CRA-Bußgelder in der Praxis: Wie Marktüberwachung tatsächlich aussieht

Der CRA enthält Bußgeldbestimmungen, die bis zu 15 Millionen Euro oder 2,5% des weltweiten Umsatzes erreichen können. Aber wie sieht die Durchsetzung tatsächlich aus? Wie arbeiten Marktüberwachungsbehörden? Und was löst die höchsten Bußgelder aus?

Dieser Leitfaden erklärt CRA-Durchsetzungsmechanismen und wie Sie auf der richtigen Seite der Regulierungsbehörden bleiben.

CRA-Bußgeldstruktur

Drei Bußgeldstufen

Der CRA etabliert maximale Verwaltungsstrafen basierend auf der Schwere des Verstoßes:

CRA-BUSSGELDSTUFEN

STUFE 1: Verstöße gegen Grundlegende Anforderungen (Artikel 64(2))
─────────────────────────────────────────────────────────────
Maximum: 15.000.000 EUR oder 2,5% des weltweiten Jahresumsatzes
         (je nachdem, welcher Betrag höher ist)

Verstöße umfassen:
- Nichtkonformität mit Anhang I Grundlegenden Anforderungen
- Inverkehrbringen nicht konformer Produkte
- Fehlende oder ungültige Konformitätsbewertung
- Bereitstellung falscher Informationen an Behörden

STUFE 2: Andere Pflichtverstöße (Artikel 64(3))
─────────────────────────────────────────────────────────────
Maximum: 10.000.000 EUR oder 2% des weltweiten Jahresumsatzes
         (je nachdem, welcher Betrag höher ist)

Verstöße umfassen:
- Dokumentationsmängel
- Fehlende oder falsche CE-Kennzeichnung
- Pflichtverletzungen von Importeuren/Händlern
- Versäumnis von Meldepflichten

STUFE 3: Informationsverstöße (Artikel 64(4))
─────────────────────────────────────────────────────────────
Maximum: 5.000.000 EUR oder 1% des weltweiten Jahresumsatzes
         (je nachdem, welcher Betrag höher ist)

Verstöße umfassen:
- Bereitstellung falscher/unvollständiger Informationen an Behörden
- Nichtbereitstellung von Informationen auf Anfrage
- Behinderung von Marktüberwachungsaktivitäten

Wie Bußgelder berechnet werden

Behörden müssen berücksichtigen (Artikel 64(5)):

Bußgeldbeispiele (Illustrativ)

BEISPIELSZENARIEN (Illustrativ, kein Präzedenzfall)

Szenario A: Dokumentationslücke
─────────────────────────────────────────────────────────────
Verstoß: Technische Dokumentation unvollständig (fehlende Risikobewertung)
Umstände: Erstverstoß, zeitnah korrigiert, kooperativ
Wahrscheinliches Ergebnis: Verwarnung oder niedriges Bußgeld
Geschätzte Spanne: 0 EUR - 50.000 EUR

Szenario B: Fehlende Konformitätsbewertung
─────────────────────────────────────────────────────────────
Verstoß: Produkt Klasse "Wichtig II" ohne NB-Bewertung verkauft
Umstände: Anforderung bekannt, trotzdem fortgefahren
Wahrscheinliches Ergebnis: Erhebliches Bußgeld + Produktrücknahme
Geschätzte Spanne: 100.000 EUR - 1.000.000+ EUR

Szenario C: Bekannte Schwachstelle nicht gepatcht
─────────────────────────────────────────────────────────────
Verstoß: Kritische Schwachstelle bekannt, 6 Monate nicht behandelt
Umstände: Kundenschaden entstanden, schlechte Kooperation
Wahrscheinliches Ergebnis: Hohes Bußgeld + potenzieller Rückruf
Geschätzte Spanne: 500.000 EUR - 5.000.000+ EUR

Szenario D: Systematische Nichtkonformität
─────────────────────────────────────────────────────────────
Verstoß: Mehrere Produkte, keine Konformitätsbewertung, falsche DoC
Umstände: Großunternehmen, andauernd, Vorsatznachweis
Wahrscheinliches Ergebnis: Maximale Bußgelder + Marktverbot
Geschätzte Spanne: Bis zu 15.000.000 EUR oder 2,5% Umsatz

Marktüberwachung: Wie sie funktioniert

Wer setzt den CRA durch?

Marktüberwachungsbehörden (MSAs) in jedem Mitgliedstaat setzen den CRA durch. Dies sind typischerweise:

• Verbraucherschutzbehörden
• Industrie-/Produktsicherheitsbehörden
• Sektorale Regulierungsbehörden

In Deutschland sind dies unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundesnetzagentur und Landesbehörden.

Koordination: Das EU-Produktkonformitätsnetzwerk koordiniert grenzüberschreitende Durchsetzung.

Überwachungsmethoden

MARKTÜBERWACHUNGSAKTIVITÄTEN

PROAKTIVE ÜBERWACHUNG:
├── Marktbeobachtung (online und physisch)
├── Zufällige Produktprobennahme
├── Beschwerdegesteuerte Untersuchungen
├── Sektorbezogene Kampagnen
└── Grenzüberschreitender Informationsaustausch

REAKTIVE ÜBERWACHUNG:
├── Vorfallmeldungen von Nutzern
├── Schwachstellenoffenlegungen
├── Wettbewerberbeschwerden
├── Hinweisgeber-Informationen
└── RAPEX/Safety Gate Warnungen

DOKUMENTATIONSANFRAGEN:
├── EU-Konformitätserklärung
├── Technische Dokumentation (oder relevante Teile)
├── SBOM
├── Testberichte
├── Konformitätsbewertungsnachweise
└── Schwachstellenbehandlungsunterlagen

Typische Durchsetzungssequenz

DURCHSETZUNGS-ESKALATIONSLEITER

1. INFORMATIONSANFRAGE
   ├── Behörde fordert Dokumentation an
   ├── Hersteller stellt innerhalb der Frist bereit
   └── Wenn zufriedenstellend → Fall geschlossen

2. KONFORMITÄTSBEWERTUNG
   ├── Behörde prüft Dokumentation
   ├── Kann Produkttests durchführen
   ├── Identifiziert Mängel (falls vorhanden)
   └── Wenn konform → Fall geschlossen

3. AUFFORDERUNG ZU KORREKTURMASSNAHMEN
   ├── Behörde identifiziert Nichtkonformität
   ├── Fordert Korrekturmaßnahmen
   ├── Setzt Frist für Korrektur
   └── Hersteller implementiert Korrekturen

4. FORMELLE VERWARNUNG
   ├── Korrekturen unzureichend oder verzögert
   ├── Formelle Verstoßmitteilung
   ├── Letzte Gelegenheit zur Korrektur
   └── Bußgeldwarnung erteilt

5. VERWALTUNGSMASSNAHMEN
   ├── Produktrücknahmebefehl
   ├── Import-/Verkaufsverbot
   ├── Öffentliche Warnungen herausgegeben
   └── Verwaltungsbußgeld verhängt

6. ESKALIERTE DURCHSETZUNG
   ├── Produktrückruf angeordnet
   ├── Maximale Bußgelder angewandt
   ├── Strafverweisung (falls zutreffend)
   └── EU-weites Marktverbot

Was Behörden tatsächlich tun

Dokumentationsprüfung:

• Technische Dokumentation anfordern (oder Zusammenfassung)
• DoC-Richtigkeit verifizieren
• SBOM-Verfügbarkeit prüfen
• Schwachstellenbehandlungsnachweise prüfen

Produkttests:

• Produkte vom Markt kaufen
• Laborprüfung gegen Anforderungen
• Penetrationstests (für Cybersicherheit)
• Schwachstellen-Scanning

Vor-Ort-Inspektion:

• Fertigungsanlagen besuchen
• Qualitätssysteme prüfen
• Verantwortliche Personen befragen
• Unterlagen untersuchen

Über Bußgelder hinaus: Andere Konsequenzen

Produktrücknahme

Was es bedeutet: Produkt vom Markt nehmen (Verkauf stoppen).

Wann angeordnet: Produkt stellt Risiko dar oder Nichtkonformität, die korrigiert werden kann.

Ihre Pflichten:

• Verkauf sofort stoppen
• Händler benachrichtigen
• Korrekturen implementieren
• Vor Wiederaufnahme des Verkaufs erneute Genehmigung einholen

Produktrückruf

Was es bedeutet: Bereits an Kunden verkaufte Produkte zurückholen.

Wann angeordnet: Produkt stellt ernstes Risiko auch in Nutzerhand dar.

Ihre Pflichten:

• Alle bekannten Kunden kontaktieren
• Rückgabe-/Ersatzanweisungen bereitstellen
• Rückrufkosten tragen
• Behörden über Fortschritt berichten

Importverbot

Was es bedeutet: Produkt darf nicht in den EU-Markt eingeführt werden.

Wann angewandt: Nicht konforme Produkte an der Grenze abgefangen oder systematische Probleme mit Hersteller.

Konsequenzen:

• Produkte beim Zoll zurückgehalten
• Können vernichtet oder zurückgeschickt werden
• Betrifft alle zukünftigen Lieferungen

Öffentliche Benennung

Was es bedeutet: Behörde veröffentlicht Details der Nichtkonformität.

Warum es wichtig ist:

• Reputationsschaden
• Auswirkung auf Kundenvertrauen
• Wettbewerbsvorteil für andere
• Ausschluss von Beschaffung

EU-weite Maßnahmen

Bei schwerwiegenden oder weit verbreiteten Problemen EU-weite Maßnahmen:

• Safety Gate (RAPEX) Meldung
• Koordinierte Marktüberwachung
• EU-weites Marktverbot

Was Durchsetzung auslöst

Hochprioritäre Auslöser

Behörden priorisieren Fälle mit:

Häufige Durchsetzungsauslöser

Basierend auf Durchsetzungserfahrung aus ähnlichen Vorschriften:

1. Wettbewerberbeschwerden - Geschäftsrivalen melden vermutete Nichtkonformität
2. Kundenvorfälle - Nutzer melden Sicherheitsverletzungen oder Schäden
3. Zufallsstichproben - Behörde kauft und testet Produkte
4. Importinspektion - Zoll meldet Dokumentationsprobleme
5. Schwachstellenoffenlegung - Sicherheitsforscher melden ungepatchte Probleme
6. Hinweisgeber - Mitarbeiter melden interne Nichtkonformität

Niedrigere Priorität

Behörden haben begrenzte Ressourcen. Niedrigere Priorität für:

• Geringfügige Dokumentationsformatprobleme
• Erstmalige, schnell korrigierte Probleme
• Niedrigrisikostrukte mit guter Erfolgsbilanz
• Kooperative Hersteller, die aktiv verbessern

Aber fundamentale Verstöße (keine Konformitätsbewertung, falsche Erklärungen) werden unabhängig von der Größe ernst genommen.

Wie Sie Durchsetzungsmaßnahmen vermeiden

Präventionsstrategie

CHECKLISTE DURCHSETZUNGSPRÄVENTION

DOKUMENTATION:
[ ] Technische Dokumentation vollständig und zugänglich
[ ] DoC korrekt und unterzeichnet
[ ] SBOM aktuell und verfügbar
[ ] Risikobewertung dokumentiert
[ ] Testberichte aufbewahrt

KONFORMITÄT:
[ ] Korrekter Bewertungsweg gewählt
[ ] Bewertung tatsächlich durchgeführt (nicht nur erklärt)
[ ] CE-Kennzeichnung ordnungsgemäß angebracht
[ ] Produktidentifikation rückverfolgbar

SCHWACHSTELLENBEHANDLUNG:
[ ] Sicherheitskontakt veröffentlicht
[ ] CVD-Richtlinie vorhanden
[ ] Reaktionsfähigkeit nachgewiesen
[ ] Updates bei Bedarf bereitgestellt

KOOPERATIONSHALTUNG:
[ ] Zeitnah auf Behördenanfragen antworten
[ ] Vollständige Informationen bereitstellen
[ ] Probleme nicht verbergen
[ ] Gutgläubige Bemühungen dokumentieren

Wenn Durchsetzung beginnt

Tun Sie:

• Innerhalb der Fristen antworten
• Vollständige Dokumentation bereitstellen
• Probleme ehrlich anerkennen
• Korrekturmaßnahmen vorschlagen
• Ihre Kooperation dokumentieren
• Frühzeitig Rechtsberatung einholen

Tun Sie nicht:

• Anfragen ignorieren (macht alles schlimmer)
• Falsche Informationen bereitstellen (Stufe-3-Verstoß wird zu Stufe 1)
• Ohne Erklärung verzögern
• Andere ohne Beweise beschuldigen
• Dokumente vernichten

Vorteile der Kooperation

Nachgewiesene Kooperation beeinflusst Ergebnisse erheblich:

KMU-Überlegungen

Verhältnismäßigkeit

CRA-Bußgelder müssen "wirksam, verhältnismäßig und abschreckend" sein. Für KMU:

• Prozentuale Umsatzobergrenzen sind wichtig (15 Mio. EUR unwahrscheinlich für kleines Unternehmen)
• Verhältnismäßigkeitsprinzip gilt
• Erstmalige geringfügige Verstöße erhalten oft Verwarnungen

KMU-Meldeausnahme

KMU sind von bußgeldspezifischen Strafen für verpasste 24h/72h ENISA-Meldefristen befreit (Artikel 64(7)). Aber:

• Müssen trotzdem melden (nur nicht für Timing bestraft)
• Andere Bußgelder gelten weiterhin
• Kein Freibrief für systematische Versäumnisse

Ressourcenrealität

MSAs verstehen KMU-Ressourcenbeschränkungen:

• Wahrscheinlicher, zuerst Anleitung zu bieten
• Können längere Korrekturfristen gewähren
• Fokus auf substanzielle Compliance statt Perfektion

Aber fundamentale Verstöße (keine Konformitätsbewertung, falsche Erklärungen) werden unabhängig von der Größe ernst genommen.

Grenzüberschreitende Durchsetzung

Binnenmarktprinzip

Nichtkonformitätsfeststellung in einem Mitgliedstaat betrifft gesamten EU-Markt:

• Produkt kann EU-weit verboten werden
• Informationen über EU-Systeme geteilt
• Koordinierte Durchsetzung möglich

Praktische Implikationen

Wenn deutsche Behörde Nichtkonformität feststellt:

• Informationen mit anderen MSAs geteilt
• Produkte in Spanien, Frankreich usw. betroffen
• Muss über alle Märkte hinweg korrigieren

Was gute Compliance für Behörden aussieht

Behörden erkennen echte Compliance-Bemühungen:

ZEICHEN ECHTER COMPLIANCE

Dokumentation:
✓ Technische Dokumentation existiert und ist aktuell
✓ Klare Entscheidungsbegründung dokumentiert
✓ Updates verfolgt und versioniert
✓ Innerhalb von 48 Stunden auf Anfrage zugänglich

Prozess:
✓ Schwachstellenbehandlung funktioniert tatsächlich
✓ Updates werden tatsächlich bereitgestellt
✓ Kunden werden tatsächlich benachrichtigt
✓ Probleme werden tatsächlich behoben (nicht nur dokumentiert)

Haltung:
✓ Nimmt Sicherheit ernst (nicht nur Compliance)
✓ Reagiert konstruktiv auf Meldungen
✓ Kooperiert bei Untersuchungen
✓ Lernt aus Problemen

Checkliste Durchsetzungsbereitschaft

CHECKLISTE DURCHSETZUNGSBEREITSCHAFT

DOKUMENTATION BEREIT:
[ ] Technische Dokumentation vollständig
[ ] DoC unterzeichnet und datiert
[ ] SBOM verfügbar
[ ] Testberichte zugänglich
[ ] Risikobewertung dokumentiert
[ ] Konformitätsbewertungsnachweise

REAKTIONSFÄHIGKEIT:
[ ] Behördenkontaktstelle benannt
[ ] Reaktionsprozess definiert
[ ] Rechtsbeistand identifiziert
[ ] Dokumentenabruf getestet
[ ] Reaktionszeitrahmen verstanden (typisch 10-30 Tage)

PROBLEMVERFOLGUNG:
[ ] Bekannte Schwachstellen dokumentiert
[ ] Behebungsstatus verfolgt
[ ] Kundenbenachrichtigungsunterlagen
[ ] Vorfallhistorie gepflegt

INTERNES BEWUSSTSEIN:
[ ] Mitarbeiter wissen, Behördenkontakt nicht zu ignorieren
[ ] Eskalationspfad zu Compliance/Rechtsabteilung
[ ] Niemand autorisiert, falsche Informationen zu geben
[ ] Dokumentenaufbewahrung durchgesetzt

NACH VORFALL:
[ ] Ursachenanalyseprozess
[ ] Korrekturmaßnahmenverfolgung
[ ] Regulierungskommunikationsprotokoll
[ ] Lessons Learned dokumentiert

Wie CRA Evidence hilft

CRA Evidence unterstützt Durchsetzungsbereitschaft:

• Dokumenten-Repository: Technische Dokumentation für Behördenanfragen zugänglich
• Audit-Trail: Compliance-Entscheidungen mit Begründung dokumentiert
• SBOM-Management: Aktuelle SBOMs auf Abruf verfügbar
• Schwachstellenverfolgung: Reaktionshistorie dokumentiert
• Export-Fähigkeit: Dokumentationspakete für Behörden erstellen

Seien Sie durchsetzungsbereit mit app.craevidence.com.

Verwandte Leitfäden

Compliance: Starten Sie Ihre Compliance-Reise mit unserem Umsetzungszeitplan.

Dokumentation: Erstellen Sie Ihr Nachweispaket mit unserem Leitfaden zum technischen Dossier.

Meldepflicht: Verstehen Sie die 24-Stunden-Regel in unserem ENISA-Leitfaden zur Schwachstellenmeldung.

Kosten: Planen Sie Ihr Budget mit unserem CRA-Kostenschätzungsleitfaden.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Beratung konsultieren Sie qualifizierte Rechtsberater.