Cluster D · Strafen & Haftung

CRA: Marktrücknahme — was Behörden wirklich können

Verfasst am
Lesezeit
6 Min. Lesezeit
Autor
Andrej Radkov · CRA-Compliance-Analyst
Hinweis: Diese Information ist eine indikative Einschätzung auf Basis der EU-Verordnung 2024/2847 und ersetzt keine Rechtsberatung. Bei rechtlichen Fragen wenden Sie sich bitte an einen spezialisierten Anwalt.

Was Sie wissen müssen

BSI und nationale Behörden können CRA-Produkte per Anordnung vom Markt nehmen. Was das konkret bedeutet, was es kostet und wie Sie sich schützen.

Inhaltsverzeichnis
  1. Die rechtliche Grundlage: Art. 54–58 CRA
  2. Zwei Szenarien: freiwillig vs. behördlich
  3. Freiwillige Marktrücknahme
  4. Behördliche Anordnung
  5. Das Praxis-Szenario: IoT-Gateway unter Druck
  6. Was eine Marktrücknahme wirklich kostet
  7. Was Sie jetzt konkret tun können
  8. Fazit

CRA: Marktrücknahme und Verkaufsverbote — was Behörden können

Softwareprodukte, die CRA-Anforderungen nicht erfüllen, können per Behördenanordnung aus dem europäischen Markt genommen werden. Nicht nach einem langen Gerichtsverfahren — sondern innerhalb weniger Wochen, sobald eine Marktüberwachungsbehörde tätig wird. Für Hersteller, die auf laufende Produktumsätze angewiesen sind, ist das existenzbedrohend.

Was viele unterschätzen: Es geht nicht nur um Bußgelder. Dieser Artikel erklärt, welche Befugnisse Behörden unter dem CRA konkret haben, wo der Unterschied zwischen freiwilliger Rücknahme und behördlicher Anordnung liegt — und was eine erzwungene Marktrücknahme den Hersteller wirklich kostet.

Die rechtliche Grundlage: Art. 54–58 CRA

Marktüberwachungsbehörden bekommen unter dem CRA ein abgestuftes Werkzeugset. Nicht nur Bußgelder — sondern direkte Eingriffsbefugnisse. Die relevanten Artikel:

Art. 54 CRA verpflichtet die Mitgliedstaaten, Marktüberwachungsbehörden zu benennen und mit ausreichenden Ressourcen auszustatten. In Deutschland ist das primär das BSI für IKT-Produkte mit Cybersecurity-Bezug, ergänzt durch die Bundesnetzagentur für bestimmte Gerätekategorien.

Art. 56 CRA beschreibt das Verfahren bei Produkten, die ein Risiko darstellen: Die Behörde kann den Hersteller auffordern, das Risiko zu beseitigen, den Verkauf einzuschränken oder das Produkt vom Markt zu nehmen. Kommt der Hersteller dem nicht nach, kann die Behörde selbst handeln.

Art. 57 CRA regelt den Informationsaustausch zwischen nationalen Behörden und der EU-Kommission über das RAPEX-System (künftig Safety Gate). Das ist der Punkt, den viele übersehen: Eine Marktrücknahme in Deutschland zieht innerhalb kürzester Zeit europaweite Konsequenzen nach sich.

Art. 58 CRA erlaubt Schutzmaßnahmen der Kommission: Wird ein Produkt in mehreren Mitgliedstaaten als gefährlich eingestuft, kann die Kommission unionsweit einheitliche Maßnahmen anordnen.

Zwei Szenarien: freiwillig vs. behördlich

Freiwillige Marktrücknahme

Entdeckt ein Hersteller selbst eine kritische Schwachstelle — etwa in der embedded Software einer Heizungssteuerung oder in einem industriellen MQTT-Gateway — kann er proaktiv handeln: Rücknahme aus dem Handel, Information der Bestandskunden, Patch-Bereitstellung oder, wenn kein Patch möglich ist, Einstellung des Produkts.

Die freiwillige Rücknahme hat einen entscheidenden Vorteil: Der Hersteller kontrolliert den Zeitplan, die Kommunikation und den Umfang. Kunden lassen sich diskret informieren, ein Austausch-Prozess gezielt organisieren. Das schützt den Ruf und minimiert Rechtsrisiken.

CRA Art. 13 Abs. 8 verpflichtet Hersteller explizit, bei aktiv ausgenutzten Schwachstellen unverzüglich zu handeln — wer das tut, bevor eine Behörde einschaltet, steht rechtlich deutlich besser da.

Behördliche Anordnung

Reagiert ein Hersteller nicht oder nicht ausreichend, schalten Marktüberwachungsbehörden in ein formelles Verfahren. Der Ablauf folgt einem klaren Schema:

  1. Meldung oder Eigeninitiative: Die Behörde erfährt von einem Problem — durch ENISA, CERT-Meldungen, Presseartikel, Konkurrenten oder eigene Marktbeobachtung.
  2. Aufforderung zur Stellungnahme: Der Hersteller erhält eine Frist (typischerweise 10–30 Tage), um Dokumentation vorzulegen und das Problem zu erläutern.
  3. Einstweilige Maßnahme: Kann die Behörde das Risiko nicht ausschließen, darf sie vorläufige Beschränkungen anordnen — noch während das Verfahren läuft.
  4. Endgültige Anordnung: Bestätigt sich das Risiko, folgt das Verkaufsverbot oder der Rückruf, ggf. verbunden mit einer öffentlichen Warnung.

Besonders schwerwiegend ist die öffentliche Warnung. Sie erscheint im Safety-Gate-System der EU — abrufbar für Journalisten, Einkäufer und Wettbewerber. Wer einmal dort gelistet ist, kämpft lange darum, wieder heraus zu kommen.

Das Praxis-Szenario: IoT-Gateway unter Druck

Ein deutsches KMU vertreibt ein industrielles IoT-Gateway für Produktionsanlagen — 850 Einheiten im Feld, Verkaufspreis 1.200 €, Jahresumsatz mit diesem Produkt rund 400.000 €. Das Gerät enthält eine bekannte OpenSSL-Schwachstelle (CVE publiziert vor 8 Monaten), für die der Hersteller noch keinen Patch ausgerollt hat.

Das BSI erhält eine Meldung über ein Sicherheitsforschungsinstitut. Es fordert den Hersteller auf, innerhalb von 21 Tagen die aktuelle technische Dokumentation nach CRA Anhang VII sowie die SBOM vorzulegen und die Behandlung der CVE zu erklären.

Das KMU hat kein strukturiertes Schwachstellenmanagement aufgebaut. Die Dokumentation existiert in Teilen, ist aber nicht CRA-konform formatiert. Die SBOM fehlt ganz.

In der Praxis erleben wir genau das immer wieder: Nicht die Schwachstelle selbst wird zum Hauptproblem — sondern die fehlende Dokumentation, die das BSI zwingt, vom Worst Case auszugehen.

Nach Ablauf der Frist verhängt das BSI ein vorläufiges Verkaufsverbot. Weder neue Auslieferungen noch Lagerproduktion — bis die Situation bereinigt ist. Das Verfahren dauert, je nach Kooperationsbereitschaft, drei bis sechs Monate.

In dieser Zeit:

  • Stehen 180 fertige Einheiten im Lager (Kapitalbindung: 216.000 €)
  • Werden laufende Kundenbeziehungen belastet
  • Springen zwei Großkunden zu einem Wettbewerber
  • Muss Notfall-Rechtsberatung und externe Dokumentationsunterstützung eingekauft werden

Der Schaden übersteigt das mögliche Bußgeld bei Weitem.

Was eine Marktrücknahme wirklich kostet

Hersteller denken bei CRA-Risiken oft zuerst an Bußgelder. Das greift zu kurz. Eine erzwungene Marktrücknahme erzeugt Kosten in vier Kategorien:

Logistik und Lagermanagement: Lagerware muss separiert, ggf. umgebaut oder vernichtet werden. Bei physischen Produkten mit eingebetteter Software — etwa Industrie-4.0-Komponenten oder embedded Steuerungsmodule für Maschinenbauer — entstehen direkte Material- und Personalkosten. Schätzgröße für ein KMU: 5.000–30.000 €.

Kundenkommunikation und Support-Spitze: Bestandskunden müssen informiert werden. Support-Anfragen steigen sprunghaft. Wenn Kunden Produkte zurückgeben dürfen (je nach vertraglicher Lage), entstehen Rückerstattungskosten. Schätzgröße: 10.000–50.000 €.

Rechts- und Beratungskosten: Anwaltliche Begleitung des Verfahrens, Kommunikation mit der Behörde, ggf. Widerspruchsverfahren. Schätzgröße: 15.000–40.000 €.

Reputationsschaden und Umsatzverlust: Das ist der schwer quantifizierbare, aber oft größte Posten. Kunden, die das Produkt im Safety-Gate-System sehen, kommen nicht zurück. Ausschreibungen, an denen man nicht teilnehmen kann, weil das Produkt unter Beobachtung steht. Presseberichte in Fachmedien.

Konkret bedeutet das: Ein Verkaufsverbot trifft Hersteller oft härter als ein Bußgeld — weil es den Cashflow sofort stoppt, nicht irgendwann am Ende eines Verfahrens.

Was Sie jetzt konkret tun können

Dokumentation als erste Verteidigungslinie: Entscheidend ist nicht das Produkt selbst, sondern die Fähigkeit, auf Anfrage innerhalb weniger Tage vollständige Dokumentation vorlegen zu können. Eine strukturierte technische Dokumentation nach CRA Anhang VII ist keine Formalität — sie ist Ihr erstes Kommunikationsmittel mit der Behörde. Wer sie nicht hat, verliert das Verfahren schon in Runde eins.

SBOM-Pflege als laufender Prozess: Das BSI kann bei einer Überprüfung sofort nach der aktuellen SBOM fragen. Wer sie nicht hat, signalisiert Unprofessionalität — und gibt der Behörde einen Grund für intensivere Prüfung. Tools wie Syft generieren eine erste SBOM in wenigen Minuten; entscheidend ist, dass sie aktuell gehalten wird.

CVE-Monitoring mit definierten SLAs: Sobald bekannt ist, welche Abhängigkeiten im Produkt stecken, lassen sich CVEs systematisch beobachten. Kritische CVEs (CVSS ≥ 9.0) erfordern nach CRA Art. 13 Abs. 8 unverzügliches Handeln — wer einen definierten Prozess hat und diesen dokumentiert, steht im Behördenverfahren deutlich besser. Was viele CRA-Berater nicht sagen: Dieser Prozess muss nicht perfekt sein — er muss nur existieren und nachweisbar gelebt werden.

Freiwilligkeit zahlt sich aus: Wer das BSI proaktiv informiert, wenn er ein Problem in seinem Produkt entdeckt, erhält in der Regel mehr Zeit und Kooperationsbereitschaft. Behörden unterscheiden zwischen Herstellern, die das Thema ernst nehmen, und solchen, die erst auf Druck reagieren.

Fazit

Marktüberwachungsbehörden haben unter dem CRA Befugnisse, die deutlich über das klassische Ordnungswidrigkeitsrecht hinausgehen. Die Kombination aus vorläufigem Verkaufsverbot, öffentlicher Warnung und europaweiter Vernetzung über das Safety-Gate-System macht eine behördliche Eskalation zu einem ernsthaften Unternehmensrisiko. Für IoT-Startups, Maschinenbauer mit vernetzten Komponenten und embedded-Software-Hersteller gleichermaßen.

Die beste Schutzmaßnahme ist nicht juristisches Manövrieren nach dem Auftreten eines Problems. Gefragt ist die vorherige Investition in saubere Dokumentation, strukturiertes Schwachstellenmanagement und klare interne Prozesse. Das klingt nach Aufwand. Ist es auch — aber deutlich weniger als ein Verfahren.

Weiterführend:

Weiterlernen

Verwandte Artikel

Nächster Schritt

Wissen allein schützt nicht. Prüfen Sie jetzt, welche CRA-Klasse Ihr Produkt betrifft — kostenlos, in unter 3 Minuten.

CRA-RouteCheck starten Evidence Pack ansehen

Quellen-Hinweis: Dieser Artikel basiert auf der EU-Verordnung 2024/2847 (Cyber Resilience Act), veröffentlicht im Amtsblatt der Europäischen Union am 20. November 2024. Bei regulatorischen Aussagen wird jeweils der einschlägige Artikel angegeben. Stand der Informationen: 20. Mai 2026.

Kein Rechtsrat: Dieser Artikel stellt keine Rechtsberatung dar. Für verbindliche Einschätzungen konsultieren Sie bitte einen Fachanwalt für IT-Recht oder eine notifizierte Stelle.