Nachdem EU-Regelwerke wie GDPR, NIS2 oder der AI Act in den letzten Jahren vor allem Software und KI ins Visier genommen haben, richtet sich der Blick ab 2025 verstärkt auf physische Hardware. Der Cyber Resilience Act, der EU AI Act und die neue Ecodesign for Sustainable Products Regulation etablieren umfassende Pflichten für vernetzte Geräte. Was früher für PCs oder Router optional war, wird nun verpflichtend bei Smartphones, IoT-Geräten, Mikrocontrollern oder eingebetteten KI-Systemen. Das betrifft nicht nur Hersteller, sondern verändert auch den Markt für private Endgeräte – mit Fokus auf Sicherheit, Nachhaltigkeit, Reparierbarkeit und KI-Compliance.
Software, KI und Datenschutz
Während Europa mit der DSGVO und dem kommenden AI Act einen besonders strengen Rechtsrahmen etabliert, unterscheiden sich die Regulierungsansätze weltweit stark. In den USA gelten beispielsweise sektorale Datenschutzgesetze wie der California Consumer Privacy Act, die weniger umfassend als die europäische DSGVO sind. Auch im Bereich der KI setzen Länder wie Japan oder Südkorea eher auf freiwillige Standards und kooperative Leitlinien, während China KI-Systeme nicht nur reguliert, sondern auch staatlich überwacht und in der Entwicklung fördert.
Im Software-Sektor zeigt sich die Bandbreite der Ansätze: Offene Märkte wie Singapur oder Hongkong setzen auf Innovationsfreiheit, während Kanada ähnlich wie die EU auf umfassende Verbraucherschutzgesetze setzt. Besonders interessant ist der Bereich der digitalen Plattformen und Online-Dienste, im iGaming, bei dem nationale Aufsichtsbehörden und Lizenzmodelle für Vertrauen sorgen. Ohne Lizenz und dennoch sicher agieren Anbieter global. Alternative Regulierungsbehörden, beispielsweise mit Sitz in Malta, gewährleisten Spielerschutz und sichere Transaktionen ebenso. Ein Beispiel dafür ist der iGaming-Sektor, in dem Malta mit der Malta Gaming Authority zu den weltweit führenden Lizenzgebern zählt. Diese Regularien garantieren, dass Plattformen trotz internationaler Aktivitäten Sicherheitsstandards wie Fairnessprüfungen und verschlüsselte Zahlungsprozesse einhalten.
Natürliche Feinde kennt auch Hardware – Sicherheit als Pflicht
Der Cyber Resilience Act (EU-Regulation 2024/2847) trat am 10. Dezember 2024 in Kraft; die meisten Pflichten gelten ab dem 11. Dezember 2027. Er definiert den Begriff „Products with Digital Elements“ – also Software oder Hardware, inklusive kompletter Systeme oder Einzelkomponenten, die eine logische oder physische Verbindung zu einem Netzwerk oder anderem Gerät haben. Dazu zählen Smartphones, Router, Wearables, vernetzte Spielzeuge, industrietaugliche Gebäudeautomation oder Smart-Home-Geräte.
Fabrikanten und Importeure müssen umfassende Cybersecurity-Vorkehrungen treffen: Risikobewertungen, sichere Standardkonfiguration, Schutz vor unerlaubtem Zugriff, Integritäts- und Verfügbarkeitsgarantien, sowie ein definiertes Schwachstellenmanagement inklusive automatischer Updates. Dokumentation, EU-Konformitätserklärung und CE-Kennzeichnung sind Pflicht. Besonders risikobehaftete Produkte („Class I“ und „Class II“) müssen zusätzlich durch Dritte zertifiziert oder geprüft werden.
Für Privatanwender bedeutet das: Es muss keine eigene Lizenz beantragt werden. Aber nur Geräte, die gemäß CRA entwickelt, geprüft und CE-zertifiziert sind, dürfen in der EU verkauft und genutzt werden. Produkte ohne entsprechende Konformität sind auf dem EU‑Markt verboten.
Auch KI‑Hardware gerät unter Kontrolle
Der AI Act trat am 1. August 2024 formell in Kraft. Erste Pflichten – wie Verbote hochriskanter KI-Systeme – gelten bereits ab dem 2. Februar 2025. Die Regeln für General‑Purpose‑AI, Meldepflichten und Governance starten ab dem 2. August 2025, vollständige Anwendung bei High‑Risk‑KI erfolgt bis August 2026, mit bestimmten Komponenten bis August 2027. Kernidee ist ein risikobasiertes Klassifikationssystem für KI-Technologien – von verboten bis niedriges Risiko. Zwar zielt der AI Act primär auf KI-Software, doch umfasst auch hardwarenahe KI-Komponenten – also Chips, Sensoren oder eingebettete Systeme, die lokal ML-Modelle ausführen („Edge‑AI“) oder als Sicherheitssysteme eingesetzt werden (z. B. AI-gesteuerte Hinderniserkennung).
Hersteller solcher Geräte müssen technische Dokumentation zur Verfügung stellen – inklusive Angaben zur Hardwareumgebung, Versions- und Einsatzkontexten sowie Test- und Entwicklungsdetails. Hoch-Risiko-KI-Systeme (etwa biometrische Sicherheit, smarte Notfallsensorik, autonome Steuerung) unterliegen strengen Vorgaben: Risikomanagement, Datenqualität, Transparenz, menschliche Aufsicht, Genauigkeit und Robustheit müssen nachgewiesen werden.
Für Nutzer heißt das: Geräte mit eingebetteter KI, die in eine Hochrisiko-Klasse fallen, dürfen nur verkauft werden, wenn der Hersteller eine Konformitätserklärung abgegeben hat. Solche Regeln gelten auch bei KI-gesteuerten Geräten für Privatgebrauch – etwa smarte Kameras oder Sicherheitsfunktionen in Smartphones.
Ökodesign & Right to Repair
Ab 20. Juni 2025 gelten neue Ecodesign- und Energiekennzeichnungs-Regelungen für Smartphones, Tablets und schnurlose Telefone (7–17,4 Zoll). Diese Vorschriften, Teil der ESPS-Umsetzung, fördern Robustheit, Reparierbarkeit und Langlebigkeit: Geräte müssen mindestens 45 Stürze überstehen, Akkus 800 Ladezyklen bei ≥ 80 % Restkapazität trotzen, Ersatzteile müssen innerhalb von 5–10 Arbeitstagen lieferbar sein – und das sieben Jahre lang. Softwareupdates müssen mindestens fünf Jahre gesichert sein; professionelle Reparaturbetriebe erhalten Zugang zu Firmware.
Gleichzeitig ergänzt die neue Right‑to‑Repair Directive die bestehende Warenkaufrichtlinie: Hersteller müssen defekte Geräte reparieren oder Ersatzteile liefern, wenn gesetzlich Reparierbarkeitspflicht besteht – auch über den Garantiezeitraum hinaus. Die R2RD erweitert damit das Recht der Verbraucher und begründet Herstellerpflichten bei langlebigen Elektronikprodukten wie Tablets, Handys, Displays und Servern.
Für private Nutzer bedeutet das: Geräte müssen künftig nicht nur sicher und langlebig sein – sie müssen auch konkret reparierbar und wartbar bleiben. Das schafft mehr Transparenz (Reparatur-Score auf Label) und kann die Lebensdauer von Geräten auf über 5+ Jahre verlängern.
Was ändert sich für den Endanwender und DIY‑Hobbyisten?
Für Konsumenten gilt: Die Nutzung fällt nicht unter neue Pflichten. Es muss keine Lizenz beantragt werden – solange das Gerät CE‑konform ist und von einem Hersteller vertrieben wurde, der CRA- und AI‑Act-Anforderungen erfüllt. Sofern Hardware privat gebaut, genutzt oder modifiziert wird und nicht öffentlich vertrieben, greift keine zusätzliche Regulierung.
Anders sieht es aus bei Vertrieb, Verkauf oder Import in die EU: Wer eigene Hardware (etwa IoT-Geräte oder Bastel-Hardware) in Verkehr bringt – auch als Hobbyprojekt – muss die CE‑Kennzeichnung, CRA- und möglicherweise AI‑Act-Konformität, technische Dokumentation und ggf. Reparierbarkeit beachten. Auch einstmals private Geräte könnten vom regulatorischen Rahmen betroffen sein, sobald sie öffentlich angeboten werden.
Insbesondere beim Import aus Drittländern ist Vorsicht geboten: Nur Produkte, die nach EU-Standards geprüft wurden, dürfen legal verkauft werden. Hersteller oder Importeure müssen sicherstellen, dass CE‑Markierung, technische Dokumentation und Konformitätserklärung vorhanden sind – andernfalls ist der Vertrieb untersagt.
Die EU-Regelwerke CRA, AI Act und ESPR markieren einen Wendepunkt: Hardware, einst nur in Nischen reguliert, wird zum festen Bestandteil eines umfassenden Rechtsrahmens.
- Der CRA erlegt verbindliche Cybersecurity‑Pflichten für alle Produkte mit digitalen Elementen auf.
- Der AI Act erweitert die Regulierung auf KI-Hardware, insbesondere Hochrisiko-Systeme.
- Die ESPR und Right‑to‑Repair führen zu mehr Nachhaltigkeit, Reparierbarkeit und Update-Verlässlichkeit.
Für Hersteller heißt das: umfassende Compliance, technische Dokumentation und Produkthaftung nach EU-Standards. Für Endnutzer: eine höhere Produktqualität, längere Lebenszyklen und mehr Sicherheit. Günstig importierte Noname-Geräte ohne Zertifizierung werden künftig kaum noch verfügbar sein.
Blick nach vorn: Im Rahmen digitaler Strategien strebt die EU bis 2030 an, Hardware und Software stärker zu verzahnen – etwa mit verpflichtenden Digital Product Passports, erweitertem Vulnerability Reporting und stärkeren Verbraucherschutz-Regeln für IoT-Netzwerke. So entsteht ein einheitliches, zukunftsorientiertes Regelwerk für digitale und physische Technik.
Hinterlasse jetzt einen Kommentar