
Stand: 2026-07-18
Der EU Cyber Resilience Act (CRA, Verordnung (EU) 2024/2847) belegt nicht nur Hersteller mit Pflichten, sondern auch die Akteure weiter unten in der Lieferkette. Der Händler — im CRA-Sinne derjenige, der ein Produkt mit digitalen Elementen auf dem Markt bereitstellt, ohne Hersteller oder Importeur zu sein — trägt eine eigene, klar umrissene Verantwortung. Diese Seite ordnet die Händlerpflichten nach Art. 20 technisch-organisatorisch ein. Sie liefert Orientierung, keine verbindliche Einzelfallberatung; eine rechtliche Bewertung bleibt der Rechtsberatung vorbehalten.
Die Kernaussage vorweg
Der Händler ist ein Torwächter, aber ein leichterer als der Importeur. Von ihm wird die gebotene Sorgfalt verlangt: prüfen, dass die CE-Kennzeichnung vorhanden ist und dass Hersteller und Importeur ihre jeweiligen Pflichten erfüllt haben. Er stellt selbst keine Produktsicherheit her, erstellt keine technische Dokumentation und führt keine Konformitätsbewertung durch. Trotzdem ist seine Rolle keine bloße Formsache — es ist eine echte Kontrollfunktion mit Haftungsfolgen, wenn er sie vernachlässigt.
Wer ist „Händler" im Sinne des CRA?
Ein Händler (Distributor) ist ein Akteur in der Lieferkette, der ein Produkt mit digitalen Elementen auf dem Markt bereitstellt — also anbietet, liefert oder weiterverkauft — und dabei weder Hersteller noch Importeur ist. Typische Beispiele sind Fachhändler, Systemhäuser, Distributoren, Reseller oder Online-Marktplatzverkäufer, die fertige, bereits in Verkehr gebrachte Produkte weitergeben. Entscheidend ist: Der Händler bekommt ein Produkt in die Hand, das ein anderer entwickelt und ein weiterer eventuell eingeführt hat. Seine Aufgabe ist nicht, die Sicherheit neu zu bewerten, sondern zu verhindern, dass ein offensichtlich nicht-konformes Produkt über ihn weiter in den Markt gelangt.
Die Sorgfaltspflicht (Art. 20) im Detail
Der zentrale Maßstab ist die gebotene Sorgfalt ("due care"). Bevor der Händler ein Produkt bereitstellt, hat er zu prüfen:
- CE-Kennzeichnung vorhanden: Trägt das Produkt die CE-Kennzeichnung? Sie ist das sichtbare Signal, dass der Hersteller die Konformität erklärt hat.
- Hersteller- und Importeurpflichten erfüllt: Haben Hersteller und — falls einer beteiligt war — Importeur ihre jeweiligen Pflichten erfüllt? Das umfasst insbesondere, dass die erforderlichen Unterlagen und Informationen (etwa Anleitungen und Sicherheitsinformationen für den Nutzer) beigefügt sind.
- Erforderliche Begleitinformationen: Sind die geforderten Dokumentationen und Anweisungen tatsächlich vorhanden und in der geforderten Form beigelegt?
Die Prüftiefe ist bewusst geringer als beim Importeur. Der Importeur (Art. 19) prüft substanziell, ob Konformitätsbewertung durchgeführt und technische Dokumentation erstellt wurde; der Händler prüft eher plausibilisierend das Vorhandensein der äußeren Konformitätsmerkmale und der Begleitunterlagen. Es ist eine Sorgfalts- und Plausibilitätsprüfung, keine Nachbewertung der Konformität.
Wichtig: Hat der Händler Grund zu der Annahme, dass ein Produkt nicht den grundlegenden Anforderungen entspricht, darf er es nicht auf dem Markt bereitstellen, solange es nicht in Konformität gebracht ist. Die Sorgfaltspflicht ist also keine reine Sichtprüfung — sie greift, sobald es konkrete Anhaltspunkte für Nichtkonformität gibt.
Nicht-konforme Produkte: nicht bereitstellen
Die zweite Kernpflicht ist ein Verbot: Ein Produkt, von dem der Händler weiß oder annehmen muss, dass es nicht-konform ist, darf er nicht auf dem Markt bereitstellen. Fällt ihm die Nichtkonformität erst nach der Bereitstellung auf, hat er Korrekturmaßnahmen zu ergreifen — von der Herstellung der Konformität bis, falls nötig, zur Rücknahme oder zum Rückruf. Auch hier gilt: Der Händler stößt Korrekturen an und wirkt daran mit, verantwortet aber nicht die inhaltliche Nachbesserung des Produkts selbst; die liegt beim Hersteller.
Lagerung und Transport: Konformität nicht gefährden
Eine oft übersehene, aber charakteristische Händlerpflicht betrifft die physische Obhut über das Produkt: Solange das Produkt in seiner Verantwortung ist, hat der Händler sicherzustellen, dass die Lager- und Transportbedingungen die Konformität mit den grundlegenden Anforderungen nicht beeinträchtigen. Bei Produkten mit digitalen Elementen kann das über die klassische physische Unversehrtheit hinausgehen — etwa dann, wenn Auslieferungszustand, Firmware-Stand oder mitgelieferte Sicherheitsinformationen intakt bleiben müssen. Wer Produkte so lagert oder transportiert, dass ihre Sicherheitseigenschaften leiden, verletzt seine Sorgfaltspflicht.
Informieren: Hersteller und Behörden
Der Händler ist in die Informationskette eingebunden. Zwei Richtungen sind dabei zentral:
- Hersteller über Schwachstellen informieren: Erhält der Händler Kenntnis von einer Schwachstelle des Produkts, hat er den Hersteller (bzw. Importeur) zu unterrichten.
- Behörden über erhebliche Risiken informieren: Stellt ein Produkt ein erhebliches Risiko dar, sind die Marktüberwachungsbehörden zu informieren — mit Angaben insbesondere zur Nichtkonformität und zu ergriffenen Korrekturmaßnahmen.
Der Händler wird dadurch nicht zur Meldestelle im Sinne der Art.-14-Meldepflichten des Herstellers (24-h-/72-h-/Abschlussbericht-Fristen über die Single Reporting Platform) — diese bleiben Herstellersache. Seine Informationspflichten sind auf die Weitergabe an Hersteller und Behörden gerichtet.
Rollenwechsel: Wann der Händler zum Hersteller wird
Der entscheidende Stolperstein: Wer ein Produkt unter eigenem Namen oder eigener Marke auf den Markt bringt oder ein bereits in Verkehr gebrachtes Produkt wesentlich verändert, gilt nach dem CRA grundsätzlich als Hersteller — mit den vollen Pflichten nach Art. 13 (grundlegende Anforderungen, Schwachstellen-Management, technische Dokumentation, Konformitätsbewertung, EU-Konformitätserklärung, CE-Kennzeichnung, Meldepflichten). Ein Händler (oder Importeur) kann so unbeabsichtigt in die schwerste Rolle rutschen — etwa durch Umlabeln, Rebranding oder das Aufspielen eigener Firmware. Als allgemeines Prinzip gilt: Sobald Sie ein Produkt inhaltlich mitgestalten oder als Ihr eigenes vermarkten, sind Sie nicht mehr nur Torwächter. Ob eine konkrete Veränderung „wesentlich" ist, ist eine Frage des Einzelfalls.
Pflichten-Checkliste für Händler
Die folgende Checkliste fasst die Sorgfaltspflichten des Händlers nach Art. 20 praktisch zusammen:
- CE-Kennzeichnung prüfen — ist sie am Produkt vorhanden?
- Hersteller- und Importeurpflichten verifizieren — sind die erforderlichen Unterlagen, Anleitungen und Sicherheitsinformationen beigefügt?
- Bei Zweifeln nicht bereitstellen — bei Grund zur Annahme der Nichtkonformität das Produkt nicht auf den Markt geben.
- Lager- und Transportbedingungen sichern — die Konformität während der eigenen Obhut nicht gefährden.
- Korrekturmaßnahmen ergreifen — bei nachträglich erkannter Nichtkonformität mitwirken (Konformität herstellen, ggf. Rücknahme/Rückruf).
- Hersteller über Schwachstellen informieren — Kenntnisse zu Sicherheitslücken weitergeben.
- Marktüberwachungsbehörden über erhebliche Risiken informieren — inklusive Angaben zu Nichtkonformität und Korrekturmaßnahmen.
- Rollenwechsel im Blick behalten — nicht durch Rebranding oder wesentliche Veränderung unbemerkt zum Hersteller werden.
- Prüfschritte dokumentieren — Sorgfalt nachweisbar festhalten, um sie gegenüber den Behörden belegen zu können.
Einordnung: leichter als der Importeur, aber real
Die Händlerrolle ist bewusst leichter ausgestaltet als die des Importeurs — der Händler prüft weniger tief und trägt keine der originären Herstellerpflichten. Aber „leichter" heißt nicht „folgenlos": Die Sorgfaltspflicht, das Bereitstellungsverbot für nicht-konforme Produkte und die Informationspflichten sind echte Kontrollpflichten. Wer sie verletzt, riskiert Maßnahmen der Marktüberwachung und Bußgelder. Wie die Rollen zusammenhängen, zeigt unser Überblick über die CRA-Rollen; die deutlich prüfintensivere Nachbarrolle behandeln wir bei den Importeurpflichten. Ob und in welcher Rolle Ihre Produkte überhaupt betroffen sind, klärt die Betroffenheitsprüfung.
Hinweis: Diese Ausführungen sind allgemeine technisch-organisatorische Information, keine Rechtsberatung im Sinne des Rechtsdienstleistungsgesetzes (RDG). Die Rollenzuordnung und die daraus folgenden Pflichten hängen vom Einzelfall ab und können sich durch Leitlinien der Kommission konkretisieren.
Häufige Fragen
Was schuldet ein Händler unter dem CRA?+
Muss ein Händler die CRA-Konformität eines Produkts selbst nachbewerten?+
Worin unterscheidet sich der Händler vom Importeur unter dem CRA?+
Muss ein Händler auf Lagerung und Transport achten?+
Kann ein Händler durch Rebranding zum Hersteller werden?+
Quellen
- https://eur-lex.europa.eu/eli/reg/2024/2847/oj/eng
- https://digital-strategy.ec.europa.eu/en/policies/cra-summary
- https://www.bsi.bund.de/EN/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/cyber_resilience_act_node.html
- https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=OJ:L_202402847
Diese Inhalte dienen der allgemeinen technischen und organisatorischen Information zum Cyber Resilience Act (Verordnung (EU) 2024/2847) und stellen keine Rechtsberatung dar (keine Rechtsdienstleistung i.S.d. RDG).