„Wenn das BSI nicht einschreitet, passiert uns als Hersteller nichts." Diesen Satz höre ich regelmäßig, und er offenbart ein grundlegendes Missverständnis darüber, wie das Durchsetzungsregime des Cyber Resilience Act tatsächlich funktioniert. Denn der CRA hat eine Durchsetzungsebene aktiviert, die weit über Marktüberwachungsbehörden hinausgeht.
Was bedeuten Verbandsklagen im Kontext des CRA?
Der Cyber Resilience Act ist nicht nur eine Produktsicherheitsverordnung, er ist auch ein Eingriff in die zivilrechtliche Durchsetzungslandschaft der EU. Artikel 64 CRA ändert die EU-Richtlinie über Verbandsklagen (Richtlinie 2020/1828). Diese Richtlinie erlaubt qualifizierten Einrichtungen, in Deutschland etwa den Verbraucherzentralen oder dem Verbraucherzentrale Bundesverband (vzbv), Unterlassungs- und Abhilfeklagen gegen Unternehmen einzureichen, wenn diese gegen EU-Recht verstoßen und dadurch kollektive Verbraucherinteressen schädigen.
Was neu ist: CRA-Verstöße werden ausdrücklich in den Anwendungsbereich dieser Verbandsklagerichtlinie aufgenommen. Ein Hersteller, der ein unsicheres Produkt mit digitalen Elementen auf den Markt bringt, sei es ohne angemessenes Schwachstellenmanagement, ohne SBOM oder ohne die vorgeschriebene Meldung von Sicherheitsvorfällen an die ENISA (die EU-Agentur für Cybersicherheit), riskiert damit nicht nur ein Bußgeldverfahren durch die nationale Marktüberwachungsbehörde. Er riskiert eine Verbandsklage durch eine zivilgesellschaftliche Organisation mit erheblicher Prozessfinanzierungskapazität und öffentlichem Interesse.
Eine detaillierte Übersicht über die CRA-Anforderungen, gegen die solche Klagen anknüpfen können, finden Sie in unserer CRA-Zusammenfassung.
Warum der Irrtum „Behörde muss einschreiten" gefährlich ist
Die verbreitete Fehleinschätzung basiert auf einem klassischen Denkfehler. Viele Hersteller setzen CRA-Risiko gleich mit Bußgeldrisiko. Bußgelder aber kommen von Behörden. Behörden sind personell begrenzt und priorisieren nach Ressourcen. Also: Wer nicht auffällt, fällt nicht auf.
Diese Logik ignoriert drei Realitäten.
Erstens ist das Verbandsklagerecht behördenunabhängig. Ein qualifizierter Verband braucht keine Behördenentscheidung als Vorbedingung. Er kann selbst aktiv werden, wenn er hinreichende Hinweise auf einen Verstoß hat, der kollektive Verbraucherinteressen schädigt. Das kann ein öffentlich bekannt gewordener Sicherheitsvorfall sein, ein Pentesting-Bericht, ein Hinweis eines Sicherheitsforschers oder schlicht eine eigene technische Prüfung.
Zweitens sind Verbände strategisch. Organisationen wie der vzbv klagen nicht wahllos. Sie suchen Fälle, die präzedenzwirkend sind und öffentliche Aufmerksamkeit erzeugen. Ein IoT-Gerät mit bekannten Sicherheitslücken, das Hunderttausende Verbraucher betrifft, ist genau das richtige Profil.
Drittens sind Reputationsschäden schwer zu reparieren. Eine Verbandsklage ist in der Regel mit Pressearbeit verbunden. Selbst wenn ein Hersteller das Verfahren letztlich gewinnt oder vergleicht, bleibt der öffentliche Bericht: „Verbraucherschützer klagen Hersteller X wegen unsicherer Produkte." Das ist ein Problem, das kein Bußgeldbescheid allein auslöst.
Zu den finanziellen Risiken bei Nicht-Compliance finden Sie weitere Details in unserem Artikel zu CRA-Strafen und Bußgeldern.
Mythos vs. Fakt
Mythos: Solange die Marktüberwachungsbehörde nicht einschreitet, hat ein Hersteller bei CRA-Verstößen nichts zu befürchten.
Fakt: Der CRA erweitert die EU-Verbandsklagerichtlinie (2020/1828) ausdrücklich auf CRA-Verstöße. Qualifizierte Verbraucherschutzverbände können Hersteller unabhängig von Behördenverfahren direkt verklagen, wenn Verstöße kollektive Verbraucherinteressen schädigen. Das Durchsetzungsrisiko ist zweigleisig, behördlich und zivilrechtlich.
Konkrete Konsequenzen für Hersteller
1. Schwachstellenmanagement ist kein optionales Add-on. Eines der klaren Angriffsziele für Verbandsklagen sind Produkte, bei denen bekannte Schwachstellen nicht gemeldet oder nicht behoben wurden. Artikel 13 CRA verpflichtet Hersteller zu einem strukturierten Schwachstellenmanagement über die gesamte Produktlebensdauer. Wer das nicht belegen kann, hat im Klagefall ein ernsthaftes Nachweisproblem. Ein praxisnahes Vorgehen dazu beschreiben wir in unserem Schwachstellenmanagement-Guide für CRA-Hersteller.
2. Öffentlich sichtbare Verstöße sind die eigentlichen Klageauslöser. Was für Verbände tatsächlich angreifbar ist, ist das, was sie selbst prüfen können. Fehlt die Betriebsanleitung mit Hinweisen zur sicheren Nutzung oder zur Datenlöschung, ist das direkt feststellbar. Reagiert ein Hersteller auf öffentlich bekannte CVEs nicht und ist diese Untätigkeit nachvollziehbar dokumentiert, liefert das einen konkreten Anknüpfungspunkt. Und ob eine EU-Konformitätserklärung existiert und ob das Produkt hält, was darin steht, ist für Verbände über technische Prüfungen überprüfbar. Die SBOM ist intern ein wichtiges Werkzeug, aber nicht das erste, was nach außen sichtbar wird und Klagen auslöst.
3. Compliance-Dokumentation schützt, aber nur wenn sie stimmt. CE-Kennzeichnung und Konformitätserklärung sind formale Schutzschilde, aber keine inhaltlichen. Ein Verband kann die technische Dokumentation über Behörden oder Sachverständige prüfen lassen. Wer seine Konformitätsbewertung nur pro forma durchgeführt hat, steht dann ohne belastbaren Nachweis da. Mehr zur CE-Kennzeichnung unter dem CRA finden Sie in unserem Artikel zur CRA-Konformitätsbewertung.
Was bedeutet das für Ihre CRA-Roadmap?
Zwei Fristen strukturieren den CRA-Umsetzungsfahrplan für Hersteller. Ab dem 11. September 2026 treten die Meldepflichten für aktiv ausgenutzte Schwachstellen und schwerwiegende Sicherheitsvorfälle in Kraft. Ab dem 11. Dezember 2027 gilt der CRA in vollem Umfang, einschließlich aller Anforderungen an Produktsicherheit, SBOM, technische Dokumentation und Konformitätsbewertung.
Der Punkt, der in diesem Kontext oft übersehen wird: Das Verbandsklagerecht greift nicht erst ab Dezember 2027. Sobald der CRA vollständig anwendbar ist, sind Verstöße klagefähig. Verbände werden keine Jahre warten, um erste Präzedenzfälle zu schaffen. Die Erfahrung aus der DSGVO zeigt, wie schnell solche Organisationen nach Inkrafttreten aktiv werden.
Wer heute mit der Strukturierung seiner CRA-Roadmap beginnt, legt damit gleichzeitig das Fundament für seine Verteidigungsfähigkeit gegenüber zivilrechtlichen Klagen. Eine detaillierte Zeitleiste finden Sie in unserem Artikel zur CRA-Compliance-Roadmap 2026–2027.
Häufig gestellte Fragen
Wer kann auf Basis des CRA Verbandsklage einreichen? Qualifizierte Einrichtungen im Sinne der Richtlinie 2020/1828, in Deutschland etwa der Verbraucherzentrale Bundesverband (vzbv) oder die einzelnen Verbraucherzentralen der Länder. Auf EU-Ebene gibt es eine Vielzahl solcher Organisationen, die grenzüberschreitend tätig sein können.
Müssen Verbraucher individuell geschädigt sein, damit eine Verbandsklage möglich ist? Nein. Verbandsklagen schützen kollektive Interessen. Es reicht, dass ein CRA-Verstoß potentiell geeignet ist, eine Vielzahl von Verbrauchern zu schädigen, etwa durch ein Produkt mit sicherheitsrelevanten Schwachstellen, das breit vermarktet wird.
Welche Sanktionen drohen bei einer Verbandsklage? Im Vordergrund stehen Unterlassungsklagen (kein weiterer Vertrieb des Produkts) und Abhilfeklagen (Rückruf, Nachbesserung, Information betroffener Verbraucher). Hinzu kommen Prozesskosten und Reputationsschäden. Bußgelder kommen separat über die Marktüberwachungsbehörden.
Kann ein Hersteller sich durch CE-Kennzeichnung vor Verbandsklagen schützen? Nicht vollständig. Die CE-Kennzeichnung bescheinigt die formale Konformität zum Zeitpunkt des Inverkehrbringens. Wenn ein Produkt später bekannte Schwachstellen aufweist, die nicht behoben werden, greift die Dauerpflicht zum Schwachstellenmanagement. Eine Klage kann sich auf diese Verletzung stützen, unabhängig von der ursprünglichen CE-Kennzeichnung.
Gibt es schon Präzedenzfälle aus dem Bereich CRA und Verbandsklagen? Der CRA ist noch nicht vollständig in Kraft, entsprechende Klagen werden erst nach dem 11. Dezember 2027 möglich sein. Die DSGVO zeigt aber, wie schnell Verbände nach Inkrafttreten aktiv werden, bereits kurz nach Mai 2018 wurden die ersten Verbandsklagen eingereicht.
Fazit
Der CRA ist kein reines Behördenspiel. Das BSI baut gezielt Kapazitäten für die CRA-Marktaufsicht auf und nimmt diese Aufgabe ernst. Trotzdem gibt es eine zweite, davon unabhängige Durchsetzungsebene, die zivilrechtliche. Die geänderte Verbandsklagerichtlinie gibt Verbraucherschutzverbänden das Recht, Hersteller direkt zu verklagen, wenn deren Produkte CRA-Anforderungen verletzen und dadurch kollektive Verbraucherinteressen gefährden. Diese beiden Ebenen laufen parallel, nicht nacheinander.
Das bedeutet für die Praxis: CRA-Compliance ist keine Behörden-Compliance, sondern Produktqualitäts-Compliance. Schwachstellenmanagement, Produktdokumentation und Konformitätsnachweise sind dabei nicht nur regulatorische Pflichten, sondern auch die wichtigsten Argumente in einem zivilrechtlichen Verfahren. Was Verbände prüfen können, sind die sichtbaren Dinge, die Betriebsanleitung, die Reaktion auf öffentlich bekannte Schwachstellen, die Konformitätserklärung.
Wer wissen möchte, wo sein Unternehmen heute steht, kann mit einem kostenlosen CRA-Assessment beginnen, strukturiert, herstellerspezifisch und ohne Umwege über generische Checklisten.
Jeden Freitag räume ich hier mit einem CRA-Mythos auf.