„Mit der Produktabkündigung sind wir aus dem Thema raus. EOL ist EOL." Diesen Satz höre ich regelmäßig von Herstellern, die ihr Produkt bereits CRA-konform entwickelt haben und glauben, damit sei die Pflicht erledigt, sobald das Produkt vom Markt genommen wird. Das ist falsch. Der EU Cyber Resilience Act endet nicht mit der letzten Seriennummer und auch nicht mit dem Ende des Security-Supports. Er begleitet Hersteller noch weit über den Abkündigungszeitpunkt hinaus.
Wichtig vorab: Diese Anforderungen gelten für Produkte, die nach dem 11. Dezember 2027 in Verkehr gebracht werden. Für Bestandsprodukte, die vor diesem Stichtag auf den Markt kamen, gilt der CRA grundsätzlich nicht, sofern keine wesentliche Änderung am Produkt vorgenommen wird.
Was bedeutet „Produktabkündigung" im CRA-Kontext?
Viele Hersteller haben verstanden, dass der CRA während der Nutzungsphase laufende Pflichten mit sich bringt. Schwachstellen müssen überwacht, Sicherheitsupdates bereitgestellt und aktiv ausgenutzte Lücken an ENISA (die EU-Agentur für Cybersicherheit) gemeldet werden. Das ist inzwischen bekannt.
Was weniger bekannt ist: Eine Produktabkündigung, also das formale Ende des Security-Supports und die Einstellung der Weiterentwicklung, beendet diese Pflichten nicht einfach. Sie löst stattdessen eigene Pflichten aus, die im CRA ausdrücklich verankert sind.
„In Verkehr bringen" bezeichnet die erstmalige tatsächliche Bereitstellung eines Produkts auf dem EU-Markt. Dieser Zeitpunkt setzt die regulatorische Uhr in Gang. Die Uhr läuft nicht mit der Abkündigung ab. Dabei ist ein wichtiger Unterschied zu beachten: Die CRA-Pflichten enden nicht mit dem Verkaufsstopp, also dem Datum, ab dem das Produkt nicht mehr angeboten wird. Maßgeblich ist der deklarierte Unterstützungszeitraum, der gegenüber Käufern kommuniziert werden muss. Wer Produkte abkündigt, ohne diesen Zeitraum klar festgelegt und kommuniziert zu haben, hat eine Pflicht, die bereits beim Verkauf beginnt, nie erfüllt. Eine Übersicht über den grundlegenden Aufbau des CRA finden Sie in unserem CRA-Leitfaden.
Warum die Abkündigung kein Schlusspunkt ist
Der Irrtum entsteht aus einer nachvollziehbaren Logik: Wenn wir das Produkt nicht mehr anbieten, können wir auch nicht mehr für neue Probleme verantwortlich sein. Der CRA sieht das anders, und er hat gute Gründe dafür.
Abgekündigte Produkte verschwinden nicht sofort. Sie laufen in Haushalten, Produktionsanlagen und Infrastrukturen oft noch Jahre weiter. Nutzer, die kein Software-Update mehr erhalten, aber auch nicht wissen, dass der Support eingestellt wurde, sind schutzlos. Produkte mit nicht gelöschten personenbezogenen Daten wechseln unbemerkt den Besitzer. Technische Dokumentation, die in Marktüberwachungsverfahren benötigt wird, ist nicht auffindbar.
Drei konkrete Pflichten laufen über die Abkündigung hinaus, und alle drei sind im CRA verankert.
Die Konsequenzen mangelhafter Compliance beschreibt unser Artikel zu CRA-Strafen und Bußgeldern.
Mythos vs. Fakt
Mythos: Die Pflichten des Herstellers enden mit der Produktabkündigung oder dem Verkaufsstopp.
Fakt: Die Pflichten laufen weiter bis zum Ende des deklarierten Unterstützungszeitraums. Käufer müssen bereits zum Zeitpunkt des Kaufs wissen, bis wann der Hersteller Sicherheitsupdates bereitstellt. Die technische Dokumentation und die EU-Konformitätserklärung müssen mindestens zehn Jahre aufbewahrt werden, oder so lange wie der deklarierte Unterstützungszeitraum dauert, je nachdem, was länger ist. Hinzu kommt die Pflicht, in der Produktdokumentation zu beschreiben, wie Nutzer ihre persönlichen Daten vor der Entsorgung dauerhaft löschen können. All das gilt unabhängig davon, ob und wann das Produkt vom Markt genommen wird.
Konkrete Konsequenzen für Hersteller
1. Unterstützungszeitraum bereits zum Kaufzeitpunkt kommunizieren. Artikel 13 des CRA verpflichtet Hersteller, Käufern zum Zeitpunkt des Kaufs mitzuteilen, bis wann Sicherheitsupdates bereitgestellt werden, Monat und Jahr. Das ist keine freiwillige Information, sondern eine explizite gesetzliche Pflicht. Wer ein Produkt ohne diese Angabe verkauft, verstößt bereits beim Verkauf gegen den CRA, unabhängig davon, wie gut das Schwachstellenmanagement im Übrigen aufgestellt ist. Die Herausforderung dahinter: Wer ein Produkt vermarktet, muss bereits vor dem Verkauf entschieden haben, wie lange er es unterstützen will. EOL-Planung beginnt damit nicht kurz vor der Abkündigung, sondern im Produktdesign. Mehr zu den Lebenszyklusanforderungen finden Sie im Leitfaden zum Schwachstellenmanagement.
2. Technische Dokumentation und Konformitätserklärung korrekt aufbewahren. Die technische Dokumentation und die EU-Konformitätserklärung müssen mindestens zehn Jahre aufbewahrt werden, oder so lange wie der deklarierte Unterstützungszeitraum dauert, je nachdem, was länger ist. Ein Produkt mit 15 Jahren Support braucht also keine zehn-, sondern eine fünfzehnjährige Archivierung. Die Frist von zehn Jahren ist die Mindestanforderung für kürzere Supportzeiträume, keine pauschale Lösung für alle Fälle. Marktüberwachungsbehörden können auch lange nach der Abkündigung prüfen, ob ein Produkt zum Zeitpunkt seines Inverkehrbringens die CRA-Anforderungen erfüllt hat. Wer Dokumentation zu früh löscht oder nach der EOL-Entscheidung nicht mehr pflegt, riskiert, in einem Verfahren keinen belastbaren Nachweis mehr führen zu können. Mehr zur CE-Kennzeichnung und Konformitätsbewertung finden Sie hier: CRA-Konformitätsbewertung.
3. Benutzerdokumentation mit Anleitung zur sicheren Datenlöschung ausstatten. In Anhang II des CRA ist ausdrücklich geregelt, dass die Benutzerdokumentation Anweisungen zur sicheren Außerbetriebnahme enthalten muss. Dazu gehört zwingend eine Anleitung, wie Nutzer ihre gespeicherten personenbezogenen Daten dauerhaft und sicher löschen können, bevor sie das Gerät weitergeben, verkaufen oder entsorgen. Diese Dokumentation muss von Anfang an vorhanden sein, also nicht erst bei der Abkündigung erstellt werden. Wer sie nicht hat, hat eine konkrete Dokumentationslücke, keine Grauzone. Mehr zur SBOM-Pflicht und Datenklassifizierung finden Sie in unserem SBOM-Leitfaden für IoT-Hersteller.
4. Bei vollständiger Betriebseinstellung Behörden und Nutzer vorab informieren. Für den Fall, dass ein Unternehmen den Betrieb ganz einstellt, enthält Artikel 13 des CRA eine eigene Pflicht. Die zuständigen Marktüberwachungsbehörden müssen vorab informiert werden, und soweit möglich auch die Nutzer der betroffenen Produkte. Diese Pflicht gilt unabhängig davon, ob das Produkt noch im aktiven Supportzeitraum ist oder bereits abgekündigt wurde. Wer ein Unternehmen aufgibt oder eine Produktlinie vollständig aufgibt, muss also auch in diesem Punkt Klarheit schaffen, bevor der Betrieb endet.
Praxisbeispiel: Das abgekündigte Smart-Home-Gateway
Ein mittelständischer Hersteller bringt Anfang 2028 ein Smart-Home-Gateway auf den Markt. Beim Produktlaunch wird kommuniziert: Sicherheitsupdates bis Dezember 2032. Das Produkt läuft gut, wird aber 2030 aus wirtschaftlichen Gründen abgekündigt. Der Verkauf wird eingestellt. Bestandsgeräte bei Kunden laufen weiter, viele davon noch zwei bis drei Jahre.
Was muss der Hersteller beachten? Erstens hat er beim Verkauf korrekt gehandelt: Käufer wussten zum Kaufzeitpunkt, bis wann Support geleistet wird. Der Verkaufsstopp 2030 ändert nichts daran. Die Supportpflicht läuft vertragsgemäß bis Dezember 2032 weiter. Zweitens muss die technische Dokumentation und die Konformitätserklärung mindestens bis Dezember 2037 aufbewahrt werden, zehn Jahre nach dem deklarierten Supportende, da dieser Zeitraum länger ist als zehn Jahre ab dem letzten Verkauf. Drittens muss die Benutzerdokumentation von Anfang an erklären, wie WLAN-Zugangsdaten, verknüpfte Cloud-Konten und gespeicherte Automatisierungsregeln vor der Entsorgung dauerhaft gelöscht werden können. Fehlt eine dieser Komponenten, hat der Hersteller den CRA nicht vollständig erfüllt.
Was bedeutet das für Ihre CRA-Roadmap?
Die Abkündigungspflichten sind keine isolierten Anforderungen. Sie sind Bestandteil des vollständigen CRA-Konformitätsprozesses, der in zwei Stufen wirksam wird.
Ab dem 11. September 2026 gelten die Meldepflichten des CRA. Hersteller müssen aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle an ENISA melden. Wer in dieser Phase ein Produkt abkündigt, muss gleichzeitig sicherstellen, dass die Nutzerkommunikation zur EOL-Ankündigung korrekt erfolgt.
Ab dem 11. Dezember 2027 gilt der CRA vollumfänglich. Produkte, die danach in Verkehr gebracht werden, müssen alle Anforderungen erfüllen, inklusive der vollständigen Dokumentation zur sicheren Außerbetriebnahme.
Wer seine Produktplanung heute aufstellt, sollte den gesamten Lebenszyklus mitdenken, von der Entwicklung über die Nutzungsphase bis zur Abkündigung und darüber hinaus. Eine detaillierte Übersicht der Fristen und empfohlenen Maßnahmen finden Sie in unserer CRA-Compliance-Roadmap.
Häufig gestellte Fragen
Gilt die Informationspflicht zur EOL-Ankündigung auch für B2B-Produkte? Ja. Der CRA unterscheidet bei den Nutzerinformationspflichten nicht grundsätzlich zwischen B2B und B2C. Auch gewerbliche Nutzer vernetzter Produkte müssen rechtzeitig über das Ende des Security-Supports informiert werden, damit sie informierte Entscheidungen zum Weiterbetrieb oder Austausch treffen können.
Was gilt, wenn das Produkt keine eigene Datenspeicherung hat, Daten aber in der Cloud des Herstellers liegen? Dann muss die Benutzerdokumentation erklären, wie der Nutzer seine Cloud-Daten löschen oder das Konto vollständig entfernen kann. Der Hersteller ist dafür verantwortlich, dass dieser Weg existiert und verständlich beschrieben ist.
Wie lange vor der Abkündigung muss ich Nutzer informieren? Der CRA gibt keine starre Frist vor, nennt aber das Kriterium der Rechtzeitigkeit. Die EU-Guidance deutet darauf hin, dass Nutzer genug Zeit haben müssen, um eine fundierte Entscheidung zum Umgang mit dem Gerät zu treffen. Was das konkret bedeutet, hängt von der Art des Produkts und seiner typischen Nutzungsdauer ab. Im Zweifel gilt: früher ist besser.
Muss ich ältere Produkte nachträglich mit einer Außerbetriebnahme-Anleitung ausstatten? Für Produkte, die nach dem 11. Dezember 2027 in Verkehr gebracht werden, gilt die Pflicht zwingend. Für Bestandsprodukte kommt es auf den Einzelfall an, insbesondere ob wesentliche Änderungen am Produkt vorgenommen wurden, die eine erneute Konformitätsbewertung ausgelöst haben.
Wie lange genau muss ich die Dokumentation aufbewahren? Mindestens zehn Jahre nach dem letzten Inverkehrbringen, oder so lange wie der deklarierte Unterstützungszeitraum dauert, je nachdem, was länger ist. Bei einem Produkt mit 15 Jahren Support sind es also mindestens 15 Jahre. Die Faustregel zehn Jahre gilt nur, wenn der Supportzeitraum kürzer ist. Die Uhr beginnt mit dem letzten Inverkehrbringen des Produkts, nicht mit der Abkündigung.
Muss ich die Dokumentation auch aufbewahren, wenn das Produkt nie einen Sicherheitsvorfall hatte? Ja. Die Aufbewahrungspflicht gilt unabhängig davon, ob es Vorfälle gab oder nicht. Marktüberwachungsbehörden können jederzeit prüfen, ob ein Produkt zum Zeitpunkt seines Inverkehrbringens den Anforderungen entsprach. Der Nachweis gelingt nur mit vollständiger Dokumentation.
Fazit
Produktabkündigung ist kein regulatorischer Schlusspunkt. Die Pflichten beginnen früher als viele denken, Käufer müssen bereits zum Zeitpunkt des Kaufs wissen, bis wann Sicherheitsupdates bereitgestellt werden. Sie enden später als viele erwarten, Dokumentation muss mindestens zehn Jahre oder über den gesamten Unterstützungszeitraum aufbewahrt werden, je nachdem, was länger ist. Dazwischen liegt die Pflicht zur Anleitung für sichere Datenlöschung, und im Extremfall, bei vollständiger Betriebseinstellung, auch die Pflicht zur Vorabinformation von Behörden und Nutzern. Das sind keine Interpretationsfragen, sondern explizite Anforderungen aus Artikel 13 und Anhang II des CRA.
Wer seinen CRA-Compliance-Status systematisch erheben möchte, inklusive der Anforderungen für den gesamten Produktlebenszyklus bis zur Abkündigung, kann das mit dem kostenlosen CRA-Compliance-Assessment von Kunnus strukturiert angehen, bevor der Stichtag aus der Planung in die Praxis kippt.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.