Produkte mit digitalen Elementen prägen heute nahezu alle Wirtschaftsbereiche. Vernetzte Geräte, softwarebasierte Funktionen und cloudgestützte Dienste sind längst zum Standard geworden. Mit dem Cyber Resilience Act¹ (CRA) hat der europäische Gesetzgeber darauf reagiert und erstmals horizontale Cybersicherheitsanforderungen für solche Produkte über ihren gesamten Lebenszyklus hinweg eingeführt. Ziel ist ein höheres Sicherheitsniveau im Binnenmarkt – verbunden mit mehr Transparenz und einer stärkeren Verantwortlichkeit der Hersteller.
1. Unbestimmte Anforderungen und haftungsrechtliche Relevanz des CRA
Der CRA arbeitet bewusst mit technologieneutralen und risikobasierten Vorgaben. Produkte müssen ein angemessenes Cybersicherheitsniveau gewährleisten, etwa indem sie ohne bekannte ausnutzbare Schwachstellen bereitgestellt werden und ihre Angriffsflächen möglichst geringgehalten werden. Diese Zielvorgaben führen in der Praxis jedoch zu Auslegungsschwierigkeiten und Rechtsunsicherheit.
Im Zusammenspiel mit dem reformierten Produkthaftungsrecht gewinnt diese Unbestimmtheit zusätzlich an Bedeutung: Nach der neuen Produkthaftungsrichtlinie (EU) 2024/2853 wird Cybersicherheit für die Beurteilung der Fehlerhaftigkeit eines Produkts relevant.
Nach Art. 7 Abs. 1 der Richtlinie ist entscheidend, welche Sicherheit berechtigterweise erwartet werden darf oder durch Unionsrecht bzw. nationales Recht vorgeschrieben ist. Art. 7 Abs. 2 lit. f (ebenso § 7 S. 2 Nr. 5 ProdHaftG-E²) konkretisiert dies dahingehend, dass ausdrücklich auch „einschlägige Anforderungen an die Produktsicherheit, einschließlich sicherheitsrelevanter Cybersicherheitsanforderungen“ zu berücksichtigen sind. Hierunter wird man die Anforderungen des CRA subsumieren können.
Mit der neuen Produkthaftungsrichtlinie wird zudem die Rechtsdurchsetzung neu justiert: Angesichts steigender technischer Komplexität werden die Hürden für Geschädigte deutlich gesenkt. Bereits bei plausiblen Anhaltspunkten und ersten Beweismitteln können Gerichte die Offenlegung interner Unterlagen anordnen. Ergibt sich aus einer derartigen Offenlegung, dass Anforderungen des CRA nicht eingehalten worden sind, ist dies sicherlich von haftungsrechtlicher Relevanz.
2. Unterstützung bei der Umsetzung des CRA durch Leitlinien der Kommission
Der europäische Gesetzgeber hat die praktischen Herausforderungen erkannt und in Art. 26 Abs. 1 CRA vorgesehen, dass die Kommission Leitlinien zur Anwendung der Verordnung veröffentlicht. Ziel der Leitlinien ist es, die Wirtschaftsakteure bei der Umsetzung und Einhaltung der CRA-Konformität zu unterstützen und eine möglichst einheitliche und kohärente Anwendung im Binnenmarkt zu fördern. Insbesondere hatte der europäische Gesetzgeber dabei eine Erleichterung für Kleinstunternehmen und KMU im Blick. Als inhaltliche Mindestanforderung sieht Art. 26 Abs. 2 CRA vor, dass die Kommission in ihren Leitlinien den Anwendungsbereich, die Anwendung von Unterstützungszeiträumen, die Situation von Herstellern, die auch anderen EU-Rechtsakten unterliegen, und den Begriff der wesentlichen Änderung behandelt.
Inzwischen liegt ein erster Entwurf vor³, der sich mit zentralen Fragen der Anwendung des CRA auseinandersetzt. Der Leitlinienentwurf legt den Fokus auf die Behandlung von Datenfernverarbeitungslösungen sowie freier und quelloffener Software, den Begriff der Unterstützungszeiträume und das Zusammenspiel des CRA mit sonstigen unionsrechtlichen Vorschriften.
3. Bedeutung der Leitlinien für die Haftung
Die Leitlinien der Kommission sind nicht nur für Compliance-Zwecke relevant, sondern auch haftungsrechtlich von erheblicher Bedeutung. Zwar dienen die Leitlinien nach Art. 26 CRA in erster Linie der Unterstützung der Wirtschaftsakteure und sind als „Soft Law“ rechtlich unverbindlich. Gleichwohl ist ihre praktische Bedeutung nicht zu unterschätzen. Soft Law der EU wird von Gerichten und Behörden regelmäßig als Auslegungshilfe herangezogen. Dies ist auch für die Leitlinien zum CRA zu erwarten.
Die Leitlinien sollen – wie es Art. 26 Abs. 1 CRA ausdrücklich vorsieht – zur Kohärenz der Anwendung beitragen. Es ist daher davon auszugehen, dass sich nicht nur Unternehmen, sondern auch Behörden und Gerichte an ihnen orientieren werden. Dies dürfte insbesondere im Produkthaftungsrecht relevant werden, wenn die Fehlerhaftigkeit eines Produkts im Hinblick auf die Einhaltung sicherheitsrelevanter Cybersicherheitsanforderungen zu beurteilen ist.
Verbindlich bleibt jedoch allein der CRA selbst. Gerichte sind gerade nicht verpflichtet, den Leitlinien zu folgen. Angesichts ihres Zwecks, eine einheitliche Anwendung sicherzustellen – an der nicht zuletzt aus wirtschaftlichen Gründen (Vermeidung einer „Lähmung der Wirtschaft“ wegen zu großer Unsicherheit) ein großes Interesse besteht –, ist jedoch nicht zu erwarten, dass sie in der Praxis häufig von den Leitlinien abweichen werden.
4. Fazit
Der Leitlinienentwurf der EU-Kommission stellt einen wichtigen Schritt dar, um die durch den CRA entstandene Rechtsunsicherheit zu verringern und den Wirtschaftsakteuren praktische Orientierung zu bieten. Auch aus haftungsrechtlicher Perspektive werden die Leitlinien eine nicht zu unterschätzende Rolle spielen.
Gleichwohl bleibt zu beachten, dass es sich lediglich um unverbindliches Soft Law handelt und nicht um eine verbindliche, abschließend rechtssichere Anleitung zur Anwendung des CRA. Auch künftig wird es – insbesondere in haftungsrechtlichen Streitigkeiten – auf die sorgfältige Würdigung des jeweiligen Einzelfalls ankommen.
Hinzu kommt, dass sich die Leitlinien auf bestimmte Themenbereiche beschränken und naturgemäß Unschärfen aufweisen werden, die sich erst in der praktischen Anwendung zeigen. Die endgültige Fassung bleibt abzuwarten. Die in Art. 26 Abs. 3 CRA vorgesehene Konsultation der Interessenträger läuft derzeit; die Kommission hat (Stand: 30. März 2026) 76 Rückmeldungen erhalten.⁴ Die Beteiligung ist zu begrüßen. Je präziser und detaillierter die endgültigen Leitlinien ausgestaltet sind, desto größer wird ihr praktischer Nutzen für Compliance und Haftungsabwehr sein.
Ob Haftpflichtversicherer künftig erwägen sollten, die Beachtung von Leitlinien in Produkthaftpflicht-Policen als Obliegenheit abzubilden, ist eine spannende Frage, die zu beurteilen aber erst sinnvoll erscheint, wenn die Leitlinien final ausgestaltet sind. Wir werden die weiteren Entwicklungen hier aus Haftungs- und Deckungssicht weiter im Blick halten und unsere interessierten Leser über die weiteren Entwicklungen fortlaufend informieren.
[1] Verordnung (EU) 2024/2847; der Kurztitel in der deutschsprachigen Ausgabe des Amtsblatts der Europäischen Union lautet Cyberresilienz-Verordnung. Hier wird jedoch der gebräuchlichere englische Kurztitel verwendet.
[2] Siehe den Regierungsentwurf des Gesetzes zur Modernisierung des Produkthaftungsrechts, online abrufbar: https://www.bmjv.de/SharedDocs/Downloads/DE/Gesetzgebung/RegE/RegE_Produkthaftungsrecht.pdf?__blob=publicationFile&v=2 (zuletzt abgerufen: 30.03.2026).
[3] Online abrufbar: https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act_de (zuletzt abgerufen am 30.03.2026)
[4] Siehe https://ec.europa.eu/info/law/better-regulation/have-your-say/initiatives/16959-Draft-Commission-guidance-on-the-Cyber-Resilience-Act/feedback_de?p_id=22440 (zuletzt abgerufen am 30.03.2026).
