Cluster D · Strafen & Haftung

CRA-Haftung der Geschäftsführung

Verfasst am
Lesezeit
6 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

CRA-Bußgelder treffen das Unternehmen — doch §43 GmbHG macht die GF persönlich haftbar. Was Geschäftsführer jetzt konkret dokumentieren müssen.

Inhaltsverzeichnis
  1. Das Unternehmen zahlt — und holt sich das Geld zurück
  2. Aktiengesellschaften: Aufsichtsrat und Vorstand
  3. Was Geschäftsführer jetzt dokumentieren müssen
  4. Die Haftungslücke in mittelständischen Software-Unternehmen
  5. Was das CRA-Bußgeld konkret bedeutet
  6. D&O-Versicherung: kein Freifahrtschein
  7. Meine direkte Einschätzung
  8. Weiterführende Artikel

CRA-Haftung der Geschäftsführung — was Sie wissen müssen

Der EU Cyber Resilience Act richtet sich formal an Unternehmen. Die Bußgelder — bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes — werden gegen die juristische Person verhängt, nicht gegen natürliche Personen. Soweit die beruhigende Lesart.

Die vollständige Lesart sieht anders aus.

Das Unternehmen zahlt — und holt sich das Geld zurück

§ 43 GmbHG verpflichtet Geschäftsführer, die Sorgfalt eines ordentlichen Geschäftsmanns anzuwenden. Verletzt ein Geschäftsführer diese Pflicht und entsteht dem Unternehmen dadurch ein Schaden, haftet er persönlich mit seinem Privatvermögen — gegenüber der GmbH, nicht gegenüber dem Staat.

Bekannt ist dieser Mechanismus aus dem Steuerrecht und dem Datenschutzrecht. Jetzt greift er auch beim CRA. Das Unternehmen zahlt das Bußgeld — und anschließend prüft der Gesellschafter oder ein neuer Geschäftsführer, ob ein Regressanspruch besteht. Bei groben Pflichtverletzungen ist der Regress nicht nur theoretisch möglich, er ist wirtschaftlich sinnvoll. Eine systematische CRA-Nicht-Umsetzung trotz Kenntnis dürfte darunter fallen.

Konkret bedeutet das: Ein CRA-Bußgeld von einer Million Euro wegen fehlender technischer Dokumentation — obwohl die Geschäftsführung seit Monaten über die Anforderungen informiert war — ist exakt der Sachverhalt, der in Haftungsgutachten landet.

Aktiengesellschaften: Aufsichtsrat und Vorstand

Bei Aktiengesellschaften ist das Bild noch schärfer. Der Vorstand leitet die Gesellschaft unter eigener Verantwortung (§ 76 AktG) und haftet nach § 93 AktG bei Pflichtverletzungen gesamtschuldnerisch. Überwachen muss der Aufsichtsrat den Vorstand — und haftet seinerseits, wenn er eine erkennbare Pflichtverletzung nicht unterbunden hat.

Was hier viele falsch verstehen: CRA-Compliance ist kein technisches Nischenthema mehr, das man an die IT-Abteilung delegieren kann. Es ist ein regulatorisches Risiko, das die Betriebserlaubnis für Produkte auf dem EU-Markt betrifft — für industrielle MQTT-Gateways genauso wie für embedded Software in Heizungssteuerungen. Ein Aufsichtsrat, der nachweisbar keine Berichte über den CRA-Umsetzungsstatus angefordert hat, steht bei einem späteren Bußgeld unkomfortabel da. Sehr unkomfortabel.

Was Geschäftsführer jetzt dokumentieren müssen

Gute Nachricht zuerst: Persönliche Haftung setzt in aller Regel eine Pflichtverletzung voraus. Wer nachweisen kann, dass er die Compliance-Pflichten erkannt, bewertet und organisatorisch adressiert hat, steht deutlich besser da — auch wenn die Umsetzung noch nicht abgeschlossen ist.

Vier Dokumente sind aus Haftungsschutzgründen unverzichtbar:

1. Beschluss zur CRA-Umsetzung

Halten Sie im Protokoll der Geschäftsführungssitzung fest, dass der CRA besprochen wurde, dass die Klassifikation Ihrer Produkte bekannt ist und dass eine Umsetzung beschlossen wurde. Datum, Teilnehmer, Abstimmungsergebnis. Dieser Beschluss existiert dann — und er existiert mit Datum.

2. Beauftragung eines Verantwortlichen

Benennen Sie intern eine Person, die für die CRA-Umsetzung verantwortlich ist. Das muss kein externer Berater sein — aber es muss jemanden geben, dessen Aufgabe es ist, den Umsetzungsplan voranzutreiben und der Geschäftsführung regelmäßig zu berichten. Schriftlich festhalten. Unbedingt.

3. Budget-Freigabe

Eine Beauftragung ohne Budget ist keine ernsthafte Beauftragung. Genehmigen Sie ein realistisches Budget für technische Dokumentation, Risikobeurteilungen, ggf. externe Beratung oder Zertifizierung. Auch ein kleines Budget ist besser als keines — es dokumentiert, dass Sie das Thema nicht bloß angekündigt haben.

4. Zeitplan mit Meilensteinen

Ab dem 11. Dezember 2027 gilt der CRA für die meisten Produkte. Das klingt weit weg. Für Unternehmen mit komplexen Produktportfolios, mehreren Produktlinien oder bestehenden technischen Schulden ist es das nicht. Ein Umsetzungsplan, der zeigt, wann welche Anforderungen erfüllt sein sollen, hilft sowohl bei der internen Steuerung als auch bei der Dokumentation gegenüber Behörden und Gesellschaftern.

Die Haftungslücke in mittelständischen Software-Unternehmen

In der Praxis erleben wir immer wieder dasselbe Muster: Die Geschäftsführung hat den CRA im Radar, hat vielleicht einen Artikel gelesen oder eine Konferenz besucht. Aber die operative Umsetzung liegt irgendwo zwischen Entwicklungsleitung und Rechtsabteilung — ohne klare Verantwortlichkeit, ohne Budget, ohne Zeitplan.

Das ist die Haftungslücke. Nicht böswillige Ignoranz, sondern organisatorische Unklarheit. Später kann die Geschäftsführung nicht mehr sagen: “Ich habe das delegiert” — wenn die Delegation nicht dokumentiert ist und kein Follow-up stattgefunden hat.

Was das CRA-Bußgeld konkret bedeutet

Zur Einordnung: Das CRA sieht drei Bußgeldklassen vor (Art. 64 der Verordnung EU 2024/2847):

  • Bis zu 15 Mio. Euro oder 2,5 % des Jahresumsatzes für die schwerwiegendsten Verstöße (z. B. Inverkehrbringen eines Produkts ohne Konformitätsbewertung)
  • Bis zu 10 Mio. Euro oder 2 % für andere wesentliche Verstöße
  • Bis zu 5 Mio. Euro oder 1 % für unrichtige oder unvollständige Informationen gegenüber Behörden

Nehmen wir ein konkretes Beispiel: Für ein Unternehmen mit 20 Mio. Euro Umsatz bedeutet die erste Klasse bis zu 500.000 Euro Bußgeld. Das klingt nach einer abstrakten Zahl. Ist es nicht — das ist ein Betrag, bei dem ein Gesellschafter sehr genau nachfragt, ob das hätte vermieden werden können und ob die Geschäftsführung ihre Sorgfaltspflichten eingehalten hat.

D&O-Versicherung: kein Freifahrtschein

Eine Directors-and-Officers-Versicherung deckt viele Haftungsrisiken der Geschäftsführung ab. Ob sie im CRA-Kontext greift, hängt von den Versicherungsbedingungen ab — und von der konkreten Pflichtverletzung.

Was viele CRA-Berater nicht sagen: Viele D&O-Policen schließen wissentliche Pflichtverletzungen aus. Wer nachweislich wusste, dass sein Produkt CRA-pflichtig ist, keine Schritte unternommen hat und dem Unternehmen dadurch ein Bußgeld verursacht hat, steht möglicherweise ohne D&O-Deckung da. Das ist eine Frage für Ihren Versicherer — aber eine, die Sie jetzt stellen sollten. Nicht nach dem Bußgeldbescheid.

Meine direkte Einschätzung

Persönliche Haftung der Geschäftsführung ist kein theoretisches Risiko. Sie ist das stärkste Argument dafür, CRA-Compliance zur Chefsache zu machen — nicht zum Entwicklungsproblem.

Entwicklungsteams lösen technische Probleme. Compliance ist ein organisatorisches und strategisches Problem. Gebraucht werden Budget, Verantwortung, Zeitplan und Berichtswege. Das ist Führungsaufgabe, keine Coding-Aufgabe.

Wer das jetzt versteht und die vier Dokumente anlegt, schützt nicht nur das Unternehmen — er schützt sich selbst.

Weiterführende Artikel

Quelle: EU-Verordnung 2024/2847 (Cyber Resilience Act), ABl. L 2024/2847, Art. 64 (Sanktionen). Volltext: EUR-Lex

Kein Rechtsgutachten. Indikative Einschätzung auf Basis öffentlich verfügbarer Rechtsquellen. Für konkrete Haftungsfragen wenden Sie sich an einen Fachanwalt für Gesellschafts- oder IT-Recht.

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.