Cluster B · Konkrete Aufgaben

CRA Konformitätserklärung: Aufbau und Pflichtinhalt

Verfasst am
Lesezeit
9 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

CRA Artikel 28: Pflichtinhalte der EU-Konformitätserklärung nach Anhang V erklärt — Risikoklassen-Unterschied, Aufbewahrungspflicht und Musteraufbau.

Inhaltsverzeichnis
  1. Was ist die EU-Konformitätserklärung nach CRA?
  2. Für welche Produkte ist die Konformitätserklärung Pflicht?
  3. Pflichtinhalte nach CRA Anhang V
  4. 1. Name und Anschrift des Herstellers (oder Bevollmächtigten)
  5. 2. Produktname, Modell, Typ oder Seriennummer
  6. 3. Erklärung der alleinigen Verantwortung
  7. 4. Bezug auf die EU-Verordnung 2024/2847
  8. 5. Bezug auf angewandte harmonisierte Normen oder Common Specifications (falls vorhanden)
  9. 6. Ggf. Bezug auf die Notified-Body-Prüfung
  10. 7. Ort, Datum, Unterschrift und Funktion des Unterzeichners
  11. Unterschied nach Risikoklasse
  12. Aufbewahrungspflicht: 10 Jahre
  13. Sprache der Konformitätserklärung
  14. Verhältnis zur technischen Dokumentation
  15. Quellen

Was ist die EU-Konformitätserklärung nach CRA?

Die EU-Konformitätserklärung (englisch: Declaration of Conformity, kurz DoC) ist ein Rechtsdokument, mit dem ein Hersteller formell bestätigt, dass sein Produkt alle anwendbaren gesetzlichen Anforderungen erfüllt. Pflicht nach Artikel 28 CRA: Für alle Produkte mit digitalen Elementen, die in den Geltungsbereich des CRA fallen, ist die Konformitätserklärung verbindlich vorgeschrieben.¹

Damit übernimmt der Hersteller — oder sein in der EU ansässiger Bevollmächtigter — die Verantwortung dafür, dass das Produkt die grundlegenden Cybersicherheitsanforderungen aus Anhang I der Verordnung erfüllt. Ohne diese Erklärung keine CE-Kennzeichnung. Ohne CE-Kennzeichnung kein rechtmäßiges Inverkehrbringen in der EU.

Das ist der Punkt, den viele übersehen: Die Konformitätserklärung ist das sichtbarste Dokument des gesamten CRA-Compliance-Prozesses — sie taucht auf Produktwebseiten auf, in Ausschreibungsunterlagen, und bei Behördenkontrollen prüft die Marktaufsichtsbehörde sie als erstes. Gleichzeitig ist sie das Dokument, das am häufigsten falsch aufgesetzt wird. Typische Fehler: falsche Risikoklasse (und damit fehlendes Notified-Body-Verfahren), ungenaue Produktversionierung, fehlende oder falsche Normbezüge und Unterschriften ohne klare Bevollmächtigung.

Für welche Produkte ist die Konformitätserklärung Pflicht?

Für alle Produkte mit digitalen Elementen, die in den Geltungsbereich des CRA fallen und CE-gekennzeichnet werden müssen. Das umfasst:

  • Default-Klasse: Selbst ausgestellte Konformitätserklärung nach Modul A
  • Important Class I: Selbst ausgestellte Konformitätserklärung (mit harmonisierten Standards) oder Erklärung auf Basis eines Notified-Body-Verfahrens
  • Important Class II: Konformitätserklärung auf Basis eines Notified-Body-Verfahrens (Modul B+C, B+H oder H)
  • Critical: Konformitätserklärung auf Basis eines Notified-Body-Verfahrens (Modul B+C oder H), ggf. mit EUCC-Nachweis

Eine Ausnahme gilt für Produkte, die vollständig unter andere EU-Rechtsvorschriften mit gleichwertigen Anforderungen fallen (z. B. Medizinprodukte nach MDR, Luftfahrzeuge nach der EASA-Verordnung).¹

Pflichtinhalte nach CRA Anhang V

Pflicht nach Anhang V CRA: Anhang V der Verordnung definiert den verbindlichen Mindestinhalt der Konformitätserklärung. Eine einheitliche EU-Formularvorlage gibt es nicht — der Inhalt aus Anhang V ist gesetzlich vorgeschrieben, die Form ist frei.¹ Folgende sieben Punkte müssen enthalten sein:

1. Name und Anschrift des Herstellers (oder Bevollmächtigten)

Vollständige Firmenbezeichnung und Postanschrift des Herstellers. Stellt ein in der EU ansässiger Bevollmächtigter (Authorized Representative) die Erklärung im Namen des Herstellers aus — etwa bei Herstellern mit Sitz außerhalb der EU — müssen beide Adressen angegeben werden.

Typischer Textbaustein:

Hersteller: [Firmenname], [Straße, PLZ, Ort, Land]

Typischer Fehler: Handelsnamen statt eingetragener Firmenname; fehlende Authorized-Representative-Angabe bei Nicht-EU-Herstellern.

2. Produktname, Modell, Typ oder Seriennummer

Eine eindeutige Produktidentifikation, die es Behörden ermöglicht, das Produkt zweifelsfrei zu identifizieren. Bei Softwareprodukten ist die Versionsnummer oder der Versionsbereich anzugeben, für den die Erklärung gilt.

Typischer Textbaustein:

Produktbezeichnung: [Produktname]
Softwareversion / Versionsbereich: [z. B. 3.0.0 bis 3.x.x]
Produkttyp: [z. B. B2B-SaaS-Anwendung mit lokal installiertem Client]

Typischer Fehler: Nur der Produktname ohne Versionsangabe — bei Software-Updates ist dann unklar, für welche Version die Erklärung gilt. Jede Hauptversion sollte eine eigene oder eine aktualisierte Erklärung haben.

In der Praxis erleben wir das besonders bei embedded-Software für Heizungssteuerungen oder Gebäudeautomation: Hersteller pflegen aktiv vier, fünf Versionszweige parallel — und stellen trotzdem nur eine einzige Konformitätserklärung aus. Das ist ein Problem.

3. Erklärung der alleinigen Verantwortung

Eine formelle Erklärung, dass der Hersteller die alleinige Verantwortung für die Ausstellung der Konformitätserklärung trägt und dass das Produkt die grundlegenden Anforderungen erfüllt.

Typischer Textbaustein:

Der Hersteller erklärt in alleiniger Verantwortung, dass das oben beschriebene Produkt die grundlegenden Cybersicherheitsanforderungen gemäß Anhang I der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates erfüllt.

4. Bezug auf die EU-Verordnung 2024/2847

Die genaue Bezeichnung der anwendbaren EU-Rechtsvorschrift. Für den CRA lautet diese: Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen (Cyber Resilience Act).

Typischer Textbaustein:

Das oben beschriebene Produkt entspricht der Verordnung (EU) 2024/2847 des Europäischen Parlaments und des Rates vom 23. Oktober 2024 (Cyber Resilience Act).

5. Bezug auf angewandte harmonisierte Normen oder Common Specifications (falls vorhanden)

Wenden Hersteller zur Erfüllung der Anforderungen harmonisierte europäische Normen (z. B. EN 18031) oder Common Specifications (Durchführungsrechtsakte der EU-Kommission) an, führen sie diese mit Fundstelle im Amtsblatt der EU auf. Dieser Punkt ist nur relevant, wenn solche Normen angewendet wurden — bei reiner Selbstbewertung ohne Normbezug kann er entfallen oder mit einem entsprechenden Hinweis versehen werden.

Typischer Textbaustein (mit Normbezug):

Angewandte harmonisierte Normen:
EN 18031-1:2024, veröffentlicht im Amtsblatt der EU, Reihe C, [Ausgabe/Datum]

Was viele CRA-Berater nicht sagen: Dieser Punkt ist 2026 für viele Hersteller noch ein Platzhalter. Die relevanten harmonisierten Normen (insbesondere EN 18031) sind noch nicht vollständig im EU-Amtsblatt veröffentlicht. Zulässig ist es, in der Erklärung zu vermerken, dass keine harmonisierten Normen angewandt wurden und die Konformität durch interne Bewertung nachgewiesen wird — sofern das Konformitätsbewertungsverfahren das zulässt.

6. Ggf. Bezug auf die Notified-Body-Prüfung

War ein Notified Body (notifizierte Stelle) am Konformitätsbewertungsverfahren beteiligt — was für Important Class I ohne harmonisierte Standards, für Important Class II und für Critical zwingend ist —, müssen folgende Angaben enthalten sein:

  • Name und Kennnummer (NANDO-Nummer) des Notified Body
  • Angewandtes Konformitätsbewertungsmodul (Modul B+C, B+H oder H)
  • Nummer des ausgestellten Prüfzertifikats oder Bescheids

Typischer Textbaustein:

Notifizierte Stelle: [Name der Notified Body], Kennnummer [XXXX]
Angewandtes Modul: Modul B+C
Zertifikatsnummer: [Zertifikatsnummer, Datum der Ausstellung]

Dieser Punkt entfällt für Default-Klasse-Produkte und Important-Class-I-Produkte mit vollständiger harmonisierter Normung.

Typischer Fehler: Die Notified-Body-Angabe fehlt, obwohl das Produkt als Important Class II oder Critical eingestuft ist. Eine Konformitätserklärung ohne Notified-Body-Angaben für ein Produkt, das eine solche Prüfung voraussetzt, ist rechtswidrig und verhindert die CE-Kennzeichnung. Die Risikoklasse muss daher korrekt feststehen, bevor Hersteller die Erklärung ausstellen.

Konkret bedeutet das: Ein Hersteller von industriellen MQTT-Gateways für die Industrie-4.0-Anbindung — eingestuft als Important Class II — muss vor Ausstellung der Konformitätserklärung einen zertifizierten Notified Body beauftragen. Wer das überspringt und die Erklärung trotzdem ausstellt, riskiert nicht nur die CE-Kennzeichnung, sondern auch Marktaufsichtsmaßnahmen nach Art. 54 EU-VO 2024/2847.

7. Ort, Datum, Unterschrift und Funktion des Unterzeichners

Die Konformitätserklärung muss von einer bevollmächtigten Person unterzeichnet werden — in der Regel von der Geschäftsführung oder einer ausdrücklich bevollmächtigten Compliance-Funktion. Elektronische Unterschriften sind zulässig.

Typischer Textbaustein:

Ausgestellt in [Ort], am [Datum (TT.MM.JJJJ)]
[Unterschrift]
[Vor- und Nachname], [Funktion im Unternehmen]

Typischer Fehler: Unterschrift fehlt oder stammt von einer Person ohne dokumentierte Bevollmächtigung. Empfehlung: Intern festhalten, wer im Unternehmen Konformitätserklärungen unterzeichnen darf — und diese Bevollmächtigung schriftlich dokumentieren.

Unterschied nach Risikoklasse

Die Pflichtinhalte der Konformitätserklärung sind für alle Klassen gleich. Der Unterschied liegt im Konformitätsbewertungsverfahren, das der Erklärung zugrunde liegt:

KlasseVerfahrenNotified BodyAuswirkung auf Konformitätserklärung
DefaultModul A (Selbstbewertung)NeinHersteller stellt Erklärung eigenständig aus
Important Class I (mit harm. Standards)Modul ANeinHersteller stellt Erklärung eigenständig aus, Normbezug in Punkt 5
Important Class I (ohne harm. Standards)Modul B+C, B+H oder HJaErklärung enthält Notified-Body-Angaben (Punkt 6)
Important Class IIModul B+C, B+H oder HJa, zwingendErklärung enthält Notified-Body-Angaben (Punkt 6)
CriticalModul B+C oder H, ggf. EUCCJa, zwingendErklärung enthält Notified-Body-Angaben und ggf. EUCC-Zertifikat

Stellt ein Hersteller eine Konformitätserklärung ohne Notified Body aus, obwohl das Produkt in Important Class II oder Critical fällt, ist diese Erklärung rechtswidrig und verhindert die CE-Kennzeichnung. Die Klassifizierung muss also korrekt sein, bevor Hersteller die Erklärung überhaupt aufsetzen. Das klingt selbstverständlich. Ist es in der Praxis aber nicht.

Wie Sie Ihre Risikoklasse bestimmen, erfahren Sie unter CRA Risikoklassen erklärt.

Aufbewahrungspflicht: 10 Jahre

Pflicht nach Artikel 28 Absatz 4 CRA: Hersteller müssen die Konformitätserklärung für mindestens 10 Jahre nach dem Inverkehrbringen des Produkts aufbewahren.¹ Diese Frist beginnt mit dem Datum der ersten Bereitstellung auf dem EU-Markt.

Bei Produkten mit langem Lebenszyklus (z. B. Industriesoftware) oder bei mehreren Versionen empfiehlt sich eine klare Archivierungsstrategie: Jede Produktversion, für die eine eigene Konformitätserklärung gilt, muss separat mit dem zugehörigen Datum archiviert werden.

Zugriff für Behörden: Auf Anfrage der nationalen Marktaufsichtsbehörde müssen Hersteller die Konformitätserklärung kurzfristig vorlegen können. In Deutschland ist das die Bundesnetzagentur für viele Produktkategorien; beim BSI im Bereich der kritischen Infrastruktur. Eine öffentliche Zugänglichkeit ist nicht vorgeschrieben, aber häufig Teil der Transparenzstrategie.

Praxis-Einschätzung: Zehn Jahre klingt lang. Bei Softwareprodukten mit aktiven Nutzern ist das aber keine unrealistische Anforderung — wer heute eine Heizungssteuerung oder ein industrielles Gateway in Verkehr bringt, hat dieses Produkt im Feld womöglich noch 2035. Richten Sie ein dokumentiertes Archivierungssystem ein — nicht nur ein Laufwerk mit Dateien, sondern einen Prozess mit klaren Verantwortlichkeiten und Ablauffristen. Das lohnt sich auch, weil die gleiche 10-Jahres-Pflicht für die technische Dokumentation gilt.

Sprache der Konformitätserklärung

Die Konformitätserklärung muss in der oder den Landessprachen der EU-Mitgliedstaaten ausgestellt sein, in denen das Produkt vermarktet wird, oder in einer von diesen akzeptierten Sprache. Für Deutschland ist Deutsch die primär relevante Sprache; für eine EU-weite Vermarktung empfiehlt sich eine mehrsprachige Konformitätserklärung oder separate Länderfassungen.

Zulässig ist auch eine englischsprachige Erklärung — wenn die zuständigen Marktaufsichtsbehörden das akzeptieren. Das ist jedoch länderspezifisch und sollte nicht als Standard angenommen werden.

Verhältnis zur technischen Dokumentation

Die Konformitätserklärung ist Teil der technischen Dokumentation (Anhang VII CRA), aber nicht mit ihr identisch. Die technische Dokumentation ist intern und nicht öffentlich zugänglich; die Konformitätserklärung hingegen muss auf Anfrage verfügbar sein und wird häufig auf der Produktwebseite veröffentlicht.

Die Konformitätserklärung verweist auf die technische Dokumentation, enthält sie aber nicht. Der vollständige Dokumentenbestand für eine CRA-konforme Markteinführung umfasst:

  1. Risikoanalyse (intern)
  2. Technische Dokumentation nach Anhang VII (intern)
  3. SBOM (intern, auf Anfrage bereitstellbar)
  4. EU-Konformitätserklärung nach Anhang V (auf Anfrage bereitstellbar)
  5. Vulnerability-Disclosure-Policy (öffentlich)

Für einen vollständigen Überblick über alle Dokumentationspflichten lesen Sie CRA-Pflichten für Hersteller.

Das Evidence Pack enthält eine strukturierte Dokumentationsvorlage für die EU-Konformitätserklärung sowie alle weiteren Pflichtdokumente nach CRA Anhang VII — und eine Checkliste der häufigsten Fehler, die bei der Erstausstellung gemacht werden.

Quellen

  1. EU-Verordnung 2024/2847 (Cyber Resilience Act), Artikel 28, Anhang V: https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L_202402847
  2. BSI — Anforderungen an die Konformitätsbewertung unter dem CRA: https://www.bsi.bund.de/DE/Themen/Unternehmen-und-Organisationen/Informationen-und-Empfehlungen/Cyber_Resilience_Act/
  3. EU-Kommission — NANDO-Datenbank (Notified Bodies): https://ec.europa.eu/growth/tools-databases/nando/
  4. EU-Kommission — Leitfaden zur EU-Konformitätserklärung und CE-Kennzeichnung: https://single-market-economy.ec.europa.eu/single-market/ce-marking_de

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.