Multi-Rollen CRA-Compliance: Wenn Sie Hersteller, Einführer und Händler sind

Ihr Unternehmen stellt in Deutschland intelligente Sensoren her. Sie importieren auch ergänzende Produkte von einem taiwanesischen Lieferanten und vertreiben die Software eines anderen Anbieters. Nach CRA sind Sie gleichzeitig Hersteller, Einführer und Händler.

Dieser Leitfaden erklärt, wie Sie Compliance managen, wenn Sie mehrere Wirtschaftsakteur-Rollen innehaben.

CRA-Wirtschaftsakteur-Rollen verstehen

Der CRA definiert vier primäre Rollen für das Inverkehrbringen von Produkten auf dem EU-Markt:

Hersteller

Die Einheit, die das Produkt entwirft und produziert, oder entwerfen/produzieren lässt und es unter ihrem Namen oder ihrer Marke vermarktet.

Kernpflichten:

• Konformitätsbewertung
• Technische Dokumentation
• CE-Kennzeichnung
• Schwachstellenbehandlung
• 5-Jahres-Supportzeitraum

Einführer

Eine in der EU ansässige Einheit, die ein Produkt aus einem Drittland auf den EU-Markt bringt.

Kernpflichten:

• Hersteller-Compliance verifizieren (Konformitätserklärung, CE-Kennzeichnung, Dokumentation)
• Produktidentifikation und Rückverfolgbarkeit sicherstellen
• Dokumentation 10 Jahre aufbewahren
• Nicht-Konformität melden

Händler

Eine Einheit in der Lieferkette, die ein Produkt auf dem Markt verfügbar macht (nicht Hersteller oder Einführer).

Kernpflichten:

• CE-Kennzeichnung und erforderliche Dokumentation vorhanden verifizieren
• Sicherstellen, dass Lagerung/Transport Compliance nicht beeinträchtigt
• Nicht-Konformität melden
• Mit Marktüberwachung kooperieren

Open-Source-Software-Steward

Eine juristische Person (keine natürliche Person), die systematisch Unterstützung für OSS für kommerzielle Nutzung bereitstellt.

Kernpflichten:

• Cybersicherheitsrichtlinie
• Koordinierte Schwachstellen-Offenlegung
• Kooperation mit Marktüberwachung

Warum Multi-Rollen häufig sind

Szenario 1: Vertikale Integration

Sie stellen Ihr Kernprodukt her, beziehen aber Komponenten:

IHR UNTERNEHMEN:
├── Hersteller von: Smart-Home-Hub (intern entwickelt)
├── Einführer von: Netzteilen (aus China)
└── Händler von: Kompatiblen Smart-Steckdosen (Produkt eines EU-Partners)

Szenario 2: Portfolio-Diversifizierung

Sie erweitern Ihr Angebot durch Beschaffung:

IHR UNTERNEHMEN (Industrieautomation):
├── Hersteller von: SPS-Steuerungen (Eigenentwicklung)
├── Hersteller von: Sensoren (White-Label, Ihre Marke)
├── Einführer von: HMI-Panels (koreanischer Lieferant)
└── Händler von: Industriesoftware (deutscher Anbieter)

Szenario 3: Regionale Operationen

EU-Tochtergesellschaft eines Nicht-EU-Unternehmens:

IHR UNTERNEHMEN (EU-Tochter):
├── Einführer von: Allen Produkten des Mutterkonzerns
├── Händler von: Partnerprodukten für den EU-Markt
└── Hersteller von: EU-spezifischen Konfigurationen

Rollenbestimmung pro Produkt

Kritisches Prinzip: Die CRA-Rolle wird Produkt für Produkt bestimmt, nicht auf Organisationsebene.

Für jedes Produkt in Ihrem Portfolio fragen Sie:

1. Haben Sie es entworfen und/oder Ihre Marke darauf gesetzt? → Hersteller
2. Sind Sie der Erste, der es von außerhalb der EU auf den EU-Markt bringt? → Einführer
3. Machen Sie es verfügbar, haben es aber nicht importiert oder hergestellt? → Händler

Entscheidungsmatrix

Pflichtenzuordnung nach Rolle

Hier ist, was jede Rolle erfordert:

Compliance-Dokumentation

Marktplatzierung

Nachmarktpflichten

Multi-Rollen managen: Einheitlicher Ansatz

Geteilte Infrastruktur

Einige Compliance-Fähigkeiten bedienen mehrere Rollen:

GETEILTE COMPLIANCE-INFRASTRUKTUR

┌─────────────────────────────────────────────────┐
│         EINHEITLICHES COMPLIANCE-SYSTEM          │
├─────────────────────────────────────────────────┤
│  Dokumentenmanagement                            │
│  - Technische Dateien (Hersteller-Rolle)        │
│  - Verifizierungsunterlagen (Einführer-Rolle)   │
│  - Vertriebsunterlagen (Händler-Rolle)          │
├─────────────────────────────────────────────────┤
│  Rückverfolgbarkeitssystem                       │
│  - Alle Rollen erfordern Rückverfolgbarkeit     │
│  - Ein System, unterschiedliche Daten pro Rolle │
├─────────────────────────────────────────────────┤
│  Schwachstellenmanagement                        │
│  - Eingang: Bedient alle Rollen                 │
│  - Reaktion: Nach Rolle differenziert           │
├─────────────────────────────────────────────────┤
│  Nicht-Konformitätsbehandlung                    │
│  - Erkennung: Alle Rollen                       │
│  - Reaktion: Rollenspezifische Maßnahmen        │
└─────────────────────────────────────────────────┘

Rollenspezifische Prozesse

Einige Prozesse müssen nach Rolle differenziert werden:

Hergestellte Produkte:

• Vollständige Konformitätsbewertung
• SBOM-Erstellung und -Pflege
• Update-Entwicklung und -Verteilung
• ENISA-Meldung (direkt)

Importierte Produkte:

• Lieferanten-Verifizierungs-Workflow
• Dokumentationsanforderung/-verifizierung
• Durchleitung für Schwachstellenmeldungen
• ENISA-Meldungskoordination mit Hersteller

Vertriebene Produkte:

• Vereinfachte Verifizierung (CE, Dokumente vorhanden)
• Lagerbedingungsüberwachung
• Probleme upstream melden

Organisationsstruktur-Optionen

Option 1: Rollenbasierte Teams

Compliance-Abteilung
├── Herstellungs-Compliance-Team
│   └── Behandelt: Alle Herstellerpflichten
├── Import-Compliance-Team
│   └── Behandelt: Lieferantenverifizierung, Importdokumente
└── Vertriebs-Compliance-Team
    └── Behandelt: Partnerbeziehungen, Vertriebsunterlagen

Option 2: Produktbasierte Teams

Compliance-Abteilung
├── Produktlinie A Team (Sensoren)
│   └── Behandelt: Alle Rollen für Sensorprodukte
├── Produktlinie B Team (Steuerungen)
│   └── Behandelt: Alle Rollen für Steuerungsprodukte
└── Geteilte Dienste
    └── Dokumentenmanagement, SBOM-Tools, Schulung

Option 3: Hybrid (Empfohlen für die meisten)

Compliance-Abteilung
├── Kern-Compliance
│   └── Geteilt: Dokumenten-Mgmt, Schwachstellen-Eingang, Schulung
├── Hersteller-Compliance
│   └── Konformitätsbewertung, technische Dateien, Updates
└── Lieferanten-/Partner-Compliance
    └── Import-Verifizierung, Händlerbeziehungen

Praktische Workflows

Neue Produkteinführung

Bei Hinzufügen eines Produkts zu Ihrem Portfolio:

NEUES PRODUKT COMPLIANCE-WORKFLOW

1. ROLLENBESTIMMUNG
   - Wo wird es entworfen/hergestellt?
   - Wessen Marke kommt drauf?
   - Wie erreicht es den EU-Markt?
   → Bestimmen: Hersteller / Einführer / Händler

2. ROLLENSPEZIFISCHES ONBOARDING

   Wenn HERSTELLER:
   [ ] Risikobewertung durchführen
   [ ] Technische Dokumentation erstellen
   [ ] Konformitätsbewertung abschließen
   [ ] SBOM vorbereiten
   [ ] Update-Mechanismus etablieren
   [ ] Schwachstellenbehandlung einrichten

   Wenn EINFÜHRER:
   [ ] Herstellerdokumentation anfordern
   [ ] Konformitätserklärung und CE-Kennzeichnung verifizieren
   [ ] SBOM-Verfügbarkeit verifizieren
   [ ] Schwachstellen-Kontakt bestätigen
   [ ] Lieferantenüberwachung einrichten
   [ ] Ihre Identifikation hinzufügen

   Wenn HÄNDLER:
   [ ] CE-Kennzeichnung vorhanden verifizieren
   [ ] Dokumentation begleitet Produkt verifizieren
   [ ] Lagerungs-/Transportkontrollen etablieren
   [ ] Problemmeldekanal einrichten

3. IN COMPLIANCE-SYSTEM EINTRAGEN
   [ ] Produkt mit bestimmter Rolle registrieren
   [ ] Relevante Dokumentation hochladen
   [ ] Überprüfungs-/Überwachungspläne festlegen
   [ ] Verantwortliches Team/Person zuweisen

Schwachstellenreaktion nach Rolle

Wenn eine Schwachstelle Ihre Produkte betrifft:

Für hergestellte Produkte:

Schwachstelle → Ihr Sicherheitsteam → Bewerten → Patch entwickeln
                                             ↓
                                       Update freigeben
                                             ↓
                                       Kunden benachrichtigen
                                             ↓
                                 ENISA melden (falls ausgenutzt)

Für importierte Produkte:

Schwachstelle → An Hersteller weiterleiten → Reaktion verfolgen
                         ↓
                  Update erhalten
                         ↓
              Sicherstellen, dass EU-Kunden erhalten
                         ↓
         ENISA-Meldung unterstützen (falls erforderlich)

Für vertriebene Produkte:

Schwachstelle → Upstream benachrichtigen (Hersteller/Einführer)
                         ↓
            Vertrieb pausieren (falls schwerwiegend)
                         ↓
              Fortsetzen, wenn behoben

Nicht-Konformitätsbehandlung

Wenn Sie feststellen, dass ein Produkt nicht konform ist:

Alle Rollen: Marktüberwachungsbehörden benachrichtigen, wenn Produkt ernstes Risiko darstellt.

Häufige Multi-Rollen-Herausforderungen

Herausforderung 1: Widersprüchliche Zeitpläne

Problem: Ihre hergestellten Produkte haben ein 90-Tage-CVD-Fenster, aber Ihr Lieferant (dessen Produkte Sie importieren) besteht auf 120 Tagen.

Lösung: Separate Richtlinien nach Rolle. Ihre CVD-Richtlinie gilt für Produkte, die Sie herstellen. Für importierte Produkte arbeiten Sie im Zeitplan des Lieferanten, während Sie sicherstellen, dass er CRA-Mindestanforderungen erfüllt.

Herausforderung 2: Dokumentationsinkonsistenz

Problem: Unterschiedliche Dokumentationsstandards über Rollen hinweg (Ihre technischen Dateien vs. Lieferantendokumentation vs. vertriebene Produktdokumente).

Lösung:

• Einheitliches Dokumentenmanagementsystem pflegen
• Rollenspezifische Vorlagen und Checklisten erstellen
• Lieferantendokumentation nicht in Ihre Herstellervorlage zwängen

Herausforderung 3: Verantwortungsverwirrung

Problem: Intern unklar, wer was behandelt, wenn mehrere Rollen gelten.

Lösung:

• Klares Produktregister mit Rollenzuweisungen
• RACI-Matrix für Compliance-Aktivitäten
• Eskalationspfade für Grenzfälle

Herausforderung 4: Lieferanten-Nicht-Kooperation

Problem: Sie sind Einführer, aber Ihr Lieferant stellt keine Dokumentation bereit.

Lösung:

• Dies ist ein K.O.-Kriterium. Ohne ordnungsgemäße Dokumentation können Sie nicht legal importieren.
• Entweder Dokumentation bekommen oder anderen Lieferanten finden.
• Deshalb ist Lieferanten-Due-Diligence wichtig.

Kostenüberlegungen

Effizienz durch Vereinheitlichung

Multi-Rollen-Unternehmen können Skaleneffekte erzielen:

Rollenspezifische Kosten

Einige Kosten skalieren mit Rollenzahl:

• Hersteller: Konformitätsbewertung pro Produkt (nicht teilbar)
• Einführer: Lieferantenverifizierung pro Lieferant (nicht teilbar)
• Händler: Partnermanagement pro Partner (nicht teilbar)

Budgetaufteilungsbeispiel

MULTI-ROLLEN COMPLIANCE-BUDGET

Organisation:
- 5 hergestellte Produkte
- 10 importierte Produkte
- 15 vertriebene Produkte

GETEILTE INFRASTRUKTUR (40% des Budgets):
- Compliance-Managementsystem:        25.000 €/Jahr
- Dokumentenmanagement:               10.000 €/Jahr
- Schulungsprogramm:                  15.000 €/Jahr
- Schwachstellen-Eingang:             10.000 €/Jahr
ZWISCHENSUMME:                        60.000 €/Jahr

HERSTELLER-ROLLE (35% des Budgets):
- Konformitätsbewertung (5 Produkte):  25.000 €/Jahr
- SBOM-Tooling:                         8.000 €/Jahr
- Update-Infrastruktur:                15.000 €/Jahr
- Technische-Datei-Wartung:             5.000 €/Jahr
ZWISCHENSUMME:                         53.000 €/Jahr

EINFÜHRER-ROLLE (20% des Budgets):
- Lieferantenverifizierung (10 Produkte): 20.000 €/Jahr
- Dokumentationsanfragen:                  5.000 €/Jahr
- Lieferantenüberwachung:                  5.000 €/Jahr
ZWISCHENSUMME:                            30.000 €/Jahr

HÄNDLER-ROLLE (5% des Budgets):
- Partnerverifizierung:                    5.000 €/Jahr
- Unterlagenführung:                       2.500 €/Jahr
ZWISCHENSUMME:                             7.500 €/Jahr

GESAMT:                                  150.500 €/Jahr

Multi-Rollen-Compliance-Checkliste

MULTI-ROLLEN COMPLIANCE-CHECKLISTE

GRUNDLAGEN:
[ ] Produktportfolio katalogisiert
[ ] Jedem Produkt eine CRA-Rolle zugewiesen
[ ] Rollenbestimmung dokumentiert
[ ] Einheitliches Compliance-System ausgewählt
[ ] Verantwortlichkeiten nach Rolle zugewiesen

PRO ROLLE:

HERGESTELLTE PRODUKTE:
[ ] Technische Dateien vollständig
[ ] Konformitätsbewertungen durchgeführt
[ ] SBOMs erstellt und gepflegt
[ ] Update-Mechanismus etabliert
[ ] CVD-Richtlinie veröffentlicht
[ ] ENISA-Meldefähigkeit

IMPORTIERTE PRODUKTE:
[ ] Lieferanten verifiziert (für jeden)
[ ] Dokumentation erhalten und verifiziert
[ ] Konformitätserklärungskopien abgelegt
[ ] Rückverfolgbarkeit etabliert
[ ] Ihre Kontaktinfo zu Produkten hinzugefügt
[ ] Lieferantenüberwachung eingerichtet

VERTRIEBENE PRODUKTE:
[ ] CE-Kennzeichnung verifiziert (alle Produkte)
[ ] Erforderliche Dokumentation vorhanden
[ ] Lagerbedingungen angemessen
[ ] Problemmeldekanal zu Hersteller/Einführer
[ ] Vertriebsunterlagen geführt

EINHEITLICHE FÄHIGKEITEN:
[ ] Dokumentenmanagement für alle Rollen
[ ] Rückverfolgbarkeitssystem operativ
[ ] Nicht-Konformitäts-Reaktionsverfahren
[ ] Schulung abgeschlossen (rollenspezifisch)
[ ] Marktüberwachungskooperation bereit

GRENZFÄLLE:
[ ] White-Label-Produkte identifiziert (→ Hersteller)
[ ] Wesentlich modifizierte Produkte identifiziert (→ Hersteller)
[ ] Drittland-Tochterprodukte identifiziert (→ Einführer)

Wenn Rollen wechseln

Ihre Rolle kann sich über die Zeit ändern:

Händler → Einführer

Auslöser: Ihr EU-Lieferant schließt; Sie beginnen direkt vom Hersteller zu importieren.

Maßnahme:

• Vollständige Einführer-Verifizierung für das Produkt
• Direkte Lieferantenbeziehung aufbauen
• Dokumentation aktualisieren

Einführer → Hersteller

Auslöser: Sie beginnen, Ihre Marke auf das importierte Produkt zu setzen.

Maßnahme:

• Vollständige Herstellerpflichten erfüllen (Konformitätsbewertung, technische Datei, SBOM, etc.)
• Ihr Lieferant ist jetzt nur das, ein Lieferant, nicht der Hersteller
• Sie besitzen die Compliance

Jede Rolle → Ausstieg

Auslöser: Sie hören auf, ein Produkt zu verkaufen.

Maßnahme:

• Dokumentenaufbewahrung geht weiter (10 Jahre für Hersteller/Einführer)
• Supportpflichten für Hersteller gehen weiter (5-Jahres-Minimum ab letzter Einheit)
• Klare Kommunikation an Kunden

Wie CRA Evidence hilft

CRA Evidence unterstützt Multi-Rollen-Organisationen:

• Rollenbasiertes Produktregister: CRA-Rolle jedes Produkts verfolgen
• Rollenspezifische Workflows: Unterschiedliche Checklisten und Prozesse pro Rolle
• Einheitliche Dokumentation: Ein System für alle technischen Dateien, Verifizierungsunterlagen
• Lieferantenmanagement: Lieferanten für importierte Produkte verfolgen und verifizieren
• Schwachstellenkoordination: Probleme nach Rolle an zuständige Bearbeiter weiterleiten

Verwalten Sie Ihre Multi-Rollen-Compliance unter app.craevidence.com.

Verwandte Leitfäden

• CRA-Pflichten für Importeure: Was Sie vor dem Inverkehrbringen überprüfen müssen
• CRA-Händler-Checkliste: 5 Verifizierungsschritte für jedes Produkt
• Wann Importeure unter dem CRA zu Herstellern werden: Rolleneskalation erklärt
• CRA-Produktklassifizierung: Ist Ihr Produkt Standard, Wichtig oder Kritisch?

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Anleitung konsultieren Sie qualifizierten Rechtsberater.