Was ist ein "Produkt mit digitalen Elementen" im Rahmen des CRA?
What is a "product with digital elements" in the scope of the CRA?
Antwort:
Der Begriff „Produkt mit digitalen Elementen“ ist ein Rechtsbegriff, der in Art. 3 (1) CRA definiert ist als:
„ein Software- oder Hardwareprodukt und dessen Datenfernverarbeitungslösungen, einschließlich Software- oder Hardwarekomponenten, die getrennt in den Verkehr gebracht werden;“.
Um diesen Begriff zu verstehen, ist es hilfreich, sich den Zweck des CRA anzusehen. Dieser besteht darin, dass “ein hohes Niveau an Cybersicherheit von Produkten mit digitalen Elementen und ihren integrierten Datenfernverarbeitungslösungen sichergestellt werden” soll (vgl. Erwägungsgrund 11 CRA). Daher ist ein „Produkt mit digitalen Elementen“ im Allgemeinen sehr weit zu verstehen. Es umfasst Software, Hardware, Embedded-Systeme sowie eigenständige Software und deren Komponenten, unabhängig davon, ob sie als einzelne Komponente oder als Teil eines Produkts bereitgestellt werden.
Oft wird missverstanden, dass nur Software oder Hardware MIT Datenfernverarbeitungslösungen unter den CRA fallen (vgl. Erwägungsgrund 11 CRA: „Solche Datenfernverarbeitungslösungen sollten als entfernt stattfindende Datenverarbeitung definiert werden, für die eine Software vom Hersteller des Produkts mit digitalen Elementen selbst oder unter dessen Verantwortung konzipiert und entwickelt wird und ohne die das Produkt mit digitalen Elementen eine seiner Funktionen nicht erfüllen könnte.“). Dies ist jedoch nicht der Fall. Die Definition besagt lediglich, dass Software oder Hardware UND deren Datenfernverarbeitungslösungen erfasst sind. Das bedeutet, dass, wenn eine Software oder Hardware unter den CRA fällt, dies auch für deren Datenfernverarbeitungslösungen gilt.
Gemäß Erwägungsgrund 11 CRA:
“Gleichzeitig fällt die Fernverarbeitung oder -speicherung nur insoweit in den Anwendungsbereich dieser Verordnung, als sie notwendig ist, damit ein Produkt mit digitalen Elementen seine Funktionen erfüllen kann. Eine solche Fernverarbeitung oder -speicherung liegt vor, wenn eine mobile Anwendung den Zugang zu einer Anwendungsprogrammierschnittstelle oder zu einer Datenbank erfordert, die über einen vom Hersteller entwickelten Dienst bereitgestellt wird. In diesem Fall fällt der Dienst als Datenfernverarbeitungslösung in den Anwendungsbereich dieser Verordnung.“
Letzte inhaltliche Aktualisierung dieser FAQ: September 2025