News
Cyber Resilience Act – Überblick zu den neuen Cybersicherheitsanforderungen für Produkte mit digitalen Elementen
Die Europäische Kommission hat im September ihren Entwurf für den Cyber Resilience Act („CRA“, Regulation of the European Parliament and of the Council on horizontal cybersecurity requirements for products with digital elements and amending Regulation (EU) 2019/1020) veröffentlicht. Dabei handelt es sich um eine EU-Verordnung, die nach Inkrafttreten unmittelbare Anwendung in allen Mitgliedstaaten findet und hierfür keines weiteren Umsetzungsaktes bedarf. Das Vorhaben zielt darauf ab, die europäische Datenstrategie weiter voranzutreiben und den legislativen Flickenteppich auf dem Gebiet der Cybersicherheit im europäischen Binnenmarkt zu beseitigen.
Ziel der Verordnung
Mit dem CRA bezweckt der europäische Gesetzgeber horizontale Sicherheitsanforderungen für „Produkte mit digitalen Elementen“ einzuführen, um so die Cybersicherheit für die Bandbreite aller materiellen Produkte mit digitalen Elementen und zugehöriger Dienste in der gesamten Lieferkette zu stärken. Der Begriff des Produkts mit digitalen Elementen umfasst jegliche Software, Hardware, ihre einzelnen Komponenten sowie die damit verbundenen Datenverarbeitungsprozesse. Er weist eine große Ähnlichkeit zu dem Begriff der digitalen Produkte in § 327 Abs. 1 S. 1 BGB auf, der als Umsetzungsakt der Digitale-Inhalte-RL bereits Einzug in das deutsche Recht gehalten hat. In sachlicher Hinsicht umfasst der Entwurf des CRA faktisch jeden Gegenstand des täglichen Lebens, der eine digitale Funktion aufweist. Dienstleistungen, wie Software-as-a-Service (SaaS) unterfallen hingegen grundsätzlich nicht dem Anwendungsbereich der Verordnung. Gleiches gilt für Medizinprodukte sowie für solche im Zusammenhang mit der Flugsicherheit und der Typengenehmigung von Kraftfahrzeugen, da der europäische Gesetzgeber hierzu bereits abschließende Regelungen zur Cybersicherheit in spezielleren Verordnungen erlassen hat. Der persönliche Anwendungsbereich umfasst mit Herstellern, Importeuren und Händlern als Adressaten der Verordnung sämtliche Akteure einer Lieferkette. Letztlich sollen dadurch Cybersicherheitsrisiken von Produkten mit digitalen Elementen minimiert und eine sichere Nutzung für Unternehmer und Verbraucher im gesamten europäischen Binnenmarkt sichergestellt werden.
Relevante Vorgaben
Um diese Ziele zu erreichen, werden Herstellern, Händlern und Importeuren von Produkten mit digitalen Elementen eine Vielzahl von neuen Pflichten auferlegt. Diese sind in den Art. 10 ff. des CRA-Entwurfs geregelt und unterscheiden sich je nach Akteur und Kritikalität des Produkts.
So sollen Hersteller verpflichtet werden, die Cybersicherheitsanforderungen bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu berücksichtigen und hierzu eine Bewertung der Cybersicherheitsrisiken durchzuführen. Im Annex I des CRA-Entwurfs findet sich eine Liste mit konkretisierenden Vorgaben, welche an die in Art. 5 Abs. 1 DSGVO niedergelegten Datenschutzgrundsätze und an die in Art. 25 DSGVO normierten Bestimmungen zu Privacy by Design und Privacy by Default erinnern. Um nachzuweisen, dass ihre Produkte diese Cybersicherheitsanforderungen erfüllen, ist ein Konformitätsbewertungsverfahren durchzuführen, das sich anhand der Risikoeinstufung des Produkts bestimmt. Der CRA-Entwurf unterscheidet zwischen normalen, kritischen und hochkritischen Produkten und sieht für risikobehaftete Produkte striktere Verfahren vor. Des Weiteren sind Hersteller dazu verpflichtet, ihre Produkte fortlaufend in Bezug auf Schwachstellen und Risiken zu überprüfen und hierfür geeignete Verfahren und Strategien zu entwickeln. Bei einem Vorfall, der sich auf die Sicherheit des Produkts auswirkt, sind darüber hinaus unverzüglich die Behörden und Nutzer zu informieren und geeignete Abhilfemaßnahmen zu treffen. Weiterhin werden Hersteller dazu verpflichtet, vor Markteinführung eines Produkts eine technische Dokumentation im Hinblick auf die Erfüllung der maßgeblichen Cybersicherheitsanforderungen und den hierfür verwendeten Mitteln anzufertigen. Ferner sollen Hersteller über einen Zeitraum von bis zu fünf Jahren nach der Markteinführung Schwachstellen ihrer Produkte behandeln, wozu beispielsweise die Zurverfügungstellung von Sicherheitsupdates zählt. Dabei hat die Kürze dieser Frist im Hinblick auf die Langlebigkeit vieler technischer Produkte in der rechtswissenschaftlichen Literatur bereits vielfach Kritik ausgelöst. Insofern bleibt abzuwarten, ob dieser Zeitraum im weiteren Verlauf des Gesetzgebungsverfahrens noch angepasst wird.
Importeuren und Händlern werden ebenfalls umfassende Prüfpflichten auferlegt: So müssen Importeure vor Einführung eines Produkts auf den europäischen Markt stets eine vollständige Prüfung der Cybersicherheitsanforderungen durchführen und Hersteller bei Schwachstellen sowie gegebenenfalls Marktüberwachungsbehörden bei erheblichen Cybersicherheitsrisiken informieren. Händler hingegen haben lediglich zu überprüfen, ob das Produkt ein CE-Kennzeichen trägt und ob die notwendigen technischen Informationen, die Konformitätserklärung sowie die Kontaktinformationen des Importeurs beigefügt sind. Sonstige Personen, die wesentliche Veränderungen eines Produkts vornehmen, gelten als Hersteller und unterliegen dann den entsprechenden Pflichten.
Überwachung durch die Behörden
Um die Einhaltung dieser Pflichten zu überwachen, sollen die Mitgliedsstaaten dazu verpflichtet werden Marktüberwachungsstellen einzurichten. Diese Behörden überwachen die Einhaltung der Cybersicherheitsanforderungen und arbeiten dabei mit der EU-Kommission und der ENISA zusammen. Zudem stehen sie auch im Austausch mit Datenschutzbehörden. Zu den Befugnissen der Marktüberwachungsbehörden stehen die Einleitung von Untersuchungen sowie die Anordnung von Maßnahmen zur Wiederherstellung der Gesetzeskonformität bis hin zum Produktrückruf. Ferner dürfen sie koordinierte Kontrollhandlungen durchführen (sogenannte „Sweeps“), womit simulierte Cyberangriffe gemeint sein dürften. Die noch nicht hinreichend definierten Anforderungen für solche Eingriffe stoßen ebenfalls auf breite Kritik.
Sanktionen
Der Cyber Resilience Act weist ein Sanktionsregime auf, das dem der DSGVO ähnlich ist. Sanktionen sollen gemäß Art. 53 Abs. 1 S. 2 CRA-Entwurf „wirksam, verhältnismäßig und abschreckend“ sein. Die Bußgelder für die Nichteinhaltung der grundlegenden Sicherheitsanforderungen für Hersteller können bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Vorjahres betragen, je nachdem welcher Betrag höher ist. Für alle weiteren Verstöße sämtlicher Adressaten sind Bußgelder von bis zu 10 Millionen Euro oder 2 % des Gesamtjahresumsatzes vorgesehen. Sofern unrichtige, unvollständige oder irreführende Angaben im Rahmen von behördlichen Untersuchungen erfolgen, können Bußgelder in Höhe von 5 Millionen Euro oder 1 % des Gesamtjahresumsatzes verhängt werden.
Aktueller Stand, Ausblick und Handlungsempfehlungen
Der Cyber Resilience Act befindet sich noch am Beginn des Gesetzgebungsverfahrens. Aktuell liegt lediglich ein erster Entwurf vor. Rückmeldungen zum bestehenden Entwurf können nach aktuellem Stand bis zum 9. Januar 2023 eingereicht werden. Darüber hinaus ist mit Änderungsvorschlägen des Europäischen Parlaments und des Europäischen Rats zu rechnen.
Nach Inkrafttreten des endgültigen Gesetzes besteht zunächst eine Übergangsfrist von 24 Monaten. Davon ausgenommen ist die Meldepflicht für Hersteller bei Sicherheitsvorfällen, welche schon nach 12 Monaten gilt. Gleichwohl raten wir dazu, den weiteren Verlauf des Gesetzgebungsverfahrens im Auge zu behalten und frühzeitig auf die umfangreichen Anforderungen des CRA zu reagieren und den wirtschaftlichen und bürokratischen Mehraufwand bei den Entwicklungsprozessen neuer Produkte frühzeitig zu berücksichtigen.
News
Geschäftsgeheimnisse und Auskunftsansprüche nach Art. 15 DSGVO: Spannungsfeld und Praxisfragen
Unternehmen sehen sich häufig mit Auskunftsanfragen betroffener Personen konfrontiert, deren Beantwortung auch Geschäftsgeheimnisse betreffen kann. Dies gilt etwa in Fällen, in denen Unternehmen Informationen zu algorithmischen Entscheidungsprozessen gem. Art. 15 Abs. 1 lit. h DSGVO offenlegen müssen. Aber auch klassische Geschäftsgeheimnisse wie interne Dokumentationen, etwa Kundenlisten oder Produktspezifikationen, können von der Auskunftspflicht nach Art. 15 Abs. 3 DSGVO betroffen sein.
Zuständigkeitswirrwarr: Übersicht zur Zuständigkeit für die Überwachung des Barrierefreiheitsstärkungsgesetzes (BFSG) bis zur Gründung der bundesweit zuständigen Marktüberwachungsbehörde
Seit dem 28. Juni 2025 gelten die Vorgaben des Barrierefreiheitsstärkungsgesetzes (BFSG). Ursprünglich war geplant, dass eine bundesweit zuständige Behörde die Überwachung des BFSG übernehmen soll. Die sogenannte Marktüberwachungsstelle der Länder für die Barrierefreiheit von Produkten und Dienstleistungen (MLBF) mit Sitz in Sachsen-Anhalt befindet sich aber noch „in Errichtung“. Auf dem Internetangebot des Landes Sachsen-Anhalt finden sich zur MLBF derzeit lediglich ein Postfach, eine E-Mail-Adresse und eine Telefonnummer (hier abrufbar). Vor diesem Hintergrund stellt sich die Frage, welche Behörden bis zur Errichtung der MLBF für die Überwachung des BFSG zuständig sind.
DSGVO-Bußgeldverfahren: Mehr Klarheit durch Musterrichtlinien der DSK
Am 16. Juni 2025 hat die Datenschutzkonferenz (DSK) ihre Musterrichtlinien für das Verfahren zur Verhängung von Geldbußen vorgestellt.
Die Landesdatenschutzbehörden planen nun, diese Richtlinien als Verwaltungsvorschriften zu erlassen. Damit werden sich die Aufsichtsbehörden selbst verpflichten, die Vorgaben in zukünftigen Bußgeldverfahren einzuhalten.
Erste Schritte zur Umsetzung der Barrierefreiheit auf Websites
In etwa einem Monat gelten die Anforderungen des Barrierefreiheitsstärkungsgesetz (BFSG) für viele Websites. Ab dem 29. Juni 2025 müssen die meisten Websites (und übrigens auch Apps) nicht nur barrierefrei sein, sondern auch eine Erklärung zur Barrierefreiheit enthalten.
In diesem Beitrag möchten wir Ihnen aufzeigen, welche Schritte Sie jetzt ergreifen können, um die Anforderungen des BFSG kurzfristig umzusetzen.
Datenschutzrechtliche Verantwortlichkeit von Behörden bei zentraler Bereitstellung von IT-Fachverfahren
Um Behörden die Bestimmung der datenschutzrechtlichen Verantwortlichkeit beim Einsatz von IT-Fachverfahren zu erleichtern, hat Philip Schweers in der aktuellen Ausgabe 05/2025 des Datenschutzberaters einen Beitrag veröffentlicht.
Den Beitrag können Sie hier kostenlos auf unserer Website als PDF abrufen.
Im Artikel beschreibt Herr Schweers ausführlich, wann aus Sicht des Europäischen Datenschutzausschusses und des Europäischen Gerichtshofs eine gemeinsame Verantwortlichkeit bei Beteiligung mehrerer öffentlicher Stellen in Betracht kommt. Auch für Datenschützer im Unternehmen kann der Beitrag interessant sein, da sich die Ausführungen im Grunde auch auf die Bereitstellung zentraler IT-Anwendungen im Konzern übertragen lassen.
Weiterer Fachaufsatz zum Training von KI-Modellen aus datenschutzrechtlicher Sicht
In der aktuellen Ausgabe 02/2025 (EuDIR 2025, 90) der Zeitschrift für Europäisches Daten- und Informationsrecht (EuDIR) wurde ein Beitrag von Dr. Carlo Piltz und Alexander Weiss mit dem Titel „Datenschutzrechtliche Rechtsgrundlagen für das Training von KI-Modellen“ veröffentlicht.
In dem Aufsatz wird aufgezeigt, welche datenschutzrechtlichen Erlaubnistatbestände aus der DSGVO in bestimmten Fallkonstellationen herangezogenen werden können, wenn KI-Modelle mit personenbezogenen Daten trainiert werden. Zudem werden auch Fragestellungen zur Zweckänderung (Art. 6 Abs. 4 DSGVO) und zur Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO) erörtert.
Das Inhaltsverzeichnis der Zeitschrift können Sie hier als PDF aufrufen.