CRA-End-of-Support-Hinweis: Pflicht vor dem Kauf

Anhang II Nummer 7 des Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, das Enddatum des Unterstützungszeitraums in den dem Produkt beiliegenden Informationen anzugeben, vor dem Kauf. Es ist das nutzerseitige Pendant zu den Dauerregeln in Artikel 13(8) und zur kaufzeitpunktbezogenen End-of-Life-Pflicht in Artikel 13(19). Zur Dauermechanik siehe CRA-Unterstützungszeitraum; zur Patch-Bereitstellung siehe CRA-Sicherheitsupdates.

Zusammenfassung

  • Vorvertragliche Pflicht. Die Anhang-II-Nummer-7-Offenlegung des Enddatums muss den Nutzern vor Abschluss des Kaufs vorliegen, nicht erst danach.
  • In der Produktdokumentation. Die Offenlegung gehört in die dem Produkt beiliegenden Anweisungen und Informationen, nicht in einen separaten Marketingkanal, eine E-Mail nach dem Kauf oder ein Nutzungsbedingungsdokument.
  • Gibt das tatsächliche Enddatum wieder. Wenn der Hersteller die Ausnahmeregelung bei kürzerer Lebensdauer nach Artikel 13(8) nutzt, muss die Anhang-II-Offenlegung das tatsächliche (kürzere) Enddatum ausweisen, nicht einen gerundeten Fünf-Jahres-Platzhalter.
  • Verknüpfung mit der Anhang-VII-Aufbewahrungspflicht. Nach Artikel 13(13) ist die technische Dokumentation (einschließlich der Anhang-II-Informationen) mindestens 10 Jahre ab der Markteinführung aufzubewahren, oder für die Dauer des Unterstützungszeitraums, je nachdem, was länger ist.
  • Bußgelder bei Nichtoffenlegung. Verstöße gegen die wesentlichen Anforderungen aus Artikel 13, einschließlich der Support-Zeitraum-Offenlegung, können Bußgelder von bis zu €15.000.000 oder 2,5 % des weltweiten Jahresumsatzes nach Artikel 64 nach sich ziehen.
Anhang II
Punkt 7
Vorvertragliche Offenlegungspflicht
13(19)
Artikel-13-Absatz
EOL-Offenlegung am Kaufzeitpunkt
10y
Aufbewahrung der technischen Dokumentation
Artikel 13(13), ab Markteinführung
€15M / 2.5%
Höchstbußgeld nach Artikel 64
Je nachdem, was höher ist

Die vier Ankerpunkte der CRA-End-of-Support-Offenlegung: der Anhang-II-Einzelposten, der zugehörige Artikel-13-Absatz, die Mindestaufbewahrungsfrist und die Bußgeldobergrenze.

Was Anhang II Nummer 7 verlangt

Anhang II der Verordnung (EU) 2024/2847 listet die Informationen auf, die der Hersteller den Nutzern bereitstellen muss. Nummer 7 verpflichtet den Hersteller, "das Enddatum des Unterstützungszeitraums" in die dem Produkt beiliegenden Anweisungen und Informationen aufzunehmen. In der Praxis bedeutet das vier Dinge gleichzeitig:

  • Das Enddatum ist in der Produktdokumentation angegeben, die am oder vor dem Kauf- oder Download-Zeitpunkt bereitgestellt wird.
  • Es erscheint, bevor der Nutzer den Kauf abschließt, nicht in einer Begrüßungs-E-Mail nach dem Kauf oder in den Nutzungsbedingungen.
  • Wenn der Hersteller die Ausnahmeregelung bei kürzerer Lebensdauer nach Artikel 13(8) nutzt, gibt die Anhang-II-Offenlegung das tatsächliche (kürzere) Enddatum wieder, nicht einen gerundeten Fünf-Jahres-Schätzwert.
  • Die Offenlegung ist Teil der technischen Dokumentation nach Anhang VII und wird mindestens 10 Jahre ab der Markteinführung nach Artikel 13(13) aufbewahrt.

Praktische Schlussfolgerung: Das Support-Enddatum ist eine Produktspezifikation, keine Marketingzusage. Es wird in der technischen Dokumentation erfasst, den Nutzern vor dem Kauf angezeigt und aktualisiert, sobald eine Produktversion aufgefrischt wird oder sich die Bewertung der erwarteten Lebensdauer ändert.

Wo die Offenlegung erfolgen muss, nach Vertriebskanal

Die Anforderung aus Anhang II Nummer 7 ist nur dann erfüllt, wenn das Enddatum den Nutzern vor dem Kaufabschluss vorliegt. Wo die Offenlegung erfolgen muss, hängt vom Vertriebskanal ab; die folgende Tabelle ordnet jedem Kanal die Platzierung zu, die die Pflicht erfüllt, und die Platzierung, die nicht ausreicht.

Kanal Offenlegung muss erscheinen Nicht ausreichend
Stationärer Handel Auf der Verpackung oder in der Dokumentation vor dem Öffnen der Versiegelung Etikett, das erst nach dem Auspacken lesbar ist
E-Commerce Auf der Produktdetailseite oder über einen Ein-Klick-Link davon, vor dem Hinzufügen zum Warenkorb Checkout-Seite, Bestellbestätigung, E-Mail nach dem Kauf
SDK / Entwickler Öffentliche API- oder Komponentendokumentationsseite, die vor der Integration eingesehen wird README innerhalb des heruntergeladenen Pakets
B2B-Beschaffung Spezifikationsblatt, Datenblatt oder Angebotsantwort, die vor der Unterzeichnung geprüft werden Onboarding-Dokument nach Vertragsabschluss
Herunterladbare Software Download-Seite oder die Zusammenfassung vor der Installation im Installer In-App-Bildschirm, der erst nach dem ersten Start sichtbar ist

Anhang-II-Nummer-7-Platzierungen nach Vertriebskanal. Das Prinzip ist für alle fünf konsistent: Das Enddatum ist Teil der Kaufentscheidung und muss dem Käufer in dem Moment zugänglich sein, in dem er diese Entscheidung trifft. Dies steht neben der kaufzeitpunktbezogenen End-of-Life-Pflicht aus Artikel 13(19).

Fallbeispiel: versionsgebundene Offenlegung auf einer Zeitachse

Ein Hersteller bringt Produkt v1.0 im Januar 2028 mit einer fünfjährigen Support-Zusage auf den EU-Markt, aktualisiert es dann auf v1.1 im Juli 2028 mit einer eigenen fünfjährigen Zusage. Die Anhang-II-Offenlegung ist an die Version gebunden, nicht an das Kaufdatum des Käufers.

Zeitachse der End-of-Support-Offenlegung für v1.0 und v1.1 Zwei parallele Unterstützungszeitraum-Balken, die zeigen, dass die Anhang-II-Enddatum-Offenlegung mit der Markteinführung festgelegt wird und sich nicht mit dem Kaufdatum des Käufers verschiebt. Jan 2028 Jul 2028 Jun 2029 Jan 2033 Jul 2033 v1.0 Unterstützungszeitraum, Offenlegung: "bis Jan 2033" Kunde kauft v1.0; Offenlegung unverändert v1.1 Unterstützungszeitraum, Offenlegung: "bis Jul 2033" Anhang II Nummer 7 Enddatum-Offenlegung wird mit der Markteinführung festgelegt, je Version
Die Offenlegung ist versionsbezogen, nicht kaufdatumsbezogen. Ein Käufer, der v1.0 im Juni 2029 erwirbt, sieht weiterhin das ursprüngliche Enddatum Januar 2033; der Käufer wird damit darüber informiert, dass noch ungefähr 3,5 Jahre Support verbleiben, nicht fünf Jahre ab dem Kaufdatum. Die v1.0-Offenlegung verbleibt auch nach dem Support-Ende in der aufbewahrten technischen Dokumentation nach Anhang VII als Nachweis, dass der Nutzer vor dem Kauf informiert wurde.

Zusammenhang mit der technischen Dokumentation und der EU-Konformitätserklärung

Eine Offenlegung, die auf der Produktseite korrekt ist, aber in der technischen Dokumentation fehlt, oder die in der technischen Dokumentation vorhanden ist, aber für den Käufer nicht sichtbar war, erfüllt die Pflicht nicht. Drei Elemente müssen gleichzeitig übereinstimmen:

Technische Dokumentation nach Anhang VII

Die Anhang-II-Nutzerinformationen sind Teil der technischen Dokumentation. Die Dateistruktur (Artikel 31 / Anhang VII) und die Aufbewahrungsregel nach Artikel 13(13) sind unter CRA-Technische Dokumentation beschrieben.

EU-Konformitätserklärung

Die EU-DoC bestätigt die Konformität mit Artikel 13. Artikel 13(20) erlaubt eine vollständige oder vereinfachte EU-DoC, doch die nutzerseitige Anhang-II-Enddatum-Offenlegung ist in keinem der Fälle optional. Siehe CRA-Konformitätserklärung.

Bereitstellung von Sicherheitsupdates

Bis zum offengelegten Enddatum schuldet der Hersteller die Patch-Mechanik, die unter CRA-Sicherheitsupdates beschrieben ist. Die Offenlegungspflicht und die Bereitstellungspflicht enden gemeinsam.

Häufig gestellte Fragen

Was muss in den Anhang-II-Produktinformationen zum Unterstützungszeitraum stehen?

Das Enddatum des Unterstützungszeitraums, angegeben in den den Nutzern bereitgestellten Informationen am oder vor dem Kaufzeitpunkt. Das Enddatum muss konkret sein (z. B. "Sicherheitsupdates werden bis 11. Dezember 2032 bereitgestellt") und muss die tatsächliche Zusage widerspiegeln, einschließlich einer etwaigen Ausnahmeregelung bei kürzerer Lebensdauer. E-Mails nach dem Kauf oder Nutzungsbedingungen erfüllen die Anforderung nicht. Wenn das Produkt mit einer neuen Version aktualisiert wird, die den Supportzeitraum neu startet, muss die Offenlegung das neue Enddatum abbilden. (Anhang II Nummer 7; Artikel 13(8); Anhang VII.)

Reicht "mindestens fünf Jahre ab dem Kauf" aus, oder muss die Offenlegung ein konkretes Datum enthalten?

Nein, ein konkretes Enddatum ist erforderlich. Eine relative Formulierung wie "Sicherheitsupdates für mindestens fünf Jahre ab dem Kauf" ist kein Enddatum und erfüllt die Offenlegungspflicht nicht. Das erforderliche Präzisionsniveau kann Monat und Jahr sein ("Dezember 2032") statt eines vollständigen Kalendertags, doch ein festes Referenzdatum ist erforderlich, damit der Käufer den verbleibenden Supportzeitraum vor dem Kauf berechnen kann. Das Enddatum ist auch das, was in der technischen Dokumentation nach Anhang VII erfasst wird; eine relative Formulierung hat in der Dokumentationskette keinen Platz. (Anhang II Nummer 7; Anhang VII.)

Wo auf einer E-Commerce-Produktseite muss das Enddatum erscheinen?

Auf der Produktdetailseite selbst, oder über einen klar gekennzeichneten Link von dort erreichbar. Eine Platzierung ausschließlich in den Nutzungsbedingungen, ausschließlich in einem FAQ oder ausschließlich auf der Seite nach dem Checkout erfüllt die vorvertragliche Anforderung nicht. Ein vernünftiger Käufer, der das Produkt vor dem Klick auf "Kaufen" bewertet, muss das Support-Enddatum einsehen können, ohne sich bereits zum Kauf verpflichtet zu haben. (Anhang II Nummer 7; Artikel 13(19).)

Wenn ich den Unterstützungszeitraum nach der Markteinführung verlängere, muss ich die Offenlegung aktualisieren?

Ja. Die Anhang-II-Informationen sind Teil der technischen Dokumentation nach Anhang VII und müssen die tatsächliche Zusage widerspiegeln. Wenn der Hersteller den Unterstützungszeitraum verlängert, müssen sowohl die nutzerseitige Offenlegung (Produktseite, Verpackung, Datenblatt, Installations-Zusammenfassung) als auch die aufbewahrte technische Dokumentation nach Anhang VII aktualisiert werden, um das neue Enddatum auszuweisen. Das ursprüngliche Enddatum verbleibt in der aufbewahrten Dokumentation als Nachweis der Offenlegung, die für frühere Verkäufe galt, damit der Prüfpfad für bereits im Umlauf befindliche Einheiten erhalten bleibt. (Anhang II Nummer 7; Artikel 13(13); Anhang VII.)

Was vor der Auslieferung zu tun ist

  1. Prüfen Sie jede Produktseite, Verpackungsgrafik, jedes Datenblatt und jede Download-Seite auf das Vorhandensein eines Support-Enddatums. Fehlt es, liegt ein Verstoß vor.
  2. Fügen Sie das Enddatum dem Master-Spezifikationsblatt, dem E-Commerce-Produkt-Schema und der Vorlage für die Verpackungsdokumentation hinzu, damit keine künftige Produktversion ohne ausgefüllte Angabe auf den Markt gelangt.
  3. Verknüpfen Sie die Offenlegung mit der Produktversion. Löst v1.1 die v1.0 ab, zeigen Sie das v1.1-Enddatum für neue Verkäufe und bewahren Sie die v1.0-Offenlegung in den Unterlagen auf.
  4. Übersetzen Sie den umgebenden Wortlaut (z. B. "Sicherheitsupdates werden bereitgestellt bis ...") in jede Mitgliedstaatssprache, in der das Produkt platziert wird. Das Datum ist eine Tatsache; der Begleittext nicht.
  5. Gleichen Sie jedes offengelegte Enddatum mit dem in der technischen Dokumentation erfassten Datum ab. Eine Abweichung ist selbst ein Compliance-Mangel; nutzerseitige Angabe und aufbewahrte Dokumentation müssen übereinstimmen.
  6. Zeigen Sie das Enddatum vor dem Kauf an, bevor der Käufer sich entschieden hat. E-Mails nach dem Kauf, Nutzungsbedingungsblöcke und Bestätigungsseiten erfüllen die Anforderung nicht.