen auf dem Markt bereitgestellten Produkt mit digitalen Elementen verbunden sind
VII. Pflicht bei Einstellung der geschäftlichen Tätigkeit eines Herstellers eines Produktes
Darüber muss der Händler nach Art. 20 VI, wenn er Kenntnis von der Einstellung der geschäftlichen Tätigkeit erlangt und dadurch die Pflichten aus der Verordnung nicht mehr erfüllt werden können, unverzüglich die Marktüberwachungsbehörden sowie — mit allen verfügbaren Mitteln und soweit möglich — die Nutzer der in den Verkehr gebrachten Produkte mit digitalen Elementen.
C. Händler, die zugleich Einführer sind oder Produkte mit digitalen Elementen unter „eigener Flagge“ anbieten
Nach Art. 21 sind Händler,
- die ein Produkt mit digitalen Elementen unter dem Namen oder der Marke einer außerhalb der Union ansässigen oder niedergelassenen natürlichen oder juristischen Person in der Union in den Verkehr bringt (sog. Einführer);
oder
- die ein Produkt mit digitalen Elementen unter seinem eigenen Namen oder seiner eigenen Marke in den Verkehr bringen;
oder
- die eine wesentliche Änderung an einem bereits in den Verkehr gebrachten Produkt mit digitalen Elementen vornehmen
rechtlich als Hersteller im Sinne der Verordnung anzusehen.
D. Folgen bei Nichteinhaltung der Vorgaben
I. Bußgelder
Art. 64 II sieht vor, dass Geldbußen von bis zu 15 000 000 EUR oder — im Falle von Unternehmen — von bis zu 2,5 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist.
Zudem sieht Art. 64 IV ebenso vor, dass Geldbußen von bis zu 5 000 000 EUR oder — im Falle von Unternehmen — von bis zu 1 % des gesamten weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt, je nachdem, welcher Betrag höher ist möglich sind, wenn Händlergegenüber notifizierten Stellen und Marktüberwachungsbehörden auf deren Auskunftsverlangen hin falsche, unvollständige oder irreführende Angaben machen.
II. Verbandsklagen
Art. 65 eröffnet Verbandsklagemöglichkeiten für Verbraucherschutzverbände
III. UWG
Sicherlich dürfte ein Verstoß auch ein Verstoß im Sinne des § 3a des Gesetzes gegen unlauteren Wettbewerb (UWG) oder §§ 5a,5b IV UWG sein. Somit drohen hier auch Abmahnungen durch Mitbewerber oder qualifizierten Wirtschaftsverbänden.