CRA-Offenlegung zum Support-Ende: Pflicht vor dem Kauf

Veröffentlicht 7. Mai 2026 Aktualisiert 15. Juni 2026

Der Cyber Resilience Act (Verordnung (EU) 2024/2847) verpflichtet Hersteller, das Enddatum des Unterstützungszeitraums in den dem Produkt beiliegenden Informationen anzugeben, und zwar vor dem Kauf. Es ist das nutzerseitige Pendant zur Supportplanung und zur kaufzeitpunktbezogenen End-of-Life-Pflicht. Zur Dauermechanik siehe CRA Unterstützungszeitraum; zur Patch-Bereitstellung siehe CRA Sicherheitsupdates.

Zusammenfassung

  • Vorvertragliche Pflicht. Die Enddatum-Offenlegung muss den Nutzern vor Abschluss des Kaufs vorliegen, nicht erst danach.
  • Vor dem Kauf klar und leicht zugänglich. Das Enddatum muss vor dem Kaufabschluss klar und leicht zugänglich sein. Soweit anwendbar, erscheint es am Produkt selbst, auf der Verpackung oder auf digitalem Weg, etwa auf der Produktseite; es sollte auch in den dem Produkt beiliegenden Anweisungen und Informationen erscheinen. Entscheidend ist, dass der Käufer die Angabe sieht, bevor er sich bindet.
  • Hinweis nach Erreichen des Support-Endes. Soweit technisch machbar, sollte der Hersteller den Nutzern außerdem eine Benachrichtigung anzeigen, sobald das Produkt das Ende seines Supportzeitraums erreicht hat, nicht nur das Datum vorab offenlegen.
  • Bildet das tatsächliche Enddatum ab. Nutzt der Hersteller einen kürzeren erwarteten Nutzungszeitraum, muss die nutzerseitige Offenlegung das tatsächliche kürzere Enddatum ausweisen, nicht einen gerundeten Fünf-Jahres-Platzhalter.
  • Verknüpfung mit der Aufbewahrungspflicht der technischen Dokumentation. Die technische Dokumentation einschließlich der Nutzerinformationen ist mindestens 10 Jahre ab dem Inverkehrbringen aufzubewahren, oder für die Dauer des Unterstützungszeitraums, wenn dieser länger ist.
  • Bußgeldexposition separat prüfen. Fehlende Offenlegung kann Durchsetzungsrisiko schaffen; die Bußgeldstufen gehören aber in den Leitfaden zu Sanktionen und Durchsetzung, nicht in diese Checkliste.
Vor dem Kauf
Zeitpunkt der Offenlegung
Bevor Geld den Besitzer wechselt
In Produktinfo
Wo sie steht
Produktseite, Verpackung, Datenblatt
10y+
Aufbewahrung der technischen Dokumentation
Oder Unterstützungszeitraum, falls länger
Guide
Bußgeldmodell
Separat behandelt

Die vier Ankerpunkte der Offenlegung zum Support-Ende: der Zeitpunkt, der Kanal, die Mindestaufbewahrung und das Bußgeldmodell.

Was Nutzer vor dem Kauf sehen müssen

Die erforderliche Nutzerinformation hat zwei praktische Teile: die Art der angebotenen technischen Sicherheitsunterstützung und das Enddatum des Unterstützungszeitraums. Für das Enddatum sollten Produktseite, Verpackung, Datenblatt, Downloadseite oder gleichwertige Vor-Kauf-Unterlagen vier Dinge klar machen:

  • Das Enddatum steht in der Produktdokumentation, die am oder vor dem Kauf- oder Download-Zeitpunkt bereitgestellt wird.
  • Es erscheint, bevor der Nutzer den Kauf abschließt, nicht in einer Begrüßungs-E-Mail nach dem Kauf oder in den Nutzungsbedingungen.
  • Nutzt der Hersteller einen kürzeren erwarteten Nutzungszeitraum, bildet die nutzerseitige Offenlegung das tatsächliche kürzere Enddatum ab, nicht eine gerundete Fünf-Jahres-Schätzung.
  • Dasselbe Enddatum wird in der technischen Dokumentation erfasst und mit den aufbewahrten Konformitätsnachweisen gehalten.

Praktische Schlussfolgerung: Das Enddatum des Unterstützungszeitraums ist eine Produktspezifikation, keine Marketingzusage. Es wird in der technischen Dokumentation erfasst, den Nutzern vor dem Kauf angezeigt und aktualisiert, sobald eine Produktversion aufgefrischt wird oder sich die Bewertung der erwarteten Lebensdauer ändert.

Wo die Offenlegung erfolgen muss, nach Vertriebskanal

Die Pflicht zur Enddatum-Offenlegung ist nur dann erfüllt, wenn das Datum den Nutzern vorliegt, bevor Geld den Besitzer wechselt. Wo die Offenlegung erfolgen muss, hängt vom Vertriebskanal ab; die folgende Tabelle ordnet jedem Kanal die Platzierung zu, die die Pflicht erfüllt, und die Platzierung, die nicht ausreicht.

Kanal Offenlegung muss erscheinen Nicht ausreichend
Stationärer Handel Auf der Verpackung oder in der Dokumentation vor dem Öffnen der Versiegelung Etikett, das erst nach dem Auspacken lesbar ist
E-Commerce Produktdetailseite, Lebenszyklus-/Spezifikationsreiter oder klar gekennzeichneter Vor-Kauf-Link, bevor der Käufer sich bindet Bestellbestätigung, E-Mail nach dem Kauf oder reine Checkout-Platzierung nach der Bindung
SDK / Entwickler Öffentliche API- oder Komponentendokumentationsseite, die vor der Integration eingesehen wird README innerhalb des heruntergeladenen Pakets
B2B-Beschaffung Spezifikationsblatt, Datenblatt oder Angebotsantwort, die vor der Unterzeichnung geprüft werden Onboarding-Dokument nach Vertragsabschluss
Herunterladbare Software Download-Seite oder die Zusammenfassung vor der Installation im Installer In-App-Bildschirm, der erst nach dem ersten Start sichtbar ist

Platzierung nach Vertriebskanal. Das Prinzip ist für alle fünf konsistent: Das Enddatum ist Teil der Kaufentscheidung und muss dem Käufer in dem Moment zugänglich sein, in dem er sie trifft.

Fallbeispiel: versionsgebundene Offenlegung auf einer Zeitachse

Ein Hersteller bringt Produkt v1.0 im Januar 2028 mit einer fünfjährigen Support-Zusage auf den EU-Markt, aktualisiert es dann auf v1.1 im Juli 2028 mit einer eigenen fünfjährigen Zusage. Die Offenlegung ist an die Version gebunden, nicht an das Kaufdatum des Käufers.

Zeitachse der Offenlegung zum Support-Ende für v1.0 und v1.1 Zwei parallele Unterstützungszeitraum-Balken, die zeigen, dass die Enddatum-Offenlegung mit der Markteinführung festgelegt wird und sich nicht mit dem Kaufdatum des Käufers verschiebt. Jan 2028 Jul 2028 Jun 2029 Jan 2033 Jul 2033 v1.0 Unterstützungszeitraum, Offenlegung: "bis Jan 2033" Kunde kauft v1.0; Offenlegung unverändert v1.1 Unterstützungszeitraum, Offenlegung: "bis Jul 2033" Die Enddatum-Offenlegung wird mit der Markteinführung festgelegt, je Version
Die Offenlegung ist versionsbezogen, nicht kaufdatumsbezogen. Ein Käufer, der v1.0 im Juni 2029 erwirbt, sieht weiterhin das ursprüngliche Enddatum Januar 2033 und wird so darüber informiert, dass noch ungefähr 3,5 Jahre Support verbleiben, nicht fünf Jahre ab dem Kauf. Die v1.0-Offenlegung verbleibt auch nach dem Support-Ende in der aufbewahrten technischen Dokumentation als Nachweis, dass der Nutzer vor dem Kauf informiert wurde.

Zusammenhang mit der technischen Dokumentation und der EU-Konformitätserklärung

Eine Offenlegung, die auf der Produktseite zutrifft, aber in der technischen Dokumentation fehlt, oder die in der technischen Dokumentation vorhanden ist, aber für den Käufer nicht sichtbar war, erfüllt die Pflicht nicht. Drei Elemente müssen gleichzeitig übereinstimmen:

Element Was übereinstimmen muss
Technische Dokumentation Die aufbewahrte technische Dokumentation sollte dasselbe nutzerseitige Support-Enddatum enthalten, das auf Produktseite, Verpackung, Datenblatt oder Downloadseite erscheint. Siehe CRA Technische Dokumentation.
EU-Konformitätserklärung Die EU-DoC bestätigt die Konformität mit den Herstelleranforderungen, ersetzt aber nicht die Offenlegung des Enddatums vor dem Kauf. Siehe CRA Konformitätserklärung.
Sicherheitsupdates Bis zum offengelegten Enddatum braucht der Hersteller weiterhin den Prozess für Schwachstellenbehandlung und Update-Bereitstellung aus CRA Sicherheitsupdates. Für Bußgeldstufen siehe den Leitfaden zu Sanktionen und Durchsetzung.

Häufig gestellte Fragen

Was muss in den nutzerseitigen Produktinformationen zum Unterstützungszeitraum stehen?

Die Art der angebotenen technischen Sicherheitsunterstützung und das Enddatum des Unterstützungszeitraums, angegeben in den den Nutzern bereitgestellten Informationen am oder vor dem Kaufzeitpunkt. Das Enddatum muss konkret sein (z. B. "Sicherheitsupdates werden bis 11. Dezember 2032 bereitgestellt") und muss die tatsächliche Zusage widerspiegeln, einschließlich einer etwaigen Ausnahmeregelung bei kürzerer Lebensdauer. E-Mails nach dem Kauf oder Nutzungsbedingungs-Blöcke erfüllen die Regel nicht. Wird das Produkt mit einer neuen Version aktualisiert, die den Support-Zähler neu startet, muss die nutzerseitige Offenlegung das neue Enddatum abbilden.

Reicht "mindestens fünf Jahre ab dem Kauf" aus, oder muss die Offenlegung ein konkretes Datum nennen?

Nein, ein konkretes Enddatum ist erforderlich. Eine relative Formulierung wie "Sicherheitsupdates für mindestens fünf Jahre ab dem Kauf" ist kein Enddatum und erfüllt die Offenlegungspflicht nicht. Das Präzisionsniveau kann Monat und Jahr betragen ("Dezember 2032") statt eines vollständigen Kalendertags, doch ein festes Bezugsdatum ist erforderlich, damit der Käufer vor dem Bezahlen den verbleibenden Support-Vorlauf berechnen kann. Das Enddatum ist auch das, was in der technischen Dokumentation erfasst wird; eine relative Formulierung hat in der Dokumentationskette keinen Platz.

Wo auf einer E-Commerce-Produktseite muss das Enddatum erscheinen?

Auf der Produktdetailseite selbst oder über einen klar gekennzeichneten Link von dort erreichbar (etwa über einen Reiter "Spezifikationen", "Lebenszyklus" oder "Support"). Eine Platzierung ausschließlich in den Nutzungsbedingungen, ausschließlich in einem FAQ oder ausschließlich auf der Seite nach dem Checkout erfüllt die vorvertragliche Anforderung nicht. Das Prinzip lautet: Ein vernünftiger Käufer, der das Produkt vor dem Klick auf "Kaufen" bewertet, muss das Enddatum des Unterstützungszeitraums einsehen können, ohne sich bereits zum Kauf verpflichtet zu haben.

Wenn ich den Unterstützungszeitraum nach der Markteinführung verlängere, muss ich die Offenlegung aktualisieren?

Ja. Die Nutzerinformationen sind Teil der technischen Dokumentation und müssen die tatsächliche Zusage widerspiegeln. Verlängert der Hersteller den Unterstützungszeitraum, müssen sowohl die nutzerseitige Offenlegung (Produktseite, Verpackung, Datenblatt, Installations-Zusammenfassung) als auch die aufbewahrte technische Dokumentation aktualisiert werden, um das neue Enddatum auszuweisen. Das ursprüngliche Enddatum verbleibt in der aufbewahrten Dokumentation als Nachweis der Offenlegung, die für frühere Verkäufe galt, damit der Prüfpfad für bereits im Umlauf befindliche Einheiten erhalten bleibt.

Was vor der Auslieferung zu tun ist

  1. Prüfen Sie jede Produktseite, Verpackungsgrafik, jedes Datenblatt und jede Download-Seite auf das Enddatum des Unterstützungszeitraums. Fehlt es irgendwo, liegt ein Verstoß vor.
  2. Fügen Sie das Enddatum dem Master-Spezifikationsblatt, dem E-Commerce-Produkt-Schema und der Vorlage für die Beipackdokumentation hinzu, damit kein künftiges Produkt ohne diese Angabe ausgeliefert werden kann.
  3. Verknüpfen Sie die Offenlegung mit der Produktversion. Löst v1.1 die v1.0 ab, zeigen Sie das v1.1-Enddatum für neue Verkäufe und bewahren Sie die v1.0-Offenlegung in den Unterlagen auf.
  4. Übersetzen Sie den umgebenden Wortlaut (z. B. "Sicherheitsupdates werden bereitgestellt bis ...") in jede Mitgliedstaatssprache, in der Sie das Produkt in Verkehr bringen. Das Datum ist eine Tatsache; der Begleittext nicht.
  5. Gleichen Sie jedes offengelegte Enddatum mit dem Datum in Ihrer technischen Dokumentation ab. Eine Abweichung ist selbst ein Compliance-Mangel; nutzerseitige Angabe und aufbewahrte Dokumentation müssen übereinstimmen.
  6. Zeigen Sie das Enddatum vor dem Kauf an, bevor der Käufer sich entschieden hat. E-Mails nach dem Kauf, Nutzungsbedingungs-Blöcke und Bestätigungsseiten erfüllen die Regel nicht.