News
Der CRA – Was sollten Unternehmen 2026 und darüber hinaus beachten?
Der Cyber Resilience Act (CRA) zielt darauf ab, dass auf dem europäischen Markt bereitgestellte Produkte mit digitalen Elementen ein einheitliches Cybersicherheitsniveau aufweisen. Zu diesem Zweck legt der CRA Pflichten für sämtliche Wirtschaftsakteure der Produktlieferkette fest, insbesondere für den Hersteller, aber auch für die Händler von Produkten mit digitalen Elementen.
Produktbegriff als Anknüpfungspunkt für den sachlichen Anwendungsbereich
Der Begriff des Produkts mit digitalen Elementen (Art. 3 Nr. 1 CRA) ist sehr weit zu verstehen und umfasst Software und Hardware, die vereinfacht gesprochen eine Datenverbindung mit einem Gerät oder Netz eingehen können (Art. 2 Abs. 1 CRA). Darunter fallen nicht nur IoT-Geräte, wie z.B. das smarte Heizthermostat und die dazugehörige App, sondern auch Hardware (z.B. Laptops, Smartphones, Festplatten) und Software (z.B. Games oder Apps auf dem Smartphone). Der Anwendungsbereich ist somit sehr weit. Beispielsweise kann ein Unternehmen, das seine Dienste auch über eine eigene App anbietet, die im Apple App Store oder Google Play Store für das Smartphone heruntergeladen werden kann, schon unter den Herstellerbegriff fallen. Dieses Beispiel zeigt, dass der CRA für den Großteil der Unternehmen relevant sein wird.
In zeitlicher Hinsicht gilt die Verordnung gemäß Art. 71 Abs. 2 CRA erst ab dem 11. Dezember 2027 vollständig. Allerdings gibt es hierbei einige Besonderheiten zu beachten.
Die Bestandsschutzregel
Aus Art. 69 Abs. 2 CRA folgt eine Bestandsschutzregel, wonach der CRA nicht für Produkte gilt, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden.
Der Begriff des Inverkehrbringens
Das Inverkehrbringen eines Produkts mit digitalen Elementen meint dessen erstmalige Bereitstellung auf dem Unionsmarkt (Art. 3 Nr. 21 CRA). Nach Ansicht der Europäischen Kommission setzt dies ein Angebot zwischen zwei Personen hinsichtlich der Übereignung, der Übertragung des Besitzes oder sonstiger Rechte im Hinblick auf das bereits hergestellte Produkt voraus (Blue Guide der Europäischen Kommission, S. 20). Bei einer im Apple App Store oder im Google Play Store angebotenen App eines Unternehmens läge ein solches Angebot wohl bereits in der erstmaligen Bereitstellung der App in den jeweiligen Store zum Download, da hier anders als bei physischen Gütern, gerade keine unverbindliche invitatio ad offerendum des Anbieters vorliegt, da die Apps als digitale Güter direkt per Klick erreichbar sind.
Wichtig ist in diesem Zusammenhang, dass sich das Inverkehrbringen nach Ansicht der Kommission nicht auf eine Produktart, sondern auf jedes einzelne Produkt bezieht. Daraus folgt, dass jedes einzelne Produkt (also z.B. jeder einzelne Laptop oder WLAN-Router), das ab dem 11. Dezember 2027 in Verkehr gebracht wird, die Anforderungen des CRA erfüllen muss, auch wenn zuvor gleiche Modelle (also z.B. dasselbe Modell des Laptops oder des WLAN-Routers) bereits in Verkehr gebracht wurden. Die Kommission nennt in ihren FAQ zum CRA (auf S. 64 f.) das Beispiel von 10.000 hergestellten Routern, die vor dem 11. Dezember 2027 in Verkehr gebracht wurden und damit nicht dem CRA unterfallen, auch wenn diese den Endnutzer noch nicht erreicht haben. Allerdings würde der Hersteller in den Anwendungsbereich des CRA fallen, wenn er ab dem 11. Dezember 2027 weitere 5.000 Kopien dieses Routers anfertigen und in Verkehr bringen würde.
Bei einer im Apple App Store oder im Google Play Store angebotenen App ließe sich ggf. noch argumentieren, dass das erstmalige Bereitstellen (also das Inverkehrbringen) mit dem Einstellen der App als solche in den App Store durch den Anbieter und dem damit verbundenen Angebot an die Kunden zum Download abgeschlossen ist.
Der Begriff der wesentlichen Änderung
Eine weitere Ausnahme von der Bestandsschutzregel gilt dann, wenn das Produkt einer wesentlichen Änderung unterliegt. Dieser Begriff wird in Art. 3 Nr. 30 CRA definiert, wonach jede Änderung wesentlich ist, die sich auf die Konformität des Produkts mit den grundlegenden Cybersicherheitsanforderungen in Anhang I Teil 1 auswirkt oder zu einer Änderung des bestimmungsgemäßen Zwecks führt, für den das Produkt geprüft wurde.
Beispiele für solche wesentlichen Änderungen sind etwa die Änderung einer Software, wodurch sich die Zweckbestimmung eines Produkts ändert und diese Änderung in der ursprünglichen Risikobewertung nicht vorgesehen war. Führt die Softwareaktualisierung zu einer Erhöhung des Cybersicherheitsrisikos, ist dies nach ErwGr. 39 Satz. 1 CRA ebenfalls eine wesentliche Änderung. Wichtig ist dabei, dass das geänderte Produkt dann stets wieder auf dem Markt bereitgestellt werden muss, wofür bereits das Anbieten des schon hergestellten Produkts im Rahmen einer Geschäftstätigkeit ausreichen soll (Blue Guide der Europäischen Kommission, S. 19). Eine Softwareaktualisierung gilt nach ErwGr. 39 Satz 4 CRA hingegen nicht als wesentliche Änderung des Produkts mit digitalen Elementen, wenn durch die Änderung eine bekannte Schwachstelle behoben wird und sich Funktionen oder die Leistung verändern, jedoch nur zu dem „alleinigen Zweck“, das Cybersicherheitsrisiko zu senken. Gleiches gilt für nur geringfügige Aktualisierungen der Funktionen, wie visuelle Verbesserungen, das Hinzufügen neuer Sprachen oder die Ergänzung von Piktogrammen in der Benutzeroberfläche. Werden allerdings neue Funktionen hinzugefügt, die ursprünglich nicht beabsichtigt waren (z.B. Hinzufügen eines neuen Eingabeelements), führt dies nach ErwGr. 39 Satz 6 CRA zu einer wesentlichen Änderung, da neue Funktionen in der Regel eine weitere Angriffsfläche bieten und mit einem größeren Risiko für die Cybersicherheit einhergehen. Gemäß Art. 26 Abs. 1, Abs. 2 lit. d CRA wird die Kommission noch Leitlinien zum Begriff der wesentlichen Änderung veröffentlichen. Daraus folgt, dass Unternehmen, die Produkte mit digitalen Elementen, wie z.B. Apps, anbieten, schnell in den Anwendungsbereich des CRA fallen können, wenn sie im Rahmen von Updates neue Funktionen bereitstellen.
Meldepflichten für Hersteller
Unabhängig davon, ob das Produkt vor oder nach dem 11. Dezember 2027 in Verkehr gebracht wurde, haben die Hersteller von Produkten mit digitalen Elementen in jedem Fall ab dem 11. September 2026 die Meldepflichten nach Art. 14 CRA zu erfüllen. Dazu gehören z.B. die Meldung über jede aktiv ausgenutzte Schwachstelle eines Produkts mit digitalen Elementen an das CSIRT (in Deutschland das BSI) und die ENISA nebst weiteren Informationen und Dokumenten (z.B. Bewertung des Vorfalls, ergriffene Maßnahmen zur Risikominimierung) und gegenüber den Nutzern.
Empfehlungen für die Praxis
Die genannten Beispiele zeigen, dass der CRA nicht nur für IoT-Produkte gilt, die ab dem 11. Dezember 2027 in Verkehr gebracht werden, sondern Unternehmen bereits ab dem 11. September 2026 Pflichten zu erfüllen haben, wenn sie als Hersteller eines Produkts mit digitalen Elementen gelten. Zudem kann ein erneutes Inverkehrbringen eines Produkts dafür sorgen, dass die Vorschriften des CRA für dieses Produkt zu erfüllen sind, wobei diesbezüglich noch einige Unklarheiten bestehen. Insofern sollten Unternehmen prüfen, ob ihre Produkte in den Anwendungsbereich des CRA fallen und welche geplanten Aktualisierungen in der Zukunft möglicherweise als wesentliche Änderung gelten könnten. Zudem sollten Unternehmen weitere Veröffentlichungen von der Kommission und anderen Behörden im Blick behalten, da sich hieraus ggf. weitere Informationen für die Auslegung der Vorschriften in der Praxis ergeben können.
News
Konzern-IT-Gesellschaften unter der NIS-2-Richtlinie – Neue Herausforderungen für Managed Service Provider und Managed Security Service Provider?
Viele Konzerne oder Unternehmensgruppen betreiben eine eigene IT-(Service) Gesellschaft, die bspw. ERP, MS 365 & Co. ausschließlich für andere Konzerngesellschaften bereitstellt. Mit Geltung der neuen Vorgaben der NIS-2-Richtlinie stellt sich die Frage, ob diese eigene interne IT nach dem deutschen NIS-2-Umsetzungsgesetz (= § 2 Nr. 26 BSIG) als „Managed Service Provider“ (MSP) einzuordnen ist – und sich daher spezifische Pflichten ergeben.
Blackout in Berlin – Meldepflichten für Unternehmen?
Von dem großflächigen Stromausfall im Berliner Südwesten sind etwa 2.200 Unternehmen betroffen. Viele davon müssen wohl leider damit rechnen, noch bis Donnerstag nicht wieder an das Stromnetz angeschlossen zu werden. Der Blackout hat für Unternehmen auch eine (datenschutz- und IT-Sicherheits-)rechtliche Dimension. Die Datenschutz-Grundverordnung sowie das BSI-Gesetz sehen für relevante Sicherheitsvorfälle Meldepflichten vor.
Private Nutzung betrieblicher E-Mail-Postfächer
Für die Zulässigkeit von Zugriffen auf Mitarbeiter-E-Mails ist die Anwendbarkeit des Fernmeldegeheimnisses höchst relevant. In der Vergangenheit wurden Arbeitgeber oft als Telekommunikationsanbieter eingestuft, wenn eine private Nutzung erlaubt war. Seit der Neuregelung der relevanten Vorschriften im Jahr 2021 vertreten die Aufsichtsbehörden zunehmend, dass das Fernmeldegeheimnis nicht greift. Auch die Bundesnetzagentur lehnt diese Einordnung in einem neuen Papier mit überzeugenden Argumenten ab. Aber welche Folgen hat das für die Unternehmen?
Mit dieser Frage befasst sich der aktuelle Beitrag von Dr. Carlo Piltz und Ilia Kukin in der K&R. Der Volltext ist hier abrufbar.
Handelsblatt-Ranking - Deutschlands „Beste Arbeitgeber“ – Platz 11 von 312 Arbeitgebern
Wir freuen uns sehr, in diesem Ranking Platz 11 von über 300 teilnehmenden Kanzleien erreicht zu haben und dafür vom Handelsblatt mit dem Siegel „Beste Arbeitgeber“ ausgezeichnet worden zu sein. Diese Auszeichnung bestätigt unseren Anspruch, ein Arbeitsumfeld zu schaffen, in dem sich alle Kolleginnen und Kollegen wohlfühlen und ihre Stärken entfalten können.
Geführt wird unsere Kanzlei von Prof. Burghard Piltz und Dr. Carlo Piltz, die sich seit vielen Jahren für eine moderne, wertschätzende und zukunftsorientierte Arbeitskultur einsetzen.
Wir danken allen Mitarbeitenden für ihr Engagement und ihr Vertrauen.
Tracking und Auswertung von Leistungsdaten im Profisport
Die Datenerfassung im Leistungssport hat sich zu einem unverzichtbaren Instrument für moderne Sportorganisationen entwickelt. Vereine, Verbände und Unternehmen nutzen umfangreiche Datenanalysen zur Leistungsoptimierung und strategischen Entscheidungsfindung. Hierbei werden im Allgemeinen Leistungsdaten, aber mitunter auch sensible Gesundheitsdaten verarbeitet. Verantwortliche müssen die Anforderungen der DSGVO beachten und Rechtsgrundlagen für die Datennutzung nachweisen können. Dieser Beitrag beleuchtet, vor welchen rechtlichen Herausforderungen Vereine bei der Auswertung von Leistungs- und Gesundheitsdaten von Sportlern stehen und auf welche Rechtsgrundlagen sie diese Verarbeitung stützen können.
Der Beitrag von Dr. Carlo Piltz und Ilia Kukin aus dem DSB 10/2025 ist hier abrufbar.
Neue Entwicklungen im UN-Kaufrecht
Die zentrale Stellung des UN-Kaufrechts/CISG als juristische Basis für Export- und Importverträge wird heute nicht mehr infrage gestellt. Praktiker berichten von einer deutlichen Tendenz in den Unternehmen, ihre Außenhandelsgeschäfte gezielt auf das UN-Kaufrecht umzustellen. Ein Ausschluss des UN-Kaufrechts erklärt sich heute überwiegend mit mangelnder Vertrautheit mit seinen Inhalten und fehlender Neigung, diesem Zustand abzuhelfen, lässt sich angesichts der weitreichenden Dispositivität seiner Bestimmungen jedoch kaum mit nicht akzeptablen Lösungen des UN-Kaufrechts belegen. In Fortführung des Gliederungsschemas der vorangegangenen Berichtsaufsätze (zuletzt NJW 2023, 2542) wird die Liste der Vertragsstaaten aktualisiert und neben Hinweisen auf aktuelle Arbeitsmittel insbesondere die seit dem letzten Berichtsaufsatz bekannt gewordene in- und ausländische Rechtsprechung zum UN-Kaufrecht/CISG aufgearbeitet.