CRA-White-Label und OEM-Produkte: Hersteller-Leitfaden

Sie verkaufen Tablets unter Ihrer Marke, und ein ODM in Shenzhen baut sie. Nach dem CRA sind Sie der Hersteller, der ODM ist Ihr Lieferant, und der Auslöser ist die Marke, nicht der Bau. Diese Seite ist die operative Ebene für White-Label. Den vollständigen Satz der Herstellerpflichten finden Sie im Hersteller-Cluster.

Warum White-Label eine eigene Kategorie ist

White-Label sitzt in einer spezifischen Ecke der CRA-Rollenkarte. Die Grenze zwischen White-Label und den angrenzenden Rollen ist auf dem Papier scharf, in der Beschaffungswirklichkeit aber verschwommen.

Drei Grenzen werden häufig überschritten. Erstens die Grenze zwischen White-Label (Sie sind Hersteller ab Tag eins) und wesentlicher Veränderung (jemand verändert ein bereits bereitgestelltes Produkt). White-Label ist ein Auslöser zum Zeitpunkt der Bereitstellung; die wesentliche Veränderung ist ein Auslöser nach der Bereitstellung. Zweitens die Grenze zwischen White-Label und Einführer: Wenn Sie Ihre Marke auf das Produkt setzen, verlassen Sie die Einführer-Rolle und treten in die Hersteller-Rolle ein, auch wenn Sie das Gerät zusätzlich physisch importieren. Drittens die Grenze zwischen White-Label und Komponentenbezug: Wenn Sie ein Produkt unter Ihrer Marke bereitstellen, sind Sie Hersteller dieses Produkts; wenn Sie eine Komponente in ein Produkt integrieren, das Sie selbst bauen, ist die Lieferanten-Due-Diligence Ihre operative Ebene.

Die "nur ein Aufkleber"-Verteidigung und was tatsächlich zählt

Einkaufsleiter argumentieren manchmal, das Anbringen eines Markenaufklebers auf einem fertigen Produkt könne nicht den vollen Herstellerstatus auslösen. Die Pitfall-Tabelle im Einführer-Cluster nennt genau diese Behauptung ("Es ist nur ein Aufkleber mit unserem Logo.") und räumt sie aus dem Weg: Wenn der Aufkleber Sie als Quelle des Produkts darstellt, gelten die Herstellerpflichten. Der Auslöser ist die Markenpräsentation gegenüber dem Markt, nicht die Tiefe der Veränderung.

Die operative Frage ist, was als "unter Ihrer Marke" zählt und was im Händler-Bereich bleibt.

Die einigende Regel heißt Quellenpräsentation. Wenn eine Marktüberwachungsbehörde auf die Frage "Wer ist der Hersteller dieses Produkts?" auf Ihre Marke zeigen würde, sind Sie der Hersteller nach dem CRA. Die Tiefe des Aufklebers, der Designaufwand und das Maß der Anpassung sind nicht der Test.

White-Label-Szenarien

Sieben Szenarien decken das operative Terrain ab. Jedes ordnet sich einer anderen Kombination aus CRA-Pfad, Tiefe der Lieferanten-Due-Diligence und vertraglichem Risiko zu.

1. Einfaches Umbranding (Fertigprodukt, nur Ihre Marke)

Sie kaufen fertige Tablets, bringen Ihr Logo an, verkaufen unter Ihrer Marke. Standard-White-Label.

• CRA-Pfad: Hersteller ab erstem Verkauf.
• Konformitätsbewertung: Ihre. Die vorherige Konformitätsbewertung des OEM kann Ihre technische Datei informieren, geht aber nicht auf Sie über.
• Tiefe der Due-Diligence: hoch beim OEM als Lieferant, insbesondere Dokumentation, Schwachstellenbehandlung und Supportzeitraum-Verpflichtung.
• Operatives Risiko: Die Bereitschaft des OEM, Sicherheitsupdates auszuliefern, bestimmt Ihre Fähigkeit, Ihre eigene Supportzeitraum-Zusage gegenüber den Nutzern einzuhalten.

2. Verstecktes White-Label (Ihr Wiederverkäufer umbrandet erneut)

Sie statten ein OEM-Produkt als Marke A mit Ihrem Label aus und verkaufen es an einen Wiederverkäufer. Der Wiederverkäufer entfernt Ihre Marke und umbrandet erneut als Marke B, ohne Sie zu informieren, und stellt anschließend Marke-B-Einheiten auf dem EU-Markt bereit.

• CRA-Pfad: Der Wiederverkäufer wird Hersteller der Marke-B-Einheiten. Sie bleiben Hersteller der Marke-A-Einheiten, die Sie bereitgestellt haben. Der OEM bleibt Lieferant beider.
• Operatives Entdeckungssignal: Support-Tickets, die Marke B referenzieren und Marke-A-Verhalten aufweisen, oder Retouren in Marke-B-Verpackung, obwohl Sie nie an Marke B verkauft haben.
• Vertragliche Lösung: Wiederverkäufer-Verträge sollten erneutes Umbranden ohne schriftliche Zustimmung untersagen. Ohne diese Klausel bleibt nur die Kündigung als Rechtsmittel.
• Warum es wichtig ist: Ein Patch, den Sie für eine Schwachstelle ausliefern, erreicht die Marke-B-Einheiten nicht, sofern der Wiederverkäufer den Patch nicht weiterleitet, und der Wiederverkäufer hat dafür möglicherweise keine Infrastruktur.

3. Mehrstufiges White-Label (Sie statten Ihre Marke aus, Ihr Händler stattet erneut aus)

Der OEM baut, Sie statten unter Ihrer Marke aus, Sie verkaufen an einen EU-Händler, der Händler stattet Ihre Version unter seiner eigenen Marke aus.

• CRA-Pfad: drei Rechtspositionen gestapelt. Der OEM ist Lieferant, Sie sind Hersteller der Einheiten, die Sie unter Ihrer Marke bereitgestellt haben, der Händler wird Hersteller der Einheiten, die er unter seiner Marke bereitgestellt hat.
• Operatives Muster: häufig in der Industrieautomation, bei AV-Geräten und im B2B-IoT-Bereich.
• Kritische Klausel: Ihr Vertrag mit dem Händler muss festlegen, ob erneutes Umbranden zulässig ist und, falls ja, dass der Händler den Herstellerstatus für die erneut umgebrandete Variante übernimmt. Ohne diese Klausel beanspruchen beide Parteien möglicherweise den Händlerstatus, während die Behörden auf die sichtbare Marke der jeweiligen Einheit zeigen.

4. Co-Branding-Produkte (beide Namen auf dem Produkt)

Das Produkt trägt Ihre Marke und die OEM-Marke sichtbar für den Endnutzer.

• CRA-Pfad: Typischerweise trägt die handelsseitige Marke den Herstellerstatus; beide Parteien können als Hersteller benannt werden, wenn beide sich als Quelle präsentieren.
• Vertragliche Lösung: Die Hersteller-Benennung muss in die Co-Branding-Vereinbarung geschrieben werden. Standardlesart: Die Partei, die die Konformitätserklärung unterzeichnet, ist Hersteller für die betreffende Einheiten-Kohorte.
• Operatives Risiko: Eine geteilte Markensichtbarkeit kann Nutzer verwirren, an wen sie sich für Schwachstellenmeldungen wenden sollen; die zentrale Anlaufstelle für das Produkt muss unmissverständlich sein.

5. Eigenmarken des Handels (Amazon Basics, Lidl Silvercrest, Tesco)

Ein umsatzstarker Händler beauftragt einen OEM, ein Produkt unter der Eigenmarke des Händlers zu bauen. Der Händler ist der White-Label-Markeninhaber.

• CRA-Pfad: Der Händler ist Hersteller. Das Volumen ändert die Analyse nicht; die Markenpräsentation tut es.
• Operative Größenordnung: Hunderte von Artikelnummern über mehrere OEMs sind typisch. Technische Dateien pro Artikel, Konformitätserklärungen pro Artikel, Supportzeitraum-Uhren pro Artikel. Ein Handelseinkäufer, der die CRA-Compliance als einmalige Beschaffungsfrage behandelt, unterschätzt den Aufwand.
• Vertragliches Muster: langfristige Rahmenverträge mit dem OEM, Supportzeitraum-Spiegelklauseln (OEM verpflichtet sich MINDESTENS so lange, wie der Händler sich gegenüber den Nutzern verpflichtet), Quellcode-Escrow für die Firmware und ausdrückliche Weiterleitung der CRA-Anforderungen an Unterkomponenten.

6. Reines Hardware-ODM und Ihre Firmware

Sie beauftragen ODM-Hardware (Industrieboard, robustes Tablet, IoT-Gateway-Gehäuse) und liefern Ihre eigene Firmware darauf aus. Das Hardware-Substrat ist OEM-geliefert; die Sicherheitshülle ist Ihre.

• CRA-Pfad: Sie sind Hersteller des integrierten Produkts. Der ODM ist Ihr Hardware-Lieferant. Unterscheidet sich vom einfachen Umbranding, weil Sie tatsächlich etwas auf dem Substrat aufbauen.
• Form der Due-Diligence: stützt sich auf das Playbook für reine Hardware-ODMs (BOM-Kontrollen, Bezugsquelle für Secure Elements, Werks-Schlüsselinjektion, EOL-Fenster für die Hardware-Plattform).
• Häufiger operativer Fehler: eine mehrjährige Kunden-Supportzusage mit einem ODM zu unterzeichnen, dessen Hardware-EOL-Fenster kürzer ist. Wenn das Silizium EOL erreicht, wird Ihre Supportpflicht nicht milder.

7. White-Label-SaaS oder remote Datenverarbeitungskomponente

Das "Produkt", das Kunden sehen, ist Ihre gebrandete SaaS oder Ihre gebrandete API. Die eigentliche Verarbeitung läuft auf einer OEM-Plattform, die für Sie unter White-Label betrieben wird (ein verwalteter Kafka-Cluster, eine SaaS-Authentifizierungsplattform, ein verwalteter Geräteflotten-Dienst).

• CRA-Pfad: hängt davon ab, ob die SaaS selbst ein "Produkt mit digitalen Elementen" nach dem CRA ist. Der CRA erfasst "Lösungen zur Fernverarbeitung von Daten" nur dort, wo sie integraler Bestandteil eines bereitgestellten Produkts sind. Eine reine SaaS, die nicht in ein bereitgestelltes Produkt integriert ist, liegt typischerweise außerhalb des Anwendungsbereichs. Wenn Ihre SaaS integraler Bestandteil eines bereitgestellten Produkts ist (Firmware, die nach Hause telefoniert, Flottenmanagement für IoT-Geräte), ist der SaaS-Anbieter Teil Ihrer Lieferkette, und das Playbook für Cloud-Service-Komponenten gilt.
• Vertragliches Muster: SaaS-Nachweisportfolio (SOC 2, ISO/IEC 27001, ISO/IEC 27017), Auftragsverarbeitungsvereinbarung, Unterauftragsverarbeiter-Liste, Ankündigungsfenster bei Diensteinstellung.

Firmware-Anpassung: wo die Umbrand-Brücke endet und die Auffangregel beginnt

Die häufigste Verwechslung in der White-Label-Compliance liegt zwischen der Umbrand-Brücke (ein Einführer oder Händler, der ein bereits bereitgestelltes Produkt wesentlich verändert, wird Hersteller des veränderten Produkts) und der Auffangregel (jede andere dritte Partei, die ein bereitgestelltes Produkt wesentlich verändert, wird Hersteller). Beide Pfade stehen im CRA; sie erfassen unterschiedliche Akteure.

Die Grenze, übertragen auf Firmware-Anpassungs-Szenarien, denen White-Label-Markeninhaber begegnen:

Zwei operative Implikationen. Erstens "entkommt" der White-Label-Markeninhaber nicht in die Auffangregel, indem er behauptet, die wesentliche Veränderung sei von jemand anderem vorgenommen worden; wenn Sie das veränderte Produkt unter Ihrer Marke auf dem Markt bereitstellen, ist die Veränderung Teil Ihres Hersteller-Geltungsbereichs. Zweitens fällt, wenn einer Ihrer Händler Ihre White-Label-Firmware anpasst, die Umbrand-Brücke auf ihn, nicht auf Sie, für genau diese Einheiten. Verfolgen Sie, welche Einheiten Ihre Kontrolle unverändert verlassen haben und welche nachgelagert verändert wurden; die Supportzeitraum-Verantwortung für die veränderten Einheiten geht auf den Veränderer über.

Den Wortlaut der Umbrand-Brücke und der Auffangregel finden Sie im Händler-Cluster-FAQ, das beide Bestimmungen nebeneinander zitiert.

Supportzeitraum-Uhr für White-Label

Die CRA-Supportzeitraum-Uhr startet, wenn der Hersteller das Produkt auf dem EU-Markt bereitstellt. Für White-Label sind Sie der Hersteller, die Uhr startet also, wenn Sie Ihre umgebrandete Version zum ersten Mal auf dem EU-Markt bereitstellen, nicht wenn der OEM das ungebrandete Original erstmals bereitgestellt oder an Sie verkauft hat.

SUPPORTZEITRAUM-TAKTUNG (WHITE-LABEL)

Jahr 0   OEM stellt die ungebrandete Version erstmals auf dem EU-Markt bereit
         OEM-Supportuhr startet auf eigener Konformitätserklärung

Jahr 0   OEM liefert Ihre erste umgebrandete Charge in Ihr Lager
         (Noch keine CRA-Uhr für Sie, nicht auf dem EU-Markt)

Jahr 1   Sie stellen Ihre ersten umgebrandeten Einheiten auf dem EU-Markt bereit
         IHRE Supportuhr startet auf IHRER Konformitätserklärung (mindestens 5 Jahre)

Jahr 1   OEM verkauft das ungebrandete Original parallel weiter
         (Zwei unabhängige Uhren laufen jetzt; OEM-Uhr deckt OEM-Einheiten, Ihre deckt Ihre)

Jahr 4   OEM stellt Produktion ein
         Ihre Supportpflicht läuft bis mindestens Jahr 6 weiter
         (und darüber hinaus, wenn Sie nach Jahr 1 Einheiten bereitgestellt haben)

Die daraus folgende Spiegelklausel-Pflicht: Ihr OEM-Vertrag muss den OEM verpflichten, Ihnen Sicherheitsupdates MINDESTENS so lange auszuliefern, wie Sie sich gegenüber Ihren Nutzern verpflichten. Wenn Sie Ihren Nutzern fünf Jahre zusagen und der OEM Ihnen drei Jahre zusagt, tragen Sie eine Zweijahreslücke ohne Patch-Quelle. Quellcode-Escrow und Qualifizierung einer zweiten Bezugsquelle sind die beiden Standard-Absicherungen.

Wenn der OEM den Betrieb einstellt

Ein häufiges Missverständnis: Wenn der OEM aufgibt, lege der CRA eine Meldepflicht auf Sie, die einen Teil der OEM-Pflichten übertrage.

Zwei Klarstellungen zählen. Erstens sitzt die CRA-Meldepflicht bei Wegfall eines Herstellers auf dem Einführer, nicht auf Ihnen. Als White-Label-Markeninhaber sind Sie der CRA-Hersteller Ihres umgebrandeten Produkts; der OEM war Ihr Lieferant, nicht der Hersteller Ihres gebrandeten Produkts. Die Einführer-Meldepflicht bei Wegfall gilt in diesem Szenario nicht für Sie, weil der OEM nicht der CRA-Hersteller Ihres gebrandeten Produkts war. Der Wegfall-Abschnitt im Einführer-Cluster erklärt die einführerseitige Pflicht im Detail.

Zweitens "geht" die Supportpflicht nicht vom OEM auf Sie "über", weil sie immer Ihre war. Sie haben sich gegenüber Ihren Nutzern bei der ersten Bereitstellung verpflichtet; das Aufgeben des OEM ändert Ihre Versorgungssituation, nicht Ihre gesetzliche Zusage. Der praktische Rückfallplan ist das, was der Vertrag zugesagt hat (Quellcode-Escrow, zweite Bezugsquelle, Übergangsleistungen), nicht die Einführer-Wegfall-Vorschrift.

Die eine gesetzliche Wegfall-Meldung, die für Sie als White-Label-Markeninhaber DURCHAUS gilt, ist die Wegfall-Meldepflicht des Herstellers selbst: Wenn SIE als Hersteller den Betrieb einstellen, müssen Sie die Marktüberwachungsbehörden und, soweit verfügbar, Ihre Nutzer informieren.

Grenzüberschreitendes White-Label

Sie beziehen von einem asiatischen ODM, statten unter White-Label aus und stellen das Produkt über Ihre EU-Tochtergesellschaft auf dem EU-Markt bereit. Der White-Label-Auslöser (Sie sind Hersteller ab erstem Verkauf) verbindet sich mit einer Frage zur fehlenden EU-Niederlassung für Schwachstellen- und Vorfallmeldungen.

Wenn Ihre White-Label-Marke von einer Nicht-EU-Muttergesellschaft gehalten wird und die EU-Tochter das Produkt bereitstellt, sind zwei Pfade möglich. Pfad A: Die EU-Tochter ist rechtlicher Hersteller, die Muttergesellschaft fungiert als kommerzieller Markeninhaber; der Mitgliedstaat der EU-Tochter ist die zuständige Heimatbehörde. Pfad B: Die Nicht-EU-Muttergesellschaft ist rechtlicher Hersteller (Markeninhaber laut Aufzeichnung), und die EU-Tochter ist der Einführer; die Rückfall-Kaskade für Nicht-EU-Hersteller ohne EU-Niederlassung leitet die Vorfallmeldung über den Mitgliedstaat des Bevollmächtigten, dann des Einführers, dann des Händlers, dann des Mitgliedstaats mit der höchsten Nutzerzahl.

Wählen Sie den Pfad bewusst in der rechtlichen Strukturierung Ihrer Gruppe; lassen Sie ihn nicht zufällig aus dem Markeneigentum entstehen. Ein Nicht-EU-Markeninhaber ohne EU-Niederlassung und ohne bestellten Bevollmächtigten leitet seine Vorfallmeldung standardmäßig in den Mitgliedstaat des Einführers, was bedeutet, dass die Marktüberwachungsbehörde der EU-Tochter die Meldungen bekommt, ob die Tochter darauf eingerichtet ist oder nicht.

White-Label-SBOM-Herkunft

Das Lieferanten-Schwesterstück behandelt SBOM-Vertragsklauseln abstrakt. Für White-Label ist die operative Realität schärfer: Sie können das SBOM nicht aus Ihrer eigenen Build-Pipeline erzeugen, weil Sie den Code nicht gebaut haben.

Drei operative Konsequenzen.

Erstens ist das SBOM ein vertraglich vereinbartes Lieferobjekt vom OEM, kein internes Artefakt. Ihr Vertrag muss Format (CycloneDX oder SPDX), Aktualisierungskadenz (pro Release), Tiefe (transitive Abhängigkeiten, nicht nur direkte) und Auslöser für die Aktualisierung (jeder Firmware-Versionssprung) festlegen. Ohne das liefert der OEM möglicherweise ein SBOM mit nur direkten Abhängigkeiten, das 90 % der tatsächlichen Risikofläche verfehlt.

Zweitens trägt die SBOM-Autorität Ihre Marke, auch wenn Sie die Komponenten nicht selbst entwickelt haben. Wenn das SBOM eine verwundbare transitive Abhängigkeit auflistet, fällt die Komponenten-Due-Diligence auf Sie. Der Diligence-Eintrag kann keine Kopie aus dem OEM sein; er muss Ihre eigene Entscheidung und Ihre eigene Risikoannahme pro integrierter Komponente sein. Nutzen Sie das Lieferanten-Due-Diligence-Playbook für die Unterfälle FOSS, Cloud, reine Hardware und OSS-Verwalter innerhalb des OEM-SBOMs.

Drittens spalten sich reine Hardware-ODM-Szenarien in eine Hardware-BOM (Stückliste der physischen Komponenten) und eine Software-SBOM (Stückliste der Firmware, die Sie ausliefern). Die Hardware-BOM ist OEM-geliefert; die Software-SBOM ist Ihre (weil die Firmware Ihre ist). Die technische Datei muss beide unterscheiden, und die Aufteilung der Schwachstellenüberwachung muss dazu passen: Die Hardware-BOM-Überwachung fließt vom OEM zu Ihnen, die Software-SBOM-Überwachung liegt direkt in Ihrer Verantwortung.

Vertragsklauseln zur Haftungsverteilung

Sieben Vertragsklauseln tragen die White-Label-Vereinbarung unter dem CRA. Jede setzt an einer spezifischen Herstellerpflicht an, die bei Ihnen, dem Markeninhaber, entsteht und vom OEM zur Erfüllung beigetragen werden muss.

1. Anerkennung des CRA-Herstellerstatus

Supplier acknowledges that Buyer will place the Product
on the EU market under Buyer's name or trademark and
that Buyer will be considered the "manufacturer" under
Regulation (EU) 2024/2847 (Cyber Resilience Act).
Supplier agrees to support Buyer's compliance obligations
as set out in this Agreement.

2. Technische Dokumentation (Anhang VII)

Supplier shall provide to Buyer:
(a) Complete technical documentation meeting the
    requirements of Annex VII of Regulation (EU) 2024/2847
(b) All documentation necessary for Buyer to:
    - Conduct the conformity assessment
    - Prepare the EU Declaration of Conformity
    - Respond to market surveillance reasoned requests
(c) Updates to documentation within [10] business days
    of any change affecting compliance status

Supplier grants Buyer a perpetual, irrevocable, royalty-
free licence to use such documentation for compliance
purposes, including production for any market surveillance
authority in a language the authority understands.

3. SBOM-Bereitstellung (mit transitiver Tiefe)

Supplier shall provide:
(a) Software Bill of Materials in [CycloneDX/SPDX] format
(b) Updated SBOM within [5] business days of each firmware
    release that changes direct or transitive components
(c) SBOM including transitive dependencies, not direct
    dependencies only
(d) Component identification with name, version, supplier,
    licence, known vulnerabilities at delivery

4. Schwachstellenmeldung (Stunden, nicht "unverzüglich")

Supplier shall notify Buyer within [24/48] hours of
becoming aware of any security vulnerability in the
Product or in any transitively integrated component
that:
(a) Is actively exploited
(b) Has a CVSS score of 7.0 or higher
(c) Is subject to public disclosure

Patch development:
(a) Acknowledge within [24] hours
(b) Severity assessment within [72] hours
(c) Deliver patch within [7/30/90] days
    for Critical/High/Medium severity

Buyer retains final authority on customer communications
and update release timing.

5. Supportzeitraum-Spiegel

Supplier commits to providing security updates for the
Product for a minimum period that matches or exceeds
Buyer's support-period commitment to its end users, and
in any case for at least [5/7/10] years from the date of
first market placement by Buyer in the EU.

Supplier shall provide [90] days written notice before
any planned discontinuation. On discontinuation, Supplier
shall release source code and build artefacts under
[source-code escrow / transition assistance terms].

6. Unterstützung der Konformitätsbewertung und Audit-Rechte

Supplier shall:
(a) Support Buyer's conformity assessment activities,
    including providing test reports, certificates, and
    evidence on reasonable request
(b) Allow Buyer or Buyer's Notified Body to audit
    production facilities upon [30] days written notice
(c) Maintain quality controls consistent with the
    assessed product type

7. Weiterleitung an Unterkomponenten und Offenlegung

Supplier shall:
(a) Provide and maintain a list of subcomponent suppliers
    that contribute to or have access to security-relevant
    parts of the Product
(b) Flow down relevant CRA requirements to subcomponents
(c) Notify Buyer within [30] days of any material change
    to the subcomponent supplier list
(d) Maintain subcomponent supplier qualification records
    for the duration of Buyer's support period plus 10 years

Zusammenfassung der Risikoverteilung

Nach M&A geerbte White-Label-Vereinbarungen

Sie übernehmen eine Marke und stellen fest, dass die Hälfte ihres Katalogs ohne Compliance-Spur unter White-Label läuft. Der CRA gewährt keine M&A-Übergangsfrist; die übernehmende Einheit erbt am ersten Tag die Herstellerpflichten für jedes Produkt, das derzeit unter der übernommenen Marke auf dem EU-Markt steht.

NACH-M&A WHITE-LABEL-TRIAGE (90 TAGE)

TAG 1-15: Bestandsaufnahme
[ ] Artikelliste aus dem ERP der übernommenen Einheit ziehen
[ ] Jeden Artikel als Eigenentwicklung / White-Label / OEM-modifiziert markieren
[ ] Den OEM hinter jedem White-Label-Artikel identifizieren
[ ] Mit aktuellem Versandstatus abgleichen (aktiv vs EOL-Bestand)

TAG 15-30: Dokumentations-Gap-Analyse
[ ] Für jeden aktiven White-Label-Artikel: gibt es eine Konformitätserklärung auf den Namen des Käufers?
[ ] Für jeden aktiven White-Label-Artikel: gibt es eine technische Datei auf den Namen des Käufers?
[ ] Für jeden aktiven White-Label-Artikel: gibt es ein SBOM?
[ ] Artikel nach Lückenschwere markieren (keine Konformitätserklärung > unvollständige technische Datei > kein SBOM)

TAG 30-60: Tier-1-Sanierung
[ ] Artikel ohne Konformitätserklärung: vom EU-Markt nehmen, bis Konformitätserklärung vorliegt
[ ] Artikel ohne technische Datei: aus OEM-Nachweisen plus eigener Bewertung aufbauen
[ ] Artikel ohne SBOM: OEM zur SBOM-Lieferung verpflichten; bei Weigerung oder Wegfall Ersatz oder Auslauf planen

TAG 60-90: Entscheidungspunkt
[ ] Jeder White-Label-Artikel klassifiziert: behalten / auslaufen / OEM ersetzen
[ ] OEM-Verträge gegen den Sieben-Klausel-Satz geprüft; Lücken kartiert
[ ] Supportzeitraum-Spiegel-Abdeckung Ende zu Ende analysiert

LAUFEND:
[ ] M&A-Herkunft in jedem Artikel-Datensatz für das Audit markieren
[ ] Geerbte Artikel in die normale Release-Zyklus-SBOM- und Schwachstellenüberwachung überführen

Die Triage ist keine Papierübung. Behörden, die fragen, warum ein zwölf Jahre alter White-Label-Artikel nach der Übernahme keine Konformitätserklärung hat, akzeptieren "Wir haben die Lücke in unserer 90-Tage-Nachübernahme-Triage entdeckt und den Artikel bis zur Sanierung vom Markt genommen" eher als "Wir arbeiten noch heraus, welcher OEM ihn gebaut hat".

Häufige Fallstricke

Dieser Artikel dient ausschließlich zu Informationszwecken und stellt keine Rechtsberatung dar. Für spezifische Compliance-Anleitung wenden Sie sich an qualifizierte Rechtsberater mit Kenntnissen im EU-Produktrecht.