Wie hoch ist das maximale CRA-Bußgeld?

Das höchste Bußgeld nach Art. 64 Abs. 1 EU-VO 2024/2847 beträgt bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes des Unternehmens — je nachdem welcher Betrag höher ist. Dieses Bußgeld gilt für Verstöße gegen die wesentlichen Sicherheitsanforderungen (Anhang I) oder Herstellerpflichten (Art. 13).

Haftet der Geschäftsführer persönlich für CRA-Verstöße?

Der CRA adressiert primär das Unternehmen als Hersteller. Persönliche Geschäftsführerhaftung ergibt sich aus dem jeweiligen nationalen Recht: In Deutschland können GmbH-Geschäftsführer nach § 43 GmbHG für Pflichtverletzungen haftbar gemacht werden, wenn sie CRA-Compliance-Maßnahmen schuldhaft unterlassen haben. Die genauen Haftungsrisiken hängen von der nationalen Umsetzung des CRA ab.

Wann werden CRA-Bußgelder erstmals verhängt?

Die Marktüberwachungsbehörden werden ab 11. September 2026 operativ tätig (Art. 71 Abs. 2 EU-VO 2024/2847). In Deutschland ist dies voraussichtlich das BSI. Bußgelder für Verstöße gegen die Gesamtheit der CRA-Anforderungen können ab 11. Dezember 2027 verhängt werden, wenn dann nicht-konforme Produkte in Verkehr gebracht werden.

CRA-Bußgelder: Was kostet Nichteinhaltung?

Das Bußgeldsystem des CRA

Wer den CRA als reines Technikthema behandelt, unterschätzt das Risiko. Der Cyber Resilience Act enthält ein abgestuftes Sanktionssystem, das bewusst dem DSGVO-Modell nachempfunden wurde: Bußgelder orientieren sich am weltweiten Jahresumsatz des Unternehmens, nicht an einem fixen Betrag. So sollen Sanktionen proportional zur wirtschaftlichen Kraft eines Unternehmens wirken — ein Konzern zahlt mehr als ein Mittelständler, der dasselbe verbockt hat.¹

Nach Artikel 64 der EU-Verordnung 2024/2847 definiert der CRA drei Bußgeldstufen, abgestuft nach der Schwere des Verstoßes. Die Parallele zur DSGVO ist kein Zufall: Die EU hat in den vergangenen Jahren gezeigt, dass umsatzbasierte Sanktionen tatsächlich verhängt werden — auch gegen KMUs, auch bei erstmaligen Verstößen.

Die drei Bußgeldstufen nach Artikel 64

Stufe 1 — Bis zu 15 Mio. € oder 2,5 % des weltweiten Jahresumsatzes

Pflicht nach Artikel 64 Absatz 1 CRA: Die höchste Bußgeldstufe greift bei Verstößen gegen die Kernpflichten des CRA:¹

Nichterfüllung der wesentlichen Cybersicherheitsanforderungen aus Anhang I (z.B. unsichere Standardkonfigurationen, kein Schwachstellenmanagement, keine SBOM)
Fehler beim Konformitätsbewertungsverfahren (kein Notified Body trotz Pflicht, gefälschte Bewertung)
Fehlerhafte oder fehlende CE-Kennzeichnung
Verletzung der Meldepflicht nach Artikel 14 (aktiv ausgenutzte Schwachstellen nicht innerhalb von 24 Stunden gemeldet)

Es gilt jeweils der höhere der beiden Beträge. Ein Unternehmen mit 50 Mio. € Jahresumsatz riskiert also Bußgelder bis 1,25 Mio. € — ein Konzern mit 5 Mrd. € Umsatz bis 125 Mio. €.

Das ist der Punkt, den viele übersehen: Der häufigste Weg in Stufe 1 ist keine bewusste Entscheidung, non-konform zu sein — er führt über fehlende Prozesse. Wer keine SBOM hat, erfüllt Anhang I nicht. Wer keine VDP veröffentlicht hat, erfüllt Artikel 13 nicht. Wer beim ersten aktiv ausgenutzten CVE keinen Meldeprozess hat, verletzt Artikel 14. Alles Verstöße, die durch frühe Vorbereitung vollständig vermeidbar sind.

Stufe 2 — Bis zu 10 Mio. € oder 2 % des weltweiten Jahresumsatzes

Die mittlere Stufe betrifft Verstöße gegen Nebenpflichten:¹

Unvollständige oder fehlerhafte technische Dokumentation
Fehlende Kooperation mit Marktaufsichtsbehörden bei Inspektionen
Verletzung von Informationspflichten gegenüber Händlern und Importeuren
Nichtbehebung nicht-konformer Produkte nach Anordnung der Behörde

In der Praxis erleben wir: Stufe 2 trifft häufig Hersteller, die die technischen Anforderungen grundsätzlich erfüllt haben — aber beim Behördenbesuch keine vollständige technische Dokumentation vorlegen können. Wer die SBOM nicht sofort bereitstellen kann oder dessen Risikoanalyse fehlt, landet hier. Dokumentation ist keine bürokratische Nebensache. Sie ist ein eigenständiger Compliance-Bereich.

Stufe 3 — Bis zu 5 Mio. € oder 1 % des weltweiten Jahresumsatzes

Die niedrigste Bußgeldstufe gilt für:¹

Falsche oder irreführende Informationen gegenüber Marktaufsichtsbehörden oder Notified Bodies
Unrichtige Angaben in der EU-Konformitätserklärung

Zusammenfassung der Stufen

Verstoß	Maximale Strafe
Anhang-I-Verstöße, fehlendes CE, Meldepflichtverletzung	15 Mio. € oder 2,5 % Jahresumsatz
Dokumentationsfehler, fehlende Behördenkooperation	10 Mio. € oder 2 % Jahresumsatz
Falsche Angaben gegenüber Behörden	5 Mio. € oder 1 % Jahresumsatz

Wer verhängt die Bußgelder?

Nicht die EU-Kommission — sondern die nationalen Marktaufsichtsbehörden.¹ Bis zum 11. Dezember 2026 müssen die EU-Mitgliedstaaten die zuständigen Behörden benennen.

In Deutschland übernimmt das BSI (Bundesamt für Sicherheit in der Informationstechnik) die Hauptrolle als Marktaufsichtsbehörde für CRA-Produkte.² Das BSI hat bereits angekündigt, die CRA-Marktaufsicht aktiv zu gestalten, und baut entsprechende Kapazitäten auf.

Ergänzend können auch andere Behörden zuständig sein, abhängig vom Produkttyp:

Für Medizinprodukte mit digitalen Elementen: Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM)
Für Kraftfahrzeuge und Fahrzeugkomponenten: Kraftfahrt-Bundesamt (KBA)

Zusätzliche Konsequenzen jenseits von Bußgeldern

Bußgelder sind nur ein Teil des Sanktionsrahmens. Artikel 64 ff. und die Marktüberwachungsverordnung 2019/1020 geben den Behörden weitere Instrumente an die Hand:¹

Marktrücknahme: Anordnen können Behörden, nicht-konforme Produkte vom Markt zu nehmen — auf Kosten des Herstellers. Bei digitalem Software-Vertrieb bedeutet das die erzwungene Deaktivierung oder den Abbruch des Vertriebs.

Verkaufsverbot: Für bestimmte Produktmodelle kann die Behörde ein vorübergehendes oder dauerhaftes Verkaufsverbot im gesamten EU-Binnenmarkt aussprechen.

Öffentliche Warnungen: Behörden können öffentlich vor nicht-konformen Produkten warnen — mit direkten Auswirkungen auf den Ruf des Herstellers und das Vertrauen von Kunden und Geschäftspartnern. Für B2B-Hersteller — etwa Anbieter industrieller MQTT-Gateways oder embedded-Software für Heizungssteuerungen — ist ein öffentlicher Behördenwarnhinweis oft schädigender als das Bußgeld selbst.

Beschlagnahme: In schwerwiegenden Fällen können Produkte oder Unterlagen beschlagnahmt werden.

Verhältnismäßigkeit: KMUs sind nicht wie Konzerne

Nach Artikel 64 Absatz 7 CRA müssen Behörden bei der Bußgeldhöhe ausdrücklich berücksichtigen:¹

Größe des Unternehmens — KMUs und Kleinstunternehmen werden explizit erwähnt
Schwere und Dauer des Verstoßes — erstmaliger, behobener Verstoß vs. systematisches Fehlverhalten
Vorsatz oder Fahrlässigkeit — wissentlicher Verstoß vs. Fehler trotz Bemühens
Kooperationsbereitschaft — hat der Hersteller mit der Behörde zusammengearbeitet?
Ergriffene Abhilfemaßnahmen — hat der Hersteller das Problem eigenständig behoben?

Konkret bedeutet das: Ein KMU, das einen Verstoß erkennt, ihn unverzüglich der Behörde meldet und aktiv an der Behebung arbeitet, wird anders behandelt als ein Konzern, der systematisch und vorsätzlich non-konform agiert.

Gleichzeitig schützt Unwissenheit nicht. Wer die Pflichten nicht kennt, kann sie nicht einhalten. Frühzeitige Beschäftigung mit dem CRA ist die günstigste Form der Risikovermeidung.

Vergleich mit DSGVO-Bußgeldern — und was das für den CRA bedeutet

Die strukturelle Ähnlichkeit mit DSGVO-Sanktionen ist gewollt. Ein Vergleich:

Aspekt	DSGVO (Art. 83)	CRA (Art. 64)
Höchststufe	20 Mio. € oder 4 % Jahresumsatz	15 Mio. € oder 2,5 % Jahresumsatz
Mittelstufe	10 Mio. € oder 2 % Jahresumsatz	10 Mio. € oder 2 % Jahresumsatz
Verhängt durch	Nationale Datenschutzbehörden	Nationale Marktaufsichtsbehörden
Verhältnismäßigkeit	Ja	Ja
Umsatz-Bezug	Weltweiter Jahresumsatz	Weltweiter Jahresumsatz

Was viele CRA-Berater nicht sagen: DSGVO-Bußgelder werden seit Jahren tatsächlich verhängt — auch gegen kleine Unternehmen, auch für formale Verstöße wie fehlende AVVs oder unvollständige Datenschutzerklärungen. Die CNIL (Frankreich) und die BayLDA (Bayern) haben wiederholt Bußgelder im fünf- bis sechsstelligen Bereich gegen KMUs verhängt. Wer annimmt, Marktaufsichtsbehörden würden beim CRA anders vorgehen, unterschätzt das BSI — das bereits aktiv Kapazitäten aufbaut.

Ein wesentlicher Unterschied bleibt: Bei der DSGVO sind die Bußgelder bereits seit Jahren etabliert und behördlich erprobt. Beim CRA beginnt die Vollstreckung ab Dezember 2027 — Behörden werden zunächst Erfahrungen sammeln und Leitlinien entwickeln, bevor sie Maximalstrafen verhängen. Das gibt Herstellern Spielraum. Kein Grund aber, die Vorbereitung aufzuschieben.

Konkrete Szenarien: Was kann zur Strafe führen?

Szenario 1 — IoT-Gateway-Hersteller ohne SBOM: Ein Hersteller bringt ein vernetztes Industriegateway auf den Markt. Bei einer Marktaufsichts-Kontrolle 2028 stellt die Behörde fest, dass keine SBOM vorliegt und CVE-Monitoring nicht dokumentiert ist. Verstoß gegen Anhang I: Stufe 1, potenziell 2,5 % des Jahresumsatzes.

Szenario 2 — SaaS-Anbieter ohne Meldeprozess: Eine CVE in einer genutzten Abhängigkeit wird ab Januar 2027 aktiv ausgenutzt. Der Hersteller bemerkt es nach 3 Tagen, meldet aber nicht — weil kein Meldeprozess existiert und niemand weiß, wie und wohin. Verstoß gegen Artikel 14: Stufe 1.

Szenario 3 — Maschinenbauer mit fehlender technischer Dokumentation: Ein Steuerungssystem wird korrekt entwickelt — aber die technische Dokumentation nach Anhang VII ist lückenhaft, die Risikoanalyse fehlt. Bei einer Behördenanfrage kann der Hersteller keine vollständige Dokumentation vorlegen. Verstoß: Stufe 2.

Szenario 4 — Kooperativer Umgang senkt das Bußgeld: Derselbe Maschinenbauer aus Szenario 3 meldet die Lücke proaktiv beim BSI, legt einen Nachbesserungsplan vor und liefert die fehlende Dokumentation innerhalb von 4 Wochen. Ergebnis: Bußgeld deutlich unter dem Maximum, keine Marktrücknahme.

Was Hersteller jetzt tun sollten

Vier Maßnahmen reduzieren das Bußgeld-Risiko signifikant:

1. Risikoklasse kennen Wer nicht weiß, ob sein Produkt als Default, Important Class I oder Important Class II eingestuft wird, kann die richtigen Konformitätspflichten nicht erfüllen. Die Risikoklasse bestimmt, ob eine Selbstbewertung ausreicht oder ein Notified Body erforderlich ist.

2. Meldepflicht ab September 2026 vorbereiten Artikel 14 greift bereits am 11. September 2026 — 15 Monate vor den übrigen Pflichten. Hersteller ohne dokumentierten Meldeprozess sind ab diesem Datum bußgeldgefährdet. Mehr dazu: Schwachstellen-Meldepflicht ab September 2026

3. Dokumentationspflichten nicht unterschätzen Technische Dokumentation, SBOM und Risikoanalyse müssen 10 Jahre aufbewahrt werden. Wer diese Unterlagen nicht vorlegen kann, fällt automatisch in Stufe 2 der Bußgelder.

4. Kooperationsbereitschaft demonstrieren Bei Behördenkontakt sollten Hersteller proaktiv alle angeforderten Unterlagen liefern und Mängel unverzüglich beheben. Kooperation ist ein expliziter Strafmilderungsgrund nach Artikel 64 Absatz 7.

Nächste Schritte

Prüfen Sie zuerst, welche Pflichten konkret für Ihr Produkt gelten:

CRA-Pflichten für Hersteller — vollständige Übersicht

CRA Risikoklassen erklärt: Default, Important, Critical

Kostenlosen CRA-Check starten — in 4 Schritten erfahren Sie, welche Anforderungen für Ihr Produkt gelten, bevor die Fristen ablaufen.

Quellen

EU-Verordnung 2024/2847 (Cyber Resilience Act), Artikel 64, Erwägungsgründe 100–104: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
BSI — Cyber Resilience Act, Marktüberwachung: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
EU-Verordnung 2019/1020 — Marktüberwachung und Konformität von Produkten: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32019R1020
Europäisches Datenschutzrecht — DSGVO Artikel 83 (Vergleichsbasis): https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679