Aktuell in der CR

Der Vorschlag für einen Cyber Resilience Act aus Sicht der DSGVO (Piltz/Weiß/Zwerschke, CR 2023, 154)

Mit ihrem Entwurf für einen Cyber Resilience Act legt die Europäische Kommission eine Verordnung vor, die (bei endgültiger Verabschiedung in dieser Form) tief in die sog. datengetriebenen Wirtschaftsbereiche und Vertriebsketten digitaler Produkte eingreifen wird, wie es zum Teil bereits die Europäische Datenschutz-Grundverordnung im Mai 2018 tat. Deshalb untersucht der Beitrag die wesentlichen Grundlagen des Cyber Resilience Act, das Verhältnis der beiden Verordnungen zueinander sowie ihre dogmatische Beziehung.

Überblick zum Anwendungsbereich, den rechtlichen Anforderungen und dem Konformitätsverfahren

INHALTSVERZEICHNIS:

I. Einführung

II. Anwendungsbereich und Zielsetzung des CRA-E

1. Sachlicher Anwendungsbereich

2. Personeller Anwendungsbereich

3. Grundsätzliches Verhältnis zur DSGVO

III. Gemeinsamkeiten, Unterschiede und Synergien zwischen CRA-E und DSGVO

1. Pflichten der einzelnen Adressaten im CRA-E

a) Pflichten der Hersteller

aa) Risikobewertung

bb) Schwachstellenmanagement

cc) Melde- und Übermittlungspflichten

b) Pflichten der Einführer und Händler

2. Vergleich mit den Pflichten nach der DSGVO

a) Technischer Datenschutz

b) Risikobasierter Ansatz

c) Unterschiede

3. Informations- und Dokumentationspflichten

IV. Konformitätsverfahren

1. Überblick über das Konformitätsverfahren nach dem CRA-E

2. Zertifizierung in der DSGVO

V. Fazit und Ausblick

 


Leseprobe:
 

"I. Einführung
1

Am 15.9.2022 hat die Europäische Kommission im Rahmen ihrer Europäischen Datenstrategie den „Vorschlag für eine Verordnung des Europäischen Parlaments und des Rates über horizontale Cybersicherheitsanforderungen für Produkte mit digitalen Elementen und zur Änderung der Verordnung (EU 2019/1020“ (COM(2022) 454 final) 1 veröffentlicht. Als Kernziele benennt der Kommissionsentwurf einerseits „die Schaffung der Bedingungen für die Entwicklung sicherer Produkte mit digitalen Elementen, damit Hardware- und Softwareprodukte mit weniger Schwachstellen in Verkehr gebracht werden und damit die Hersteller sich während des gesamten Lebenszyklus eines Produkts ernsthaft um die Sicherheit kümmern“. 2 Andererseits sollen mit dem CRA-E Bedingungen geschaffen werden, „die es den Nutzern ermöglichen, bei der Auswahl und Verwendung von Produkten mit digitalen Elementen die Cybersicherheit zu berücksichtigen“. Die Europäische Kommission begründet ihren Entwurf in Form einer Verordnung vor allem damit, dass sich (Cyber-)Vorfälle oftmals innerhalb von Minuten auf Organisationen, Sektoren und mehrere Mitgliedstaaten“ ausbreiten. 3

2

Abgesehen von einigen punktuellen Regelungen adressiert bislang vor allem die DSGVO 4 (zumindest in Bezug auf die Verarbeitung personenbezogener Daten) auf EU-Ebene Aspekte der IT-Sicherheit insbesondere im digitalen Bereich. Bereits dies ist Grund genug für eine Einordnung des CRA-E selbst, aber auch dessen Verhältnis zur DSGVO.

 

II. Anwendungsbereich und Zielsetzung des CRA-E
 
1. Sachlicher Anwendungsbereich
3

Gemäß Art. 1 lit. a regelt der CRA-E das Inverkehrbringen von Produkten mit digitalen Elementen; Art. 1 lit. b – d CRA-E adressiert zusätzlich, dass die Anforderungen des CRA-E bei der Konzeption, Entwicklung und Herstellung von Produkten mit digitalen Elementen zu beachten sind, ebenso wie bei der Behandlung von Schwachstellen dieser Produkte und der Überwachung und Durchsetzung des CRA-E. Dabei gilt der CRA-E nur für solche Produkte mit digitalen Elementen, deren bestimmungsgemäße oder vernünftigerweise vorhersehbare Verwendung eine direkte oder indirekte logische oder physische Datenverbindung mit einem Gerät oder Netz einschließt (Art. 2 Abs. 1 CRA-E). Der CRA-E adressiert also diese Produkte nur, wenn eine Verbindung mit anderen Geräten und Netzen geplant ist, sei es in einem (lokalen) Unternehmensnetzwerk, einem standortübergreifenden Forschungsnetzwerk oder allgemein „dem Internet“, wie sich zumindest implizit aus Art. 3 Nr. 11 CRA-E ergibt. Andere Produkte bestimmter Bereiche werden allerdings grundsätzlich vom Anwendungsbereich des CRA-E ausgeschlossen, da es hierfür speziellere europäische Verordnungen gibt. Ein Beispiel dazu sind medizinische Geräte, die gem. Art. 2 Abs. 2 lit. a CRA-E der Verordnung (EU) 2017/745 über Medizinprodukte unterfallen oder nach Art. 2 Abs. 5 CRA-E Geräte, die für Zwecke der nationalen Sicherheit oder für militärische Zwecke entwickelt wurden.

4

Entscheidend für die Anwendung des CRA-E ist daher …"

Hier direkt weiterlesen im juris PartnerModul IT-Recht



Verlag Dr. Otto Schmidt vom 11.03.2023 15:21

zurück zur vorherigen Seite