RED: Neue Herstellerpflichten

Cyber­si­cher­heit und Daten­schutz bei Funkanlagen

Die Datenschutz-Grundverordnung (DSGVO) gilt nicht unmit­tel­bar für Her­stel­ler. Aller­dings spinnt die Euro­päi­sche Uni­on (EU) mit zahl­rei­chen Rechts­ak­ten seit Jah­ren ein immer enge­res Netz an Vor­ga­ben, die daten­schutz­recht­li­che Vor­ga­ben für Pro­dukt­ent­wick­lung ent­hal­ten. Ins­be­son­de­re der Erlass der dele­gier­ten Ver­ord­nung (EU) 2022/30 zur Radio Equip­ment Direc­ti­ve (RED) sorgt für ent­spre­chen­de Pflich­ten – und das bei mehr Pro­duk­ten, als es auf den ers­ten Blick scheint. Die Abgren­zung, wel­che Pro­duk­te betrof­fen sind und wel­che nicht, kann im Ein­zel­fall schwie­rig sein. Da Funk­an­la­gen, die die Anfor­de­run­gen nicht erfül­len, ab 2024 auf dem euro­päi­schen Markt nicht mehr bereit­ge­stellt wer­den dür­fen, müs­sen Her­stel­ler sich mit die­sen Fra­gen zwin­gend auseinandersetzen. 

Mit dem Inter­net ver­bun­de­ne Funkanlagen

Nach der dele­gier­ten Ver­ord­nung (EU) 2022/30 müs­sen alle mit dem Inter­net ver­bun­de­nen Funk­an­la­gen grund­le­gen­de Anfor­de­run­gen an Cyber­si­cher­heit und Daten­schutz erfül­len. Der Begriff „mit dem Inter­net ver­bun­de­ne Funk­an­la­gen“ ist dabei wei­ter zu ver­ste­hen, als man zunächst den­ken könn­te. Nach Art. 1 Abs. 1 der dele­gier­ten Ver­ord­nung (EU) 2022/30 sind alle Funk­an­la­gen erfasst, die selbst über das Inter­net kom­mu­ni­zie­ren kön­nen, unab­hän­gig davon, ob sie direkt oder über ande­re Gerä­te kom­mu­ni­zie­ren. Somit kön­nen auch Gerä­te erfasst sein, die gar nicht selbst imstan­de sind, eine Ver­bin­dung zum Inter­net her­zu­stel­len, son­dern ggf. bloß über Blue­tooth ansteu­er­bar sind.

Der Kom­mu­ni­ka­ti­ons­be­griff

Es drängt sich auf, dass nicht jedes Gerät, das sich per Blue­tooth mit einem Lap­top oder Smart­phone ver­bin­det, mit dem Inter­net kom­mu­ni­ziert. Ent­schei­dend für eine sau­be­re Abgren­zung ist, wel­che Anfor­de­run­gen man an „mit dem Inter­net kom­mu­ni­ziert“ stellt. Zwei­fel­haft erscheint, ob bereits eine Schnitt­stel­le für ein Firmware-Update über das Inter­net aus­reicht. Erwä­gungs­grund 5 der dele­gier­ten Ver­ord­nung (EU) 2022/30 stellt dar­auf ab, ob eine Funk­an­la­ge mit Pro­to­kol­len arbei­tet, „[…] die für den Daten­aus­tausch mit dem Inter­net ent­we­der direkt oder über ein Zwi­schen­ge­rät erfor­der­lich sind“. Wer­den ent­spre­chen­de Pro­to­kol­le genutzt, ist eine Kom­mu­ni­ka­ti­on mit dem Inter­net anzu­neh­men. Dies dürf­te inzwi­schen einen Groß­teil von Funk­an­la­gen vom Fit­ness­tra­cker bis zum digi­ta­len Grill­ther­mo­me­ter betref­fen. Aus­ge­nom­men sein dürf­ten hin­ge­gen rei­ne Eingabegeräte.

Prak­ti­sche Aus­wir­kun­gen auf Her­stel­ler und Umset­zung in der Praxis

Die Zahl betrof­fe­ner Pro­duk­te ist immens. Ab 2024 droht der Ver­lust des Markt­zu­gangs, wenn die ent­spre­chen­den Vor­ga­ben nicht ein­ge­hal­ten wer­den. Her­stel­ler soll­ten daher im Zuge ihres Com­pli­ance Manage­ments genau prü­fen, ob die Vor­ga­ben der RED ein­ge­hal­ten wer­den müs­sen. Doch auch wenn ein Pro­dukt nicht nach der RED ver­pflich­tet sein soll­te, Stan­dards in Bezug auf Cyber­si­cher­heit und Daten­schutz ein­zu­hal­ten, soll­ten Her­stel­ler das The­ma nicht igno­rie­ren. Zum einen müs­sen Kun­den, die die Pro­duk­te erwer­ben, sicher sein kön­nen, dass eine rechts­kon­for­me Nut­zung des Pro­dukts mög­lich ist. Zum ande­ren dro­hen Pro­dukt­war­nun­gen durch das Bun­des­amt für Sicher­heit in der Infor­ma­ti­ons­tech­nik (BSI) und die Daten­schutz­auf­sichts­be­hör­den. Zu den­ken ist außer­dem an zukünf­ti­ge Her­stel­ler­pflich­ten, die sich ins­be­son­de­re aus dem EU Cyber Resi­li­ence Act (CRA) erge­ben werden. 

Wei­te­re Infor­ma­tio­nen zur Umset­zung von Cyber­se­cu­ri­ty und Data Pro­tec­tion by Design in der Pro­dukt­ent­wick­lung fin­den Sie in die­sem One­pager.