Cybersecurity, Datenzugang, Haftung – mit vier neuen EU-Regelwerken verändert sich der rechtliche Rahmen für vernetzte Produkte grundlegend.
Ob intelligente Haushaltsgeräte, Industrieanlagen oder Smart-Home-Systeme: Hersteller und Vertreiber vernetzter Produkte sehen sich deutlich schärferen Anforderungen gegenüber.
Die EU macht ernst mit Produktsicherheit, Resilienz und Datentransparenz – und greift mit dem Cyber Resilience Act, dem Data Act, der Produktsicherheitsverordnung und der neuen Produkthaftungsrichtlinie tief in die Produktentwicklung und Herstellerverantwortung ein.
Was bedeutet das für bestehende Prozesse, Datenstrategien und Produktkonformität? Der folgende Überblick zeigt, welche Anforderungen wann gelten und wie sich Unternehmen jetzt darauf einstellen können.
1. Produktsicherheitsverordnung (GPSR)
Die Allgemeine Produktsicherheitsverordnung (EU) 2023/988 gilt ab dem 13. Dezember 2024 und ersetzt die bisherige Produktsicherheitsrichtlinie 2001/95/EG. Sie stellt sicher, dass alle auf dem europäischen Markt bereitgestellten Verbraucherprodukte – auch solche mit digitalen Funktionen – ein hohes Maß an Sicherheit gewährleisten. Im Gegensatz zur Produkthaftung betrifft die Produktsicherheit präventive Pflichten: Unternehmen müssen bereits vor dem Inverkehrbringen sicherstellen, dass ihre Produkte keine Risiken für Gesundheit und Sicherheit darstellen.
Die GPSR bringt unter anderem folgende Neuerungen:
- Verpflichtende Risikoanalyse und technische Dokumentation auch für digitale Produkte,- Stärkere Verantwortung für Online-Marktplätze und Fulfillment-Dienstleister,
- Erhöhte Rückruf- und Informationspflichten bei unsicheren Produkten,
- Verpflichtung zur Benennung eines wirtschaftlichen Akteurs innerhalb der EU,
- Verpflichtung zur digitalen Rückverfolgbarkeit (z. B. QR-Code zur Produktrückverfolgung).
Für Unternehmen bedeutet das, dass nicht nur physische Mängel, sondern auch Softwarefehler, fehlende Sicherheitsupdates oder Mängel in der Gebrauchsanleitung produktsicherheitsrechtlich relevant werden können.
2. Cyber Resilience Act (CRA)
Mit dem am 10. Dezember 2024 in Kraft getretenen Cyber Resilience Act (CRA) verfolgt die EU das Ziel, ein einheitliches Mindestniveau an Cybersicherheit für Produkte mit digitalen Elementen sicherzustellen. Der CRA ist die erste EU-weite Verordnung, die spezifische Anforderungen an die Sicherheit von Hardware und Software über den gesamten Produktlebenszyklus hinweg definiert. Hersteller, Importeure und Vertreiber vernetzter Produkte müssen künftig unter anderem:
- sichere Voreinstellungen (Security by Default) gewährleisten,
- regelmäßige und dokumentierte Sicherheitsupdates bereitstellen,
- Prozesse zur Schwachstellenbewertung etablieren und
- Meldepflichten bei schwerwiegenden Sicherheitsvorfällen erfüllen.
Zusätzlich müssen Unternehmen eine sogenannte Konformitätsbewertung durchführen, bevor Produkte auf den Markt gebracht werden. Je nach Risikoklasse sind dabei interne Verfahren oder externe Prüfstellen erforderlich. Die Übergangsfrist beträgt 36 Monate. Ab dem 11. Dezember 2027 dürfen Produkte, die die Anforderungen nicht erfüllen, nicht mehr in Verkehr gebracht werden. Meldepflichten gelten bereits ab dem 11. Dezember 2026.
3. Data Act
Der Data Act gilt ab dem 15. September 2025 und betrifft insbesondere Hersteller und Anbieter vernetzter Produkte sowie verbundener digitaler Dienste. Ziel ist es, eine faire Nutzung von Daten zu ermöglichen und die wirtschaftliche Nutzung von maschinell generierten Daten im europäischen Binnenmarkt zu erleichtern. Zentrale Regelungen betreffen:
- den direkten Zugang der Nutzer zu den durch das Produkt generierten Daten,
- die Möglichkeit zur Datenweitergabe an Dritte (z. B. für Reparaturservices oder Analyseanbieter)
Besonders relevant ist der Data Act für Anbieter von IoT-Produkten, Smart-Home-Lösungen und maschinenbasierten Anwendungen in der Industrie. Unternehmen müssen prüfen, wie sie Transparenzpflichten, Zugangsrechte und kommerzielle Nutzungsmöglichkeiten künftig vertraglich und technisch ausgestalten. Denn Nutzerdaten dürfen nur noch mit Zustimmung des Nutzers überhaupt verwendet werden.
4. Neue Produkthaftungsrichtlinie (EU) 2024/2853
Die neue Produkthaftungsrichtlinie wurde am 8. Dezember 2024 in Kraft gesetzt. Sie ersetzt die Richtlinie 85/374/EWG und modernisiert die Haftungsvorgaben, insbesondere für digitale Produkte wie Software, KI-Systeme und smart Devices. Anders als die unmittelbar anwendbare Produktsicherheitsverordnung handelt es sich um eine Richtlinie: Die Mitgliedstaaten haben bis zum 9. Dezember 2026 Zeit, sie in nationales Recht umzusetzen. Erst danach gelten die neuen Haftungsmaßstäbe verbindlich.
Die neue Richtlinie bringt unter anderem:
- Eine klare Einbeziehung von Software und KI in den Anwendungsbereich,
- Erweiterte Haftung für fehlerhafte Updates und Sicherheitsmängel,
- Erleichterungen der Beweislast für geschädigte Personen,
- Haftung auch bei Verletzung von Cybersicherheits- oder Datenschutzpflichten.
Für Unternehmen bedeutet das: Wer digitale Produkte anbietet, muss künftig mit einer verschärften Haftung rechnen – auch für immaterielle Komponenten wie Algorithmen oder Updates. Bereits jetzt empfiehlt sich eine Überprüfung von Risikomanagement, Dokumentation und Vertragsgestaltung.
Was Unternehmen jetzt tun sollten
Hersteller und Anbieter vernetzter Produkte sollten frühzeitig prüfen, ob ihre Produkte und Prozesse den neuen Anforderungen genügen. Dies betrifft sowohl die technische Gestaltung als auch die vertraglichen Rahmenbedingungen, Kennzeichnungs- und Informationspflichten sowie die interne Compliance-Struktur. Die vier Regulierungen greifen teils ineinander und erfordern eine umfassende rechtliche und technische Bewertung. In vielen Fällen wird eine strategische Anpassung von Produktdesign, Lieferkette und Supportprozessen notwendig.
Gerne unterstützen wir Sie bei der rechtssicheren Umsetzung der neuen Vorgaben.
'/%3e%3c/svg%3e){kind=small}
'/%3e%3c/svg%3e){kind=small}
