Als letzter Akteur in der Produktlieferungskette fällt der Händler ebenfalls in den Anwendungsbereich des CRA-E.

Nach der in Art. 3 Nr. 21 CRA-E genannten Definition kann eine (juristische) Person nur dann unter den Begriff des Händlers fallen, wenn sie ein Produkt mit digitalen Elementen ohne Änderung seiner Eigenschaft auf dem Unionsmarkt bereitstellt und nicht schon als Hersteller oder Einführer zu qualifizieren ist.

Hieraus wird bereits deutlich, dass die Verordnung den Händler eindeutig von den übrigen Wirtschaftsakteuren abgrenzt und seine Rolle als letztes Glied in der Wertschöpfungskette hervorhebt. Dieser Umstand spiegelt sich auch in den nach Art. 14 CRA-E genannten Pflichten des Händlers wider, die sich vor allem auf Prüf-, Aufbewahrungs- und Meldepflichten beschränken.

Art. 14 Abs. 1 CRA-E schreibt vor, dass der Händler die Vorschriften des CRA-E mit der gebührenden Sorgfalt zu befolgen hat, wenn er ein Produkt mit digitalen Elementen auf dem Markt bereitstellt. Damit konstituiert die Verordnung auch für den Händler eine Haftung, auch wenn dieser nicht in den Herstellungsprozess involviert ist, sondern das Produkt ausschließlich vertreibt. Die Haftung beschränkt sich dabei vor allem auf die Überprüfung des Produkts und der vom Hersteller festgelegten Verfahren, wie sich aus Art. 14 Abs. 1–3 CRA-E ergibt. Demnach hat der Händler zunächst zu prüfen, ob dem Produkt mit digitalen Elementen die erforderlichen Informationen und Anleitungen, die EU-Konformitätserklärung, die CE-Kennzeichnung sowie die Kontaktdaten des Einführers in Papier- oder elektronischer Form beigefügt sind. Bei Zweifeln an der Konformität des Produkts oder der Herstellerverfahren darf er das Produkt mit digitalen Elementen nicht auf dem Markt bereitstellen, sondern muss zunächst die Konformität sicherstellen, Art. 14 Abs. 3 CRA-E. Sofern das Produkt zudem ein erhebliches Cybersicherheitsrisiko birgt, sind der Hersteller und die Marktüberwachungsbehörden hierüber zu informieren.

Wurde das Produkt mit digitalen Elementen bereits von dem Händler auf dem Markt bereitgestellt und stellt sich im Nachhinein heraus, dass die Anforderungen in Anhang I nicht erfüllt werden, so muss dieser gemäß Art. 14 Abs. 4 CRA-E unverzüglich die erforderlichen Korrekturmaßnahmen ergreifen oder das Produkt mit digitalen Elementen vom Markt nehmen oder zurückrufen. Wird eine Schwachstelle identifiziert, ist der Hersteller und bei einem erheblichen Cybersicherheitsrisiko die Marktüberwachungsbehörde zu informieren. Bei einer Schwachstelle handelt es sich gemäß Art. 3 Nr. 38 CRA-E, der auf Art. 6 Nr. 15 NIS-2-Richtlinie verweist, um eine Schwäche, Anfälligkeit oder Fehlfunktion, die bei einer Cyberbedrohung ausgenutzt werden kann.

Weiterhin normiert der CRA-E in Art. 14 Abs. 5 die Übermittlung von Informationen und Unterlagen über den Nachweis der Konformität des Produkts mit digitalen Elementen und der vom Hersteller festgelegten Verfahren an die Marktüberwachungsbehörden auf deren Verlangen und schreibt auch eine Zusammenarbeit mit jenen Behörden vor.

Ebenso wie für die übrigen Wirtschaftsakteure gilt auch für den Händler die in Art. 17 Abs. 2 CRA-E genannte zehnjährige Aufbewahrungsfrist für Kontaktinformationen aller Wirtschaftsakteure, von denen er Produkte mit digitalen Elementen bezogen oder an die er solche abgegeben hat. Weiterhin sind Marktüberwachungsbehörden und Produktnutzer über die Einstellung der Betriebstätigkeit des Herstellers zu informieren, Art. 14 Abs. 6 CRA-E.

Der Händler fällt zudem, wie auch der Einführer, unter die Regelung des Art. 15 CRA-E. Hiernach wird der Händler als ein „fingierter“ Hersteller angesehen, wenn er eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt, mit der Folge, dass er den Pflichten des Herstellers zumindest für die Teile des Produkts unterliegt, die von der wesentlichen Änderung betroffen sind. Gemäß Art. 3 Nr. 31 CRA-E liegt eine wesentliche Änderung dann vor, wenn das Produkt mit digitalen Elementen nach dem Inverkehrbringen derart verändert wird, dass sich die im Rahmen der Konformitätsbewertung festgestellte bestimmungsgemäße Verwendung wandelt oder sich die Veränderung generell auf die Konformität des Produkts und dessen Anforderungen in Anhang I Abschnitt 1 auswirkt. Sobald der Händler also in die Beschaffenheit eines in Verkehr gebrachten Produkts mit digitalen Elementen eingreift, besteht das Risiko, dass sich sein Pflichtenkreis stark ausweitet.

Empfehlung für die Praxis:

Unternehmen, die digitale Produkte als Händler vertreiben, sollten insbesondere die Vorschriften zum sachlichen Anwendungsbereich des CRA-E prüfen, um festzustellen, ob die von ihnen angebotenen Produkte unter den CRA-E fallen. Sofern dies zutrifft, empfehlen wir, entsprechende Prozesse einzuführen, um den umfangreichen Prüfpflichten hinreichend Rechnung tragen zu können, da diesbezüglich ein hohes Haftungsrisiko besteht. Ferner sollte möglichst sichergestellt werden, keine wesentlichen Änderungen an den angebotenen Produkten mit digitalen Elementen vorzunehmen, um nicht unter die Herstellerfiktion zu fallen.

In unserer CRA-Update-Reihe präsentieren wir Ihnen regelmäßig Informationen zu dem geplanten Cyber Resilience Act der Europäischen Union und halten Sie über Änderungen im laufenden Gesetzgebungsverfahren informiert. In jedem unserer Beiträge geben wir Ihnen einen kurzen Überblick über einen konkreten Themenbereich und stellen Ihnen dabei die wichtigsten Aspekte sowie praktische Auswirkungen vor.