CRA Archive - Die Produktkanzlei

Das ändert sich 2025: produktbezogene IT- und KI-Regulierung und Produkthaftungsrecht

Weil sich im Jahr 2024 einiges auf den Gebieten der produktbezogenen IT- und KI-Regulierung und des Produkthaftungsrechts getan hat, wird es für die betroffenen Wirtschaftsakteure in 2025 in erster Linie darum gehen, mit der Umsetzung der neuen Anforderungen zu beginnen. Allerdings werden auch in 2025 neue gesetzliche Vorgaben in diesem Bereich erlassen bzw. erstmals Anwendung finden.

A. Vor dem Ausblick ein kurzer Rückblick: EU-Produkthaftungsrichtlinie und Cyber Resilience Act

Mit Blick auf das Produkthaftungsrecht und das produktbezogene Cybersicherheitsrecht hat das Jahr 2024 ein besonderes Ende genommen. Denn im Jahresendspurt hat die EU die neue EU-Produkthaftungsrichtlinie (Richtlinie (EU) 2024/2853) und den Cyber Resilience Act (Verordnung (EU) 2024/2847 – CRA) verabschiedet. Die am 18.11.2024 veröffentlichte EU-Produkthaftungsrichtlinie, die einige Haftungsverschärfungen mit sich bringt, muss von den Mitgliedstaaten bis 09.12.2026 in nationales Recht umgesetzt werden. Demgegenüber findet der CRA, der erstmals Cybersicherheitsanforderungen an sog. Produkte mit digitalen Elementen aufstellt, in den Mitgliedstaaten weitestgehend ab dem 11.12.2027 unmittelbare Anwendung; ausführlich zum CRA siehe unseren Blog-Beitrag.

B. Delegierte Verordnung (EU) 2022/30

Mit der Delegierten Verordnung (EU) 2022/30 wurden erstmals Datenschutz- und Cybersicherheitsanforderungen für bestimmte Funkanlagen eingeführt. Im Fokus stehen dabei mit dem Internet verbundene Funkanlagen (vgl. zum Begriff Art. 1 Abs. 1 VO (EU) 2022/30). Solche Funkanlagen dürfen weder schädliche Auswirkungen auf das Netz oder seinen Betrieb haben noch eine missbräuchliche Nutzung von Netzressourcen bewirken, wodurch eine unannehmbare Beeinträchtigung eines Dienstes verursacht würde (Art. 1 Abs. 1 VO (EU) 2022/30). Sie müssen zudem über Sicherheitsvorrichtungen verfügen, die sicherstellen, dass personenbezogene Daten und die Privatsphäre des Nutzers und des Teilnehmers geschützt werden (Art. 1 Abs. 2 VO (EU) 2022/30). Diese datenschutzbezogene Anforderung gilt auch für weitere Funkanlagen wie z.B. Wearables und Spielzeug.

Nachdem die Verordnung zunächst ab dem 01.08.2024 gelten sollte, wurde der Geltungsbeginn um ein Jahr – auf den 01.08.2025 – verschoben, weil die Ausarbeitung der konkretisierenden harmonisierten Normen mehr Zeit in Anspruch nimmt. Solange keine im EU-Amtsblatt veröffentlichten harmonisierten Normen existieren, hat der Hersteller einer mit dem Internet verbundenen Funkanlage eine notifizierte Stelle im Rahmen des Konformitätsbewertungsverfahrens einzubeziehen (Art. 17 Abs. 4 Richtlinie 2014/53/EU).

C. KI-Verordnung (Verordnung (EU) 2024/1689)

Am 01.08.2024 ist mit der Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (sog. KI-VO) das weltweit erste Regelwerk in Kraft getreten, mit dem verbindliche Anforderungen an die Entwicklung und für den Einsatz von künstlicher Intelligenz geschaffen werden. Die Verordnung folgt einem risikobasierten Ansatz, durch den die Grundrechte, die Demokratie, die Rechtsstaatlichkeit und die Personensicherheit vor risikoreichen KI-Anwendungen geschützt werden sollen.

Zentraler Regelungsgegenstand der KI-Verordnung sind sog. Hochrisiko-KI-Systeme mit potenziellen Risiken für Gesundheit, Sicherheit, Grundrechte, Umwelt, Demokratie und Rechtsstaatlichkeit. Sie unterliegen strengen Anforderungen wie etwa einer obligatorischen Folgenabschätzung für die Grundrechte (Art. 27 KI-VO).

Allgemeine KI-Systeme (GPAI) müssen z.B. über eine technische Dokumentation verfügen, die Einhaltung des Urheberrechts gewährleisten und Informationen zu Trainingsdaten bereitstellen (vgl. Art. 53 KI-VO). An GPAI mit hohem systemischem Risiko werden darüber hinaus zusätzliche Anforderungen aufgestellt.

Die KI-Verordnung sieht Sanktionen vor, die von den Mitgliedstaaten in nationales Recht umgesetzt werden müssen. Verstöße sollen mit Geldbußen geahndet werden, deren Höhe je nach Schwere des Verstoßes und Unternehmensgröße variiert – von EUR 7,5 Millionen oder 1,5 % des weltweiten Umsatzes bis zu EUR 35 Millionen oder 7 % des weltweiten Umsatzes (Art. 99 KI-VO).

Die KI-Verordnung gilt – nach einer Übergangsfrist von 24 Monaten – im Wesentlichen ab dem 02.08.2026. Es gibt allerdings eine Reihe von Ausnahmen: So gelten die die Kapitel I (Allgemeine Bestimmungen) und II (Verbotene Praktiken im KI-Bereich) bereits ab dem 02.02.2025, während für Kapitel III Abschnitt 4 (Notifizierende Behörden und notifizierte Stellen), Kapitel V (KI-Modelle mit allgemeinem Verwendungszweck), Kapitel VII (Governance) und Kapitel XII (Sanktionen; mit Ausnahme des Art. 101 KI-VO) sowie Art. 78 KI-VO (Vertraulichkeit) der 02.08.2025 als Geltungsbeginn bestimmt wird (Art. 113 KI-VO).

D. NIS-2-Richtlinie (Richtlinie (EU) 2022/2555)

Neben dem Cyber Resilience Act (CRA) und dem Cyber Security Act (CSA) bildet die Richtlinie (EU) 2022/2555 (NIS-2-Richtlinie) die dritte Säule der EU zur Stärkung der Cybersicherheit mit einem Fokus auf die Resilienz ausgewählter Wirtschaftssektoren. Die Richtlinie hat allerdings keinen Produkt-, sondern einen Organisationsbezug. Sie ersetzt die erste NIS-Richtlinie aus dem Jahr 2016 und bringt zahlreiche Neuerungen im Recht der Netzwerk- und Informationssicherheit mit sich. Mit einer Umsetzung der bereits Anfang 2023 in Kraft getretenen NIS-2-Richtlinie in das deutsche Recht ist zwar vor dem Zusammentritt des neuen Bundestages im Laufe des Jahres 2025 nicht mehr zu rechnen, obwohl die Umsetzungsfrist für Richtlinie am 17.10.2024 endete; ein Entwurf für ein NIS-2-Umsetzungsgesetz (sog. NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) liegt aus der aktuellen Legislaturperiode aber bereits vor.

Von der NIS-2-Richtlinie sind zahlreiche besonders große oder relevante Organisationen in kritischen Sektoren betroffen, die in den Anhängen aufgezählt sind und von den Branchen Energie, Finanzen, Gesundheit und Abwasser bis hin zur Raumfahrt reichen. Eine relevante Größenschwelle wird dabei bei über 50 Beschäftigten oder einem Jahresumsatz bzw. einer Jahresbilanz von über EUR 10 Mio. erreicht.

Wenn eine Einrichtung erfasst ist, sind zahlreiche Pflichten aus den Bereichen Governance und Risikomanagement sowie neue Berichtspflichten zu beachten. Das Risikomanagement muss dabei insbesondere technische, operative und organisatorische Risiken und Maßnahmen einbeziehen. Erhebliche Sicherheitsvorfälle sind künftig bereits bis zu 24 Stunden (!) nach Kenntnisnahme im Rahmen einer Frühwarnung zu melden.

Verstöße sollen schließlich empfindliche Sanktionen nach sich ziehen. Je nach Größe und Relevanz der Einrichtung sind dabei Risikoermittlungs- und Risikoabwehrbefugnisse der zuständigen Behörden, eine persönliche Haftung von Leitungspersonen, Bußgelder vorgesehen. Im Ernstfall sollen sogar der Entzug von Zertifizierungen oder Genehmigungen und die Suspendierung von Leitungspersonen in Betracht kommen.

E. KI-Haftungsrichtlinie

Nach dem Inkrafttreten der KI-Verordnung wurde auch die Arbeit an der KI-Haftungsrichtlinie wieder aufgenommen: Im September 2024 hat das Europäische Parlament eine Folgenabschätzung zu der Richtlinie veröffentlicht.

Von der Grundidee soll die KI-Haftungsrichtlinie keine Regelungen des materiellen Produkthaftungsrechts enthalten. Vielmehr soll sie der Erleichterung der Geltendmachung von außervertraglichen verschuldensabhängigen Ersatzansprüchen in Bezug auf Schäden dienen, die durch ein KI-System verursacht wurden. KI-Systeme unterfallen allerdings ohne Weiteres verschuldensunabhängig auch der neuen EU-Produkthaftungsrichtlinie. Das Europäische Parlament sieht allerdings Anwendungsbereiche der KI-Haftungsrichtlinie, die von der EU-Produkthaftungsrichtlinie nicht abgedeckt werden. Dazu zählen z.B. reine Vermögensschäden, Diskriminierungen oder Grundrechtsverletzungen. Insgesamt tendiert das Europäische Parlament dazu, die KI-Haftungsrichtlinie zu einem allgemeinen Softwarehaftungsregime umzugestalten.

Aufgrund der vielen offenen Fragen und der neuen Vorstellungen des Europäischen Parlaments ist ein Ende dieses Gesetzgebungsvorhabens nicht in Sicht. Auch wenn sich die Stakeholder in 2025 auf einen Gesetzestext einigen sollten, wird es ohnehin eine gewisse Umsetzungsfrist geben, bis die neuen Haftungsregelungen gelten werden.

Haben Sie zu dieser News Fragen oder wollen Sie mit dem Autor über die News diskutieren? Kontaktieren Sie gerne: Dr. Gerhard Wiebe

9. Januar 2025 Dr. Gerhard Wiebe

Dr. Gerhard Wiebe

Rechtsanwalt / Senior Associate

Das könnte Sie auch interessieren:

21. Januar 2025 Dr. Florian Niermeier

Das ändert sich 2025: Produktbezogenes Zivilrecht und Wettbewerbsrecht

Auch im produktbezogenen Zivilrecht und Wettbewerbsrecht stehen für 2025 einige relevante Entwicklungen ins Haus. Dabei wird es insbesondere, aber nicht ausschließlich um die nationale Umsetzung europäischer Richtlinien gehen.

21. März 2023 Prof. Dr. Boris Handorn

„Second Amendment“ in Kraft getreten – Neue Übergangsfristen für (bestimmte) Medizinprodukte unter der Verordnung (EU) 2017/745 (MDR)

Angesichts der strukturell zu geringen Kapazitäten bei den Benannten Stellen werden die Übergangsfristen der MDR nochmals nachgesteuert und bis höchstens Ende 2028 gestreckt.

9. Januar 2020 Dr. Florian Niermeier

2. Corrigendum zur MDR veröffentlicht – Abhilfe für Hersteller künftig höherklassifizierter Klasse I-Produkte

Am 17.12.2019 hat das Europäische Parlament dem 2. Corrigendum der MDR (sowie einem weiteren Corrigendum zur IVDR) zugestimmt. Dieses wurde am 27.12.2019 veröffentlicht.

Der neue Cyber Resilience Act (Verordnung (EU) 2024/2847)

Am 10.12.2024 ist die Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act, im Folgenden „CRA“) in Kraft getreten. Als erster europäischer Rechtsakt dieser Art führt er verbindliche Cybersicherheitsanforderungen für Produkte mit digitalen Elementen während ihres gesamten Lebenszyklus sowie entsprechende Pflichten der Wirtschaftsakteure ein.

I. Sachlicher Anwendungsbereich

Der neue Cyber Resilience Act (Verordnung (EU) 2024/2847) gilt für alle Produkte, die entweder direkt oder indirekt mit einem anderen Gerät oder Netz verbunden sind; sie erfasst nach Art. 3 Abs. 1 CRA Hard- und Software gleichermaßen. Beispielsweise unterliegen dem CRA Apps, vernetzte Maschinen (IIoT), Computer, Laptops, Smartphones, intelligente Haushaltsgeräte mit Sicherheitsfunktionen, einschließlich intelligenter Türschlösser, Babyphone-Systemen und Alarmanlagen, vernetztes Spielzeug und am Körper tragbare medizinische Geräte (Wearables). Vom Anwendungsbereich ausgenommen sind allerdings Produkte, für die Anforderungen an die Cybersicherheit bereits in bestehenden EU-Rechtsakten festgelegt sind, z.B. für Medizinprodukte, die Luftfahrt oder Fahrzeuge.

II. Produktanforderungen

1. Formelle Anforderungen

Da der CRA auf dem New Legislativ Framework (NLF) der EU basiert, folgt er dessen grundlegender Regelungsstruktur. Zu den formellen Anforderungen gehören etwa die Ausstellung einer EU-Konformitätserklärung nach Art. 28 CRA und die Anbringung der CE-Kennzeichnung im Sinne des Art. 30 CRA. Wie üblich, hat Letztere vorrangig auf dem Produkt selbst oder nachrangig auf der Verpackung zu erfolgen. Bei Stand-alone-Software kann die CE-Kennzeichnung auch auf der EU-Konformitätserklärung oder einer produktbegleitenden Website angebracht werden. Darüber hinaus gilt es, die Hersteller- und Einführerkennzeichnung anzugeben.

2. Materielle Anforderungen

Des Weiteren muss das Produkt die grundlegenden Cybersicherheitsanforderungen nach Art. 6 CRA i.V.m. Anhang I des CRA erfüllen. Dabei wird gemäß Art. 27 CRA vermutet, dass das Produkt die Anforderungen erfüllt, wenn es harmonisierten Normen entspricht (sog. Konformitätsvermutung).

Das für die Einhaltung der materiellen Anforderungen maßgebliche Konformitätsbewertungsverfahren führt der Hersteller nach Art. 32 CRA in der Regel selbst durch. Anders ist dies bei den sog. wichtigen bzw. kritischen Produkten mit digitalen Elementen im Sinne der Artt. 7, 8 CRA. Ein Produkt unterfällt dieser Kategorie, wenn seine Kernfunktion einer der in Anhang III, IV des CRA abschließend aufgeführten Anwendungen entspricht. Bei den wichtigen Produkten mit digitalen Elementen wird ferner zwischen Produkten der Klasse I und solchen der Klasse II unterschieden. Bei Klasse I-Produkten kann der Hersteller die Konformität durch die vollständige Anwendung harmonisierter Normen im Sinne des Art. 27 CRA nachweisen, andernfalls hat er eins der in Art. 32 Abs. 2, 3 CRA aufgeführten Verfahren unter Einbindung einer notifizierten Stelle durchzuführen. Bei Produkten der Klasse II ist hingegen zwingend ein Konformitätsbewertungsverfahren unter Einbindung einer notifizierten Stelle zu durchlaufen.

III. Pflichten der Wirtschaftsakteure

1. Hersteller

Der Herstellerbegriff des Art. 3 Nr. 13 CRA entspricht dem üblichen Verständnis und erfasst auch sogenannte Quasi-Hersteller. Nach Art. 22 CRA wiederum reicht auch die Vornahme einer wesentlichen Veränderung an einem Produkt mit digitalem Element aus, um als Hersteller angesehen zu werden.

Der Hersteller trägt die primäre Verantwortung für die Produktkonformität. Ausdruck der Produktverantwortung sind die klassischen Vormarkt- und Nachmarktpflichten, die sich jedoch teilweise von den bestehenden Harmonisierungsrechtsvorschriften der Union unterscheiden:

Gewährleistung der grundlegenden Anforderungen im Sinne des Anhangs I und Durchführung eines Konformitätsbewertungsverfahrens (Art. 13 Abs. 1, 12 CRA)

Informations- und Instruktionspflichten mit dem Mindestinhalt des Anhangs II des CRA (Art. 13 Abs. 15, 16, 18, 19, 20 CRA)

Produktbeobachtungspflichten, insbesondere hinsichtlich der Anfälligkeit für Sicherheitslücken und der davon ausgehenden Risiken (Art. 13 Abs. 3, 7 CRA)

Prüfpflichten in Bezug auf zugekaufte Komponenten (Art. 13 Abs. 5 CRA)

proaktive Nachmarktpflichten über die ganze Lebensdauer des Produkts, höchstens aber für 5 Jahre nach der Markteinführung, wie etwa Software-Updates bei Sicherheitslücken oder Korrekturmaßnahmen bei fehlender Konformität (Art. 13 Abs. 6, 8, 21 CRA)

Mitwirkungs- und Meldepflichten gegenüber den Marktüberwachungsbehörden; speziell eine sehr kurz bemessene Meldefrist von höchstens 24 Stunden gegenüber der Agentur der Europäischen Union für Cybersicherheit (ENISA) bei Entdeckung aktiv ausgenutzter Sicherheitslücken (Artt. 13 Abs. 22 f., 14 CRA)

2. Einführer und Händler

Sowohl Einführer als auch Händler dürfen ein Produkt erst dann in den Verkehr bringen bzw. auf dem Markt bereitstellen, wenn es den Anforderungen des CRA entspricht. Einführer und Händler treffen die nach dem NLF üblichen formellen Prüf- und Sicherstellungpflichten. Diese umfassen z.B. die Verpflichtung, die ordnungsgemäße CE-Kennzeichnung zu überprüfen (vgl. Art. 19 Abs. 2 lit. c) CRA für den Einführer bzw. Art. 20 Abs. 2 lit. a) CRA für den Händler). Darüber hinaus obliegt es ihnen, bei fehlender Konformität für das Ergreifen geeigneter Maßnahmen zu sorgen (vgl. Art. 19 Abs. 5 Uabs. 2 CRA bzw. Art. 20 Abs. 4 Uabs. 2 CRA).

IV. Verhältnis zu anderen EU-Produktrechtsvorschriften

Als horizontaler Rechtsakt sieht der CRA vor, dass dieser parallel zu anderen Harmonisierungsrechtsvorschriften anzuwenden ist. Zu drei EU-Produktrechtsvorschriften wird das Verhältnis freilich ausdrücklich geregelt:

Nach Art. 11 CRA haben Harmonisierungsrechtsvorschriften der Union und die Verordnung (EU) 2023/988 (sog. EU-Produktsicherheitsverordnung) hinsichtlich der Anforderungen an die Produktsicherheit Vorrang vor dem CRA.

Nach Art. 12 CRA gelten die Anforderungen an die Cybersicherheit nach Art. 15 VO (EU) 2024/1689 (sog. KI-Verordnung) als erfüllt, wenn das Produkt bereits nach dem CRA konform ist.

Produkte, die sowohl in den Anwendungsbereich des CRA als auch in den Anwendungsbereich der Verordnung (EU) 2023/1230 (sog. EU-Maschinenverordnung) fallen, müssen den Anforderungen beider Rechtsakte entsprechen. Sofern sich bestimmte grundlegende Anforderungen überschneiden, können mit der Einhaltung der Anforderungen des CRA auch die Anforderungen der Nrn. 1.1.9 und 1.2.1 des Anhangs III der Verordnung (EU) 2023/1230 erfüllt werden. Dies muss der Hersteller allerdings nachweisen, z.B. durch die Anwendung harmonisierter technischer Normen (vgl. Erwägungsgrund 53 zum CRA).

V. Marktüberwachung und Sanktionen

Art. 52 Nr. 1 CRA ordnet hinsichtlich der Marktüberwachung die Anwendung der Verordnung (EU) 2019/1020 (sog. EU-Marktüberwachungsverordnung) an. Auf dieser Grundlage können die Marktüberwachungsbehörden bei nicht-konformen Produkten, die Wirtschaftsakteure auffordern, Maßnahmen zur Beendigung der Nichtkonformität und zur Beseitigung von Risiken zu ergreifen, die Bereitstellung eines Produkts auf dem Markt zu verbieten oder einzuschränken, sowie Rückrufe durchzuführen.

Zur Durchsetzung dieser Maßnahmen sollen die nationalen Umsetzungsrechtakte gemäß Art. 64 Abs. 1 CRA korrespondierende Sanktionsvorschriften enthalten. Bei Verstößen gegen die wesentlichen Pflichten des CRA sollen Geldbußen von bis zu EUR 10 Millionen oder von bis zu 2 % des Umsatzes in Betracht – je nachdem, welcher Betrag höher ist – festgelegt werden.

VI. Geltungsbeginn

Die Anforderungen und Pflichten der Verordnung gelten gemäß Art. 71 Abs. 1 CRA ab dem 11.12.2027. Eine Ausnahme hierzu bildet die Meldepflicht für aktiv ausgenutzte Sicherheitslücken, die bereits ab dem 11.09.2026 zu befolgen ist.

VII. Fazit

Insgesamt handelt es sich um ein ambitioniertes Gesetz mit zahlreichen Bezugspunkten zu verschiedenen produktbezogenen Regelungsbereichen. Aufgrund der voranschreitenden Digitalisierung in nahezu allen Produktbereichen wird die Mehrheit der Wirtschaftsakteure von der geplanten Verordnung betroffen sein. Trotz der großzügig bemessenen Übergangsfrist sollten sich die Wirtschaftsakteure daher bereits jetzt mit den geplanten Regelungen auseinandersetzen.