Konzernprivileg im Cyber Resilience Act (CRA)?
Definition der Marktbereitstellung als entscheidendes Kriterium
Die Anwendbarkeit der Pflichten aus dem Cyber Resilience Act knüpft primär an das Tatbestandsmerkmal der Bereitstellung auf dem Markt an. Darunter wird jede entgeltliche oder unentgeltliche Abgabe eines Produkts mit digitalen Elementen zum Vertrieb oder zur Verwendung auf dem Unionsmarkt im Rahmen einer Geschäftstätigkeit verstanden. Von zentraler Bedeutung ist hierbei, dass im Produktsicherheitsrecht grundsätzlich das Trennungsprinzip gilt. Da Mutter- und Tochtergesellschaften rechtlich eigenständige Personen sind, wird eine Abgabe zwischen diesen Entitäten formal oft als Bereitstellung auf dem Markt gewertet. VOELKER unterstützt Unternehmen am Standort Stuttgart und darüber hinaus dabei, diese Schnittstellen präzise zu analysieren, um festzustellen, ob eine interne Softwareentwicklung bereits die umfangreichen Herstellerpflichten des CRA auslöst.
Die Suche nach dem Konzernprivileg im Produktsicherheitsrecht
Im Gesetzestext des CRA sucht man vergeblich nach einer ausdrücklichen Regelung zum Konzernprivileg. Während im Kartellrecht die „wirtschaftliche Einheit“ im Konzern dazu führt, dass das Kartellverbot nur begrenzt anwendbar ist, fokussiert sich der CRA auf das technische Risiko des Produkts. Ein unsicheres digitales Element stellt eine Gefahr dar, unabhängig davon, ob es von einem externen Dienstleister oder einer Schwestergesellschaft geliefert wurde. Um Grundsatz ist daher davon auszugehen, dass keine pauschale Bereichsausnahme für Konzerne existiert.
Abgrenzung zum Kartellrecht und zur DSGVO
Die im EU-Wettbewerbsrecht etablierte Doktrin der wirtschaftlichen Einheit (auch Single Economic Unit) lässt sich nicht ohne Weiteres auf den CRA übertragen. Auch der Rückgriff auf Erwägungsgrund 48 der DSGVO, nach dem ein berechtigtes Interesse an einem konzerninternen Datentransfer anerkennt wird, hilft im Produktsicherheitsrecht nur bedingt weiter. Im Rahmen des New Legislative Framework (NLF), dem der CRA unterliegt, wird die Sicherheit des Endnutzers und der Integrität des Marktes priorisiert. Wenn ein Produkt innerhalb eines Konzerns entwickelt und anschließend in einem marktfähigen Endprodukt verbaut wird, muss die Konformität über die gesamte Kette nachgewiesen werden. VOELKER berät Unternehmen hierbei insbesondere zur Abgrenzung der Rollen als Hersteller, Importeur oder Händler innerhalb des Konzernverbunds.
Der Faktor „Geschäftstätigkeit“ und das Dilemma der Verrechnungspreise
Ein wesentlicher Hebel zur Vermeidung der CRA-Pflichten für interne Vorgänge liegt in der Auslegung der Geschäftstätigkeit. Gemäß Erwägungsgrund 18 CRA liegt eine solche Tätigkeit in der Regel nicht vor, wenn Software lediglich im Rahmen einer rein akademischen oder nicht-kommerziellen Forschung entwickelt wird. Für Unternehmen ist jedoch der Hinweis entscheidend, dass die Erhebung eines Preises dann nicht als Geschäftstätigkeit gewertet werden kann, wenn dieser lediglich der Deckung der tatsächlichen Kosten dient. Hier entsteht ein Spannungsfeld zum Steuerrecht: Nach dem steuerlichen Fremdvergleichsgrundsatz (auch Arm’s-Length-Prinzip) ist oft ein Gewinnaufschlag bei konzerninternen Leistungen erforderlich. Übersteigt dieser Aufschlag die reine Kostendeckung, könnte dies für die Finanzverwaltung zwar weitgehend unproblematisch sein. Im Sinne des CRA könnte jedoch eine regulierte Geschäftstätigkeit vorliegen, die – fern sonstiger Ausnahmetatbestände – sodann zur Anwendbarkeit des CRA führt.
Eigengebrauch als strategischer Befreiungstatbestand
Neben der fehlenden Geschäftstätigkeit bietet die Ausnahme für den Eigengebrauch (Internal Use) einen wichtigen Ansatzpunkt. Laut dem „Blue Guide“ der EU-Kommission gilt ein Produkt nicht als in den Verkehr gebracht, wenn es für den Eigengebrauch hergestellt wurde. In der juristischen Diskussion wird – soweit ersichtlich – verstärkt die Auffassung vertreten, dass jedenfalls Software, die exklusiv innerhalb einer Unternehmensgruppe für interne Prozesse genutzt und niemals an Externe abgegeben wird, unter diese Ausnahme fallen kann. Voraussetzung ist jedoch zumindest eine strikte logische und physische Trennung von marktrelevanten Systemen. VOELKER empfiehlt in diesem Zusammenhang eine detaillierte Dokumentation der Nutzungszwecke, um im Falle einer behördlichen Prüfung nachweisen zu können, dass kein Eintritt in den Unionsmarkt erfolgt ist. Es gilt jedoch besonders zu betonen, dass diese Ausgestaltung gegenwärtig rein auf vereinzelten juristischen Auffassungen beruht und bislang in keiner Weise gesichert ist. Rein formal bleibt es dabei, dass zwei juristisch getrennte Personen vorliegen und damit der Grundtatbestand einer Bereitstellung auf dem Markt bzw. eines Inverkehrbringens gegeben ist, der üblicherweise zur Anwendbarkeit des CRA führt.
Praxisfolgen für die IT-Compliance und das Risikomanagement
Für die Praxis bedeutet dies, dass Intercompany-Verträge geprüft und ggf. angepasst werden müssen. Es ist ratsam, die Herstellerverantwortung zentral bei einer Konzerneinheit zu bündeln, die für die CE-Kennzeichnung und das Schwachstellenmanagement verantwortlich ist. Zudem sollte geprüft werden, ob interne Anwendungen als SaaS (Software-as-a-Service) bereitgestellt werden können, da reine Cloud-Dienste ohne lokale Software-Installation nicht unter den Produktbegriff des CRA fallen, sondern eher durch die NIS-2-Richtlinie bzw. deren Umsetzung z. B. in Deutschland reguliert werden.
Fazit und Ausblick
Zusammenfassend lässt sich festhalten, dass der Cyber Resilience Act kein ausdrücklich geregeltes Konzernprivileg enthält, aber über die Kriterien der Zurverfügungstellung außerhalb einer Geschäftstätigkeit und des Eigengebrauchs erhebliche Spielräume für einen internen Transfer bestehen. Im Softwarebereich kann die Umstellung auf SaaS einen einfachen Ausweg darstellen. Die strategische Bedeutung liegt darin, diese Spielräume frühzeitig durch saubere Vertragsstrukturen und Compliance-Prozesse abzusichern. Da die ersten Meldepflichten für Schwachstellen gemäß dem CRA bereits am 11.09.2026 greifen, ist zeitnahes Handeln erforderlich. Die Kanzlei VOELKER begleitet Unternehmen gerne dabei, die Anforderungen des CRA effizient in bestehende Risikomanagementsysteme zu integrieren und die Haftung der Geschäftsführung zu minimieren.
Rechtliche Beratung zum Cyber Resilience Act
Die Komplexität der neuen EU-Verordnungen erfordert eine spezialisierte Begleitung an der Schnittstelle von IT-Recht und Produktsicherheit. Die Kanzlei VOELKER unterstützt Sie gerne dabei, Ihre konzerninternen Software-Lieferketten CRA-konform zu gestalten und Ausnahmetatbestände rechtssicher zu nutzen.