STADLER VÖLKEL Rechtsanwälte GmbH

Legal Update #41: Neue Verpflichtungen für Händler von Produkten mit digitalen Elementen

3. April 2023
Legal Update #41: Neue Verpflichtungen für Händler von Produkten mit digitalen Elementen

Disclaimer: Dieses Legal Update beschäftigt sich mit dem derzeitigen Entwurf (Stand: März 2023) des Vorschlags für eine EU-Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (COM(2022) 454 final), welche von der noch zu beschließenden Finalfassung abweichen kann.

Allgemeines

Die Digitalisierung schreitet voran – so auch für Produkte. Der europäische Gesetzgeber plant daher eine neue Regulierung um Cyber-Sicherheit von Produkten mit digitalen Elementen sicherzustellen. In Zukunft soll es daher in diesem Zusammenhang verschärfte Vorschriften für unterschiedliche Wirtschaftsteilnehmer – auch Händler – geben. Der derzeitige Entwurf einer dafür geschaffenen unmittelbar wirksamen EU-Verordnung (COM(2022) 454 final) soll die genannte Ziele insbesondere durch "grundlegende Anforderungen an die Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen hinsichtlich der Cybersicherheit" ermöglichen.

Anwendungsbereich

Die Verordnung soll gemäß deren Artikel 2 "für Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkt oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt" gelten. Unter "Produkt mit digitalen Elementen" wird hierbei "ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in Verkehr gebracht werden sollen" verstanden. "Software" im Sinne der Verordnung ist der "Teil eines elektronischen Informationssystems, der aus Computercode besteht". Als "Hardware" wird "ein physisches elektronisches Informationssystem, das digitale Daten verarbeiten, speichern oder übertragen kann, oder Teile eines solchen Systems" verstanden. Die einzelnen Begrifflichkeiten bzw. Tatbestandsmerkmale werden im Entwurf der Verordnung noch weiter umfassend definiert und führen letztlich dazu, dass eine Vielzahl von Produkten von der Verordnung erfasst sein wird. So werden praktisch fast alle elektronischen Geräte, die mit digitalen Daten arbeiten, unter das Regelungsregime fallen. Dies kann beispielsweise eine digitale Spiegelreflexkamera, ein Prozessor oder etwa auch ein Smartphone sein. Sogar die neue High-Tech-Zahnbürste könnte erfasst sein. Vom Anwendungsbereich ausgenommen sind lediglich bestimmte Produktbereiche und Sektoren wie etwa Produkte die ausschließlich zu Zwecken nationaler Sicherheit entwickelt wurden.

Neue Pflichten für Händler

Der Entwurf der Verordnung sieht im Speziellen auch Pflichten der Händler vor. Im Artikel 14 werden diese etwa für den Fall der Bereitstellung von Produkten mit digitalen Elementen auf dem Markt, dazu verpflichtet die Vorschriften der Verordnung mit der gebührenden Sorgfalt zu befolgen. Dies bedeutet in concreto etwa:

  • Eine Überprüfung des Produkts vor Bereitstellung auf dem Markt darauf, ob eine CE-Kennzeichnung vorhanden ist, sowie ob "der Hersteller und der Einführer erfüllt haben".
  • Bestehen Zweifel hinsichtlich der Konformität der vom Hersteller festgelegten Verfahren oder des erfassten Produkts mit digitalen Elementen mit den Anforderungen des Anhang I der Verordnung, so wird der Händler das Produkt erst nach Konformitätsherstellung auf dem Markt bereitstellen.
  • Meldepflichten des Händlers wenn das Produkt ein erhebliches Cybersicherheitsrisiko birgt.
  • Allfällige Verpflichtungen zu Korrekturmaßnahmen, wie etwa Produktrückrufe.
  • Zusammenarbeitspflichten mit den Marktüberwachungsbehörden.

Wann der Händler zum Hersteller wird und die Konsequenz

Wenn der "Händler ein Produkt mit digitalen Elementen unter seinem eigenen Namen oder seiner eigenen Marke in Verkehr bringt oder eine wesentliche Änderung an einem bereits in Verkehr gebrachten Produkt mit digitalen Elementen vornimmt" gilt dieser fortan als Hersteller und unterliegt den entsprechenden weitergehenden Pflichten. Als Händler sollte man sich den Konsequenzen bewusst sein und möglichst darauf achten, nicht zum Hersteller im Sinne der Verordnung zu transformieren oder sich eingehend mit den entsprechend einhergehenden Verpflichtungen auseinandersetzen. Flankiert werden die Verpflichtungen von Sanktionen bei Zuwiderhandlung gegen die Verordnung. Für Händler besonders relevant sind die Geldbußen bis zu EUR 10. Mio oder bis zu 2 % des weltweiten Gesamtjahresumsatzes – je nachdem welcher Betrag höher ist. Wird man als Hersteller qualifiziert so drohen bei Verstößen sogar Geldbußen bis zu EUR 15. Mio oder bis zu 2,5 % des weltweiten Gesamtjahresumsatzes – je nachdem welcher Betrag höher ist

Conclusio

Cyber-Sicherheit wird auch für den Gesetzgeber zunehmend wichtiger. Entsprechend kann der Verordnungsentwurf als Versuch betrachtet werden, Cyber-Sicherheit bereits früher in der Supply-Chain zu etablieren. Wenngleich die Stoßrichtung – die Erhöhung von Cyber-Sicherheit – natürlich begrüßenswert ist, so ist doch gleichermaßen zu berücksichtigen, dass das Bewusstsein für Sicherheit im Cyber-Space vielfach erst gesteigert werden muss. Händler und sonstige Akteure im Handel sollten sich nicht nur wegen der neuen rechtlichen Verpflichtungen, sondern bereits aus Eigeninteresse mit dem Thema "Cyber-Sicherheit" beschäftigen und für entsprechendes Bewusstsein – auch bei der Belegschaft – sorgen. Entsprechende Awareness schafft nicht nur faktisch erhöhte Sicherheit, sondern auch verbesserte rechtliche Compliance.

STADLER VÖLKEL Rechtsanwälte Logo