Mit dem Entwurf für einen Cyber Resilience Act (CRA-E) hat sich die Europäische Kommission mit horizontalen Rechtsvorgaben zum Ziel gesetzt, die Sicherheit von Produkten mit digitalen Elementen zu stärken, um den Binnenmarkt der EU besser vor den wachsenden Cyberbedrohungen zu schützen. Hierzu enthält die Verordnung eine Vielzahl an Pflichten, die sich an sämtliche Akteure einer Produktlieferkette, nämlich Hersteller, Einführer und Händler, richten.

Um die Einhaltung dieser Pflichten in der Praxis zu gewährleisten, sieht die Verordnung auch die Möglichkeit von Sanktionen vor, die gegen die Wirtschaftsakteure im Falle der Nichtbefolgung der rechtlichen Vorgaben verhängt werden können.

Dabei überlässt der CRA-E den Mitgliedstaaten allerdings viel Freiraum bei der rechtlichen Ausgestaltung, da jene gemäß Art. 53 Abs. 1 Satz 1 CRA-E Vorschriften über Sanktionen zu erlassen haben sowie die zur Durchsetzung erforderlichen Maßnahmen treffen sollen. Mit der Formulierung in Art 53 Abs. 1 Satz 2 CRA-E, dass die Sanktionen wirksam, verhältnismäßig und abschreckend sein müssen sowie mit den in Art. 53 Abs. 3 – 5 CRA-E genannten Obergrenzen für Geldbußen, gibt die Verordnung einen Rahmen vor, der durch das nationale Recht auszufüllen ist. Eine entsprechende Vorgabe für Geldbußen ist bereits in Art. 83 Abs. 1 DSGVO bekannt.

Zuständig für den Erlass von Sanktionen und die Verhängung von Geldbußen ist die zuständige Marktüberwachungsbehörde, in deren Mitgliedstaat das betroffene Produkt mit digitalen Elementen auf dem Markt bereitgestellt wurde. Das bedeutet jedoch nicht zwangsläufig, dass beispielsweise ein Hersteller hohe Bußgelder in sämtlichen Mitgliedstaaten zu befürchten hat. Denn laut Art. 53 Abs. 6 lit. b) CRA-E ist bei der Bemessung einer Geldbuße auch zu berücksichtigen, ob bereits andere Marktüberwachungsbehörden wegen eines ähnlichen Verstoßes Bußgelder verhängt haben. Interessant hier ist, dass auf „ähnliche“ Verstöße verwiesen wird – es muss nicht derselbe Verstoß bereits einmal sanktioniert worden sein.

Die Obergrenzen für die Höhe der Geldbußen legt Art. 53 Abs. 3 – 5 CRA-E fest. Die höchsten Geldbußen können bei der Nichteinhaltung der Anforderungen in Anhang I oder bei Verstößen gegen die Pflichten des Herstellers in Art. 10 und 11 CRA-E verhängt werden. Möglich sind Bußgelder von bis zu 15.000.000 € oder bis zu 2,5 % des gesamten weltweit erzielten Vorjahresumsatzes.

Bei Verstößen gegen die anderen Pflichten des CRA-E sind gemäß Art. 53 Abs. 4 CRA-E Geldbußen von bis zu 10.000.000 € oder 2 % des weltweit erzielten Vorjahresumsatzes möglich. Dies wird vor allem Einführer und Händler treffen, deren Pflichten in den Art. 13 und 14 CRA-E niedergelegt sind.

Zudem drohen bei falschen, unvollständigen oder irreführenden Angaben gegenüber den notifizierten Stellen und Marktüberwachungsbehörden Geldbußen von bis zu 5.000.000 € oder bis zu 1 % des weltweit erzielten Vorjahresumsatzes, Art. 53 Abs. 5 CRA-E.

Die Höhe der Geldbuße richtet sich gemäß Art. 53 Abs. 6 CRA-E nach der Art, Schwere und Dauer des Verstoßes sowie dessen Folgen. Diese Kriterien dürften den Normadressaten bereits aus anderen Verordnungen der EU, wie der DSGVO oder dem Digital Services Act bekannt sein.

Mögliche Änderungen in der Endfassung des CRA-E

Basierend auf dem Verordnungsvorschlag der Kommission haben auch der Ausschuss zur Industrie, Forschung und Energie des Europäischen Parlaments (ITRE)  und der Europäische Rat jeweils Entwürfe veröffentlicht. Das Normgebungsverfahren befindet sich zum jetzigen Zeitpunkt in einer finalen Abstimmung.

Grundsätzlich haben sich die genannten Bußgeldvorschriften des CRA-E nicht verändert. Der ITRE hat in seinem Entwurf in Art. 53 CRA-E noch aufgenommen, dass die finanziellen Mittel von KMUs bei der Bemessung einer Geldbuße berücksichtigt werden. Zudem soll die Kommission sicherstellen, dass die mitgliedstaatlichen Regelungen und Maßnahmen unionsweit einheitlich angewendet werden, womit wohl verhindert werden soll, dass sich die getroffenen Sanktionen stark voneinander unterscheiden. Weiterhin wurde ein Art. 53a CRA-E eingeführt, wonach die Einnahmen aus den Sanktionen für Projekte zur Verbesserung der Cybersicherheit in der Union verwendet werden sollen.

Der Rat ist vom Kommissionsentwurf in Art. 53 CRA-E bis auf einige sprachliche Änderungen nicht abgewichen.

Empfehlung für die Praxis:

Da der Verordnungsgeber des CRA den Mitgliedsstaaten eine Regelungskompetenz einräumt, wird abzuwarten bleiben, ob der deutsche Gesetzgeber den Rahmen des CRA-E beibehält oder hiervon abweicht. Gleichwohl sollten die Vorgaben des CRA-E als allgemeiner Maßstab berücksichtigt werden, da der Großteil der Mitgliedstaaten die Vorgaben wahrscheinlich komplett umsetzen wird. Folglich sollten bereits jetzt die Vorgaben des CRA-E sowie das weitere Normgebungsverfahren berücksichtigt werden, um das Risiko von Bußgeldern in der Zukunft zu vermeiden.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.