Blackfort TechnologyBlackfort Technology

Händlerpflichten unter dem CRA (Art. 20): Sorgfalt in der Lieferkette

Blackfort Technology · Ihre Rolle & Pflichten im CRA

Hinweis: Dieser Beitrag bietet allgemeine technisch-organisatorische Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und ist keine Rechtsberatung. Maßgeblich ist stets der geltende Verordnungstext; eine verbindliche Beurteilung Ihres Einzelfalls ersetzt dieser Beitrag nicht. Blackfort Technology erbringt technisch-organisatorische IT-Security- und Compliance-Beratung, keine Rechtsdienstleistungen i.S.d. RDG.

Der EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) belegt nicht nur Hersteller mit Pflichten, sondern auch die Akteure weiter unten in der Lieferkette. Der Händler — im CRA-Sinne derjenige, der ein Produkt mit digitalen Elementen auf dem Markt bereitstellt, ohne Hersteller oder Importeur zu sein — trägt eine eigene, klar umrissene Verantwortung. Diese Seite ordnet die Händlerpflichten nach Art. 20 technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung bleibt der Rechtsberatung vorbehalten.

Die Kernaussage vorweg

Der Händler ist ein Torwächter, aber ein leichterer als der Importeur. Von ihm wird die gebotene Sorgfalt verlangt: prüfen, dass die CE-Kennzeichnung vorhanden ist und dass Hersteller und Importeur ihre jeweiligen Pflichten erfüllt haben. Er stellt selbst keine Produktsicherheit her, erstellt keine technische Dokumentation und führt keine Konformitätsbewertung durch. Trotzdem ist seine Rolle keine bloße Formsache — es ist eine echte Kontrollfunktion mit Haftungsfolgen, wenn er sie vernachlässigt.

Wer ist „Händler" im Sinne des CRA?

Ein Händler (Distributor) ist ein Akteur in der Lieferkette, der ein Produkt mit digitalen Elementen auf dem Markt bereitstellt — also anbietet, liefert oder weiterverkauft — und dabei weder Hersteller noch Importeur ist. Typische Beispiele sind Fachhändler, Systemhäuser, Distributoren, Reseller oder Online-Marktplatzverkäufer, die fertige, bereits in Verkehr gebrachte Produkte weitergeben. Entscheidend ist: Der Händler bekommt ein Produkt in die Hand, das ein anderer entwickelt und ein weiterer eventuell eingeführt hat. Seine Aufgabe ist nicht, die Sicherheit neu zu bewerten, sondern zu verhindern, dass ein offensichtlich nicht-konformes Produkt über ihn weiter in den Markt gelangt.

Die Sorgfaltspflicht (Art. 20) im Detail

Der zentrale Maßstab ist die gebotene Sorgfalt ("due care"). Bevor der Händler ein Produkt bereitstellt, hat er zu prüfen:

  • CE-Kennzeichnung vorhanden: Trägt das Produkt die CE-Kennzeichnung? Sie ist das sichtbare Signal, dass der Hersteller die Konformität erklärt hat.
  • Hersteller- und Importeurpflichten erfüllt: Haben Hersteller und — falls einer beteiligt war — Importeur ihre jeweiligen Pflichten erfüllt? Das umfasst insbesondere, dass die erforderlichen Unterlagen und Informationen (etwa Anleitungen und Sicherheitsinformationen für den Nutzer) beigefügt sind.
  • Erforderliche Begleitinformationen: Sind die geforderten Dokumentationen und Anweisungen tatsächlich vorhanden und in der geforderten Form beigelegt?

Die Prüftiefe ist bewusst geringer als beim Importeur. Der Importeur (Art. 19) prüft substanziell, ob Konformitätsbewertung durchgeführt und technische Dokumentation erstellt wurde; der Händler prüft eher plausibilisierend das Vorhandensein der äußeren Konformitätsmerkmale und der Begleitunterlagen. Es ist eine Sorgfalts- und Plausibilitätsprüfung, keine Nachbewertung der Konformität.

Wichtig: Hat der Händler Grund zu der Annahme, dass ein Produkt nicht den grundlegenden Anforderungen entspricht, darf er es nicht auf dem Markt bereitstellen, solange es nicht in Konformität gebracht ist. Die Sorgfaltspflicht ist also keine reine Sichtprüfung — sie greift, sobald es konkrete Anhaltspunkte für Nichtkonformität gibt.

Nicht-konforme Produkte: nicht bereitstellen

Die zweite Kernpflicht ist ein Verbot: Ein Produkt, von dem der Händler weiß oder annehmen muss, dass es nicht-konform ist, darf er nicht auf dem Markt bereitstellen. Fällt ihm die Nichtkonformität erst nach der Bereitstellung auf, hat er Korrekturmaßnahmen zu ergreifen — von der Herstellung der Konformität bis, falls nötig, zur Rücknahme oder zum Rückruf. Auch hier gilt: Der Händler stößt Korrekturen an und wirkt daran mit, verantwortet aber nicht die inhaltliche Nachbesserung des Produkts selbst; die liegt beim Hersteller.

Lagerung und Transport: Konformität nicht gefährden

Eine oft übersehene, aber charakteristische Händlerpflicht betrifft die physische Obhut über das Produkt: Solange das Produkt in seiner Verantwortung ist, hat der Händler sicherzustellen, dass die Lager- und Transportbedingungen die Konformität mit den grundlegenden Anforderungen nicht beeinträchtigen. Bei Produkten mit digitalen Elementen kann das über die klassische physische Unversehrtheit hinausgehen — etwa dann, wenn Auslieferungszustand, Firmware-Stand oder mitgelieferte Sicherheitsinformationen intakt bleiben müssen. Wer Produkte so lagert oder transportiert, dass ihre Sicherheitseigenschaften leiden, verletzt seine Sorgfaltspflicht.

Informieren: Hersteller und Behörden

Der Händler ist in die Informationskette eingebunden. Zwei Richtungen sind dabei zentral:

  • Hersteller über Schwachstellen informieren: Erhält der Händler Kenntnis von einer Schwachstelle des Produkts, hat er den Hersteller (bzw. Importeur) zu unterrichten.
  • Behörden über erhebliche Risiken informieren: Stellt ein Produkt ein erhebliches Risiko dar, sind die Marktüberwachungsbehörden zu informieren — mit Angaben insbesondere zur Nichtkonformität und zu ergriffenen Korrekturmaßnahmen.

Der Händler wird dadurch nicht zur Meldestelle im Sinne der Art.-14-Meldepflichten des Herstellers (24-h-/72-h-/Abschlussbericht-Fristen über die Single Reporting Platform) — diese bleiben Herstellersache. Seine Informationspflichten sind auf die Weitergabe an Hersteller und Behörden gerichtet.

Rollenwechsel: Wann der Händler zum Hersteller wird

Der entscheidende Stolperstein: Wer ein Produkt unter eigenem Namen oder eigener Marke auf den Markt bringt oder ein bereits in Verkehr gebrachtes Produkt wesentlich verändert, gilt nach dem CRA grundsätzlich als Hersteller — mit den vollen Pflichten nach Art. 13 (grundlegende Anforderungen, Schwachstellen-Management, technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, Meldepflichten). Ein Händler (oder Importeur) kann so unbeabsichtigt in die schwerste Rolle rutschen — etwa durch Umlabeln, Rebranding oder das Aufspielen eigener Firmware. Als allgemeines Prinzip gilt: Sobald Sie ein Produkt inhaltlich mitgestalten oder als Ihr eigenes vermarkten, sind Sie nicht mehr nur Torwächter. Ob eine konkrete Veränderung „wesentlich" ist, ist eine Frage des Einzelfalls.

Pflichten-Checkliste für Händler

Die folgende Checkliste fasst die Sorgfaltspflichten des Händlers nach Art. 20 praktisch zusammen:

  1. CE-Kennzeichnung prüfen — ist sie am Produkt vorhanden?
  2. Hersteller- und Importeurpflichten verifizieren — sind die erforderlichen Unterlagen, Anleitungen und Sicherheitsinformationen beigefügt?
  3. Bei Zweifeln nicht bereitstellen — bei Grund zur Annahme der Nichtkonformität das Produkt nicht auf den Markt geben.
  4. Lager- und Transportbedingungen sichern — die Konformität während der eigenen Obhut nicht gefährden.
  5. Korrekturmaßnahmen ergreifen — bei nachträglich erkannter Nichtkonformität mitwirken (Konformität herstellen, ggf. Rücknahme/Rückruf).
  6. Hersteller über Schwachstellen informieren — Kenntnisse zu Sicherheitslücken weitergeben.
  7. Marktüberwachungsbehörden über erhebliche Risiken informieren — inklusive Angaben zu Nichtkonformität und Korrekturmaßnahmen.
  8. Rollenwechsel im Blick behalten — nicht durch Rebranding oder wesentliche Veränderung unbemerkt zum Hersteller werden.
  9. Prüfschritte dokumentieren — Sorgfalt nachweisbar festhalten, um sie gegenüber den Behörden belegen zu können.

Einordnung: leichter als der Importeur, aber real

Die Händlerrolle ist bewusst leichter ausgestaltet als die des Importeurs — der Händler prüft weniger tief und trägt keine der originären Herstellerpflichten. Aber „leichter" heißt nicht „folgenlos": Die Sorgfaltspflicht, das Bereitstellungsverbot für nicht-konforme Produkte und die Informationspflichten sind echte Kontrollpflichten. Wer sie verletzt, riskiert Maßnahmen der Marktüberwachung und Bußgelder. Wie die Rollen zusammenhängen, zeigt unser Überblick über die CRA-Rollen; die deutlich prüfintensivere Nachbarrolle behandeln wir bei den Importeurpflichten. Ob und in welcher Rolle Ihre Produkte überhaupt betroffen sind, klärt die Betroffenheitsprüfung.

Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Die Rollenzuordnung und die daraus folgenden Pflichten hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission konkretisieren.

Häufige Fragen

Was schuldet ein Händler unter dem CRA?
Der Händler (Art. 20) schuldet die gebotene Sorgfalt, bevor er ein Produkt mit digitalen Elementen auf dem Markt bereitstellt. Er prüft, ob die CE-Kennzeichnung vorhanden ist und ob Hersteller und Importeur ihre Pflichten erfüllt haben — etwa dass die erforderlichen Anleitungen und Sicherheitsinformationen beigefügt sind. Nicht-konforme Produkte darf er nicht bereitstellen, er sichert Lager- und Transportbedingungen, ergreift bei Bedarf Korrekturmaßnahmen und informiert Hersteller über Schwachstellen sowie Behörden über erhebliche Risiken.
Muss ein Händler die CRA-Konformität eines Produkts selbst nachbewerten?
Nein. Der Händler führt keine Konformitätsbewertung durch, erstellt keine technische Dokumentation und bringt keine CE-Kennzeichnung an — das sind Herstellerpflichten. Seine Prüfung ist eine Sorgfalts- und Plausibilitätsprüfung: Sind die äußeren Konformitätsmerkmale (insbesondere die CE-Kennzeichnung) und die erforderlichen Begleitunterlagen vorhanden? Sobald er allerdings Grund zur Annahme hat, dass ein Produkt nicht-konform ist, darf er es nicht bereitstellen, bis die Konformität hergestellt ist.
Worin unterscheidet sich der Händler vom Importeur unter dem CRA?
Beide sind Torwächter, aber der Händler prüft weniger tief. Der Importeur (Art. 19) bringt Produkte von außerhalb der EU in Verkehr und prüft substanziell, ob Konformitätsbewertung durchgeführt und technische Dokumentation erstellt wurde. Der Händler (Art. 20) stellt bereits in Verkehr gebrachte Produkte bereit und schuldet die gebotene Sorgfalt: Vorhandensein der CE-Kennzeichnung und der Begleitunterlagen prüfen, keine nicht-konformen Produkte bereitstellen, Lagerung sichern, informieren. Die Händlerrolle ist damit leichter, bleibt aber eine echte Kontrollpflicht.
Muss ein Händler auf Lagerung und Transport achten?
Ja. Solange das Produkt in der Verantwortung des Händlers ist, muss er sicherstellen, dass die Lager- und Transportbedingungen die Konformität mit den grundlegenden Anforderungen nicht beeinträchtigen. Bei Produkten mit digitalen Elementen kann das über die physische Unversehrtheit hinausgehen — etwa wenn Auslieferungszustand, Firmware-Stand oder mitgelieferte Sicherheitsinformationen intakt bleiben müssen. Eine Lagerung oder ein Transport, der die Sicherheitseigenschaften beeinträchtigt, verletzt die Sorgfaltspflicht.
Kann ein Händler durch Rebranding zum Hersteller werden?
Als allgemeines Prinzip: ja. Wer ein Produkt unter eigenem Namen oder eigener Marke auf den Markt bringt oder ein bereits in Verkehr gebrachtes Produkt wesentlich verändert, gilt nach dem CRA grundsätzlich als Hersteller und übernimmt dessen volle Pflichten nach Art. 13 — von den grundlegenden Anforderungen über das Schwachstellen-Management bis zu Konformitätsbewertung, EU-Konformitätserklärung und CE-Kennzeichnung. Ein Händler kann so durch Umlabeln, Rebranding oder das Aufspielen eigener Firmware unbeabsichtigt in die Herstellerrolle rutschen. Ob eine Veränderung „wesentlich" ist, hängt vom Einzelfall ab.

Sprechen wir über Ihre CRA-Readiness

Unsicher, ob Sie für Ihre Produkte Händler-, Importeur- oder doch Herstellerpflichten unter dem CRA tragen? Wir ordnen Ihre Lieferketten- und Vertriebsrolle technisch-organisatorisch ein, bauen Ihnen eine belastbare Sorgfalts- und Prüf-Checkliste und zeigen, wo ein unbeabsichtigter Rollenwechsel droht — sprechen Sie mit Blackfort Technology aus Bonn.

Erstgespräch anfragen Betroffenheit prüfen
Die Inhalte dieser Website dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar. Blackfort Technology erbringt IT-Security- und Compliance-Beratung im technisch-organisatorischen Sinne, keine Rechtsdienstleistungen i.S.d. RDG.