Der EU Cyber Resilience Act (Verordnung (EU) 2024/2847) behandelt den Importeur als rechtlichen Kanal, über den ein Nicht-EU-Hersteller den EU-Markt erreicht. Ab dem 11. Dezember 2027 macht Artikel 19 den Importeur persönlich dafür verantwortlich, die CRA-Konformität zu verifizieren, bevor ein Produkt mit digitalen Elementen auf dem Unionsmarkt in Verkehr gebracht wird. Diese Seite behandelt die vier Vorab-Prüfungen nach Artikel 19 Absatz 2, die Marktpflichten nach Artikel 19 Absatz 3 bis 8, die Aufbewahrungsregel und die Rollengrenzen, die nach Artikel 3 Nummer 13 und Artikel 3 Nummer 16 darüber entscheiden, ob Sie überhaupt Importeur sind.
Zusammenfassung
- Vier Vorab-Prüfungen (Artikel 19 Absatz 2): Konformitätsbewertung durchgeführt, technische Dokumentation erstellt, CE-Kennzeichnung + EU-Konformitätserklärung + Anhang II in der richtigen Sprache vorhanden, Konformität mit Artikel 13 Absatz 15, 16 und 19.
- Ablehnungspflicht (Artikel 19 Absatz 3): Wenn das Produkt oder die Prozesse des Herstellers nicht konform sind, nicht in Verkehr bringen; Hersteller und Marktüberwachungsbehörden bei erheblichem Cybersicherheitsrisiko informieren.
- Marktpflichten (Artikel 19 Absatz 5 bis 8): Korrekturmaßnahmen und Rückrufe nach Bedarf, Schwachstellenmeldung, Zusammenarbeit mit der Marktüberwachung, Meldung bei Betriebseinstellung des Herstellers.
- Aufbewahrung (Artikel 19 Absatz 6): 10 Jahre oder Supportzeitraum, je nachdem was länger ist.
- Sie sind kein Importeur, wenn Sie unter eigenem Namen vermarkten. Artikel 3 Nummer 13 erfasst Sie stattdessen als Hersteller, mit dem vollständigen Pflichtenkatalog aus Artikel 13 und 14.
Vier Prüfungen, eine Aufbewahrung von mehr als zehn Jahren und zwei Bußgeldstufen, abhängig davon, ob Sie tatsächlich der Importeur sind.
Die CE-Kennzeichnung auf einem Nicht-EU-Produkt ist die Erklärung des Herstellers, dass das Produkt konform ist. Die Artikel-19-Pflicht des Importeurs besteht darin, die zugrunde liegende Dokumentation zu verifizieren, die diese Behauptung stützt. Eine CE-Kennzeichnung ohne EU-Konformitätserklärung, ohne technische Unterlagen nach Anhang VII und ohne Risikobewertung nach Anhang I ist keine Rechtfertigung; sie ist ein Artikel-19(3)-Auslöser, um das Inverkehrbringen zu verweigern.
Wer ist Importeur unter dem CRA?
Artikel 3 Nummer 16 definiert den Importeur wörtlich:
„Einführer" bezeichnet eine in der Union ansässige natürliche oder juristische Person, die ein Produkt mit digitalen Elementen in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen natürlichen oder juristischen Person trägt.
Sie sind Importeur im Sinne des CRA, wenn alle drei Bedingungen erfüllt sind:
| Element | Test |
|---|---|
| In der Union ansässig | Ihre juristische Person ist in einem EU-Mitgliedstaat eingetragen |
| Inverkehrbringen | Sie stellen das Produkt erstmals auf dem Unionsmarkt zur gewerblichen Vertriebs- oder Nutzungstätigkeit bereit (Artikel 3 Nummer 21 und 22) |
| Trägt einen Nicht-EU-Namen oder eine Nicht-EU-Marke | Der Name oder die Marke auf dem Produkt, der Verpackung oder der Dokumentation gehört einer außerhalb der Union ansässigen Person |
Fällt eine der drei Bedingungen weg, sind Sie nicht der Importeur. Trägt das Produkt Ihren eigenen Namen oder Ihre Marke, sind Sie Hersteller nach Artikel 3 Nummer 13. Sind Sie nicht die erste EU-Einheit, die das Produkt auf dem Unionsmarkt in Verkehr bringt, sind Sie Händler nach Artikel 3 Nummer 17. Hat ein Nicht-EU-Hersteller Sie durch schriftlichen Auftrag als seinen Bevollmächtigten bestellt, ohne dass Sie das Produkt selbst in Verkehr bringen, sind Sie nach Artikel 18 und Artikel 3 Nummer 15 Bevollmächtigter und nicht Importeur.
Der Importeur ist der erste rechtliche Kanal, über den ein Nicht-EU-Hersteller den Unionsmarkt erreicht, und trägt persönliche Haftung für das, was durch diesen Kanal fließt.
Artikel 19 auf einen Blick
| Absatz | Pflicht | Kernpunkt |
|---|---|---|
| 19 Absatz 1 | Allgemeine Konformität | Nur Produkte in Verkehr bringen, die Anhang I Teil I erfüllen und bei denen die Herstellerprozesse Teil II entsprechen. |
| 19 Absatz 2 | Vorab-Verifizierung Buchstabe a bis d | Konformitätsbewertung + technische Dokumentation + CE/DoC/Anhang II + Artikel 13 Absatz 15, 16, 19. Importeur muss Unterlagen vorlegen können, die die Erfüllung belegen. |
| 19 Absatz 3 | Ablehnungspflicht | Nicht in Verkehr bringen, wenn Produkt oder Prozesse nicht konform sind. Hersteller + Marktüberwachung bei erheblichem Cybersicherheitsrisiko informieren. Nicht-technische Risikofaktoren lösen Artikel 54 Absatz 2 aus. |
| 19 Absatz 4 | Importeur-Identifikation | Eigener Name, Handelsname oder Marke, Postanschrift, digitale Kontaktmöglichkeit auf Produkt, Verpackung oder begleitendem Dokument. |
| 19 Absatz 5 | Korrekturmaßnahmen nach Inverkehrbringen | Rücknahme oder Rückruf nach Bedarf. Schwachstellenmeldung: Hersteller unverzüglich informieren; Marktüberwachung jedes Mitgliedstaats der Bereitstellung bei erheblichem Cybersicherheitsrisiko. |
| 19 Absatz 6 | Aufbewahrung | DoC den Behörden für 10 Jahre oder den Supportzeitraum, je nachdem was länger ist, zur Verfügung halten. Sicherstellen, dass die technische Dokumentation auf Anfrage vorgelegt werden kann. |
| 19 Absatz 7 | Zusammenarbeit | Auf begründetes Verlangen der Marktüberwachung alle Informationen und Unterlagen in einer für die Behörde verständlichen Sprache bereitstellen. |
| 19 Absatz 8 | Hersteller hat Betrieb eingestellt | Marktüberwachungsbehörden und mit allen verfügbaren Mitteln die Nutzer informieren. |
Keine dieser Pflichten enthält eine KMU-Schwelle. Die Ausnahme nach Artikel 64 Absatz 10 beschränkt sich auf hersteller-spezifische Fristen nach Artikel 14 Absatz 2 Buchstabe a und Artikel 14 Absatz 4 Buchstabe a sowie auf Verwalter quelloffener Software.
Importeur vs. Händler
Der rechtliche Auslöser ist, welche Partei das Produkt erstmals auf dem Unionsmarkt in Verkehr bringt.
| Aspekt | Importeur (Artikel 19) | Händler (Artikel 20) |
|---|---|---|
| Position | In der Union ansässig; bringt ein Produkt mit dem Namen einer Nicht-EU-Person in Verkehr | Jede Partei, die das Produkt nach dem Importeur bereitstellt, ohne seine Eigenschaften zu beeinflussen |
| Verifizierung | Vollständige Prüfung nach Artikel 19 Absatz 2 Buchstabe a bis d einschließlich Artikel 13 Absatz 15, 16, 19 | CE-Vorhandensein, sowie Artikel 13 Absatz 15, 16, 18, 19, 20 und Artikel 19 Absatz 4 |
| Dokumentation | Muss Unterlagen vorlegen können, die die Erfüllung von Artikel 19 belegen; stellt sicher, dass Anhang VII verfügbar gemacht werden kann | Arbeitet mit Behörden zusammen; präsenzbasierte Prüfung |
| Ablehnung | Artikel 19 Absatz 3 | Artikel 20 |
| Schwachstellenkenntnis | Artikel 19 Absatz 5 | Artikel 20 |
| Aufbewahrung | DoC für 10 Jahre oder Supportzeitraum, je nachdem was länger ist | Keine spezifische Pflicht; Zusammenarbeit auf Anfrage |
| Bußgeldstufe | 10.000.000 EUR oder 2 % (Artikel 64 Absatz 3) | 10.000.000 EUR oder 2 % (Artikel 64 Absatz 3) |
Die Bezeichnung der Rolle als „Vertrieb" in einer privaten Vereinbarung verschiebt die öffentlich-rechtliche Pflicht nicht. Wenn Ihre Einheit ein Nicht-EU-Produkt erstmals auf dem Unionsmarkt in Verkehr bringt, sind Sie der Importeur.
Die Vier Vorab-Prüfungen
1. Konformitätsbewertung durchgeführt (Artikel 19 Absatz 2 Buchstabe a, Artikel 32)
Der Hersteller muss die für die Produktklasse geeignete Bewertungsroute durchgeführt haben. Fordern Sie die EU-Konformitätserklärung an, die das verwendete Bewertungsmodul benennt, und, wo eine notifizierte Stelle beteiligt war, die Zertifikatsnummer und die vierstellige Kennnummer der Stelle nach der CE-Kennzeichnung.
| Modul | Wann |
|---|---|
| A interne Fertigungskontrolle | Nur für Produkte der Standardklasse |
| B + C EU-Baumusterprüfung plus Fertigungskontrolle | Wichtige Klasse II als Standard; Klasse I ohne einschlägige harmonisierte Norm |
| H vollständige Qualitätssicherung | Alternative für wichtige Produkte; für kritische Produkte ohne europäisches Cybersicherheitszertifizierungsschema erforderlich |
Siehe den Leitfaden zur Konformitätsbewertung.
2. Technische Dokumentation erstellt (Artikel 19 Absatz 2 Buchstabe b, Artikel 31, Anhang VII)
Der Importeur muss nicht die vollständige Anhang-VII-Datei vorhalten, muss aber nachweisen können, dass er Artikel 19 erfüllt, und sicherstellen, dass die Datei den Behörden auf Anfrage zugänglich gemacht werden kann (Artikel 19(6)). Fordern Sie ein Inhaltsverzeichnis, das jeden Anhang-VII-Abschnitt abdeckt, sowie eine schriftliche Zusage des Herstellers, die zugrunde liegende Datei innerhalb eines festgelegten Zeitrahmens und in einer festgelegten Sprache vorzulegen. Siehe den Leitfaden zur technischen Dokumentation.
3. CE-Kennzeichnung, EU-Konformitätserklärung und Anhang-II-Anleitungen (Artikel 19 Absatz 2 Buchstabe c, Artikel 30, Artikel 13 Absatz 20, Anhang II)
Drei Artefakte müssen mit dem Produkt mitgeliefert werden. Siehe den Leitfaden zur EU-Konformitätserklärung.
| Artefakt | Anforderung |
|---|---|
| CE-Kennzeichnung (Artikel 30) | Mindestens 5 mm hoch, sichtbar, lesbar, dauerhaft, auf dem Produkt oder Datenschild. Nur auf dem äußeren Karton ist nicht konform. |
| EU-Konformitätserklärung (Artikel 13(20), vollständiger Inhalt nach Artikel 28 und Anhang V) | Vollständige Erklärung oder vereinfachte Erklärung mit genauer Internetadresse der vollständigen. Allgemeine "Cybersicherheitsanforderungen" ohne Anhang-I-Zitation ist ein Mangel. |
| Anhang-II-Informationen und -Anleitungen | In einer Sprache, die von Nutzern und Marktüberwachungsbehörden des betreffenden Mitgliedstaats leicht verstanden wird. Herstelleridentität, bestimmungsgemäßer Zweck, Enddatum des Supportzeitraums, sichere Konfiguration, sicheres Außerbetriebsetzen, Adresse für Schwachstellenmeldungen. |
4. Identifikation und Rückverfolgbarkeit (Artikel 19 Absatz 2 Buchstabe d, Artikel 13 Absatz 15, 16, 19)
Drei separate Herstellerpflichten, auf die Artikel 19 Absatz 2 Buchstabe d verweist. Siehe den Leitfaden zur Produktklassifizierung:
| Verweis | Pflicht | Importeursprüfung |
|---|---|---|
| 13(15) | Typ-, Chargen- oder Seriennummer zur Produktidentifikation (oder auf der Verpackung, wenn das Produkt sie nicht tragen kann) | Element auf Produkt oder Verpackung bestätigen |
| 13(16) | Name, eingetragener Handelsname oder Marke des Herstellers, Postanschrift, digitale Kontaktmöglichkeit, ebenfalls in Anhang II wiedergegeben | Auf Produkt, Verpackung oder begleitendem Dokument bestätigen |
| 13(19) | Enddatum des Supportzeitraums zum Zeitpunkt des Kaufs angegeben, mindestens Monat und Jahr | Monat und Jahr an der Verkaufsstelle sichtbar bestätigen |
Ein Produkt ohne angegebenes Monats-und-Jahres-Enddatum ist nach Artikel 19(2)(d) in Verbindung mit Artikel 13(19) nicht konform, unabhängig davon, ob alle anderen Prüfungen bestanden wurden.
Angrenzende Pflicht, die als Ablehnungsauslöser zu behandeln ist: Artikel 13(17) zentrale Anlaufstelle. Ohne eine funktionierende zentrale Anlaufstelle des Herstellers ist der Artikel-14-Schwachstellenmeldungsablauf von Anfang an unterbrochen.
Verifizierung der Konformität von Nicht-EU-Herstellern
Mündliche Zusicherungen von Vertriebskontakten sind keine Nachweise im Sinne von Artikel 19(2). Senden Sie die Dokumentationsanfrage, bevor Sie einen Importvertrag unterzeichnen.
SUBJECT: CRA Compliance Documentation Request
We are evaluating [product / model] for import into the European Union under
Regulation (EU) 2024/2847 (Cyber Resilience Act). Please provide the following
before we proceed:
1. EU Declaration of Conformity (full or simplified per Article 13(20)),
citing Annex I requirements and the Article 32 module used, with notified
body certificate number where applicable.
2. Annex VII technical documentation table of contents, plus a written
commitment to produce the underlying file in [language] within [X] days.
3. Confirmation of the support period (Article 13(8): at least 5 years or
the expected in-use period if shorter, with rationale).
4. Support-period end date (month and year) as it will appear at point of
purchase under Article 13(19).
5. Single point of contact under Article 13(17), with confirmation it is
not limited to automated tools.
6. Coordinated vulnerability disclosure policy (Annex I Part II).
7. CE marking placement evidence on product or data plate.
8. Annex II user instructions in [target Member State language(s)].
Requested response window: [X] business days.
Was abzulehnen ist und warum
| Signal | Maßnahme |
|---|---|
| Vollständige Dokumentation | Mit Artikel-19(2)-Prüfung fortfahren |
| Teilweise, Rest "in Bearbeitung" | Import zurückhalten; Lücke dokumentieren |
| "CE nach EMC, RED oder LVD" | Nicht ausreichend. CRA-spezifische Erklärung und Anhang VII anfordern. |
| Mündliche Behauptung "außerhalb des CRA-Anwendungsbereichs" | Schriftliche Umfangsanalyse mit Bezug auf Artikel 2 und Anhang III/IV anfordern |
| "Zertifikat der notifizierten Stelle ausstehend" | Artikel 32 muss vor dem Inverkehrbringen abgeschlossen sein |
| Zentrale Anlaufstelle ist nur ein Chatbot | Verstoß gegen Artikel 13(17); ablehnen |
| Erklärungsdatum vor dem 11. Dezember 2027, keine CRA-spezifische Aktualisierung | Ablehnen |
| Fehlende notifizierte-Stelle-Nummer bei Klasse II / Kritisch | Ablehnen |
| Supportzeitraum unter 5 Jahren ohne Begründung nach Artikel 13(8) | Ablehnen |
| Fehlendes Monats-und-Jahres-Enddatum des Supportzeitraums | Ablehnen |
| Anleitungen nur in der Landessprache des Herstellers | Ablehnen für den betreffenden Mitgliedstaat |
| Ablehnung oder keine Antwort | Nicht importieren |
Wenn die Verifizierung scheitert
Artikel 19(3) schafft eine Stopp-und-Informationspflicht.
- Stopp. Bringen Sie das Produkt nicht auf dem EU-Markt in Verkehr. Zollverwahrung oder Wiederausfuhr bleibt bis zur Herstellung der Konformität möglich.
- Dokumentieren. Halten Sie fest, welcher Artikel-19(2)-Prüfpunkt nicht bestanden wurde, ob er das Produkt oder die Prozesse des Herstellers betrifft, Datum und Unterzeichner.
- Den Hersteller schriftlich benachrichtigen. Benennen Sie die Lücke, die erforderliche Dokumentation und den Zeitrahmen.
- Das Cybersicherheitsrisiko bewerten. Erhebliches Risiko: die Marktüberwachungsbehörde des betreffenden Mitgliedstaats informieren (Artikel 19(3) erster Unterabsatz). Nicht-technische Risikofaktoren: nach Artikel 19(3) zweitem Unterabsatz informieren; die Behörden folgen dann Artikel 54(2).
- Lösen oder ablehnen. Nur fortfahren, wenn alle vier Prüfpunkte bestanden sind. Andernfalls den Import ablehnen.
Nach dem Inverkehrbringen übernimmt Artikel 19(5): Korrekturmaßnahmen, Rückzug oder Rückruf, Hersteller unverzüglich über Schwachstellen informieren, Marktüberwachungsbehörde jedes Mitgliedstaats der Bereitstellung bei erheblichem Cybersicherheitsrisiko informieren. Artikel 19(8): wenn der Hersteller den Betrieb eingestellt hat, die Marktüberwachungsbehörden und soweit möglich die Nutzer informieren.
Sind Sie tatsächlich der Importeur? Rollengrenzen nach Artikel 3
Die schwierigste Einstufungsfrage ist nicht "was tut ein Importeur", sondern "bin ich überhaupt der Importeur". Der CRA beantwortet diese Frage über die Definitionen in Artikel 3, nicht über Artikel 22.
Artikel 3 Nummer 13, Hersteller: Person, die Produkte mit digitalen Elementen entwickelt oder entwerfen, entwickeln oder herstellen lässt und sie unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt.
Artikel 3 Nummer 16, Importeur: in der Union ansässige Person, die ein Produkt mit digitalen Elementen in Verkehr bringt, das den Namen oder die Marke einer außerhalb der Union ansässigen Person trägt.
Beide Definitionen zusammen gelesen: Derselbe logistische Vorgang ist nur dann ein "Import", wenn das Produkt den Namen der Nicht-EU-Person trägt. Sobald Sie es mit Ihrer eigenen Marke versehen, fallen Sie unter Artikel 3 Nummer 13, nicht unter Nummer 16. Sie sind Hersteller dieses Produkts und waren es immer. Eine "Eskalation nach Artikel 22" für Importeure gibt es nicht. Artikel 22 schließt Importeure ausdrücklich aus ("Person, die nicht der Hersteller, der Einführer oder der Händler ist") und erfasst Drittparteien wie Systemintegratoren oder Value-Added Reseller, die außerhalb der Artikel-3-Kette stehen.
Branding-Test
| Situation | Einstufung |
|---|---|
| Verkauf unter der Marke "AcmeTech" | Hersteller (Artikel 3 Nummer 13) |
| "Vertrieben von AcmeTech" neben prominenter Originalmarke | Importeur (Artikel 3 Nummer 16) |
| Gesamtes Originalbranding durch eigenes ersetzen | Hersteller (Artikel 3 Nummer 13) |
| Kleiner Händleraufkleber neben Originalbranding | Abhängig von Prominenz; Maßstab ist der vernünftige Käufer |
| Marketing stellt Sie als Quelle dar, auch wenn das Gerät die vorgelagerte Fabrik zeigt | Hersteller (Artikel 3 Nummer 13) |
Wesentlichkeitstest (Artikel 3 Nummer 30)
Eine Änderung nach Inverkehrbringen, die die Konformität mit Anhang I Teil I berührt oder den bestimmungsgemäßen Zweck verändert, für den das Produkt bewertet wurde.
| Wahrscheinlich wesentlich | Wahrscheinlich nicht wesentlich |
|---|---|
| Installation kundenspezifischer Firmware | Vom Hersteller ausgegebene Sicherheitspatches, die den bestimmungsgemäßen Zweck erhalten |
| Hinzufügen von Fernverwaltung oder Telemetrie | Lokalisierung gedruckter Dokumentation |
| Hardwareänderungen an Sicherheitsfunktionen | Änderungen der Außenverpackung |
| Ersetzen kryptographischer Implementierungen | Bündelung kompatibler Zubehörteile ohne Integration |
| Änderung von Authentifizierung oder Autorisierung | |
| Netzwerkkonnektivität zu einem bisher offline Produkt hinzufügen |
Wenn ein Importeur ein Produkt wesentlich verändert, gilt Artikel 22 formal nicht (er schließt Importeure aus). Die rechtlich tragfähige Lesart: Eine wesentliche Änderung führt aus Artikel 3 Nummer 16 heraus, weil das Produkt nicht mehr dasselbe Produkt ist, das der Nicht-EU-Hersteller in Verkehr gebracht hat. Der sichere Weg: Die ändernde Partei wird für diese Variante als Hersteller nach Artikel 3 Nummer 13 behandelt.
Kosten der Neueinstufung
| Kostenbereich | Importeur (Artikel 3 Nummer 16) | Hersteller (Artikel 3 Nummer 13) |
|---|---|---|
| Konformitätsbewertung | Diejenige des Herstellers verifizieren | Eigene durchführen (Modul A) oder notifizierte Stelle beauftragen (Modul B+C, Modul H) |
| Technische Dokumentation | Zugang verifizieren | In eigenem Namen erstellen und pflegen (Artikel 31, Anhang VII) |
| Schwachstellenbehandlung | Meldungen nach oben weitergeben; Korrekturmaßnahmen (Artikel 19 Absatz 5) | Eingang, Triage, Behebung, CVD-Richtlinie, Meldung nach Artikel 14 betreiben |
| Sicherheitsupdates | Weiterleiten | Entwickeln, signieren, über den Supportzeitraum verteilen; 10 Jahre oder Restlaufzeit verfügbar halten (Artikel 13 Absatz 9) |
| Bußgeldrisiko | Bis zu 10 Mio. EUR oder 2 % (Artikel 64 Absatz 3) | Bis zu 15 Mio. EUR oder 2,5 % (Artikel 64 Absatz 2) |
Praktische Szenarien
| Szenario | Einstufung |
|---|---|
| White-Label-Tablets unter der Marke der EU-Einheit verkauft | Hersteller (Artikel 3 Nummer 13) ab dem ersten Tag |
| Vorkonfigurierte Enterprise-Router unter Originalmarke, mit sicherheitsrelevanten Konfigurationsprofilen | Hersteller (Artikel 3 Nummer 13) für die konfigurierte Variante; alternativ mit dem Originalhersteller vereinbaren, dass dessen Konformitätserklärung die Variante abdeckt |
| Vom Hersteller ausgegebene Sicherheitspatches vor dem Verkauf angewendet | Importeur (Artikel 3 Nummer 16); dokumentieren, dass die Patches vom Hersteller stammten |
| Kundenspezifischer Firmware-Build für Enterprise-Kunden | Zwei Schienen: Standard-SKU als Importeur, kundenspezifische SKU als Hersteller |
| Als integriertes System vermarktetes Bündel | Hersteller des Bündels (Artikel 3 Nummer 13) |
Strategien, um Importeur zu bleiben
- Den Namen des Originalherstellers und die "Hergestellt von"-Kennzeichnung sichtbar halten. Ihre eigene Kennzeichnung bleibt als "Importiert von" nach Artikel 19 Absatz 4 bestehen.
- Nur vom Hersteller ausgegebene Patches anwenden, die den bestimmungsgemäßen Zweck erhalten.
- Sicherheitsrelevante Konfiguration vor dem Weiterverkauf nicht ändern; Kundenanpassungen über den Originalhersteller leiten.
- Jedes Produkt als "vom Importeur nicht geändert" dokumentieren, mit einer Checkliste, die auf Artikel 3 Nummer 30 verweist.
Dokumentation und Aufbewahrung
Artikel 19(6) verlangt, dass der Importeur eine Kopie der EU-Konformitätserklärung mindestens 10 Jahre nach dem Inverkehrbringen des Produkts oder für den Supportzeitraum, je nachdem was länger ist, für die Marktüberwachungsbehörden bereithält und sicherstellt, dass die technische Dokumentation auf Anfrage bereitgestellt werden kann. Ein Produkt mit einem 12-jährigen Supportzeitraum erzeugt eine 12-jährige Aufbewahrungspflicht.
Der Importeur bewahrt auf: Konformitätserklärung (vollständig oder vereinfacht nach Artikel 13(20)), Anhang-VII-Inhaltsverzeichnis und die Zusage des Herstellers, die zugrunde liegende Datei vorzulegen, den eigenen Vier-Prüfungs-Verifizierungsnachweis (Entscheidung, Datum, Unterzeichner), Korrespondenz mit dem Hersteller, Zoll- und Chargennachweise mit Erstinverkehrbringungsdaten sowie Artikel-19(5)-Korrektur- und Benachrichtigungsunterlagen.
Gilt Artikel 3 Nummer 13 (eigene Marke oder wesentliche Änderung), gilt Artikel 13(13): gleiche Aufbewahrungspflicht von 10 Jahren oder Supportzeitraum, zuzüglich technischer Dokumentation im eigenen Namen und vollständiger Konformitätsbewertungsnachweise.
Digitale Speicherung ist zulässig. Dateien müssen über den gesamten Aufbewahrungszeitraum zugänglich und lesbar bleiben und auf Behördenanfrage innerhalb eines angemessenen Zeitrahmens in einer für die Behörde verständlichen Sprache vorgelegt werden können.
Häufige Fallstricke
| Behauptung | Warum sie nicht trägt |
|---|---|
| "CE-Kennzeichnung bedeutet, dass sie konform sind." | CE ist eine Herstellerbehauptung. Artikel 19(2) verlangt die Verifizierung der dahinterliegenden Dokumentation. |
| "Unser Lieferant ist seit Jahren zuverlässig." | Konformität nach EMC, RED oder LVD überträgt sich nicht auf die Schwachstellenbehandlung nach Anhang I Teil II, den Supportzeitraum und die Meldung nach Artikel 14. |
| "Mündliche Zusicherungen von unserem Vertriebskontakt." | Artikel 19(2) verlangt Dokumentation; ein Vertriebsmitarbeiter hat keine rechtliche Bedeutung. |
| "Wir prüfen nach Ankunft der Sendung." | Die Verifizierung muss vor dem Inverkehrbringen erfolgen. Zollverwahrung ist zulässig; Marktbereitstellung nicht. |
| "Es ist nur ein Aufkleber mit unserem Logo." | Wenn der Aufkleber Sie gegenüber dem vernünftigen Käufer als Quelle darstellt, greift Artikel 3 Nummer 13. Es gibt keine Größenschwelle. |
| "Artikel 22 macht uns zum Hersteller, wenn wir Änderungen vornehmen." | Artikel 22 schließt Importeure aus. Die Rechtsgrundlage ist Artikel 3 Nummer 13, nicht Artikel 22 (das praktische Ergebnis ist dasselbe). |
| "Der Hersteller hat uns die Erlaubnis gegeben, umzubranden." | Artikel 3 Nummer 13 ist eine Definition. Private Vereinbarungen können sie nicht umschreiben. |
| "Unser Chatbot ist die zentrale Anlaufstelle." | Artikel 13(17) verlangt vom Nutzer wählbare Kommunikationsmittel, die nicht auf automatisierte Werkzeuge beschränkt sind. |
Häufig gestellte Fragen
Was ist ein Importeur im Sinne des CRA?
Eine EU-Einheit, die ein nicht-EU-markiertes Produkt auf dem Unionsmarkt bereitstellt. Drei Elemente müssen gleichzeitig vorliegen: in der Union ansässig, erste Bereitstellung des Produkts auf dem Unionsmarkt, und das Produkt trägt den Namen oder die Marke einer außerhalb der Union ansässigen Person. Trägt das Produkt Ihre eigene Marke, sind Sie nicht der Importeur, sondern der Hersteller (Artikel 3(16); erstes Bereitstellen in Artikel 3(21); Umetikettierung macht aus Ihnen den Hersteller nach Artikel 3(13)).
Bin ich Importeur oder Händler?
Es geht um das erste Bereitstellen auf dem Markt. Sie sind der Importeur, wenn Sie die erste EU-Einheit sind, die ein nicht-EU-markiertes Produkt auf dem Unionsmarkt bereitstellt. Sie sind der Händler, wenn Sie das Produkt nach dem Importeur bereitstellen, ohne dessen Eigenschaften zu beeinflussen. Kaufen Sie ein Nicht-EU-Produkt von einem anderen EU-Unternehmen, das es bereits eingeführt hat, ist dieses Unternehmen der Importeur und Sie sind der Händler. Kaufen Sie direkt vom Nicht-EU-Hersteller und bringen das Produkt selbst auf den EU-Markt, sind Sie der Importeur (Artikel 3(16) und 3(17); Importeurspflichten in Artikel 19; Händlerpflichten in Artikel 20).
Importeur vs. Bevollmächtigter: Was ist der Unterschied?
Unterschiedliche Aufgaben. Der Bevollmächtigte ist die Dokumenten-Verwahrung des Herstellers; der Einführer bringt das Produkt physisch auf den Markt. Der Bevollmächtigte hält die EU-Konformitätserklärung und die technische Dokumentation für die Marktüberwachungsbehörden bereit und arbeitet mit diesen Behörden zusammen, bringt das Produkt aber nicht selbst auf den Markt. Der Importeur trägt die Vier-Prüfungs-Verifizierungspflicht vor dem Inverkehrbringen. Ein Nicht-EU-Hersteller kann einen Bevollmächtigten für Dokumentation und Zusammenarbeit bestellen; er braucht dennoch einen Importeur (oder eine eigene EU-Einheit), um das Produkt tatsächlich auf den Markt zu bringen. Eine Bevollmächtigten-Bestellung überträgt keine Ingenieur-, Risikobewertungs-, Schwachstellenbehandlungs- oder Konformitätsbewertungspflichten (Bevollmächtigten-Mandat in Artikel 3(15) und 18(1)-(3); Importeur in Artikel 3(16) und 19; das Mandat kann Artikel 13(1)-(11), 13(12) erster Unterabsatz und 13(14) nicht abdecken).
Gibt es KMU-Ausnahmen für Importeure?
Keine Befreiung von den Pflichten selbst. Artikel 19 gilt für Importeure unabhängig von ihrer Größe. Die KMU-Konzession des CRA bei Geldbußen gilt für Hersteller, nicht für Importeure, und nur für die 24-Stunden-Frühwarnfristen. Die Ausnahme für Open-Source-Software-Verwalter gilt für Verwalter, nicht für Importeure. Behörden müssen bei der Festsetzung von Geldbußen im Einzelfall der Größe des Verletzers (einschließlich KMU und Start-ups) gebührend Rechnung tragen, aber das ist ein Strafzumessungsfaktor, keine Pflichtbefreiung (Artikel 19 gilt für alle Größen; die KMU-Konzession in Artikel 64(10)(a) gilt für Hersteller, nicht für Importeure, und nur für die Fristen nach Artikel 14(2)(a) und 14(4)(a); Ausnahme für Open-Source-Software-Verwalter in Artikel 64(10)(b); Strafzumessungsfaktor in Artikel 64(5)(c)).
Ab wann gelten die CRA-Importeurspflichten?
Ab dem 11. Dezember 2027. Ab diesem Datum darf kein Produkt mit digitalen Elementen mehr auf dem EU-Markt in Verkehr gebracht werden, wenn der Importeur die Artikel-19(2)-Verifizierung nicht durchgeführt hat. Die Meldepflicht nach Artikel 14 beginnt früher, am 11. September 2026, ist jedoch eine Herstellerpflicht; die Aufgabe des Einführers ist die Überprüfung der zentralen Anlaufstelle nach Artikel 13(17) (Artikel 71 Anwendbarkeit; Artikel 19 ab 11. Dezember 2027; Artikel 14 Meldung ab 11. September 2026 ist Herstellerpflicht; Aufgabe des Einführers ist die Überprüfung der zentralen Anlaufstelle nach Artikel 13(17)).
Macht Umetikettierung allein den Importeur zum Hersteller?
Nein. Die Umetikettierung enthüllt, dass Sie schon immer der Hersteller waren. Die Importeurdefinition ist auf Personen beschränkt, die Produkte mit dem Namen einer Nicht-EU-Person auf den Markt bringen. Wer unter der eigenen Marke vermarktet, verlässt die Importeureigenschaft und tritt in die Herstellereigenschaft ein. Die Konformitätserklärung und die CE-Kennzeichnung des Originalherstellers decken das umgebrandete Produkt nicht mehr ab. Eine Eskalation nach Artikel 22 gibt es hier nicht; Artikel 22 erfasst Drittparteien-Modifizierer, die weder Hersteller, Importeur noch Händler sind (Artikel 3(13); die Importeurdefinition in Artikel 3(16) ist auf nicht-EU-Marken beschränkt; Artikel 22 deckt Drittanbieter-Modifizierer ab, nicht Importeure).
Sind Sicherheitspatches jemals wesentliche Änderungen?
Nicht wenn die Patches vom Originalhersteller stammen und den bestimmungsgemäßen Zweck, das Verhalten und die Sicherheitsarchitektur des Produkts erhalten. Ein Patch, der mehr tut als eine Schwachstelle zu beheben (Funktionen hinzufügt, Authentifizierung ändert, Angriffsfläche erweitert), verlässt die Ausnahme (Artikel 3(30); Anhang I Teil II behandelt herstellerseitig herausgegebene Sicherheits-Updates als Teil der Schwachstellenbehandlung).
Wie lange muss ein Importeur die EU-Konformitätserklärung aufbewahren?
Mindestens 10 Jahre nach dem Inverkehrbringen des Produkts oder für den Supportzeitraum, je nachdem was länger ist. Ein 2028 in Verkehr gebrachtes Produkt mit einem 12-jährigen Supportzeitraum erzeugt eine Aufbewahrungspflicht bis 2040. Die gleiche Pflicht verlangt vom Importeur sicherzustellen, dass die technische Dokumentation auf Anfrage bereitgestellt werden kann. Digitale Speicherung ist zulässig (Artikel 19(6)).
Was muss der Importeur tun, wenn die Dokumentation Lücken aufweist?
Stoppen und informieren. Das Produkt darf nicht auf dem Markt bereitgestellt werden, bis die Lücke geschlossen ist. Den Hersteller schriftlich benachrichtigen. Wenn das Produkt ein erhebliches Cybersicherheitsrisiko darstellt, die Marktüberwachungsbehörde des betreffenden Mitgliedstaats informieren. Die Pflicht erstreckt sich auch auf nicht-technische Risikofaktoren; die Behörden folgen dann dem einschlägigen Verfahren. Waren können in der Zollverwahrung verbleiben, während die Lücke offen ist (Artikel 19(3); nicht-technische Risikofaktoren lösen Artikel 54(2) aus).
Was passiert mit der CE-Kennzeichnung des Originalherstellers, wenn die EU-Einheit zum Hersteller wird?
Sie deckt das Produkt nicht mehr ab, wie die EU-Einheit es auf dem Markt bereitstellt. Die EU-Einheit stellt ihre eigene Konformitätserklärung aus und bringt die CE-Kennzeichnung unter eigener Verantwortung an (Artikel 3(13); neue Konformitätserklärung nach Artikel 13(20); neue CE-Kennzeichnung nach Artikel 30).
Beginnt der fünfjährige Supportzeitraum neu, wenn die EU-Einheit zum Hersteller wird?
Ja. Der Supportzeitraum läuft ab dem Datum, an dem die EU-Einheit das umgebrandete oder geänderte Produkt auf dem Markt bereitstellt. Die Mindestdauer von fünf Jahren gilt, mit der Ausnahme, dass Produkte mit einer erwarteten Nutzungsdauer von weniger als fünf Jahren einen Supportzeitraum entsprechend der erwarteten Nutzungsdauer erhalten. Die Kosten entstehen bei Support-Ressourcen und Lieferantenverträgen (der vorgelagerte Hersteller muss Eingaben für mindestens den Supportzeitraum der EU-Einheit zusichern) (Artikel 13(8)).
Benötigt die EU-Einheit eine notifizierte Stelle, wenn der Originalhersteller eine eingesetzt hat?
Bei wesentlich geänderten Produkten der Klasse II oder Kritisch fast immer ja. Das ursprüngliche Zertifikat war an das Produkt in seiner entworfenen Form gebunden; eine wesentliche Änderung macht es ungültig. Auch Umetikettierung allein eines Klasse-II- oder Kritisch-Produkts erfordert eine neue Konformitätserklärung im Namen der EU-Einheit. Siehe den Leitfaden zur Konformitätsbewertung und den Leitfaden zur Produktklassifizierung (Artikel 3(30); Modul A nur für Standard-Klasse; Modul B+C oder H erfordert eine notifizierte Stelle für Klasse II / Kritisch).