Schutz der Grundrechte in Verkleidung?
11/2025
I. Einleitung
Vernetzte Produkte sind bekanntermaßen unsicher. Die zugrunde liegenden Hardware- und Softwarekomponenten sind leichte Ziele für Cyberangriffe. Da solche digitalen Produkte zunehmend miteinander vernetzt sind, kann ein Sicherheitsvorfall ein ganzes Unternehmen oder sogar eine ganze Lieferkette mit dramatischen Auswirkungen beeinträchtigen. Das Versagen des Marktes für vernetzte Produkte, ein optimales Maß an Cybersicherheit zu gewährleisten, ist durch mehrere externe Effekte gekennzeichnet, wie z. B. Trittbrettfahrerverhalten und öffentliche Güter.
Einerseits können Informationsasymmetrien zwischen Anbietern und Käufern zu Marktversagen beitragen, da Verbraucher entweder nicht über das Wissen verfügen, um das Cybersicherheitsniveau der von ihnen gekauften Produkte zu beurteilen, oder keinen Zugang zu solchen Informationen haben; infolgedessen haben Anbieter keinen Anreiz, sicherere Produkte anzubieten, da Käufer sie dafür nicht belohnen würden. Andererseits werden den Herstellern vernetzter Geräte keine angemessenen wirtschaftlichen und/oder rechtlichen Anreize geboten, in Sicherheit zu investieren (z. B. Behebung von Schwachstellen), was zu einem suboptimalen Investitionsniveau führt.
Im Zusammenhang mit dem EU-Binnenmarkt hat die Europäische Kommission insbesondere das Fehlen von Cybersicherheitsanforderungen für IKT-Produkte im Rechtsrahmen (Regulierungslücke) als einen der Hauptgründe für dieses Marktversagen identifiziert. Daher umfasste die EU-Rechtslage im Jahr 2021 keine umfassenden Vorschriften für die Cybersicherheit von Hardware- und Softwareprodukten, insbesondere von „nicht eingebetteter“ Software. Aus diesem Grund hat die EU-Kommission am 15. September 2022 einen Vorschlag für eine Verordnung über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen, den Cyber Resilience Act (im Folgenden „CRA“), vorgelegt. Der CRA trat im Dezember 2024 als Verordnung (EU) 2024/2847 in Kraft. Auf einer höheren Ebene zielt der CRA darauf ab, die beiden Hauptprobleme anzugehen, die die Verwirklichung des Marktes für Cybersicherheit digitaler Produkte behindern: (i) weit verbreitete Schwachstellen von Produkten mit digitalen Elementen und unzureichende Bereitstellung von Sicherheitspatches; und (ii) mangelndes Verständnis und begrenzter Zugang zu Cybersicherheitsinformationen für Nutzer solcher Produkte.
Die CRA baut auf den Grundsätzen und Strukturen des neuen Rechtsrahmens (NLF) auf, d. h. auf der Produktsicherheit. Die harmonisierten Produktsicherheitsvorschriften beschränken sich auf die Festlegung der grundlegenden Anforderungen (ER), die Produkte erfüllen müssen, die im Binnenmarkt bereitgestellt werden. Um nachzuweisen, dass Produkte diese Anforderungen erfüllen, sieht der NLF verschiedene Konformitätsbewertungsverfahren vor, darunter die Anwendung harmonisierter technischer Normen, die von europäischen Normungsorganisationen (ETSI, CEN und CENELEC) entwickelt wurden.
Während die Verordnung (EU) 2024/1689 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (KI-Gesetz) drei Regulierungsansätze der EU, nämlich den risikobasierten Ansatz, den Produktsicherheitsansatz und den rechtebasierten Ansatz, expliziter miteinander verbindet, integriert die CRA prima facie nur den risikobasierten Ansatz – der zum „Standardmodell“ für die Steuerung der EU-Digitalpolitik geworden ist – mit dem Produktsicherheitsansatz. Wie das KI-Gesetz geht auch die CRA davon aus, dass nicht alle Produkte mit digitalen Elementen gleichermaßen kritisch sind. Im Gegensatz zum KI-Gesetz lehnt die CRA jedoch den risikobasierten Ansatz ab, indem sie zwischen den in den Anwendungsbereich fallenden Produkten unterscheidet, vor allem hinsichtlich der Konformitätsbewertungspflichten, denen die Hersteller nachkommen müssen. Daraus folgt, dass alle Produkte, die in den Anwendungsbereich der CRA fallen, die grundlegenden Anforderungen der CRA erfüllen müssen.
Im Vergleich zum KI-Gesetz verfolgt die CRA keinen expliziten und direkten rechtsbasierten Ansatz. In der Begründung der EU-Kommission zum CRA-Vorschlag heißt es jedoch, dass die Verordnung „in gewissem Maße den Schutz der Grundrechte und Grundfreiheiten wie Privatsphäre, Schutz personenbezogener Daten, unternehmerische Freiheit und Schutz von Eigentum oder persönlicher Würde und Integrität verbessern“ würde. In dieser Hinsicht wird die Berücksichtigung der Grundrechte im KI-Gesetz als vergleichender Maßstab für die Analyse herangezogen, da das KI-Gesetz ebenso wie die CRA auf den Grundsätzen und Institutionen der EU im Bereich der Produktsicherheit aufbaut und beide Verordnungen (auch) den Schutz der Grundrechte zum Ziel haben. Das KI-Gesetz findet eine seiner regulatorischen Rechtfertigungen in der Behandlung von Grundrechtsfragen, die durch KI-Systeme aufgeworfen werden. Dennoch tauchen Grundrechte „im Haupttext [des KI-Gesetzes] nur spärlich auf und werden stets von den Gesundheits- und Sicherheitserfordernissen begleitet, die traditionell Gegenstand des EU-Produktsicherheitsrechts sind“. Andererseits finden sich im Haupttext des CRA noch weniger Verweise auf Grundrechte. In dieser Hinsicht verweist die endgültige Fassung des CRA nicht wie das KI-Gesetz auf Risiken für Grundrechte an sich, sondern auf die Einhaltung von Verpflichtungen aus dem Unionsrecht oder dem Recht der Mitgliedstaaten zum Schutz der Grundrechte.
Durch die Darstellung der CRA anhand ihrer Hauptsäulen soll das Papier die regulatorischen Grundentscheidungen beleuchten, die dem Cyber-Resilienzgesetz zugrunde liegen (Abschnitt II). Die normative Analyse berücksichtigt insbesondere, inwieweit die CRA die Grund srechte wahrt, was im Einklang mit anderen Rechtsakten des „digitalen“ Rechts der EU steht (Abschnitt III). Insbesondere werden die CRA und das KI-Gesetz vor dem Hintergrund des Ausmaßes des Grundrechtsschutzes bewertet, den die beiden Rechtsinstrumente bieten, auch wenn die Rechte, die durch Produkte mit digitalen Elementen einerseits und KI-Systeme andererseits beeinträchtigt werden, möglicherweise nicht übereinstimmen. Abschnitt IV enthält abschließend einige Schlussbemerkungen.
II. Verständnis des Regulierungsansatzes des Cyber-Resilienz-Gesetzes
Aus regulatorischer Sicht baut das CRA ähnlich wie das KI-Gesetz auf drei grundlegenden Entscheidungen auf: (1) einem horizontalen Rahmen; (2) einem risikobasierten Ansatz; (3) einem Produktsicherheitsansatz. Während das KI-Gesetz Letzteres durch einen rechtsbasierten Ansatz zur Wahrung der Grundrechte und gesellschaftlichen Werte ergänzt, stellt sich die Frage, inwieweit das CRA Mechanismen einsetzt, um sicherzustellen, dass Produkte mit digitalen Elementen die Grundrechte achten. Angenommen, das ursprüngliche Ziel der Kommission, wie es in der Begründung zum CRA dargelegt ist, würde sich als richtig erweisen. In diesem Fall stellt sich die Frage, ob und inwieweit die Produktsicherheitsmechanismen der CRA geeignet sind, Herausforderungen im Bereich der Grundrechte zu bewältigen. Bevor jedoch auf das „Grundrechtsdilemma“ der CRA eingegangen wird, muss zunächst verstanden werden, wie die drei oben genannten Regulierungsansätze in dieser EU-Produktsicherheitsvorschrift zusammenwirken.
1. Der horizontale Ansatz
Wie in der Einleitung erwähnt, war einer der regulatorischen Treiber für den CRA-Vorschlag der fragmentierte EU-Rechtsrahmen in Bezug auf verbindliche Cybersicherheitsanforderungen für Produkte (mit digitalen Elementen). Daher entschied sich die Kommission für einen horizontalen Regulierungsansatz anstelle einer (weiteren) sektoralen Gesetzgebung, um Rechtssicherheit zu gewährleisten, eine weitere Marktfragmentierung zu vermeiden und den Compliance-Aufwand für Hersteller durch mehrere Rechtsakte zu minimieren.
Dementsprechend führt die CRA objektorientierte und technologieneutrale wesentliche Cybersicherheitsanforderungen ein, die für alle Produkte im Anwendungsbereich gelten. Der breite, sektorübergreifende Anwendungsbereich der Verordnung ist eine direkte Folge dieser horizontalen Grundlage. Die CRA gilt für alle Produkte mit digitalen Elementen (im Folgenden „PDE“), „deren beabsichtigter Verwendungszweck oder deren vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung zu einem Gerät oder Netzwerk umfasst“.
Um den Umfang dieses horizontalen Anwendungsbereichs zu verstehen, muss der Begriff „PDE“ näher erläutert werden. Unter „Produkt mit digitalen Elementen“ fällt jede Hardware und Software, einschließlich der Software, ohne die das Produkt eine seiner Funktionen nicht erfüllen kann (d. h. Lösungen für die Fernverarbeitung von Daten), selbst wenn diese separat in Verkehr gebracht wird. Dennoch müssen nicht alle eigenständigen Softwareprodukte die grundlegenden Anforderungen der CRA erfüllen.
In Erwägungsgrund 11 wird klargestellt, dass Ferndatenverarbeitungslösungen wie Cloud-Lösungen nur insoweit in den Anwendungsbereich der CRA fallen, als sie für die Erfüllung einer der Funktionen eines Produkts erforderlich sind, beispielsweise eine mobile Anwendung, die Zugriff auf eine API oder eine vom Hersteller entwickelte Datenbank benötigt. Somit gilt die Richtlinie (EU) 2022/2555 (NIS2) bereits für Unternehmen, die Cloud-Computing-Dienste und Cloud-Dienstleistungsmodelle wie Software-as-a-Service (SaaS), Platform-as-a-Service (PaaS) oder Infrastructure-as-a-Service (IaaS) anbieten.
In diesem Zusammenhang hat DIGITALEUROPE den EU-Gesetzgeber aufgefordert, das Zusammenspiel zwischen der NIS2 und der CRA zu klären, da viele „Cloud-basierte Softwaretools sowohl der CRA als auch der NIS2 unterliegen werden, obwohl diese unterschiedliche Aspekte des Cybersicherheitsbereichs betreffen“. Aufgrund dieser Forderungen enthält der endgültige Text der CRA eine Bestimmung, wonach die Kommission Leitlinien veröffentlichen muss, um die Umsetzung der CRA durch die Wirtschaftsakteure zu erleichtern und die Kohärenz dieser Umsetzung sicherzustellen. Diese Dokumente sollten insbesondere den Anwendungsbereich der CRA behandeln, „mit besonderem Schwerpunkt auf Lösungen für die Fernverarbeitung von Daten sowie freie und quelloffene Software“.
Darüber hinaus ist eine teilweise Ausnahmeregelung für freie und quelloffene Software (FOSS) vorgesehen, wenn diese nicht auf dem Markt verfügbar ist, d. h. nicht zur Verbreitung oder Nutzung im Rahmen einer gewerblichen Tätigkeit bereitgestellt wird. Die politischen Entscheidungsträger hielten eine Regulierung der Cybersicherheit von FOSS angesichts der jüngsten Angriffe auf die Lieferkette, bei denen Open-Source-Komponenten (z. B. Log4Shell oder XZ Utils) betroffen waren, für notwendig. Um die Entwicklung und den Einsatz von FOSS nicht zu behindern, hat sich der EU-Gesetzgeber für eine „leichte“ Regulierung entschieden, die „weichere“ Verpflichtungen für juristische Personen (Open-Source-Stewards) vorsieht, die die Entwicklung von FOSS für kommerzielle Aktivitäten nachhaltig unterstützen (z. B. Stiftungen, die bestimmte FOSS-Projekte unterstützen, oder Unternehmen, die FOSS für ihren eigenen Gebrauch entwickeln und zur Verfügung stellen oder gemeinnützige Einrichtungen der Zivil , die FOSS in einem geschäftlichen Kontext entwickeln). Trotz dieses „leichten“ Ansatzes befürchtet die FOSS-Gemeinschaft nach wie vor, dass die neuen Vorschriften letztendlich im Widerspruch zu ihrem dezentralen und kooperativen Wesen stehen könnten.
Einige PDE sind dann gänzlich vom Anwendungsbereich der CRA ausgenommen, da die für sie geltenden sektoralen Rechtsakte der Union den Risiken für die Cybersicherheit und Informationssicherheit angemessen Rechnung tragen. Dies gilt für Medizinprodukte und In-vitro-Geräte, Kraftfahrzeuge, Luftfahrtausrüstung, die gemäß der Verordnung (EU) 2018/1139 zertifiziert sind, und Schiffsausrüstung im Anwendungsbereich der Richtlinie 2014/90/EU.
Schließlich gilt die CRA nicht für Ersatzteile, die auf dem Markt bereitgestellt werden, um identische Komponenten in PDEs zu ersetzen, sofern sie gemäß den genauen Spezifikationen hergestellt und PDEs ausschließlich für Zwecke der nationalen Sicherheit oder Verteidigung entwickelt wurden.
2. Der risikobasierte Ansatz
Die CRA basiert auf einem risikobasierten Ansatz, der im Einklang mit den jüngsten EU-Rechtsvorschriften zur Regulierung des digitalen Bereichs steht. Dementsprechend werden Produkte je nach ihrem Cybersicherheitsrisiko in Kategorien eingeteilt. Das Verständnis der CRA von Cybersicherheitsrisiken ist funktional und traditionell zugleich. Es ist funktional, da es sich allgemein und neutral auf „das Potenzial für Verluste oder Störungen durch einen Vorfall“ bezieht und somit genügend Spielraum lässt, um unbeabsichtigte und beabsichtigte Handlungen zu erfassen. Es ist traditionell, da es sich an bewährte Risikobewertungsmethoden anlehnt, bei denen das Risiko als Kombination aus zwei Variablen ausgedrückt wird, nämlich dem Ausmaß der Auswirkungen (d. h. dem Verlust oder der Störung) und der Wahrscheinlichkeit des Eintritts des Vorfalls.
Neben einer „Standardkategorie“ gelten Produkte mit digitalen Elementen als „wichtig“, wenn ihre Kernfunktionalität in Anhang III aufgeführt ist. Der Grund für diese Einstufung liegt in der höheren Schwere der Ausnutzung potenzieller Schwachstellen solcher Produkte aufgrund ihrer Cybersicherheitsfunktionalität oder der Leistung einer Funktion, die ein erhebliches Risiko für nachteilige Auswirkungen in Bezug auf ihre Intensität und ihre Fähigkeit, andere Produkte mit digitalen Elementen oder die Gesundheit, Sicherheit oder den Schutz ihrer Nutzer durch direkte Manipulation zu schädigen, birgt. Diese Produktkategorie wird weiter in zwei Klassen unterteilt, I und II: Produkte der Klasse II weisen ein höheres Cybersicherheitsrisiko auf, da ein Vorfall größere negative Auswirkungen haben könnte.
Die letzte Produktkategorie ist die der „kritischen“ PDEs. Nach dem gleichen Ansatz wie oben sind Produkte mit digitalen Elementen, deren Kernfunktionalität in Anhang IV aufgeführt ist, als kritisch einzustufen. Die Einstufung baut auf den für wichtige Produkte festgelegten Kriterien auf und fügt zwei weitere Bedingungen hinzu: NIS2-wesentliche Unternehmen sind in kritischer Abhängigkeit von der Produktkategorie, und/oder Vorfälle und ausgenutzte Schwachstellen in Bezug auf diese Produktkategorie können zu schwerwiegenden Störungen kritischer Lieferketten auf dem EU-Markt führen.
Die wichtigste normative Auswirkung dieser risikobasierten Taxonomie liegt in den unterschiedlichen Konformitätsbewertungsverfahren, die die Hersteller solcher Produkte befolgen müssen. Wie im nächsten Abschnitt erläutert, müssen wichtige und kritische Produkte mit digitalen Elementen strengeren Konformitätsbewertungsverfahren unterzogen werden als dem internen Kontrollverfahren, d. h. einer Selbstbewertung durch den Hersteller.
In dieser Hinsicht operationalisiert die CRA den risikobasierten Ansatz anders als das KI-Gesetz, wo KI-Systeme, die wie in der CRA nach mehreren Risikostufen klassifiziert sind, mit unterschiedlichen Schutzmaßnahmen verbunden sind, um das Risiko, das sie für geschützte Werte wie Grundrechte, Sicherheit und Demokratie darstellen, auszugleichen. Die CRA widerspricht der Auffassung, dass geringfügige Risiken nur minimale Vorsichtsmaßnahmen erfordern. Denn alle Produkte, die in den Anwendungsbereich der CRA fallen, müssen die in Anhang I festgelegten grundlegenden Anforderungen erfüllen, während die Anforderungen in Abschnitt 2 Kapitel 3 des KI-Gesetzes nur für KI-Systeme mit hohem Risiko gelten.
Ähnlich wie das KI-Gesetz legt die CRA jedoch das Risikoniveau bestimmter Produkte mit digitalen Elementen im Voraus fest, ohne Raum für eine nachträgliche Neubewertung zu lassen, die beispielsweise auf Risikomanagementmaßnahmen gemäß Artikel 35 DSGVO basiert. Darüber hinaus berücksichtigt diese Ex-ante-Festlegung der Risikoniveaus nicht den Kontext, in dem wichtige oder kritische Produkte eingesetzt werden.
Schließlich setzt die CRA Mechanismen ein, um neben Cybersicherheitsrisiken auch andere Risiken zu mindern, wie beispielsweise die archetypischen Risiken für die Produktsicherheit und Gesundheit in der EU, aber auch neuartige Risikokategorien, wie beispielsweise das Risiko der Nichteinhaltung von Verpflichtungen nach Unionsrecht oder nationalem Recht zum Schutz der Grundrechte, der Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die von NIS2-kritischen Einrichtungen über ein elektronisches Informationssystem angeboten werden, oder anderer Aspekte des Schutzes öffentlicher Interessen. In Abschnitt IV wird näher auf das Risiko der Nichteinhaltung von Verpflichtungen im Bereich der Grundrechte eingegangen.
3. Der Produktsicherheitsansatz
Der „Produktsicherheitsansatz“ der EU zielt darauf ab, sicherzustellen, dass Produkte – in diesem Fall Produkte mit digitalen Elementen – sicher sind, bevor sie auf dem Binnenmarkt bereitgestellt werden. Er folgt daher einer Ex-ante-Regulierungslogik, d. h. einer Regulierung vor dem Inverkehrbringen. Kurz gesagt, der EU-Besitzstand im Bereich der Produktsicherheit steht im Einklang mit dem sogenannten „neuen Rechtsrahmen“ (NLF). Der im Juli 2008 verabschiedete NLF besteht aus der Verordnung (EU) Nr. 765/2008, dem Beschluss 768/2008 und der Verordnung (EU) 2019/1020 und reformierte den 1985 entwickelten „Neuen Ansatz“.
Der neue Ansatz ersetzte den alten Ansatz, bei dem die nationalen Behörden sehr präskriptive technische Rechtsvorschriften erließen (und manchmal selbst Konformitätsbescheinigungen ausstellten). Seit den 80er Jahren haben Gesetzgebungsinitiativen, die Rechtsprechung des Gerichtshofs (insbesondere die Rechtssache Cassis de Dijon) sowie die systematische Anwendung des Grundsatzes der gegenseitigen Anerkennung darauf abgezielt, Hindernisse für Produkte auf dem EU-Markt zu beseitigen und den freien Warenverkehr zu fördern. Die neue Gesetzgebungstechnik griff die im Cassis-de-Dijon-Urteil festgelegten Grundsätze auf, insbesondere: (i) Die harmonisierten Rechtsvorschriften beschränken sich auf die Festlegung „wesentlicher Anforderungen“, die Produkte, die in der EU in Verkehr gebracht werden, erfüllen müssen; (ii) harmonisierte technische Normen der EU legen fest, wie Produkte diese Anforderungen aus technischer Sicht erfüllen können; (iii) Produkte, die in Übereinstimmung mit harmonisierten technischen Normen hergestellt wurden (was freiwillig ist), genießen eine Konformitätsvermutung mit den einschlägigen Anforderungen.
Die NLF ergänzte und reformierte den neuen Ansatz unter Berücksichtigung mehrerer Elemente: Akkreditierung, Notifizierung, das Konformitätsbewertungsverfahren (sogenannte „Module“ wurden eingeführt), CE-Kennzeichnung und Marktüberwachung. Um ein Produkt auf dem EU-Markt in Verkehr bringen zu können, müssen Hersteller die Konformität ihrer Produkte mit den entsprechenden grundlegenden Anforderungen durch spezifische Konformitätsbewertungsverfahren nachweisen. Im Einklang mit den Grundsätzen der NLF müssen neben den Herstellern, die verständlicherweise die größten Belastungen im Hinblick auf die Einhaltung der Vorschriften zu tragen haben, auch eine Vielzahl von Akteuren entlang der Lieferkette, von Importeuren und Händlern bis hin zu Bevollmächtigten, bestimmte Vorschriften einhalten.
Da dies mit der NLF im Einklang steht, schreibt die CRA als Voraussetzung für die Bereitstellung von PDEs auf dem EU-Markt vor, dass PDEs die in Teil 1 des Anhangs I festgelegten grundlegenden Anforderungen (ERs) erfüllen müssen und die vom Hersteller eingerichteten Verfahren zur Gewährleistung der Konformität mit den in Teil 2 des Anhangs I festgelegten ERs übereinstimmen müssen.
Um der oben genannten Verpflichtung nachzukommen, müssen Hersteller eine Bewertung der mit dem PDE verbundenen Cybersicherheitsrisiken durchführen. Entsprechend der kontextbezogenen Tradition der Risikomanagementtheorie muss die Bewertung der Cybersicherheitsrisiken „auf dem beabsichtigten Zweck und der vernünftigerweise vorhersehbaren Verwendung sowie den Verwendungsbedingungen des Produkts mit digitalen Elementen, wie der Betriebsumgebung oder den zu schützenden Vermögenswerten, unter Berücksichtigung der voraussichtlichen Nutzungsdauer des Produkts“ basieren. Diese Verpflichtung ist ein klares Beispiel für die Komplementarität des risikobasierten Ansatzes und des Produktsicherheitsansatzes.
Hersteller von PDEs müssen zahlreiche weitere Verpflichtungen erfüllen. So müssen sie beispielsweise bei der Integration von Komponenten von Drittanbietern (einschließlich FOSS) sicherstellen, dass diese Komponenten die Cybersicherheit der PDE nicht beeinträchtigen. Darüber hinaus haben sie verschiedene Dokumentations- (gemäß Artikel 31 und Anhang VII) und Informationspflichten, Verpflichtungen zum Umgang mit Schwachstellen gemäß den in Anhang I Teil 2 festgelegten Grundregeln sowie Kooperationspflichten.
Insbesondere müssen Hersteller auch zwei Arten von Meldepflichten erfüllen. Im ersten Fall, wenn ein Hersteller eine Schwachstelle in einer in die PDE integrierten Komponente feststellt, meldet er die Schwachstelle der Person oder Stelle, die die Komponente herstellt oder wartet, und wenn er einen Patch entwickelt, muss er den entsprechenden Code an diese Stelle weitergeben. Diese Bestimmung wurde im Laufe des Gesetzgebungsverfahrens hinzugefügt und ist zu begrüßen, da sie (rechtliche) Anreize für die Zusammenarbeit zwischen den Interessenträgern schafft, um ein hohes Maß an Widerstandsfähigkeit zu gewährleisten. Im zweiten Fall melden die Hersteller der zuständigen nationalen Marktüberwachungsbehörde und der ENISA die ausgenutzten Schwachstellen und schwerwiegenden Vorfälle, die sich auf die Sicherheit der PDE auswirken.
Wichtig ist, dass die Anforderungen und Verpflichtungen der CRA einen traditionelleren Ansatz „by design“, der mittlerweile fest in der EU-Cybersicherheitsvorschriften verankert ist, mit einem Lebenszyklusansatz kombinieren, der kein Merkmal der EU-Produktsicherheitsvorschriften ist: Cybersicherheit kann nicht (mehr) eine nachträgliche Überlegung sein, sondern muss während des gesamten Lebenszyklus eines Produkts ernst genommen werden. In dieser Hinsicht führt die CRA implizit eine Art „Rechenschaftspflichtprinzip“ ein, da die Hersteller selbst die Unterstützungsdauer für jedes PDE anhand mehrerer Kriterien festlegen müssen und auf Anfrage den Marktbehörden die Faktoren mitteilen müssen, die bei der Festlegung dieser Dauer berücksichtigt wurden.
Der letzte Schritt, den Hersteller vor dem Inverkehrbringen unternehmen müssen, ist der Nachweis der Konformität mit den grundlegenden Anforderungen der CRA durch ein spezifisches Konformitätsbewertungsverfahren. Schließlich erstellen die Hersteller eine EU-Konformitätserklärung, in der sie bestätigen, dass die Erfüllung der ER nachgewiesen wurde, und bringen die CE-Kennzeichnung an, die die Konformität eines Produkts bescheinigt.
Die Konformitätsbewertung ist einer der Eckpfeiler der NLF-Reform. Im spezifischen Kontext der CRA ist die risikobasierte Taxonomie der PDEs (d. h. Standard, wichtig Klasse I und II, kritisch und FOSS) vor allem für die verschiedenen NLF-Verfahren relevant, die Hersteller befolgen können oder müssen, um die Einhaltung der ER nachzuweisen. Für die Kategorie „Standard“ – die nach Angaben der Kommission den Großteil der PDEs abdecken sollte – können Hersteller entweder eine Selbstbewertung (d. h. ein internes Kontrollverfahren auf der Grundlage von Modul A der Entscheidung Nr. 768/2008/EG) oder ein strengeres Verfahren unter Einbeziehung eines Dritten (z. B. EU-Baumusterprüfverfahren, vollständige Qualitätssicherung oder, falls verfügbar, ein EU-Cybersicherheitszertifizierungssystem) wählen.
Bei wichtigen PDEs der Klasse I ist eine Selbstbewertung weiterhin zulässig, jedoch sind zusätzliche Sicherheitsvorkehrungen erforderlich: Die Hersteller müssen alternativ harmonisierte technische Normen, gemeinsame Spezifikationen oder europäische Cybersicherheits-Zertifizierungssysteme anwenden. Andernfalls muss die wichtige PDE der Klasse I einer Bewertung durch Dritte unterzogen werden. Bei wichtigen und kritischen PDEs der Klasse II ist eine Selbstbewertung ausgeschlossen, selbst wenn die PDE ganz oder teilweise harmonisierten Normen, technischen Spezifikationen oder EU-Cybersicherheits-Zertifizierungssystemen entspricht. Die einzige Ausnahme gilt für wichtige PDEs, die als FOSS gelten: Hersteller können das interne Kontrollverfahren auf der Grundlage von Modul A anwenden, sofern sie die technische Dokumentation der Öffentlichkeit zugänglich machen. Der Grund für diese regulatorische Entscheidung liegt im Transparenzparadigma der Open Source: Jeder (der technisch versiert genug ist) kann den Sicherheitsgrad der Software überprüfen.
III. Das Gesetz über Cyberresilienz und der Schutz der Grundrechte: Welche Instrumente in wessen Händen?
Nach Prüfung des Regulierungsmodells der CRA, das einen horizontalen, risikobasierten und produktsicherheitsorientierten Ansatz kombiniert, ist es an der Zeit, zu untersuchen, inwieweit die Verordnung den Schutz der Grundrechte verbessert, wie dies in der Begründung der EU-Kommission zum CRA-Vorschlag gefordert wird. Wie bereits dargelegt, umfassen die CRA-Verpflichtungen und wesentlichen Anforderungen keine Mechanismen, die gewährleisten, dass PDEs die Grundrechte achten, im Gegensatz zum KI-Gesetz, bei dem der rechtsbasierte Ansatz in diesem atypischen Produktsicherheitsinstrument durchgängig zum Tragen kommt, angefangen bei der während der Trilog-Verhandlungen hinzugefügten Rechtsgrundlage zur Regelung des Schutzes personenbezogener Daten gemäß Artikel 16 AEUV, obwohl es nicht die erste NLF-Verordnung ist, die den Schutz der Grundrechte verankert.
Kurz gesagt, Artikel 1 des KI-Gesetzes stellt von vornherein klar, dass die Verordnung einerseits darauf abzielt, das Funktionieren des Binnenmarkts zu verbessern und die Einführung einer menschenzentrierten und vertrauenswürdigen künstlichen Intelligenz (KI) zu fördern, und andererseits ein hohes Schutzniveau für Gesundheit, Sicherheit und die in der Charta verankerten Grundrechte zu gewährleisten. Die nachteiligen Auswirkungen auf die Grundrechte sind dann eines der Kriterien, die die Kommission bei der Änderung der Taxonomie der in Anhang III des KI-Gesetzes aufgeführten KI-Systeme mit hohem Risiko zu berücksichtigen hat. Darüber hinaus berücksichtigen verschiedene wesentliche Anforderungen an KI-Systeme mit hohem Risiko die Risiken für die Grundrechte, und für bestimmte Betreiber ist eine Verpflichtung zur Durchführung einer Grundrechte-Folgenabschätzung für KI-Systeme mit hohem Risiko vorgesehen. Schließlich kann die Kommission bestimmte KI-Systeme mit hohem Risiko einer Konformitätsbewertung durch Dritte unterziehen, wobei sie die Wirksamkeit der Selbstbewertung (internes Kontrollverfahren) zur Minimierung der Risiken für die Grundrechte berücksichtigt.
Die CRA enthält hingegen kaum Verweise auf Grundrechte. Und die wenigen, die es gibt, beziehen sich nur auf Durchsetzungsverfahren. Produkte mit digitalen Elementen können Risiken für Grundrechte darstellen, obwohl sie den grundlegenden Anforderungen der CRA entsprechen. So können beispielsweise das Recht auf Privatsphäre (Artikel 7 der EU-Grundrechtecharta, GRCh) und der Schutz personenbezogener Daten (Artikel 8 GRCh) durch Produkte des Bereichs „Sicherheitsinformations- und Ereignismanagement“ (SIEM) beeinträchtigt werden, die unter die Klasse I „Wichtige Produkte“ der CRA fallen, da sie große Datenmengen, darunter möglicherweise auch personenbezogene Daten, verarbeiten müssen, um anomale Situationen zu erkennen und Angriffe zu verhindern. Darüber hinaus könnte das Recht der Eltern auf Bildung (Artikel 14 GRCh) durch wertbehaftete KI-generierte Inhalte von vernetzten Spielzeugen beeinträchtigt werden, die in den Anwendungsbereich der CRA fallen. Insgesamt müssen angesichts des breiten horizontalen Anwendungsbereichs der CRA (Abschnitt II, 1) die meisten kommerziellen Produkte, die in sehr unterschiedlichen Sektoren eingesetzt werden können, den Anforderungen der CRA entsprechen. Die Auswirkungen v en auf die Grundrechte sind erheblich. Daher hängt die Beurteilung, welche Grundrechte betroffen sind, letztlich vom Kontext, in dem diese Produkte eingesetzt werden, und vom spezifischen Anwendungsbereich ab.
Vor diesem Hintergrund sollen in diesem Abschnitt die in Kapitel V der CRA festgelegten Durchsetzungsmechanismen erläutert werden, um den Umfang des Schutzes der Grundrechte durch die CRA-Bestimmungen zu bewerten. Was die private Durchsetzung betrifft, so hat die endgültige Fassung der CRA den Verbraucherschutz gegenüber dem Vorschlag der Kommission, der in dieser Hinsicht stark kritisiert wurde, verbessert. Einerseits sind die Marktüberwachungsbehörden verpflichtet, die Verbraucher darüber zu informieren, wo sie Beschwerden über Verstöße gegen die CRA einreichen können, andererseits sieht die CRA kein autonomes individuelles Recht vor, bei diesen Behörden Beschwerde einzulegen, wie dies in Artikel 85 des KI-Gesetzes der Fall ist. Darüber hinaus enthält die endgültige Fassung der Verordnung eine Änderung der Richtlinie (EU) 2020/1828 über repräsentative Verfahren (RAD). Demnach gilt die RAD für kollektive Rechtsbehelfsmechanismen bei Verstößen gegen die CRA, die die kollektiven Interessen der Verbraucher beeinträchtigen können.
Darüber hinaus ist das Zusammenspiel zwischen der überarbeiteten Produkthaftungsrichtlinie (PLD) und der CRA zu berücksichtigen. Erstere betrachtet ein Produkt als fehlerhaft, wenn es unter anderem nicht die sicherheitsrelevanten Cybersicherheitsanforderungen erfüllt. Diese Anforderungen sind in der CRA enthalten. Mit anderen Worten: Wenn Schäden aufgrund mangelnder Sicherheit eines PDE entstehen und diese mangelnde Sicherheit in fehlenden Sicherheitsupdates besteht, können Verbraucher die Hersteller gemäß der überarbeiteten PLD haftbar machen. Allerdings stehen Verbrauchern keine Rechtsbehelfe zur Verfügung, um eine Verletzung ihrer Grundrechte aufgrund eines Verstoßes gegen die CRA geltend zu machen.
Im Hinblick auf die öffentliche Durchsetzung steht die CRA im Einklang mit dem NLF, insbesondere mit der Verordnung (EU) 2019/1020 über die Marktüberwachung. Die nationalen Marktüberwachungsbehörden führen eine Bewertung eines PDE hinsichtlich seiner Konformität mit den Anforderungen der CRA durch, wenn sie ausreichende Gründe (z. B. durch Beschwerden von Verbrauchern) zu der Annahme haben, dass es ein erhebliches Cybersicherheitsrisiko darstellt, wobei bei der Feststellung auch nichttechnische Risikofaktoren zu berücksichtigen sind.
Wenn die PDE den einschlägigen Anforderungen nicht entspricht, kann die Behörde Korrektur- oder Beschränkungsmaßnahmen vorschreiben, einschließlich der Anpassung der PDE an diese Anforderungen und ihrer Rücknahme oder Rückruf vom Markt. In solchen Fällen unterrichtet die Behörde die Kommission und die anderen nationalen Marktüberwachungsbehörden, die gegen diese Maßnahmen Einspruch erheben können. Werden keine Einwände erhoben, gelten die Maßnahmen als gerechtfertigt; andernfalls wird ein spezifisches Unionsschutzverfahren eingeleitet. Im Hinblick auf die Zusammenarbeit können die Marktüberwachungsbehörden gemeinsame Maßnahmen in Bezug auf bestimmte PDEs durchführen und gleichzeitig koordinierte Kontrollmaßnahmen („Sweeps“) durchführen, um die Einhaltung der CRA zu überprüfen.
Wichtig ist, dass die Kommission befugt ist, das Durchsetzungsverfahren einzuleiten, indem sie die zuständige Behörde darüber informiert, dass eine PDE wahrscheinlich nicht den Anforderungen der CRA entspricht. Ergreift die zuständige Behörde keine wirksamen Maßnahmen und hat die Kommission Grund zu der Annahme, dass die PDE weiterhin nicht konform ist, führt die Kommission nur in Fällen, die ein sofortiges Eingreifen zur Aufrechterhaltung des reibungslosen Funktionierens des Binnenmarkts rechtfertigen, eine Konformitätsbewertung durch, gegebenenfalls mit Unterstützung der ENISA. Nach dieser Bewertung kann die Kommission nach Konsultation der Mitgliedstaaten und der betroffenen Wirtschaftsakteure auf Unionsebene Korrektur- oder Beschränkungsmaßnahmen verhängen.
Ein Produkt mit digitalen Elementen kann trotz Einhaltung der CRA dennoch ein erhebliches Cybersicherheitsrisiko oder andere Risiken darstellen, wie beispielsweise (i) für die Gesundheit oder Sicherheit von Personen; (ii) für die Einhaltung von Verpflichtungen aus dem Unionsrecht oder dem Recht der Mitgliedstaaten zum Schutz der Grundrechte [Hervorhebung hinzugefügt]; (iii) die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die von NIS2-kritischen Einrichtungen über ein elektronisches Informationssystem angeboten werden; oder (iv) andere Aspekte des Schutzes öffentlicher Interessen.
Sollte eine nationale Marktüberwachungsbehörde nach einer Bewertung (siehe oben) zu dem Schluss kommen, dass dies der Fall ist, verpflichtet sie den Hersteller, alle geeigneten Maßnahmen zu ergreifen, um sicherzustellen, dass das Produkt diese Risiken nicht mehr aufweist, oder das Produkt vom Markt zu nehmen oder zurückzurufen. Wie im „Standardverfahren“ auf nationaler Ebene unterrichtet die Behörde die Kommission und die anderen Mitgliedstaaten unverzüglich über die getroffenen Maßnahmen. Die Kommission konsultiert dann die Mitgliedstaaten und den betreffenden Wirtschaftsakteur, um zu entscheiden, ob die Maßnahme gerechtfertigt ist.
Wie im Verfahren auf Unionsebene kann die Kommission die Bewertung durch die zuständige Marktüberwachungsbehörde einleiten, wenn sie der Auffassung ist, dass ein PDE die oben genannten Risiken birgt. Auch dieses Verfahren sieht die Möglichkeit vor, dass die Kommission mit Unterstützung der ENISA die Risikobewertung von den nationalen Behörden übernimmt, sofern a) außergewöhnliche Umstände ein sofortiges Eingreifen zur Aufrechterhaltung des ordnungsgemäßen Funktionierens des EU-Marktes rechtfertigen; b) die zuständige nationale Behörde keine wirksamen Maßnahmen ergriffen hat; c) die Kommission hinreichende Gründe für die Annahme hat, dass die PDE weiterhin Risiken für diese Grundwerte darstellt; d) sie die zuständigen Marktüberwachungsbehörden entsprechend unterrichtet. Die Kommission kann dann auf Unionsebene eine Abhilfemaßnahme oder eine restriktive Maßnahme erlassen.
1. Verfahrensrechtliche Herausforderungen
Um die Bedeutung der Grundrechte für die Durchsetzungsmechanismen der CRA zu verstehen, muss sich die Analyse auf das oben beschriebene Verfahren nach Artikel 57 CRA konzentrieren, d. h. auf Beschwerden über PDE, die dennoch erhebliche Risiken darstellen. Aus verfahrensrechtlicher Sicht ist die CRA überraschend knapp gefasst. Dies wirft eine Reihe wichtiger Fragen auf. Wie viel Zeit muss zwischen der Unterrichtung der zuständigen Marktüberwachungsbehörde durch die Kommission und ihrer Untätigkeit vor der Übernahme durch die Kommission verstreichen? Welche außergewöhnlichen Umstände rechtfertigen ein sofortiges Eingreifen der Kommission?
Es ist daher unklar, wann die Kommission in Situationen, in denen vorläufige Feststellungen nicht mit der CRA im Einklang stehen oder zwar im Einklang stehen, aber dennoch ein erhebliches Cybersicherheitsrisiko oder andere Risiken für Grundwerte darstellen, tatsächlich die Zuständigkeit der nationalen Marktüberwachungsbehörden übernehmen kann. Vor dem Hintergrund eines weit verbreiteten Mangels an Personal und finanziellen Ressourcen der Marktüberwachungsbehörden auf Unionsebene ist es nicht abwegig, dass eine langsame Durchsetzung eher die Regel als die Ausnahme sein wird. Das Fehlen von Fristen ist umso erstaunlicher, wenn man diese Verfahren mit dem Schutzklauselverfahren der Union gemäß Artikel 55 CRA vergleicht. In diesem Fall entscheidet die Kommission innerhalb einer bestimmten Frist (d. h. neun Monate nach der Mitteilung der zuständigen Behörde), ob die von den nationalen Behörden getroffenen Abhilfemaßnahmen oder Beschränkungen gerechtfertigt sind oder nicht.
Darüber hinaus sehen andere Rechtsakte im „Digitalrecht“ der EU Szenarien vor, in denen unter bestimmten Voraussetzungen eine Übertragung von Durchsetzungsbefugnissen von der nationalen auf die Kommissionsebene erfolgt. Die Verordnung (EU) 2022/2065 (Digital Services Act) legt jedoch genaue Fristen für diese Verweisung fest. Insgesamt würde die vage Formulierung der CRA der Kommission potenziell einen Freibrief einräumen, die unter Berufung auf die Außergewöhnlichkeit der Umstände selbst entscheiden könnte, welche PDEs ihren Dienststellen zur Prüfung vorgelegt werden.
In diesem Zusammenhang verdeutlicht Erwägungsgrund 113 der CRA zwar die Bedeutung des Begriffs „außergewöhnliche Umstände“, verweist jedoch nur auf scheinbar weniger problematische Notfälle, in denen nicht konforme Produkte vom Hersteller in mehreren Mitgliedstaaten in großem Umfang angeboten oder in Schlüsselbereichen von NIS2-Einrichtungen verwendet werden, obwohl sie bekannte Schwachstellen aufweisen, die von böswilligen Akteuren ausgenutzt werden und für die der Hersteller keine Patches zur Verfügung stellt. Ungeachtet dessen enthält weder Artikel 57 noch die entsprechenden Erwägungsgründe Hinweise auf Kriterien, anhand derer im Falle von Beschwerden über PDEs festgestellt werden kann, was unter außergewöhnlichen Umständen zu verstehen ist.
Eine mögliche Lösung für die Frage, welche Kriterien bei der Feststellung der Außergewöhnlichkeit von Umständen zu berücksichtigen sind, könnte die Schwere des Risikos sein, das von dem (konformen) Produkt ausgeht. Dieses Argument ergibt sich aus der Auslegung von Erwägungsgrund 113 CRA, wonach die Außergewöhnlichkeit mit einer grenzüberschreitenden Auswirkung oder dem kritischen Kontext, in dem das Produkt verwendet wird, verbunden ist.
Aus vergleichender Sicht kann auf das KI-Gesetz zurückgegriffen werden, um relevante „regulatorische Geschwister“, d. h. „Rechtsvorschriften, die eine auffällige terminologische Ähnlichkeit, wenn nicht sogar eine identische Form aufweisen“, kritisch zu reflektieren. Insbesondere Artikel 82 des KI-Gesetzes, der (verfahrensrechtliche) Durchsetzungsvorschriften für konforme KI-Systeme festlegt, die ein Risiko darstellen, ist das regulatorische Pendant zu Artikel 57 CRA. Im Falle des KI-Gesetzes ist die Kommission jedoch nicht befugt, die zuständige Behörde aufzufordern, ein konformes KI-System zu bewerten oder eine Bewertung durchzuführen, wie dies im CRA der Fall ist.
Die oben angesprochenen Unklarheiten lassen ein Bild der Rechtsunsicherheit erkennen, das letztlich der Kommission erhebliche Befugnisse einräumt. In diesem Zusammenhang können die jüngsten Entwicklungen im EU-Produktsicherheitsrecht, insbesondere die CRA, das KI-Gesetz und die allgemeine Produktsicherheitsverordnung, oder im digitalen Binnenmarkt (z. B. das Gesetz über digitale Dienste und das Gesetz über digitale Märkte) als wichtige Schritte in einem laufenden Paradigmenwechsel angesehen werden, in dem Durchsetzungsbefugnisse, die einst ausschließlich den nationalen Behörden vorbehalten waren, durch eine Zentralisierung bei der Kommission zunehmend an Bedeutung für die Union gewinnen.
2. Inhaltliche Herausforderungen
Wie oben dargelegt, sind in Artikel 57 neben erheblichen Cybersicherheitsrisiken mehrere andere Risiken aufgeführt, die von Wirtschaftsakteuren zu bewältigen sind, wenn sie von ihren Produkten ausgehen. Während die Gefahr für die Gesundheit oder Sicherheit von Personen das Kernstück der EU-Produktsicherheitsvorschriften bildet, verdienen die drei übrigen Kategorien, d. h. (i) die Gefahr der Nichteinhaltung von Verpflichtungen zum Schutz der Grundrechte; (ii) die Verfügbarkeit, Authentizität, Integrität oder Vertraulichkeit von Diensten, die von NIS2-Einrichtungen angeboten werden, oder (iii) andere Aspekte des Schutzes öffentlicher Interessen, verdienen jedoch mehr Aufmerksamkeit. Während die letzte Risikokategorie bereits als letztlich zu vage und zu weit gefasste offene Klausel kritisiert wurde, konzentriert sich die Analyse für die Zwecke dieses Papiers nur auf das Risiko der Einhaltung von Grundrechtsverpflichtungen.
Die zentrale Forschungsfrage, die der rechtlichen Analyse zugrunde lag, war, inwieweit die CRA den Schutz der Grundrechte verbessern könnte. Eine genauere Betrachtung der oben genannten Bestimmung zeigt, wie die CRA die Grundrechte wahrt und wie folglich das „Risiko für Rechte“ in diesem EU-Rechtsakt operationalisiert wird. Das Risiko besteht nicht für die Grundrechte an sich, sondern für die Einhaltung von Verpflichtungen zum Schutz der Grundrechte. Im ersten Szenario liegt der Schwerpunkt eher auf der Verletzung des Wesens des Rechts, im zweiten Szenario hingegen ist das Risiko etwas spezifischer, nämlich in Bezug auf die Einhaltung einer Norm zweiter Ebene, die ein Grundrecht umsetzt. Es stellt sich die Frage, ob der Unterschied zwischen den beiden Ansätzen lediglich semantischer Natur oder, wenn auch subtil, doch wesentlich ist. Mit anderen Worten: Muss die Beurteilung, dass das Recht eine Änderung erfordert, vollständig geändert werden?
Dies ist ein wesentlicher Unterschied zum „regulatorischen Pendant“ des KI-Gesetzes. Artikel 82 des KI-Gesetzes verpflichtet die Marktüberwachungsbehörden, den betreffenden Wirtschaftsakteur zu verpflichten, alle geeigneten Maßnahmen zu ergreifen, um sicherzustellen, dass das risikoreiche KI-System, obwohl es dem Gesetz entspricht, keine Gefahr für die Grundrechte mehr darstellt. Und nicht auf die Einhaltung der Grundrechtsverpflichtungen. Ein solcher Ansatz steht im Einklang mit der rechtsbasierten Regulierungsgrundlage des KI-Gesetzes, auch wenn die Entscheidung, den Schutz der Grundrechte im Kontext der KI durch den Rückgriff auf Produktsicherheitsmaßnahmen zu erreichen, viel Kritik hervorgerufen hat.
Hier liegt der Kernpunkt der CRA. Der CRA-Vorschlag der Kommission war daher eher zweideutig, da in Erwägungsgrund 59 auf Risiken für Grundrechte (wie im KI-Gesetz) Bezug genommen wurde, während Artikel 46 bereits in seiner endgültigen Fassung vorlag, d. h. Risiken für die Einhaltung von Verpflichtungen aus dem Unionsrecht oder dem nationalen Recht zum Schutz der Grundrechte.
Im ersten oben genannten Szenario müsste die zuständige Behörde oder die Kommission eine kontextbezogene und fachkundige Grundrechtefolgenabschätzung durchführen, um festzustellen, ob eine bestimmte PDE ein Risiko für bestimmte Rechte und Freiheiten darstellt. Da Rechte und Freiheiten nicht leicht quantifizierbar sind, müssen ihnen bei diesen Bewertungen in der Regel Werte zugewiesen werden. Diese Tätigkeit erfordert komplexe Auslegungsüberlegungen, gute Kenntnisse der einschlägigen Rechtsquellen und der Rechtsprechung und schließlich normative Urteile.
Im zweiten Szenario hingegen muss die zuständige Behörde – oder die Kommission – „nur“ überprüfen, ob eine bestimmte PDE einer Reihe von Verpflichtungen zur Gewährleistung der Grundrechte entspricht. Auf den ersten Blick könnte das Ergebnis einer solchen Prüfung binär sein: Eine Verpflichtung wird entweder eingehalten oder verletzt. Eine derart unflexible Auslegung der Einhaltung scheint jedoch im Widerspruch zum Grundgedanken des Risikos zu stehen, das von Natur aus skalierbar und granular ist. Im Bereich des Datenschutzes schlug Gellert vor, das „Risiko für Grundrechte“ der DSGVO als „Risiko der Nichteinhaltung der DSGVO“ zu betrachten: „Je geringer die Einhaltung, desto höher sind die potenziellen Verletzungen der Grundrechte der betroffenen Personen. Umgekehrt signalisiert ein niedriges Compliance-Niveau die wahrscheinliche Verletzung der Rechte und Freiheiten der betroffenen Person, während die Gewährleistung der Rechte und Freiheiten durch die Verarbeitung zu einem höheren Compliance-Niveau beiträgt.”
Vor diesem Hintergrund wird auch die Konformitätsprüfung normative, qualitative und/oder quantitative, kontextbezogene Bewertungen umfassen, die von der jeweils geprüften spezifischen Verpflichtung abhängen. Produkte mit digitalen Elementen des täglichen Gebrauchs, die in den Anwendungsbereich der CRA fallen, wie intelligente Kameras, Alarmsysteme, Fitness-Tracker, Headsets usw., sammeln, verarbeiten und geben im Laufe der Zeit eine erhebliche Menge an personenbezogenen und sensiblen Daten der Nutzer weiter (z. B. Position, Temperatur, Blutdruck, Herzfrequenz). Im Rahmen der CRA wird eine PDE anhand ihres Grades der Einhaltung beispielsweise der folgenden Grundsätze der DSGVO bewertet den Grundsätzen der DSGVO für die Verarbeitung personenbezogener Daten, wie z. B. der Datenminimierung – die, wenig überraschend, die einzige datenschutzbezogene wesentliche Anforderung der CRA ist – sowie den Rechten der betroffenen Personen, z. B. dem Recht auf Löschung, das gefährdet sein könnte, wenn die PDE dem Endnutzer nicht die Möglichkeit bietet, alle ihn betreffenden personenbezogenen Daten vom Gerät zu löschen.
Aber verbessert und ergänzt Artikel 57 CRA wirklich die bestehenden EU- oder nationalen Rechtsvorschriften zum Schutz der Grundrechte und Grundfreiheiten, wie z. B. die Verordnung (EU) 2016/679 (DSGVO)? Die Antwort lautet ja. Datenschutzaufsichtsbehörden verfügen nicht über die gleichen Durchsetzungsbefugnisse wie Marktüberwachungsbehörden bei Verstößen gegen die DSGVO, obwohl einige argumentieren könnten, dass die Abhilfemaßnahme einer endgültigen Einschränkung der Verarbeitung gemäß Artikel 58 Absatz 2 Buchstabe f DSGVO, die im Wesentlichen einem Verbot gleichkommt, ähnliche Auswirkungen hat wie die strengsten Abhilfemaßnahmen der Marktüberwachungsbehörden gemäß den EU-Produktsicherheitsvorschriften. Aufgrund des Zusammenspiels zwischen der DSGVO und der CRA können nationale Marktüberwachungsbehörden oder die Kommission jedoch in Fällen, in denen eine PDE zwar mit der CRA konform ist, aber dennoch ein Risiko für die Einhaltung der DSGVO-Verpflichtungen darstellt, dieselben Maßnahmen ergreifen, die die Behörde gegenüber nicht konformen Produkten durchsetzen kann. Dies kann sogar so weit gehen, dass die Rücknahme der PDE aus dem Binnenmarkt verlangt wird. Mit anderen Worten: Wenn ein PDE, das in den Anwendungsbereich der CRA fällt, keine Garantien zum Schutz der Privatsphäre und der personenbezogenen Daten der Nutzer bietet, kann es den Produktsicherheitsbefugnissen der Kommission (oder der nationalen Behörden) unterliegen.
Ungeachtet dessen scheinen die Marktüberwachungsbehörden aufgrund der langjährigen Erfahrung der Datenschutzbehörden in diesem Bereich nicht gut geeignet zu sein, diese wertebasierten Regulierungsbewertungen durchzuführen. Angesichts des chronischen Personalmangels und der unzureichenden Finanzierung sowie der unklaren Verfahren ist es zudem wahrscheinlich, dass die mangelnde Bereitschaft einer Behörde, ein Durchsetzungsverfahren einzuleiten, der Kommission die Möglichkeit gibt, auf der Grundlage rein qualitativer Bewertungen strenge restriktive und korrigierende Maßnahmen zu ergreifen. Vor dem Hintergrund der Relevanz nichttechnischer Faktoren (geopolitische Faktoren wie unzulässige Einflussnahme eines Drittstaats auf Lieferanten) für die Bestimmung der Bedeutung von Cybersicherheitsrisiken besteht das zugrunde liegende Risiko darin, Grundrechte für politische Zwecke zu instrumentalisieren.
IV. Schlussfolgerung
Obwohl die CRA in der Literatur nur wenig Beachtung findet, insbesondere im Vergleich zum KI-Gesetz, das jedoch einen deutlich engeren Anwendungsbereich hat, verfügt sie über alles, was sie braucht, um die neue „DSGVO“ zu werden, was ihr Potenzial zur Beeinflussung und „Revolutionierung“ des von ihr regulierten Marktes angeht. Vor diesem Hintergrund befasste sich dieser Artikel mit dem Rechtsrahmen der CRA, insbesondere mit der Frage, inwieweit diese EU-Produktsicherheitsvorschrift den Schutz der Grundrechte verbessern würde, wie dies von der Kommission in der Begründung zum Vorschlag behauptet wird.
Die rechtliche Analyse hob die der CRA zugrunde liegenden Regulierungsansätze hervor (d. h. den horizontalen, risikobasierten und produktsicherheitsorientierten Ansatz) und verglich die identifizierten grundlegenden Entscheidungen mit denen des KI-Gesetzes. Beide Vorschriften stützen sich auf die Grundsätze des EU-Produktsicherheitsrechts und zielen auf den Schutz der Grundrechte ab, wenn auch durch unterschiedliche Mechanismen und, wie gezeigt, mit unterschiedlichen Ergebnissen. Der auffälligste Unterschied zwischen den beiden Vorschriften liegt daher in der Umsetzung der Institutionen zum Schutz der Grundrechte. Während sich das KI-Gesetz ausdrücklich auf einen rechtsbasierten Ansatz stützt, was auch durch seine Rechtsgrundlage in Artikel 16 AEUV belegt wird, sieht die CRA spezifische Mechanismen vor, insbesondere in Bezug auf Durchsetzungsverfahren, die es der EU-Kommission unter bestimmten Voraussetzungen ermöglichen, diese Rechtsvorschrift zu nutzen, um die Durchsetzung anderer EU-Rechtsakte zum Schutz der Grundrechte, wie unter anderem die DSGVO, zu stärken. Eine weitere und weniger offensichtliche Auswirkung des oben analysierten Durchsetzungsverfahrens ist die potenzielle „Instrumentalisierung“ der Grundrechte durch die Kommission zur Regulierung des Marktes und damit zur Erreichung „politischer“ Ziele, da die jüngsten Entwicklungen im EU-Cybersicherheitsrecht zeigen, dass nichttechnische Risikofaktoren bei der Bewertung des Cybersicherheitsrisikos zunehmend an Bedeutung gewinnen.
Zur einfacheren Lesbarkeit wurden die Literatur- und Quellverweise entfernt.
Übersetzung Boris Wanzeck, Swiss Infosec AG
Pier Giorgio Chiara in European Journal of Risk Regulation, Cambridge University Press, 2025
https://doi.org/10.1017/err.2025.9
https://creativecommons.org/licenses/by/4.0
Ganzheitliche Cybersecurity – praxisnah, rechtskonform und auf Ihre Unternehmens-Risiken abgestimmt.
Kontaktieren Sie uns und erfahren Sie in einem unverbindlichen Beratungsgespräch, was unsere Spezialistinnen und Spezialisten für Sie tun können: +41 41 984 12 12, infosec@infosec.ch