CRA-Geltungsbereich: Ist Ihr App-Backend Datenfernverarbeitung?

Veröffentlicht 18. Juni 2026

Ihre Smartphone-App spricht mit einem Server, den Sie selbst gebaut haben. Unter dem Cyber Resilience Act ist dieser Server kein separates Ding, das Sie wegwinken können. Er ist Teil des Produkts. Das Standardbeispiel der Verordnung für Datenfernverarbeitung ist eine mobile App, die eine API oder eine Datenbank erreicht, die über einen von Ihnen entwickelten Dienst läuft. Das Backend hinter Ihrer App ist also kein Nachbar des Produkts. Es steckt darin.

Diese Seite gibt Ihnen die Prüfung und sortiert dann jedes Backend, mit dem eine typische App spricht, in drei Kategorien: Datenfernverarbeitungslösung, Komponente und außerhalb des Geltungsbereichs. Die Prüfung haben wir in der Aufschlüsselung des Kommissionsleitfadens vom März 2026 zusammengefasst. Dies ist die durchgearbeitete Fassung für alle, die eine Smartphone-App, eine API oder ein Cloud-Backend ausliefern.

Zusammenfassung

  • Datenfernverarbeitung ist Teil des Produkts. Der CRA behandelt ein vernetztes Produkt als das Gerät oder die App plus das von Ihnen gebaute Backend, das sie zum Funktionieren braucht. Datenfernverarbeitungslösung kürzen viele zu RDPS ab, und diese Seite verwendet das.
  • Eine Prüfung, drei Bedingungen. Ein Backend ist Datenfernverarbeitung, wenn es aus der Ferne läuft, Ihr Produkt es für eine Funktion braucht und Sie es gebaut haben oder bauen ließen. Fehlt eine der drei, ist es keine.
  • Das Standardbeispiel sind eine App und ihre API. Der Leitfall der Verordnung ist eine mobile App, die eine API oder eine Datenbank erreicht, die über einen von Ihnen gebauten Dienst läuft.
  • Drei Kategorien, sonst nichts. Jedes Backend, das Ihre App berührt, ist entweder eine Datenfernverarbeitungslösung, eine Komponente oder außerhalb des Geltungsbereichs.
  • Handelsüblicher SaaS ist keine RDPS, aber dennoch Ihre Sache. Ein Dienst, den Sie nur lizenzieren, ist eine Komponente. Sie bewerten trotzdem das Integrationsrisiko und führen die Lieferanten-Due-Diligence durch.
  • Das 5G-Netz ist vollständig außen vor. Ein Mobilfunknetz ist ein Konnektivitätsmittel, wie ein Router oder ein WLAN-Signal. Dem Betreiber schulden Sie überhaupt keine Due Diligence.
  • Ihre CI/CD und Ihr CRM sind außen vor. Der CRA reguliert Ihr Unternehmensnetz nicht als Ganzes. Interne Pipelines, Lohnbuchhaltung und Red-Team-Infrastruktur bleiben draußen.
3
Dinge zu prüfen
Aus der Ferne, für eine Funktion nötig, von oder für Sie gebaut
2
Entscheidende Fragen
Für eine Funktion nötig und von oder für Sie gebaut
3
Kategorien zum Einsortieren
Datenfernverarbeitung, Komponente, außerhalb des Geltungsbereichs
1
Standardbeispiel
Eine App erreicht die API oder Datenbank, die Sie gebaut haben

Datenfernverarbeitung in vier Zahlen: die Dinge, die Sie prüfen, die zwei Fragen, die entscheiden, die Kategorien, in denen eine Abhängigkeit landen kann, und das Beispiel, mit dem die Verordnung beginnt.

Was Datenfernverarbeitung tatsächlich bedeutet

Die Verordnung bringt es auf eine Idee, und drei Bedingungen müssen gleichzeitig erfüllt sein. Die Daten werden anderswo verarbeitet als auf dem Gerät des Nutzers. Ihr Produkt braucht diese Verarbeitung, um eine seiner Aufgaben zu erfüllen. Und Sie haben den Dienst gebaut oder unter Ihrer Verantwortung bauen lassen. Sind alle drei erfüllt, haben Sie eine Datenfernverarbeitungslösung. Fehlt eine, nicht.

Lesen Sie die drei einzeln, denn jede bringt ein anderes Team ins Stolpern.

  1. Aus der Ferne verarbeitet. Die Verarbeitung geschieht außerhalb des Geräts oder der Umgebung des Nutzers. Sie kann am Rand sitzen, über eine kabelgebundene oder eine drahtlose Verbindung. Eine mobile App, die eine Cloud-Funktion erreicht, ist Teil der Verarbeitung, die in der Cloud stattfindet.
  2. Für eine Funktion nötig. Ohne den Dienst kann das Produkt eine seiner Aufgaben nicht erfüllen. Das Wort, das die Verordnung verwendet, ist Funktionen, nicht Kernmerkmale, und das ist wichtig. Der nächste Abschnitt erklärt, wie breit es ist.
  3. Von oder für Sie gebaut. Sie haben den Dienst konzipiert und entwickelt, oder ein Anbieter hat ihn unter Ihrer Verantwortung gebaut. Mietraum, um ihn zu betreiben, ändert die Antwort nicht.

Zwei Punkte führen in die Irre, bevor das Sortieren überhaupt beginnt:

  • Es ist Ihre Software, nicht die Hardware, auf der sie läuft. Die Datenfernverarbeitungslösung ist der Code, den Sie gebaut haben und aus der Ferne betreiben. Der Hypervisor oder die Laufzeitumgebung des Anbieters darunter ist eine Komponente, und die physische Hardware, auf der alles sitzt, ist die Produktumgebung. Keine von beiden ist Ihre Datenfernverarbeitungslösung, und Sie bewerten das Risiko aus beiden.
  • Es muss keine Public Cloud sein. Eine Datenfernverarbeitungslösung kann auf Ihren eigenen On-Premise-Servern oder einer privaten Cloud in Ihren Räumen laufen. Die Prüfung ist Konzeption, Entwicklung und Notwendigkeit, nicht der physische Standort der Maschine.

Die drei Fragen

Lassen Sie jedes Backend, von dem Ihre App abhängt, durch drei Fragen in Reihenfolge laufen. Jeder Pfad landet in einer der drei Kategorien.

Ein Entscheidungsfluss für die Datenfernverarbeitungsprüfung. Startknoten: ein Backend, das Sie nutzen. Die erste Frage lautet, ob Daten aus der Ferne verarbeitet werden. Ein Nein ist außerhalb des Geltungsbereichs, weil nichts verlässt das Gerät. Ein Ja führt zur zweiten Frage, ob der Dienst für eine Funktion nötig ist. Ein Nein ist außerhalb des Geltungsbereichs, Kommunikationsrisiko prüfen. Ein Ja führt zur dritten Frage, ob der Dienst von oder für Sie gebaut wurde. Ein Nein ist eine Komponente, Due Diligence durchführen. Ein Ja ist eine Datenfernverarbeitungslösung.
Die Drei-Fragen-Prüfung. Beide entscheidenden Fragen müssen ja lauten, damit eine Abhängigkeit eine Datenfernverarbeitungslösung ist.

Die erste Frage filtert alles heraus, was das Gerät nie verlässt. Die nächsten beiden sind das entscheidende Paar, und beide müssen ja lauten. Drei Dinge lohnt es sich festzuhalten, bevor Sie beginnen:

  • Funktionen ist breiter als Kernmerkmale. Es deckt alles ab, was unterstützt, wie das Produkt arbeitet, nicht nur das Hauptmerkmal. Befehle an ein Gerät senden, Dateien synchronisieren, einen Nutzer einrichten, Konfiguration und Personalisierung, Updates einschließlich Sicherheitspatches empfangen und Nutzer anmelden zählen alle als Funktionen. Braucht das Produkt ein Backend für eine davon, lautet die zweite Frage ja.
  • Ein manueller Rückfall befreit Sie nicht. Eine Glühbirne, die Sie über eine App oder einen physischen Schalter einschalten können, ist für den Fernpfad weiterhin eine Datenfernverarbeitungslösung. Die manuelle Option nimmt die Funktion nicht aus dem Geltungsbereich.
  • Von oder für Sie gebaut ist nicht, wer es betreibt. Sie können den Betrieb an einen Dritten abgeben und verantwortlich bleiben. Unter Ihrer Verantwortung heißt maßgeschneidert, in Ihrem Auftrag nach Ihrer Spezifikation gebaut und im Eigentum statt lizenziert. Ein bestehendes Produkt zu lizenzieren, oder eine leicht angepasste Version davon, ist nicht von oder für Sie gebaut.
Was als Funktion zählt. Brauchen Sie ein Backend für eine einzige davon, lautet die zweite Frage ja. Sechs Funktionstypen: Befehle an ein Gerät senden, Dateien synchronisieren, einen Nutzer einrichten, Konfiguration und Personalisierung, Updates einschließlich Sicherheitspatches empfangen und Nutzer anmelden. Ein manueller Rückfall nimmt die Funktion nicht aus dem Geltungsbereich.
Die sechs Funktionstypen, die die zweite Frage zu einem Ja machen. Brauchen Sie ein Backend für einen davon, ist es für eine Funktion nötig.

Der Lehrbuchfall: Ihre App, Ihre API, Ihre Datenbank

Beginnen Sie mit dem Fall, den die Verordnung selbst als Beispiel verwendet. Eine mobile App braucht eine API oder eine Datenbank, und diese API oder Datenbank läuft über einen von Ihnen gebauten Dienst. In diesem Fall ist der Dienst eine Datenfernverarbeitungslösung, ohne Wenn und Aber. Auf diesem Bild baut der Rest der Seite auf.

Der Lehrbuchfall der Datenfernverarbeitung. Ein Smartphone, markiert als mobiler Client, sendet eine Anfrage an Ihr API-Gateway und erhält eine Antwort. In einem Bereich, markiert als Datenfernverarbeitungslösung, im Produkt, ruft das API-Gateway Ihren Sync-Dienst auf, der Ihre Datenbank liest und beschreibt. Darunter ist ein Balken, markiert als Ihr IaaS, die gemietete Infrastruktur, als Komponente markiert, und die Lösung läuft darauf.
Das wörtliche Beispiel der Verordnung. Die API und die Datenbank, die Sie gebaut haben, sind die Datenfernverarbeitungslösung. Die Cloud-Plattform darunter ist eine Komponente.

Führen Sie eine Notiz-App durch die drei Fragen. Die App synchronisiert Dateien über Ihre REST-API und Ihre Datenbank. Aus der Ferne verarbeitet, ja. Für eine Funktion nötig, ja, denn Dateisynchronisierung ist eine Funktion. Von oder für Sie gebaut, ja, denn Sie haben die API und das Datenbankschema konzipiert. Drei Ja. Ihre API und Ihre Datenbank sind eine Datenfernverarbeitungslösung. Sie sitzen im Konformitätsgeltungsbereich des Produkts.

Die Cloud-Plattform darunter ist eine andere Frage. Wenn Sie Infrastruktur mieten und Ihren eigenen Code darauf bereitstellen, ist die gemietete Plattform nicht die Datenfernverarbeitungslösung. Ihr Code ist es. Das IaaS darunter ist eine Komponente. Sie dokumentieren die Abhängigkeit, bewerten das Integrationsrisiko und können den Anbieter um Sicherheitsnachweise bitten.

Die drei Kategorien im Überblick

Ein Sortierdiagramm. Die App sitzt oben und verzweigt sich nach unten in drei Spalten. Die Spalte Datenfernverarbeitungslösung listet Ihr Sync-Backend, Ihren Token-Dienst und Ihre Smart-Home-Cloud. Die Spalte Komponente listet handelsüblichen SaaS-Speicher, einen lizenzierten Identitätsanbieter und einen Support-Chat eines Drittanbieters. Die Spalte außerhalb des Geltungsbereichs listet das 5G-Netz, Ihre CI/CD und Ihr CRM sowie reine Statistik-Telemetrie.
Dieselbe App, jede Abhängigkeit sortiert. Die Kategorie legt die Pflicht fest, nicht der Name des Anbieters.

Jede Abhängigkeit landet in genau einer Kategorie. Beide entscheidenden Fragen ja ist eine Datenfernverarbeitungslösung. Für eine Funktion nötig, aber nicht in Ihrer Verantwortung ist eine Komponente. Nicht für eine Funktion nötig ist außerhalb des Geltungsbereichs, und Sie prüfen das Risiko, das sie dennoch einbringt.

Kategorie Wann sie gilt Bedeutung Was Sie tun müssen
Datenfernverarbeitungslösung aus der Ferne, für eine Funktion nötig und von oder für Sie gebaut Teil des Produkts selbst Erfüllen Sie die grundlegenden Anforderungen aus Anhang I. Binden Sie sie in die Produktrisikobewertung ein. Decken Sie sie in der EU-Konformitätserklärung und der technischen Dokumentation ab. Behandeln und melden Sie Schwachstellen über den Supportzeitraum
Komponente aus der Ferne und für eine Funktion nötig, aber nicht von oder für Sie gebaut Ein Drittanbieterteil, auf das sich Ihr Produkt stützt Bewerten Sie das Integrationsrisiko. Mindern Sie auf Produktebene durch Authentifizierung, Integritätsprüfungen, Isolierung und Antwortvalidierung. Führen Sie die Lieferanten-Due-Diligence durch und verankern Sie Sicherheitsgarantien im SLA. Verwenden Sie die Nachweise wieder, die der Anbieter bereits hält, etwa eine CE-Kennzeichnung, ein ISO/IEC-27001- oder -27017-Zertifikat, ein EU-Cybersicherheitszertifikat, einen Nachweis der NIS2-Pflichten des Anbieters oder, wo einschlägig, seiner DORA-Pflichten
Außerhalb des Geltungsbereichs nicht für eine Funktion nötig oder reine Konnektivität Weder eine Datenfernverarbeitungslösung noch eine Komponente Keine Konformitäts- oder Komponentenpflicht. Sie bewerten weiterhin jedes Risiko, das die Kommunikation einbringt. Reine Konnektivität, etwa das Mobilfunknetz, WLAN oder ein Router, ist der eine Fall, in dem Sie dem Anbieter überhaupt nichts schulden

Unsere Einschätzung: In der Praxis scheitert die Prüfung selten an den ersten beiden Fragen. Fast alles, womit eine App spricht, läuft aus der Ferne und wird für etwas gebraucht. Die Antwort hängt an der dritten Frage, dem Eigentum, und dort sehen wir Teams ausrutschen. Wurde ein Dienst für Sie gebaut und gehört er Ihnen, behandeln Sie ihn als im Geltungsbereich und gehen Sie weiter. Der teure Fehler, den wir immer wieder sehen, ist, ein maßgeschneidertes Backend als Komponente abzulegen, nur weil zufällig ein Anbieter es betreibt.

Durchgearbeitete Beispiele

Der Leitfadenentwurf argumentiert anhand einer Reihe fiktiver, archetypischer Produkte, und die Galerie unten bildet das ab. Wo er eine reale Technologiekategorie nennt, klassifiziert er das typische Muster. Die Antwort hängt davon ab, wie Sie die Sache nutzen, selbst gebaut gegen lizenziert handelsüblich, niemals ein rechtliches Urteil über einen benannten Anbieter.

A. Ihr eigenes Sync-Backend

Produkt: eine Notiz- oder Produktivitäts-App. Die App verbindet sich mit Ihrer REST-API und Ihrer Datenbank auf gemieteter Infrastruktur. Aus der Ferne verarbeitet, ja. Für eine Funktion nötig, ja, Dateisynchronisierung. Von oder für Sie gebaut, ja. Das ist eine Datenfernverarbeitungslösung. Die gemietete Infrastruktur darunter ist eine Komponente. Es ist der Lehrbuchfall aus dem Abschnitt oben.

B. Smart-Home-Begleit-App

Der Smart-Home-Fall. Eine Begleit-App und ein Thermostat mit manuellem Schalter senden beide Daten an Ihr Cloud-Backend, markiert als Datenfernverarbeitungslösung. Im Backend empfängt ein Geräte-Gateway die Nachrichten, ein Befehlsdienst sendet Temperatur einstellen zurück an das Thermostat, und ein Präferenzspeicher hält die Nutzerpräferenzen. Das Cloud-Backend läuft auf IaaS eines Drittanbieters, markiert als Komponente.
Ein Thermostat, das Sie auch von Hand drehen können. Der manuelle Schalter nimmt den Fernpfad nicht aus dem Geltungsbereich.

Produkt: ein Thermostat oder eine Glühbirne und ihre Begleit-App. Die App spricht mit Ihrem Cloud-Backend, das Sie gebaut haben und auf Drittanbieter-Infrastruktur betreiben. Das Gerät funktioniert auch über einen manuellen Schalter. Aus der Ferne verarbeitet, ja. Für eine Funktion nötig, ja, Befehle an ein Gerät senden, und der manuelle Rückfall ändert das nicht. Von oder für Sie gebaut, ja. Das ist eine Datenfernverarbeitungslösung. Die Infrastruktur darunter ist eine Komponente. Die Verordnung bestätigt, dass die Cloud-Steuerung eines Smart-Home-Herstellers in den Geltungsbereich fällt.

C. Banking-App, der Fall mit allen drei Kategorien

Der Banking-Fall mit allen drei Kategorien. Die Banking-App sendet eine Anfrage an Ihre API-Schicht, eine Datenfernverarbeitungslösung, die authentifiziert und routet. Die API-Schicht fragt die Identität beim Kontoverwaltungssystem ab und übermittelt eine Transaktion an das Hauptbuchsystem, beide außerhalb des Geltungsbereichs, eine externe Abhängigkeit, die die App nie direkt berührt, und das Hauptbuch gibt den Transaktionsstatus zurück. Ein Support-Chat eines Drittanbieters, der die Chat-Sitzung abwickelt, ist eine Komponente, isoliert vom Kern-Banking. Ihr Push-Benachrichtigungs-Code, der Transaktionsbenachrichtigungen sendet, ist eine Datenfernverarbeitungslösung, die auf einem PaaS eines Drittanbieters läuft, das eine Komponente ist.
Ein Produkt, jede Kategorie. Das Urteil folgt dem, was jedes Teil tut und wer es gebaut hat, nicht dem Ort, an dem es läuft.

Produkt: die Banking-App. Eine App, vier Abhängigkeiten, drei Kategorien.

  • Ihre selbst gehostete API-Schicht ist eine Datenfernverarbeitungslösung. Sie haben sie gebaut, die App braucht sie, sie läuft aus der Ferne.
  • Das Konto- und das Hauptbuchsystem, die die App nie direkt berührt, sind außerhalb des Geltungsbereichs, eine externe Abhängigkeit. Sie werden dennoch risikobewertet. Sie wenden eine starke Authentifizierung der Backend-Schnittstellen, Integritätsschutz und Verifizierung der Antworten an.
  • Ein Support-Chat-SaaS eines Drittanbieters ist eine Komponente. Sie isolieren ihn vom Kern-Banking-Fluss, validieren die Inhalte, die er zurückgibt, und führen die Due Diligence durch.
  • Ihr Push-Benachrichtigungs-Code auf einem PaaS eines Drittanbieters ist eine Datenfernverarbeitungslösung. Die PaaS-Plattform selbst ist eine Komponente. Ihr Code ist die Software, die Sie konzipiert haben. Die Plattform ist die gemietete Schicht darunter.

D. Identität und Anmeldung

Der Identitätsfall. Drei Anmeldepfade. Ihr eigener Token-ausstellender Auth-Dienst ist als Datenfernverarbeitungslösung markiert. Ein handelsüblicher Identitätsanbieter, den Sie lizenzieren, ist als Komponente markiert. Ein maßgeschneiderter Identitätsdienst, ausschließlich für Sie gebaut und in Ihrem Eigentum, ist als Datenfernverarbeitungslösung markiert. Eine Bildunterschrift lautet: gleicher Anbieter, anderer Vertrag, andere Antwort.
Gleicher Anbieter, anderer Vertrag, andere Antwort. Die Prüfung ist, wer den Dienst konzipiert hat und besitzt, nicht wer ihn betreibt.

Produkt: eine beliebige App. Nutzer anmelden ist eine Funktion, also ist Identität im Spiel.

  • Ihr eigener Token-ausstellender Auth-Dienst ist eine Datenfernverarbeitungslösung. Sie haben ihn gebaut, die App braucht ihn, um Nutzer anzumelden.
  • Ein Identitätsanbieter eines Drittanbieters, den Sie nur handelsüblich lizenzieren, ist eine Komponente, keine Datenfernverarbeitungslösung. Sie bewerten das Integrationsrisiko und führen die Due Diligence durch.
  • Ein Anbieter, der einen maßgeschneiderten Identitätsdienst ausschließlich für Sie baut, in Ihrem Eigentum, kippt zurück zu einer Datenfernverarbeitungslösung. Gleicher Anbieter, anderer Vertrag, andere Antwort.

E. Handelsüblicher SaaS-Speicher

Produkt: eine Medien- oder E-Reader-App, die gekaufte Inhalte in einem generischen SaaS-Speicher eines Drittanbieters ablegt. Aus der Ferne verarbeitet, ja. Für eine Funktion nötig, ja. Von oder für Sie gebaut, nein, denn Sie haben ein bestehendes Produkt handelsüblich lizenziert. Das ist eine Komponente, keine Datenfernverarbeitungslösung. Sie sichern Authentifizierung, Verschlüsselung und Integrität der Kommunikation und führen die Due Diligence durch. Stellen Sie das Beispiel A gegenüber. Dieselbe Aufgabe, Dateispeicherung, landet in einer anderen Kategorie, weil ein anderer den Dienst gebaut hat.

F. KI- und LLM-Funktion

Der Fall einer KI-Funktion. Eine App mit einer KI-Funktion sendet einen Prompt und erhält eine Vervollständigung. Drei Pfade. Ihr eigener Inferenzdienst, den Sie gebaut haben und auf Drittanbieter-Infrastruktur betreiben, ist als Datenfernverarbeitungslösung markiert, und die Infrastruktur ist eine Komponente. Eine lizenzierte Modell-API eines Drittanbieters ist als Komponente markiert. Daten, die rein zum Modelltraining gesendet werden, nicht für eine Funktion nötig, sind als außerhalb des Geltungsbereichs markiert.
Eine KI-Funktion teilt sich wie jedes andere Backend. Was Sie gebaut haben, ist eine Datenfernverarbeitungslösung, was Sie lizenzieren, eine Komponente, und reine Trainingsdaten sitzen außen.

Produkt: eine App mit einer KI-Funktion.

  • Ihr eigenes Modell oder Ihr eigener Inferenzdienst, den Sie gebaut haben und auf Drittanbieter-Infrastruktur betreiben, ist eine Datenfernverarbeitungslösung.
  • Eine Modell-API eines Drittanbieters, die Sie nur handelsüblich lizenzieren, ist eine Komponente, keine Datenfernverarbeitungslösung. Sie bewerten das Integrationsrisiko und führen die Due Diligence durch.
  • Daten, die rein zum Modelltraining oder für Statistik gesendet werden, nicht für eine Produktfunktion nötig, sind wahrscheinlich außerhalb des Geltungsbereichs. Sie bewerten weiterhin jedes Risiko, das diese Kommunikation hinzufügt.

G. Die Menge außerhalb des Geltungsbereichs

Die Grenze außerhalb des Geltungsbereichs in zwei Zonen. Die erste Zone, nichts geschuldet, listet das 5G-Netz, das WLAN des Nutzers und den Router. Die zweite Zone, keine Datenfernverarbeitungslösung, aber dennoch eine Kommunikationsrisikoprüfung, listet reine Statistik-Telemetrie, eine Marketing-Website oder ein Hilfe-Center und Ihr eigenes Netz aus CI/CD, CRM, Lohnbuchhaltung und Update-Verteilung.
Außerhalb des Geltungsbereichs hat zwei Unterzonen. Konnektivität schuldet dem Betreiber nichts. Telemetrie und Marketing-Seiten bekommen dennoch eine Kommunikationsrisikoprüfung.

Außerhalb des Geltungsbereichs ist nicht eine Sache. Es hat zwei Unterzonen, und sie tragen unterschiedliche Arbeit.

  • Dem Anbieter nichts geschuldet. Das 5G- oder Mobilfunknetz, das WLAN des Nutzers und der Router sind Konnektivitätsmittel. Sie sind weder eine Datenfernverarbeitungslösung noch eine Komponente. Dem Betreiber schulden Sie überhaupt keine Due Diligence.
  • Keine Datenfernverarbeitungslösung, dennoch eine Risikoprüfung. Absturz- oder Nutzungstelemetrie, die rein für Statistik oder künftige Produktentwicklung gesammelt wird, ist keine Datenfernverarbeitungslösung, aber Sie bewerten jedes Kommunikationsrisiko, das sie hinzufügt. Eine Marketing-Website oder ein Hilfe-Center, auf das die App nur verlinkt, ist ebenfalls keine Datenfernverarbeitungslösung.
  • Ihr eigenes Netz. Internes CRM, HR, Lohnbuchhaltung, CI/CD-Pipelines, die interne Verteilung von Updates an Edge-Standorte sowie Pentest- oder Red-Team-Infrastruktur sind keine Datenfernverarbeitungslösung. Der CRA reguliert Ihr Unternehmensnetz nicht als Ganzes.

Wozu jede Kategorie Sie verpflichtet

Die Kategorie ist kein Etikett. Sie legt die Arbeit fest.

Die Cloud-Verantwortungsteilung über drei Modelle. Bei IaaS ist die Software, die Sie bereitstellen, eine Datenfernverarbeitungslösung, der Hypervisor des Anbieters eine Komponente, und die zugrundeliegende Hardware ist die Produktumgebung, außerhalb des Produktgeltungsbereichs und dennoch risikobewertet. Bei PaaS ist Ihr App-Code eine Datenfernverarbeitungslösung, während die Laufzeitplattform eine Komponente ist. Bei SaaS ist die gesamte handelsübliche Anwendung eine Komponente.
Wo die Linie bei IaaS, PaaS und SaaS verläuft. Die Schicht, die Sie konzipieren und entwickeln, ist die Datenfernverarbeitungslösung. Die Schicht des Anbieters ist eine Komponente.

Die Linie verschiebt sich mit dem Cloud-Modell. Auf gemieteter Infrastruktur kann die Software, die Sie bereitstellen, eine Datenfernverarbeitungslösung sein, der Hypervisor des Anbieters darunter ist eine Komponente, und die physische Hardware ist die Produktumgebung. Auf einer gemieteten Plattform kann Ihr App-Code eine Datenfernverarbeitungslösung sein, und die Laufzeitplattform ist eine Komponente. Eine handelsübliche SaaS-Anwendung ist eine Komponente, keine Datenfernverarbeitungslösung.

Datenfernverarbeitungslösung. Sie steckt im Produkt. Sie erfüllen die grundlegenden Anforderungen aus Anhang I, binden sie in die Produktrisikobewertung ein, decken sie in der EU-Konformitätserklärung und der technischen Dokumentation ab und behandeln und melden Schwachstellen über den Supportzeitraum.

Komponente. Sie ist ein Drittanbieterteil, auf das sich Ihr Produkt stützt. Sie bewerten das Integrationsrisiko und mindern auf Produktebene durch Authentifizierung, Integritätsprüfungen, Isolierung und Antwortvalidierung. Sie führen die Lieferanten-Due-Diligence durch und verankern Sicherheitsgarantien im SLA. Sie können Nachweise wiederverwenden, die der Anbieter bereits hält, etwa eine CE-Kennzeichnung, ein ISO/IEC-27001- oder -27017-Zertifikat, ein EU-Cybersicherheitszertifikat, einen Nachweis der NIS2-Pflichten des Anbieters oder, wo einschlägig, seiner DORA-Pflichten. Ändert ein Drittanbieter seinen eigenen Dienst, ist das keine wesentliche Änderung Ihres Produkts.

Außerhalb des Geltungsbereichs. Keine Konformitäts- oder Komponentenpflicht. Sie bewerten weiterhin jedes Risiko, das die Kommunikation einbringt, außer im Konnektivitätsfall, in dem Sie dem Anbieter nichts schulden.

Schreiben Sie die Datenfernverarbeitungslösungen und die Drittanbieterabhängigkeit in Ihre technische Dokumentation. Die Risikobewertung deckt die Datenfernverarbeitungslösungen, die Drittanbieterabhängigkeit und die Produktumgebung ab.

Sie müssen nicht Ihr gesamtes Backend durch die Konformität führen. Der CRA reicht nur an die Teile Ihrer Systeme, die die Daten speichern oder verarbeiten, die eine Produktfunktion braucht. Diese Teile vom Rest abzutrennen, so wie die Banking-App ihr Hauptbuch von ihrer API getrennt hält, verengt, was in die Bewertung fällt. Und wenn ein Backend mehreren Produkten dient, deklarieren Sie es in der technischen Dokumentation jedes Produkts. Sie können diese Dokumentation von der Bewertung des einen Produkts zur nächsten wiederverwenden.

Häufige Fehler

  • Die gesamte Cloud als im Geltungsbereich behandeln. Der CRA reicht nicht an Ihr Unternehmensnetz als Ganzes. Ihre CI/CD, Ihr CRM, Ihr HR und Ihre Lohnbuchhaltung sind außen vor.
  • Annehmen, wer es betreibt, entscheide es. Der Betrieb ist nicht die Prüfung. Konzeption, Entwicklung und Eigentum sind es.
  • Vergessen, dass Komponenten weiterhin Arbeit brauchen. Außerhalb des Konformitätsgeltungsbereichs ist nicht außerhalb der Pflicht. Eine Komponente braucht eine Integrationsrisikobewertung, Minderungen auf Produktebene und die Lieferanten-Due-Diligence.
  • Glauben, Telemetrie ziehe Sie hinein. Reine Statistik-Telemetrie ist keine Datenfernverarbeitungslösung. Sie bekommt dennoch eine Kommunikationsrisikoprüfung, aber sie ist nicht Teil des Produkts.
  • Produkt-Updates mit interner Update-Verteilung verwechseln. Ein Produkt, das Updates einschließlich Sicherheitspatches empfängt, ist eine Funktion, der Update-Auslieferungsdienst, den Sie bauen, kann also eine Datenfernverarbeitungslösung sein. Die interne Verteilung dieser Updates über Ihre eigenen Edge-Standorte ist interne Infrastruktur und außerhalb des Geltungsbereichs.

Häufig gestellte Fragen

Liegt die eigene REST-API meiner App im Geltungsbereich des CRA?

Ja, wenn Sie sie gebaut haben und Ihre App sie braucht, um eine Funktion zu erfüllen. Das Beispiel der Verordnung ist eine mobile App, die eine API oder Datenbank erreicht, die über einen vom Hersteller gebauten Dienst läuft, und das stellt Ihre API in den Konformitätsgeltungsbereich des Produkts. Die Cloud-Plattform, auf der Sie sie betreiben, ist eine separate Frage und wird als Komponente behandelt.

Wenn ich mein Backend auf einer Cloud eines Drittanbieters hoste, macht die Cloud meinen gesamten Stack zu einer Datenfernverarbeitungslösung?

Nein. Die Datenfernverarbeitungslösung ist die Software, die Sie konzipiert und entwickelt haben, nicht die Plattform darunter. Diese Plattform gehört dem Anbieter, nicht Ihnen, die gemietete Infrastruktur ist also eine Komponente. Sie bewerten das Integrationsrisiko und führen die Lieferanten-Due-Diligence dazu durch.

Ist ein Anmeldeanbieter eines Drittanbieters eine Datenfernverarbeitungslösung?

Es hängt davon ab, wie Sie ihn nutzen. Ein Identitätsanbieter eines Drittanbieters, den Sie handelsüblich lizenzieren, ist eine Komponente, keine Datenfernverarbeitungslösung, auch wenn Nutzer anmelden eine Funktion ist. Baut ein Anbieter dagegen einen maßgeschneiderten Identitätsdienst ausschließlich für Sie und Sie besitzen ihn, kippt das zurück zu einer Datenfernverarbeitungslösung. Gleicher Anbieter, anderer Vertrag, andere Antwort.

Deckt der CRA meine interne CI/CD-Pipeline und mein CRM ab?

Nein. Der CRA reguliert Ihr Unternehmensnetz und Ihre Informationssysteme nicht als Ganzes. Internes CRM, Lohnbuchhaltung, CI/CD-Pipelines, die interne Verteilung von Updates an Edge-Standorte sowie Pentesting oder Red-Teaming sitzen alle außen vor. Das ist Ihr eigenes Netz, keine Datenfernverarbeitungslösung, von der Ihr Produkt abhängt.

Liegt das Mobilfunknetz, über das meine App läuft, im Geltungsbereich?

Nein. Ein 5G- oder Mobilfunknetz ist ein Konnektivitätsmittel, wie ein Router, ein Ethernet-Kabel oder ein WLAN-Signal. Es ist weder eine Datenfernverarbeitungslösung noch eine Komponente, und Sie schulden dem Netzbetreiber überhaupt keine Due Diligence. Das ist der eine Fall außerhalb des Geltungsbereichs, der keine Pflicht gegenüber dem Anbieter trägt.

Was ist der Unterschied zwischen einer Datenfernverarbeitungslösung und einer Komponente?

Beide können aus der Ferne laufen und beide können für eine Funktion nötig sein. Der Unterschied ist, wer den Dienst gebaut hat. Eine Datenfernverarbeitungslösung ist von Ihnen oder unter Ihrer Verantwortung konzipiert und entwickelt, sie sitzt also im Konformitätsgeltungsbereich des Produkts. Eine Komponente ist ein Drittanbieterteil, das Sie lizenzieren, sie bleibt also außerhalb der Konformität, braucht aber weiterhin eine Integrationsrisikobewertung, Minderungen auf Produktebene und Due Diligence. Siehe Was ist ein Produkt mit digitalen Elementen dafür, wo Datenfernverarbeitung in der breiteren Anwendungsbereichsprüfung sitzt.

Wo Sie ansetzen

  1. Listen Sie jedes Backend auf, mit dem Ihre App spricht: Ihre API, Ihre Datenbank, Anmeldung, Zahlungen, Support-Chat, Push, Analytik, KI und das Netz, über das sie läuft.
  2. Lassen Sie jedes durch die drei Fragen laufen. Aus der Ferne, für eine Funktion nötig, von oder für Sie gebaut. Beide entscheidenden Antworten müssen ja lauten, damit es eine Datenfernverarbeitungslösung ist.
  3. Sortieren Sie jede Abhängigkeit in eine Kategorie und schreiben Sie das Urteil in Ihre technische Dokumentation, mit deklarierter Drittanbieterabhängigkeit.
  4. Führen Sie für jede Komponente die Lieferanten-Due-Diligence durch und erfassen Sie die wiederverwendbaren Nachweise, die der Anbieter bereits hält.
  5. Binden Sie die Datenfernverarbeitungslösungen in Ihre Produktrisikobewertung und Ihren Prozess zur Schwachstellenmeldung über den Supportzeitraum ein.
  6. Prüfen Sie die Cloud- und NIS2-Überschneidung, damit Sie nicht doppelt zählen, was bereits unter der Richtlinie (EU) 2022/2555 sitzt, und kehren Sie dann zum CRA-Konformitäts-Hub zurück.

Dieser Artikel dient nur zu Informationszwecken und stellt keine Rechtsberatung dar. Die durchgearbeiteten Beispiele folgen dem Entwurfsleitfaden der Europäischen Kommission, Mitteilung Ares(2026)2319816 vom 3. März 2026, deren Konsultation am 13. April 2026 endete und die noch nicht förmlich angenommen ist. Für konkrete Konformitätsberatung wenden Sie sich an qualifizierten Rechtsbeistand.