WIEN. Die Kernpflichten des CRA betreffen in erster Linie die Hersteller von Produkten mit digitalen Elementen (PdE), aber auch Händler werden durch umfassende Pflichten miteingebunden.
Die Händlerpflichten des CRA gelten für alle Unternehmen, die PdE unverändert, also als reiner Weiterverkäufer, in der EU vertreiben. Dabei umfasst der Begriff des PdE Hardware und Software, die sich mit dem Internet verbinden lassen.
Vertriebsverbot droht
Im Rahmen des CRA werden Händler zur Durchführung spezifischer Kontrollen verpflichtet, die über die einfache Prüfung der CE-Kennzeichnungen hinausgehen. Sie müssen beispielsweise prüfen, ob der Hersteller alle notwendigen Informationen vollständig bereitstellt. Dazu gehören insbesondere die Kontaktdaten des Herstellers, sämtliche erforderlichen Dokumentationen und die Information darüber, wie lange das PdE vom Hersteller mit Sicherheitsupdates unterstützt wird.
Wird bei der Kontrolle des Händlers festgestellt, dass ein Produkt die Anforderungen des CRA nicht erfüllt – z.B. durch unzureichende Verfahren zur Behebung von Schwachstellen oder Sicherheitsmängeln –, ist ein Vertrieb des Produkts verboten. Sollte ein Produkt schon am Markt sein, so hat der Händler sich um die Konformität zu bemühen oder das Produkt zurückzurufen.
Bei gravierenden Sicherheitsbedenken ist sogar die Marktüberwachungsbehörde einzuschalten. Händler sind also zur aktiven Überprüfung verpflichtet und tragen eine erhebliche Verantwortung, die Cybersicherheit der von ihnen vertriebenen Produkte zu gewährleisten.
Vorbereitung empfohlen
Diese Prüfpflichten sind mit Strafen gekoppelt, die bei Verstößen eine Geldbuße von bis zu 10 Mio. Euro oder bis zu zwei Prozent des weltweiten Jahresumsatzes nach sich ziehen. Besonders aufmerksam müssen Händler sein, wenn sie Produkte unter ihrem eigenen Namen oder ihrer Marke (sog. „White-Label-Produkte”) vertreiben. In diesem Fall übernimmt der Händler die erweiterten Pflichten eines Herstellers und haftet vollumfänglich für die Einhaltung der CRA-Vorgaben.
Auch wenn die Umsetzung des CRA für Händler erst ab Ende 2027 verpflichtend wird, empfiehlt sich ein frühzeitiger Beginn der Vorbereitung. Insbesondere sollte eine gezielte Überprüfung des Sortiments stattfinden, um festzustellen, welche Produkte unter die neuen Regelungen fallen.
Die Autoren
Mag. Andreas Schütz, Rechtsanwalt und Partner im IP/IT Team, Taylor Wessing Wien
Mag. Erik Steiner, Rechtsanwalt und Senior Associate im IP/IT Team, Taylor Wessing Wien
mit Unterstützung von Alexandra Feist, juristische Mitarbeiterin im IP/IT Team von Taylor Wessing Wien