Ab dem 11. Dezember 2027 macht Artikel 20 des EU Cyber Resilience Act (Verordnung (EU) 2024/2847) den Händler für eine präsenzbasierte Prüfung jedes Produkts mit digitalen Elementen verantwortlich, bevor es auf dem Unionsmarkt bereitgestellt wird: CE-Kennzeichnung, Herstelleridentifikation und Anhang-II-Informationen, Einführeridentifikation, Datum des Unterstützungszeitraums sowie EU-Konformitätserklärung. Diese Seite behandelt Artikel 20 vollständig, die Rollenabgrenzung zum Einführer nach Artikel 3 Nummer 16 und zum Hersteller nach Artikel 3 Nummer 13 sowie die Bußgeldstufe der zweiten Ebene.
Zusammenfassung
- Sie sind nur Händler, wenn Sie das Produkt nicht verändern. Wer ein CE-gekennzeichnetes Produkt nach dem Einführer auf dem EU-Markt bereitstellt, zählt als Händler, solange das Produkt unverändert das nächste Glied erreicht. Wenn Sie es umbranden, in einer den Verwendungszweck verändernden Weise neu verpacken, eigene Software vorinstallieren oder die Sicherheitskonfiguration ändern, werden Sie stattdessen zum Hersteller (Artikel 3 Nummer 17).
- Führen Sie für jede Lieferung eine Präsenzprüfung durch. Bevor Sie eine Einheit bereitstellen, vergewissern Sie sich, dass die CE-Kennzeichnung am Produkt angebracht ist, die Herstelleridentifikation und die Anhang-II-Anleitungen das Produkt begleiten, das Enddatum des Unterstützungszeitraums Monat und Jahr ausweist, die DoC abrufbar ist und die Kontaktangaben des Einführers sichtbar sind (Artikel 20(2)).
- Halten Sie die Linie an, sobald etwas fehlt. Wenn die Prüfung scheitert oder Sie Grund zu der Annahme haben, dass das Produkt oder die Prozesse des Herstellers nicht mit Anhang I übereinstimmen, stellen Sie das Produkt nicht bereit. Bei erheblichem Cybersicherheitsrisiko unterrichten Sie den Hersteller und die Marktüberwachungsbehörden unverzüglich (Artikel 20(3)).
- Bleiben Sie nach dem Verkauf wachsam. Verfolgen Sie Korrekturmaßnahmen oder Rücknahmen, wenn etwas nicht stimmt, und leiten Sie jede Schwachstelle, von der Sie Kenntnis erlangen, unverzüglich an den Hersteller weiter. Bei erheblichem Risiko unterrichten Sie die Marktüberwachungsbehörden jedes Mitgliedstaats, in den Sie liefern (Artikel 20(4)).
- Halten Sie die Unterlagen vorlegungsbereit. Eine Marktüberwachungsbehörde kann mit Begründung die Unterlagen anfordern, die für den Konformitätsnachweis erforderlich sind, in einer für sie leicht verständlichen Sprache. Halten Sie die DoC-Referenz, Anhang II in der Liefersprache und die Lieferkettenkontakte abrufbar (Artikel 20(5)).
- Decken Sie den schlimmsten Fall ab. Stellt der Hersteller seine Geschäftstätigkeit ein, informieren Sie die Behörden und mit allen verfügbaren Mitteln auch die Nutzer (Artikel 20(6)).
- Bußgeldstufe. Verstöße des Händlers liegen in der zweiten Bußgeldstufe, bis zu 10.000.000 EUR oder 2 % des weltweiten Jahresumsatzes, je nachdem was höher ist (Artikel 64(3)).
Artikel 20 in vier Zahlen: sechs Absätze mit Pflichten, sieben Prüfpunkte vor der Marktbereitstellung, das Bußgeld der zweiten Stufe und das Datum, ab dem alles beginnt.
Wer ist Händler im Sinne des CRA?
Artikel 3 Nummer 17 definiert den Händler wörtlich:
"Händler" bezeichnet eine natürliche oder juristische Person in der Lieferkette, die nicht der Hersteller oder der Einführer ist und ein Produkt mit digitalen Elementen auf dem Unionsmarkt bereitstellt, ohne dessen Eigenschaften zu beeinträchtigen.
Sie sind im Sinne des CRA Händler, wenn alle drei Elemente zutreffen:
| Element | Prüfung |
|---|---|
| In der Lieferkette | Sie übernehmen Besitz oder kommerzielle Kontrolle über das Produkt, während es vom Einführer oder einem anderen Händler in Richtung Endnutzer wandert |
| Nicht der Hersteller oder der Einführer | Das Produkt trägt nicht Ihren Namen oder Ihre Marke (sonst greift Artikel 3 Nummer 13 und Sie sind Hersteller) und Sie sind nicht das erste EU-Unternehmen, das es auf dem Unionsmarkt in Verkehr bringt (sonst greift Artikel 3 Nummer 16 und Sie sind Einführer) |
| Ohne dessen Eigenschaften zu beeinträchtigen | Sie verändern weder das Produkt noch seine Software, noch die Verpackung in einer den Verwendungszweck verändernden Weise, noch dessen Sicherheitskonfiguration |
Greift eines der drei Elemente nicht, sind Sie nicht der Händler. Trägt das Produkt Ihren eigenen Namen oder Ihre Marke, sind Sie Hersteller nach Artikel 3 Nummer 13. Sind Sie das erste EU-Unternehmen, das ein nicht-EU-markiertes Produkt auf dem Unionsmarkt in Verkehr bringt, sind Sie Einführer nach Artikel 3 Nummer 16. Verändern Sie das Produkt nach Inverkehrbringen wesentlich, fallen Sie nicht unter Artikel 22 (der Händler ausdrücklich ausnimmt), doch die Veränderung kann Sie über Artikel 3 Nummer 13 zurück in die Herstellerrolle ziehen, sobald Sie die veränderte Fassung unter eigenem Namen vermarkten. Die vollständige Rollenmatrix finden Sie unter Wer muss den CRA einhalten.
Artikel 20 im Überblick
| Absatz | Pflicht | Kernpunkt |
|---|---|---|
| 20(1) | Sorgfaltspflicht | Der allgemeine Maßstab. Gilt für jeden Akt der Bereitstellung, vor und nach Inverkehrbringen. |
| 20(2) | Verifizierung vor dem Markt | CE-Kennzeichnung vorhanden, Herstellerkonformität mit Artikel 13(15), (16), (18), (19) und (20), Einführerkonformität mit Artikel 19(4) und Bereitstellung der erforderlichen Unterlagen bestätigen. |
| 20(3) | Verweigerung + Information | Bei Verdacht auf Nichtkonformität mit Anhang I nicht bereitstellen. Bei erheblichem Cybersicherheitsrisiko Hersteller und Marktüberwachungsbehörden unverzüglich unterrichten. |
| 20(4) | Korrektur + Schwachstellenkenntnis | Korrekturmaßnahmen sicherstellen, gegebenenfalls Rücknahme oder Rückruf. Hersteller über Schwachstellen unverzüglich unterrichten. Bei erheblichem Cybersicherheitsrisiko unverzüglich Marktüberwachungsbehörden jedes Liefer-Mitgliedstaats unterrichten. |
| 20(5) | Zusammenarbeit mit der Marktüberwachung | Auf begründetes Verlangen alle zum Konformitätsnachweis erforderlichen Informationen und Unterlagen in einer für die Behörde leicht verständlichen Sprache bereitstellen. |
| 20(6) | Hersteller hat Geschäftstätigkeit eingestellt | Marktüberwachungsbehörden unverzüglich unterrichten und Nutzer mit allen verfügbaren Mitteln informieren. |
Händler vs. Einführer
Der rechtliche Auslöser ist, welche Partei das Produkt erstmals auf dem Unionsmarkt in Verkehr bringt.
| Aspekt | Händler (Artikel 20) | Einführer (Artikel 19) |
|---|---|---|
| Position | Jede Person in der Lieferkette nach dem Einführer, mit Ausnahme des Herstellers | Erstes EU-Unternehmen, das ein nicht-EU-markiertes Produkt auf dem Unionsmarkt in Verkehr bringt |
| Verifizierung | Präsenzbasiert: CE, Hersteller 13(15), (16), (18), (19), (20), Einführer 19(4), Unterlagen bereitgestellt | Materiell: vollständig Artikel 19(2)(a) bis (d), einschließlich durchgeführter Konformitätsbewertung und erstellter technischer Dokumentation |
| Verweigerungsauslöser | Artikel 20(3): Nichtkonformität mit Anhang I | Artikel 19(3): wie 20(3) zuzüglich Versagen einer 19(2)-Prüfung |
| Schwachstellenkenntnis | Artikel 20(4): Hersteller unterrichten; bei erheblichem Risiko Marktüberwachungsbehörden in jedem Liefer-Mitgliedstaat | Artikel 19(5): gleicher Umfang |
| Aufbewahrung | Keine spezifische mehrjährige Aufbewahrung; Zusammenarbeit auf begründetes Verlangen (20(5)) | DoC-Aufbewahrung 10 Jahre oder Unterstützungszeitraum, je nachdem was länger ist (Artikel 19(6)) |
| Bußgeldstufe | 10.000.000 EUR oder 2 % (Artikel 64(3)) | 10.000.000 EUR oder 2 % (Artikel 64(3)) |
Für die Einführer-Sicht derselben Grenze siehe Einführer vs. Händler auf der Einführerseite. Konformitätsbewertung, EU-Konformitätserklärung und die technische Dokumentation nach Anhang VII liegen in der Verantwortung des Herstellers; der Händler verifiziert deren sichtbare Artefakte (CE-Kennzeichnung, DoC-Referenz, Anhang-II-Begleitung) und kooperiert bei der Vorlage von Unterlagen, ohne die Akte selbst zu führen.
Vor-Markt-Verifizierungsprüfungen (Artikel 20(2))
Artikel 20(2) verlangt vom Händler, das Vorhandensein von Herstelleridentifikation, Anleitungen und DoC zu verifizieren, nicht die Konformitätsbewertung erneut durchzuführen. Dem leichteren Prüfumfang steht ein schärferer Verweigerungsauslöser gegenüber: Nach Artikel 20(3) stoppt jeder Grund zu der Annahme, dass das Produkt oder die Prozesse des Herstellers nicht mit Anhang I übereinstimmen, die Marktbereitstellung, bis die Konformität wiederhergestellt ist.
Artikel 20(2) legt eine präsenzbasierte Prüfliste fest. Führen Sie sie durch, bevor eine Einheit bereitgestellt wird.
CE-Kennzeichnung (Artikel 30, über Artikel 20(2))
Die CE-Kennzeichnung ist die Erklärung des Herstellers, dass das Produkt mit Anhang I übereinstimmt. Der Händler bestätigt, dass sie sichtbar, lesbar und dauerhaft am Produkt oder an dessen Datenschild angebracht ist. Wo Größe oder Beschaffenheit dies nicht zulassen, an der Verpackung und in den Begleitunterlagen. Hat eine notifizierte Stelle eingegriffen, muss ihre vierstellige Kennnummer der CE-Kennzeichnung folgen. Eine CE-Kennzeichnung allein auf dem äußeren Versandkarton, obwohl das Produkt sie tragen kann, ist nicht konform. Siehe den Cluster-Leitfaden zur Konformitätsbewertung für das, wofür die CE-Kennzeichnung unter den jeweiligen Modulen nach Artikel 32 steht.
Herstelleridentifikation und -informationen (Artikel 13(15), (16), (18), (19), (20))
Fünf eigenständige Herstellerpflichten, auf die Artikel 20(2)(b) verweist:
| Verweis | Pflicht | Prüfung des Händlers |
|---|---|---|
| 13(15) | Typ-, Chargen- oder Seriennummer zur Produktidentifikation | Element auf dem Produkt bestätigen, oder auf Verpackung oder Begleitdokument, falls das Produkt es nicht tragen kann |
| 13(16) | Name, Handelsname oder Marke des Herstellers, Postanschrift, digitaler Kontakt, ebenfalls in Anhang II wiedergegeben | Auf Produkt, Verpackung oder Begleitdokument bestätigen |
| 13(18) | Anhang-II-Informationen und -Anleitungen begleiten das Produkt, in einer für Nutzer und Marktüberwachung leicht verständlichen Sprache | Vorhandensein eines Anhang-II-Dokumentensatzes in der/den Sprache(n) des Liefer-Mitgliedstaats bestätigen |
| 13(19) | Enddatum des Unterstützungszeitraums zum Kaufzeitpunkt anzugeben, mindestens Monat und Jahr | Monat + Jahr am Verkaufsort sichtbar bestätigen |
| 13(20) | Vollständige DoC begleitet das Produkt, oder vereinfachte DoC enthält die genaue Internetadresse der vollständigen DoC | DoC-Referenz vorhanden und auflösbar bestätigen |
Ein Produkt ohne Anhang-II-Dokumentensatz in der Sprache des Mitgliedstaats oder ohne Monats- und Jahresangabe für das Enddatum des Unterstützungszeitraums verstößt gegen Artikel 20(2) und löst Artikel 20(3) aus.
Einführeridentifikation (Artikel 19(4), über Artikel 20(2))
Artikel 19(4) verpflichtet den Einführer, seinen Namen, eingetragenen Handelsnamen oder eingetragene Marke, Postanschrift, E-Mail und etwaige weitere digitale Kontakte auf dem Produkt, dessen Verpackung oder einem Begleitdokument anzugeben. Der Händler bestätigt, dass die Einführeridentifikation vorhanden ist. Fehlende oder entfernte Einführeridentifikation lässt Artikel 20(2) auf der Grundlage von Artikel 19(4) scheitern.
Erforderliche Unterlagen bereitgestellt (Artikel 20(2))
Artikel 20(2)(b) schließt mit einer allgemeinen Anforderung: Hersteller und Einführer haben "alle erforderlichen Unterlagen dem Händler zur Verfügung gestellt". In der Praxis ist das der Dokumentensatz, den der Händler braucht, um seine eigene Kooperationspflicht nach Artikel 20(5) zu erfüllen: eine Kopie oder Referenz der EU-Konformitätserklärung, die Anhang-II-Informationen und -Anleitungen in der Sprache des Liefer-Mitgliedstaats sowie die Kontaktstellen der Lieferkette (einheitliche Anlaufstelle des Herstellers nach Artikel 13(17), Postanschrift und digitaler Kontakt des Einführers nach Artikel 19(4)). Ein Händler, der diese auf begründetes Verlangen der Marktüberwachung nicht vorlegen kann, verstößt gegen Artikel 20(5), auch wenn das zugrunde liegende Produkt konform ist.
Wenn die Verifizierung scheitert
Artikel 20(3) schafft eine Stopp-und-Informationspflicht.
- Stopp. Stellen Sie das Produkt nicht auf dem Unionsmarkt bereit, bis die Konformität wiederhergestellt ist. Lagerung und Rücksendung an den Lieferanten bleiben möglich; Verkauf an Endnutzer nicht.
- Dokumentieren. Halten Sie fest, welcher Punkt nach Artikel 20(2) gescheitert ist, ob er das Produkt oder die Prozesse des Herstellers betrifft, sowie Datum und Unterzeichner.
- Vorgelagert schriftlich benachrichtigen. Unterrichten Sie den Hersteller (und gegebenenfalls den Einführer) über die Lücke und die erforderliche Dokumentation.
- Cybersicherheitsrisiko bewerten. Erhebliches Cybersicherheitsrisiko: Marktüberwachungsbehörden nach Artikel 20(3) unverzüglich unterrichten. Nicht erheblich: Klärung vorgelagert fortsetzen.
- Lösen oder zurückweisen. Stellen Sie das Produkt erst dann bereit, wenn alle Punkte nach Artikel 20(2) bestanden sind. Andernfalls an den Lieferanten zurücksenden.
Pflichten nach Inverkehrbringen (Artikel 20(4))
Artikel 20(4) erfasst zwei Pflichten, die für den gesamten Zeitraum gelten, in dem das Produkt bereitgestellt wird.
Die Pflicht zu Korrekturmaßnahmen: Weiß der Händler oder hat er Grund zu der Annahme, auf Grundlage der ihm vorliegenden Informationen, dass das Produkt oder die Prozesse des Herstellers nicht konform sind, stellt der Händler sicher, dass die erforderlichen Korrekturmaßnahmen ergriffen werden, um sie in Konformität zu bringen, oder das Produkt zurückzunehmen oder zurückzurufen, soweit angemessen. "Sicherstellen" wälzt die technische Behebung nicht auf den Händler ab; es verlangt vom Händler, zu eskalieren, nachzufassen und die weitere Bereitstellung zu stoppen, bis der Hersteller gehandelt hat.
Die Pflicht zur Schwachstellenkenntnis: Erlangt der Händler Kenntnis von einer Schwachstelle im Produkt, unterrichtet er den Hersteller unverzüglich. Stellt das Produkt ein erhebliches Cybersicherheitsrisiko dar, unterrichtet der Händler unverzüglich die Marktüberwachungsbehörden jedes Liefer-Mitgliedstaats über die Nichtkonformität und etwaige ergriffene Korrekturmaßnahmen. Auslöser ist die Kenntnis der Schwachstelle, nicht die Kenntnis eines nach Artikel 14 meldepflichtigen Vorfalls; der Hersteller läuft die Meldung nach Artikel 14 separat über den Schwachstellenmeldungsablauf.
Zusammenarbeit, Unterlagen und Geschäftseinstellung des Herstellers
Artikel 20(5) verpflichtet den Händler, auf begründetes Verlangen einer Marktüberwachungsbehörde alle Informationen und Unterlagen, in Papierform oder elektronisch, bereitzustellen, die zum Konformitätsnachweis des Produkts und der Prozesse des Herstellers erforderlich sind, in einer für die Behörde leicht verständlichen Sprache. Der Händler kooperiert mit der Behörde bei allen Maßnahmen zur Beseitigung von Cybersicherheitsrisiken durch das Produkt.
Es gibt keine Artikel-20-spezifische mehrjährige Aufbewahrungspflicht analog zur Zehn-Jahres-oder-Unterstützungszeitraum-Regel des Artikels 19(6) für Einführer. Der praktische Mindeststandard ist der oben unter "Erforderliche Unterlagen bereitgestellt" aufgeführte Dokumentensatz: vorgehalten, solange der Händler das Produkt bereitstellt, abrufbar für jedes begründete Verlangen während dieses Zeitraums, zuzüglich eines angemessenen Nachlaufs für nachgelagerte Behördenanfragen.
Artikel 20(6) regelt einen besonderen Fall: der Hersteller stellt seine Geschäftstätigkeit ein. Bei Kenntniserlangung von der Einstellung unterrichtet der Händler die zuständigen Marktüberwachungsbehörden unverzüglich und informiert die Nutzer der von ihm in Verkehr gebrachten Produkte mit allen verfügbaren Mitteln und soweit möglich. Artikel 19(8) legt dieselbe Pflicht dem Einführer auf; in der Praxis laufen Händler- und Einführermeldungen parallel.
Häufige Fallstricke
| Behauptung | Warum sie scheitert |
|---|---|
| "Unser Lieferant sitzt in der EU, also sind wir nicht der Einführer; damit sind wir per Default Händler." | Der Händlerstatus nach Artikel 3 Nummer 17 verlangt zusätzlich, dass Sie die Eigenschaften des Produkts nicht beeinträchtigen. Umverpackung, Rebranding, Vorinstallation von Software oder Konfigurationsänderungen können Sie zurück in Artikel 3 Nummer 13 ziehen oder vollständig aus der Händlerkategorie herausführen. |
| "Wir müssen nichts prüfen; der Einführer hat das nach Artikel 19 schon getan." | Artikel 20(2) ist eine eigenständige, präsenzbasierte Prüfung auf Händlerebene. CE vorhanden, Konformität mit Artikel 13(15), (16), (18), (19), (20) und Artikel 19(4) sowie Bereitstellung der erforderlichen Unterlagen. Die Artikel-19-Arbeit des Einführers entlastet den Händler nicht von seiner Artikel-20-Arbeit. |
| "Anhang II auf Englisch reicht für die ganze EU." | Artikel 13(18) verlangt Anhang II in einer für Nutzer und Marktüberwachung des betreffenden Mitgliedstaats leicht verständlichen Sprache. Der Händler, der das Produkt in einem Mitgliedstaat bereitstellt, dessen Behörden und Nutzer nicht auf Englisch arbeiten, lässt Artikel 20(2) scheitern. |
| "Wir leiten Schwachstellenmeldungen nur monatlich mit unseren übrigen kommerziellen Updates weiter." | Artikel 20(4) Unterabsatz 2: den Hersteller "unverzüglich" bei Kenntniserlangung einer Schwachstelle unterrichten und bei erheblichem Cybersicherheitsrisiko die Marktüberwachung "unverzüglich" unterrichten. Monatliche Bündelung verstößt gegen beide Maßstäbe. |
| "Die Meldung nach Artikel 14 ist Sache des Herstellers, also ignorieren wir Schwachstellen." | Der Artikel-14-ENISA-Strang gehört dem Hersteller, doch die Pflicht nach Artikel 20(4), den Hersteller zu unterrichten, und die Pflicht, bei erheblichem Risiko die Marktüberwachungsbehörden zu unterrichten, gehören dem Händler. Schweigen verstößt gegen Artikel 20(4). |
| "Wir können bereits eingelagerte Einheiten weiterverkaufen, nachdem wir eine Anhang-II-Sprachlücke entdeckt haben; nur neue Lieferungen werden gestoppt." | Artikel 20(3) stoppt die weitere Bereitstellung des nicht-konformen Produkts unabhängig davon, wo die Einheiten physisch lagern. Bestände werden gehalten, nicht abverkauft. |
| "Das Entfernen des Einführerkontaktetiketts hält unsere Vertriebspartner privat." | Artikel 19(4) verlangt die Einführeridentifikation auf dem Produkt, der Verpackung oder dem Begleitdokument. Sie zu entfernen macht das Produkt nach Artikel 20(2) nicht-konform. |
| "Wir müssen keine Unterlagen aufbewahren; wir sind nur Wiederverkäufer." | Artikel 20(5) verpflichtet den Händler, den Dokumentensatz auf begründetes Verlangen in der Sprache der Behörde vorzulegen. Ein Händler, der DoC-Referenz, Anhang II oder Lieferkettenkontakte nicht vorlegen kann, verstößt auch dann, wenn das Produkt konform ist. |
Häufig gestellte Fragen
Was ist ein Händler im Sinne des CRA?
Ein EU-Glied der Lieferkette, das das Produkt unverändert weiterreicht. Die Rolle ist über Position (nach dem Einführer, vor dem Endnutzer) und Neutralität gegenüber dem Produkt definiert: kein Rebranding, keine Software-Änderungen, keine Konfiguration, die den Verwendungszweck verändert. Wiederverkäufer, Mehrwertdistributoren, die nur bündeln, und Vertriebspartner, die nur versenden und fakturieren, fallen alle darunter, sofern sie das Produkt so belassen, wie der Hersteller es in Verkehr gebracht hat (Artikel 3(17); die Herstellerregel nach Artikel 3(13) erfasst jeden, der umbrandiert oder auf andere Weise das Produkt verändert).
Bin ich Händler oder Einführer?
Die Trennlinie ist das erstmalige Inverkehrbringen. Sie sind der Einführer, wenn Sie das erste EU-Unternehmen sind, das ein nicht-EU-markiertes Produkt auf dem Unionsmarkt in Verkehr bringt. Sie sind Händler, wenn Sie das Produkt nach dem Einführer bereitstellen, ohne dessen Eigenschaften zu beeinträchtigen. Kaufen Sie ein Nicht-EU-Produkt von einem anderen EU-Unternehmen, das es bereits eingeführt hat, ist dieses andere Unternehmen der Einführer und Sie sind der Händler. Kaufen Sie direkt vom Nicht-EU-Hersteller und bringen das Produkt selbst auf dem EU-Markt in Verkehr, sind Sie der Einführer, mit dem schwereren Prüfumfang und der 10-Jahres-Aufbewahrungspflicht (Artikel 3(16) und 3(17); Einführerpflichten nach Artikel 19; Händlerpflichten nach Artikel 20).
Bin ich Händler oder Hersteller?
Berühren Sie das Produkt, werden Sie der Hersteller. White-Label-Rebranding macht Sie zum Hersteller, unabhängig davon, wo das Produkt gebaut wurde. Vorinstallation eigener Software, Änderung der Sicherheitskonfiguration vor dem Weiterverkauf, Umverpackung in einer den Verwendungszweck verändernden Weise oder Modifikation der Firmware brechen alle die Bedingung "ohne dessen Eigenschaften zu beeinträchtigen". Sobald diese Bedingung scheitert, geht es nicht mehr um Vertrieb, sondern um die Herstellereinstufung oder, bei Drittmodifikationen außerhalb der Kette aus Hersteller/Einführer/Händler, um den Weg des wesentlichen Modifizierenden (Artikel 3(17) verlangt "ohne dessen Eigenschaften zu beeinträchtigen"; Artikel 3(13) erfasst jeden, der umbrandiert oder verändert; Artikel 22 schließt Händler aus).
Was genau muss der Händler vor der Bereitstellung eines Produkts verifizieren?
Zwei Prüfungen: CE vorhanden, und die vorgelagerten Unterlagen vorhanden. Der Hersteller muss Produktidentifikation, Herstelleridentifikation, Anhang-II-Begleitung in einer Sprache des Mitgliedstaats, Enddatum des Unterstützungszeitraums mit Monat und Jahr sowie DoC-Auslieferung erfüllt haben. Der Einführer muss seine Identifikationspflicht erfüllt haben. Die erforderlichen Unterlagen müssen bereitgestellt worden sein. Die Prüfung ist präsenzbasiert, kein erneuter Durchlauf der Konformitätsbewertung (Artikel 20(2)(a) für CE; Artikel 20(2)(b) für die Herstellerkonformität mit 13(15), (16), (18), (19), (20) und die Einführerkonformität mit 19(4); das Scheitern eines Punktes löst Artikel 20(3) aus).
Muss der Händler die EU-Konformitätserklärung 10 Jahre aufbewahren?
Nein. Die 10-Jahres-oder-Unterstützungszeitraum-Aufbewahrungspflicht für die DoC liegt beim Einführer, nicht beim Händler. Die Dokumentationspflicht des Händlers besteht darin, auf begründetes Verlangen einer Marktüberwachungsbehörde die zum Konformitätsnachweis erforderlichen Informationen und Unterlagen in einer für die Behörde leicht verständlichen Sprache bereitzustellen. Der praktische Mindeststandard ist der Dokumentensatz, den der Händler für seine eigene Prüfung nach Artikel 20(2) verwendet (DoC-Referenz, Anhang II in der Sprache des Liefer-Mitgliedstaats, Kontaktstellen von Hersteller und Einführer), vorgehalten, solange das Produkt bereitgestellt wird, und für einen angemessenen Nachlauf danach für Behördenanfragen (Aufbewahrungspflicht liegt beim Einführer nach Artikel 19(6); die Dokumentationspflicht des Händlers steht in Artikel 20(5)).
Was tut der Händler, wenn er von einer Schwachstelle in einem von ihm gelieferten Produkt erfährt?
Den Hersteller sofort informieren, und bei erheblichem Risiko die Marktüberwachungsbehörden. Die erste Pflicht ist die vorgelagerte Unterrichtung ohne unangemessene Verzögerung. Die zweite ist die parallele Unterrichtung der Marktüberwachungsbehörden jedes Liefer-Mitgliedstaats mit Angaben zur Nichtkonformität und etwaigen ergriffenen Korrekturmaßnahmen. Der ENISA-Meldestrom nach Artikel 14 bleibt Sache des Herstellers, nicht des Händlers (Artikel 20(4); die ENISA-Meldung nach Artikel 14 bleibt Pflicht des Herstellers).
Gibt es KMU-Ausnahmen für Händler?
Die materiellen Pflichten nach Artikel 20 gelten unabhängig von der Größe. Die einzige KMU-spezifische Bußgeldentlastung im CRA gilt für Hersteller und Verwalter quelloffener Software. Händler fallen nicht in den Anwendungsbereich dieser Ausnahme. Behörden müssen bei der Bemessung von Bußgeldern im Einzelfall die Größe des Verursachers (einschließlich KMU und Start-ups) angemessen berücksichtigen; das ist ein Strafzumessungsfaktor für das gesamte Regime, keine Pflichtbefreiung (Artikel 20 gilt für alle Größen; die Ausnahme nach Artikel 64(10) gilt für Hersteller und Verwalter quelloffener Software, nicht für Händler; Strafzumessungsfaktor nach Artikel 64(5)(c)).
Ab wann gelten die CRA-Pflichten für Händler?
Artikel 20 gilt vollständig ab dem 11. Dezember 2027. Anders als Hersteller haben Händler keine separate frühere Frist; die Meldung nach Artikel 14 ist Pflicht des Herstellers, nicht des Händlers. Die Pflichten des Händlers zur Schwachstellenkenntnis und zur Unterrichtung der Marktüberwachungsbehörden bei erheblichem Risiko beginnen mit dem Rest von Artikel 20. Bis zu diesem Datum brauchen Händler, die Produkte auf dem Unionsmarkt bereitstellen, einen Prüfprozess nach Artikel 20(2), einen Verweigerungsablauf nach Artikel 20(3), einen Schwachstellenkenntnis-Ablauf nach Artikel 20(4) und eine Fähigkeit zur Vorlage von Unterlagen nach Artikel 20(5) (Artikel 71 zur Anwendbarkeit; die Meldung nach Artikel 14 ist der Strang des Herstellers, nicht des Händlers; die Pflichten nach Artikel 20(2)/(3)/(4)/(5) beginnen alle am 11. Dezember 2027).