Artikel 52 Marktüberwachung und Kontrolle von Produkten mit digitalen Elementen auf dem Unionsmarkt

1. Die Verordnung (EU) 2019/1020 gilt für die Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen.
1. Jeder Mitgliedstaat benennt für die Zwecke der Gewährleistung der wirksamen Durchführung der vorliegenden Verordnung eine oder mehrere Marktüberwachungsbehörden. Die Mitgliedstaaten können eine bestehende oder eine neue Behörde benennen, die im Rahmen der vorliegenden Verordnung als Marktüberwachungsbehörde tätig wird.
1. Die gemäß Absatz 2 dieses Artikels benannten Marktüberwachungsbehörden sind auch für die Durchführung von Marktüberwachungstätigkeiten im Zusammenhang mit den in Artikel 24 genannten Verpflichtungen für Verwalter quelloffener Software zuständig. Stellt eine Marktüberwachungsbehörde fest, dass ein Verwalter quelloffener Software die in dem genannten Artikel festgelegten Verpflichtungen nicht erfüllt, so fordert sie den Verwalter quelloffener Software auf, sicherzustellen, dass alle geeigneten Korrekturmaßnahmen ergriffen werden. Die Verwalter quelloffener Software stellen im Rahmen ihrer Verpflichtungen gemäß dieser Verordnung sicher, dass alle geeigneten Korrekturmaßnahmen ergriffen werden.
1. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach Artikel 58 der Verordnung (EU) 2019/881 benannten nationalen Behörden für die Cybersicherheitszertifizierung zusammen und tauschen regelmäßig Informationen mit ihnen aus. Bei der Beaufsichtigung der Umsetzung der Meldepflichten nach Artikel 14 der vorliegenden Verordnung arbeiten die benannten Marktüberwachungsbehörden mit den als Koordinatoren benannten CSIRTs und der ENISA zusammen und tauschen mit ihnen regelmäßig Informationen aus.
1. Die Marktaufsichtsbehörden können den als Koordinator benannten CSIRT oder die ENISA um technische Beratung in Fragen der Durchführung und Durchsetzung dieser Verordnung ersuchen. Bei der Durchführung einer Untersuchung gemäß Artikel 54 können die Marktüberwachungsbehörden den als Koordinator benannten CSIRT oder die ENISA um eine Analyse zur Untermauerung der Konformitätsbewertung von Produkten mit digitalen Elementen ersuchen.
1. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit anderen Marktüberwachungsbehörden zusammen, die auf der Grundlage anderer Harmonisierungsrechtsvorschriften der Union als jener dieser Verordnung für andere Produkte benannt wurden, und tauschen regelmäßig Informationen mit ihnen aus.
1. Die Marktüberwachungsbehörden arbeiten gegebenenfalls mit den Behörden zusammen, die die Anwendung des Datenschutzrechts der Union beaufsichtigen. Diese Zusammenarbeit umfasst die Unterrichtung dieser Behörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Zuständigkeiten von Bedeutung sind, auch bezüglich der Herausgabe von Leitlinien und der Beratung nach Absatz 10, soweit solche Leitlinien und Ratschläge die Verarbeitung personenbezogener Daten betreffen.
2. Die Behörden, die die Anwendung des Datenschutzrechts der Union beaufsichtigen, sind befugt, alle im Rahmen dieser Verordnung erstellten oder geführten Unterlagen anzufordern und darauf zuzugreifen, soweit der Zugang zu diesen Unterlagen für die Erfüllung ihrer Aufgaben erforderlich ist. Sie unterrichten die benannten Marktüberwachungsbehörden des betreffenden Mitgliedstaats über jedes solches Ersuchen.
1. Die Mitgliedstaaten sorgen dafür, dass die benannten Marktüberwachungsbehörden mit angemessenen finanziellen und technischen Ressourcen, gegebenenfalls auch mit Tools zur Prozessautomatisierung, sowie mit personellen Ressourcen, die über die notwendigen Cybersicherheitskompetenzen verfügen, ausgestattet werden, damit sie ihre Aufgaben im Rahmen dieser Verordnung wahrnehmen können.
1. Die Kommission fördert und erleichtert den Erfahrungsaustausch zwischen den benannten Marktüberwachungsbehörden.
1. Die Marktüberwachungsbehörden können den Wirtschaftsakteuren mit Unterstützung der Kommission und gegebenenfalls der CSIRTs und der ENISA Leitlinien und Ratschläge für die Durchführung dieser Verordnung geben.
1. Die Marktüberwachungsbehörden informieren die Verbraucher gemäß Artikel 11 der Verordnung (EU) 2019/1020 darüber, wo Beschwerden einzureichen sind, die auf eine Nichteinhaltung dieser Verordnung hindeuten könnten, und stellen den Verbrauchern Informationen darüber zur Verfügung, wo und wie sie Zugang zu Mechanismen haben, um die Meldung von Schwachstellen, Sicherheitsvorfällen und Cyberbedrohungen, die Produkte mit digitalen Elementen betreffen können, zu erleichtern.
1. Die Marktüberwachungsbehörden müssen gegebenenfalls die Zusammenarbeit mit einschlägigen Interessenträgern, darunter Wissenschafts-, Forschungs- und Verbraucherorganisationen, erleichtern.
1. Die Marktüberwachungsbehörden erstatten der Kommission jährlich über die Ergebnisse ihrer jeweiligen Marktüberwachungstätigkeiten Bericht. Die benannten Marktüberwachungsbehörden melden der Kommission und den einschlägigen nationalen Wettbewerbsbehörden unverzüglich alle Informationen, die sie im Verlauf ihrer Marktüberwachungstätigkeiten erlangt haben und die für die Anwendung des Wettbewerbsrechts der Union von Interesse sein könnten.
1. Bei Produkten mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen und gemäß Artikel 6 der Verordnung (EU) 2024/1689 als Hochrisiko-KI-Systeme eingestuft sind, sind die für die Zwecke der genannten Verordnung benannten Marktüberwachungsbehörden auch für die nach der vorliegenden Verordnung erforderlichen Marktüberwachungstätigkeiten zuständig. Die nach der Verordnung (EU) 2024/1689 benannten Marktüberwachungsbehörden arbeiten gegebenenfalls mit den nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden und — bezüglich der Aufsicht über die Umsetzung der Meldepflichten nach Artikel 14 der vorliegenden Verordnung — mit den als Koordinatoren benannten CSIRTs und der ENISA zusammen. Die nach der Verordnung (EU) 2024/1689 benannten Marktüberwachungsbehörden unterrichten insbesondere die nach der vorliegenden Verordnung benannten Marktüberwachungsbehörden über alle Erkenntnisse, die für die Wahrnehmung ihrer Aufgaben im Zusammenhang mit der Durchführung der vorliegenden Verordnung von Bedeutung sind.
1. Im Hinblick auf die einheitliche Anwendung dieser Verordnung wird gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2019/1020 die ADCO eingesetzt. Die ADCO setzt sich aus Vertretern der benannten Marktüberwachungsbehörden und gegebenenfalls Vertretern der zentralen Verbindungsstellen zusammen. Die ADCO befasst sich auch mit spezifischen Fragen zu den Marktüberwachungstätigkeiten im Zusammenhang mit den Verpflichtungen für Verwalter quelloffener Software.
1. Die Marktüberwachungsbehörden überwachen, wie die Hersteller bei der Festlegung des Unterstützungszeitraums für ihre Produkte mit digitalen Elementen die in Artikel 13 Absatz 8 genannten Kriterien angewandt haben.
2. Die ADCO veröffentlicht in öffentlich zugänglicher und benutzerfreundlicher Form einschlägige Statistiken über Kategorien von Produkten mit digitalen Elementen, einschließlich der vom Hersteller gemäß Artikel 13 Absatz 8 festgelegten durchschnittlichen Unterstützungszeiträume, und stellt Leitlinien bereit, die indikative Unterstützungszeiträume für Kategorien von Produkten mit digitalen Elementen enthalten.
3. Wenn die Daten auf unzureichende Unterstützungszeiträume für bestimmte Kategorien von Produkten mit digitalen Elementen hindeuten, kann die ADCO den Marktüberwachungsbehörden empfehlen, ihre Tätigkeiten auf solche Kategorien von Produkten mit digitalen Elementen zu konzentrieren.

Relevant recitals

Erwägungsgrund 51 High-risk AI systems

Produkte mit digitalen Elementen, die nach Artikel 6 der Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates(²²)Verordnung (EU) 2024/1689 des Europäischen Parlaments und des Rates vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz (und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Gesetz über künstliche Intelligenz) (ABl. L, 2024/1689, 12.7.2024, ELI: http://data.europa.eu/eli/reg/2024/1689/oj). als Hochrisiko-KI-Systeme eingestuft sind und in den Anwendungsbereich der vorliegenden Verordnung fallen, sollten den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen genügen. Genügen diese Hochrisiko-KI-Systeme den in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen, so gelten sie als die Cybersicherheitsanforderungen gemäß Artikel 15 der Verordnung (EU) 2024/1689 erfüllend, soweit diese Anforderungen von der nach der vorliegenden Verordnung ausgestellten EU-Konformitätserklärung oder Teilen davon abgedeckt sind. Zu diesem Zweck sollten bei der Bewertung der mit einem Produkt mit digitalen Elementen, das als KI-System mit hohem Risiko gemäß der VO (EU) 2024/1689 eingestuft wird, verbundenen Cybersicherheitsrisiken, die während der Planungs-, Entwurfs-, Entwicklungs-, Produktions-, Liefer- und Wartungsphasen eines solchen Produkts zu berücksichtigen ist, wie in dieser Verordnung vorgeschrieben, die Risiken für die Cyberresilienz eines KI-Systems berücksichtigt werden in Bezug auf Versuche unbefugter Dritter, die Nutzung, das Verhalten oder die Leistung des Systems zu verändern, einschließlich KI-spezifischer Schwachstellen wie Data Poisoning oder adversarial attack, sowie gegebenenfalls Risiken für die Grundrechte, gemäß der Verordnung (EU) 2024/1689. Für die Konformitätsbewertungsverfahren zu den grundlegenden Cybersicherheitsanforderungen an ein Produkt mit digitalen Elementen, das in den Anwendungsbereich der vorliegenden Verordnung fällt und als Hochrisiko-KI-System eingestuft ist, sollte grundsätzlich anstelle der einschlägigen Bestimmungen der vorliegenden Verordnung Artikels 43 der Verordnung (EU) 2024/1689 Anwendung finden. Diese Regel sollte jedoch nicht dazu führen, dass die erforderliche Vertrauenswürdigkeit für die in der vorliegenden Verordnung genannten wichtigen oder kritischen Produkte mit digitalen Elementen verringert wird. Deshalb sollten abweichend von dieser Regel Hochrisiko-KI-Systeme, die in den Anwendungsbereich der Verordnung (EU) 2024/1689 fallen und auch wichtige oder kritische Produkte mit digitalen Elementen, wie in der vorliegenden Verordnung genannt, sind und auf die das Konformitätsbewertungsverfahren auf der Grundlage einer internen Kontrolle gemäß Anhang VI der Verordnung (EU) 2024/1689 angewandt wird, den Konformitätsbewertungsverfahren der vorliegenden Verordnung unterliegen, soweit die in der vorliegenden Verordnung festgelegten grundlegenden Cybersicherheitsanforderungen betroffen sind. In diesem Fall sollten für alle anderen Aspekte, die unter die Verordnung (EU) 2024/1689 fallen, die einschlägigen Bestimmungen über die Konformitätsbewertung auf der Grundlage einer internen Kontrolle gemäß Anhang VI der genannten Verordnung gelten.

Erwägungsgrund 59 Determining the support period

Um für die Sicherheit von Produkten mit digitalen Elementen nach ihrem Inverkehrbringen zu sorgen, sollten die Hersteller den Unterstützungszeitraum festlegen, der der voraussichtlichen Nutzungsdauer des Produkts mit digitalen Elementen Rechnung tragen sollte. Bei der Festlegung eines Unterstützungszeitraums sollte ein Hersteller insbesondere die berechtigten Erwartungen der Nutzer, die Art des Produkts sowie das einschlägige Unionsrecht zur Festlegung der Lebensdauer von Produkten mit digitalen Elementen berücksichtigen. Die Hersteller sollten auch andere relevante Faktoren berücksichtigen können. Die Kriterien sollten so angewandt werden, dass die Verhältnismäßigkeit bei der Festlegung der Unterstützungszeiträume gegeben ist. Auf Anfrage sollte ein Hersteller den Marktüberwachungsbehörden die Informationen zur Verfügung stellen, die bei der Festlegung des Unterstützungszeitraums eines Produkts mit digitalen Elementen berücksichtigt wurden.

Erwägungsgrund 60 Minimum support period

Der Unterstützungszeitraum, für den der Hersteller die wirksame Behandlung von Schwachstellen gewährleistet, sollte mindestens fünf Jahre betragen, es sei denn, die Lebensdauer des Produkts mit digitalen Elementen beträgt weniger als fünf Jahre; in diesem Fall sollte der Hersteller die Behandlung von Schwachstellen für die entsprechende Lebensdauer sicherstellen. Wenn nach vernünftigem Ermessen davon auszugehen ist, dass das Produkt mit digitalen Elementen länger als fünf Jahre verwendet wird, wie dies häufig bei Hardwarekomponenten wie Hauptplatinen oder Mikroprozessoren, bei Netzwerkgeräten wie Routern, Modems oder Switches sowie bei Software wie Betriebssystemen oder Videobearbeitungstools der Fall ist, sollten die Hersteller dementsprechend längere Unterstützungszeiträume sicherstellen. Insbesondere Produkte mit digitalen Elementen, die für die Verwendung in industriellen Umgebungen bestimmt sind, wie etwa industrielle Steuerungssysteme, werden häufig über deutlich längere Zeiträume hinweg verwendet. Ein Hersteller sollte nur dann einen Unterstützungszeitraum von weniger als fünf Jahren festlegen können, wenn dies durch das Wesen des betreffenden Produkts mit digitalen Elementen gerechtfertigt ist und das Produkt voraussichtlich weniger als fünf Jahre in Verwendung sein wird; in diesem Fall sollte der Unterstützungszeitraum der erwarteten Nutzungsdauer entsprechen. Beispielsweise könnte die Lebensdauer einer Kontaktnachverfolgungs-App, die für die Nutzung während einer Pandemie bestimmt ist, auf die Dauer der Pandemie begrenzt werden. Darüber hinaus können einige Software-Anwendungen naturgemäß nur auf der Grundlage eines Abonnements zur Verfügung gestellt werden, insbesondere wenn die Anwendung nach Ablauf des Abonnements für den Nutzer nicht mehr zur Verfügung steht und folglich nicht mehr genutzt wird.

Erwägungsgrund 61 Release of source code after support period

Wenn bei Produkten mit digitalen Elementen das Ende des jeweiligen Unterstützungszeitraums erreicht ist, sollten die Hersteller in Erwägung ziehen, den Quellcode dieser Produkte mit digitalen Elementen entweder gegenüber anderen Unternehmen, die sich zu einer verlängerten Bereitstellung von Diensten zur Behandlung von Schwachstellen verpflichten, oder für die Öffentlichkeit freizugeben, damit Schwachstellen auch nach Ablauf des Unterstützungszeitraums behandelt werden können. Wenn Hersteller den Quellcode an andere Unternehmen weitergeben, sollten sie in der Lage sein, das Eigentumsrecht an dem Produkt mit digitalen Elementen zu schützen und die Weitergabe des Quellcodes an die Öffentlichkeit zu verhindern, etwa im Wege vertraglicher Vereinbarungen.

Erwägungsgrund 62 Harmonisation of support periods

Um sicherzustellen, dass die Hersteller in der gesamten Union vergleichbare Unterstützungszeiträume für vergleichbare Produkte mit digitalen Elementen festlegen, sollte die ADCO Statistiken über die von den Herstellern für Kategorien von Produkten mit digitalen Elementen festgelegten durchschnittlichen Unterstützungszeiträume veröffentlichen und Leitlinien herausgeben, in denen angemessene Unterstützungszeiträume für diese Kategorien angegeben sind. Darüber hinaus sollte die Kommission im Hinblick auf die Gewährleistung eines über den gesamten Binnenmarkt hinweg harmonisierten Ansatzes delegierte Rechtsakte erlassen können, um Mindestunterstützungszeiträume für bestimmte Produktkategorien festzulegen, wenn die von den Marktüberwachungsbehörden bereitgestellten Daten entweder darauf hindeuten, dass die von den Herstellern festgelegten Unterstützungszeiträume systematisch nicht den in dieser Verordnung festgelegten Kriterien für die Festlegung der Unterstützungszeiträume entsprechen, oder darauf hindeuten, dass Hersteller aus verschiedenen Mitgliedstaaten ungerechtfertigt unterschiedliche Unterstützungszeiträume festlegen.

Erwägungsgrund 106 Rules on market surveillance and control of products

Die Marktüberwachung ist ein wesentliches Instrument zur Gewährleistung der korrekten und einheitlichen Anwendung des Unionsrechts. Daher sollte ein Rechtsrahmen geschaffen werden, innerhalb dessen die Marktüberwachung in angemessener Weise erfolgen kann. Die Vorschriften der Verordnung (EU) 2019/1020 für die Überwachung des Unionsmarktes und die Kontrolle von Produkten, die auf den Unionsmarkt gelangen, gelten auch für Produkte mit digitalen Elementen, die in den Anwendungsbereich der vorliegenden Verordnung fallen.

Erwägungsgrund 107 Designation of market surveillance authorities and a single liaison office

Nach der Verordnung (EU) 2019/1020 führt eine Marktüberwachungsbehörde die Marktüberwachung im Hoheitsgebiet des Mitgliedstaats, der sie benennt, durch. Diese Verordnung sollte die Mitgliedstaaten nicht daran hindern, zu entscheiden, welche Behörden für die Wahrnehmung der Marktüberwachungsaufgaben zuständig sind. Jeder Mitgliedstaat sollte in seinem Hoheitsgebiet eine oder mehrere Marktüberwachungsbehörden benennen. Die Mitgliedstaaten sollten beschließen können, eine bestehende oder eine neue Behörde als Marktüberwachungsbehörde zu benennen, einschließlich der gemäß Artikel 8 der Richtlinie (EU) 2022/2555 benannten oder eingesetzten zuständigen Behörden, der gemäß Artikel 58 der Verordnung (EU) 2019/881 benannten nationalen Behörden für die Cybersicherheitszertifizierung oder der im Sinne der Richtlinie 2014/53/EU benannten Marktüberwachungsbehörden. Die Wirtschaftsakteure sollten umfassend mit den Marktüberwachungsbehörden und anderen zuständigen Behörden zusammenarbeiten. Jeder Mitgliedstaat sollte die Kommission und die anderen Mitgliedstaaten über seine Marktüberwachungsbehörden und deren jeweilige Zuständigkeitsbereiche unterrichten und dafür sorgen, dass diese über die erforderlichen Ressourcen und Fähigkeiten für die Durchführung der Marktüberwachungsaufgaben im Zusammenhang mit der vorliegenden Verordnung verfügen. Gemäß Artikel 10 Absätze 2 und 3 der Verordnung (EU) 2019/1020 sollte jeder Mitgliedstaat eine zentrale Verbindungsstelle benennen, die unter anderem dafür zuständig sein sollte, den abgestimmten Standpunkt der Marktüberwachungsbehörden zu vertreten und die Zusammenarbeit zwischen den Marktüberwachungsbehörden in verschiedenen Mitgliedstaaten zu unterstützen.

Erwägungsgrund 108 Dedicated ADCO for cyber resilience of products with digital elements

Im Hinblick auf die einheitliche Anwendung dieser Verordnung sollte gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2019/1020 eine ADCO für die Cyberresilienz von Produkten mit digitalen Elementen eingesetzt werden. Die ADCO sollte sich aus Vertretern der benannten Marktüberwachungsbehörden und gegebenenfalls Vertretern der zentralen Verbindungsstellen zusammensetzen. Die Kommission sollte die Zusammenarbeit zwischen den Marktüberwachungsbehörden über das gemäß Artikel 29 der Verordnung (EU) 2019/1020 eingerichtete Unionsnetzwerk für Produktkonformität unterstützen und fördern, das sich aus Vertretern der einzelnen Mitgliedstaaten, einschließlich eines Vertreters jeder zentralen Verbindungsstelle nach Artikel 10 der genannten Verordnung und eines optionalen nationalen Sachverständigen, sowie den Vorsitzenden der ADCO und Vertretern der Kommission zusammensetzt. Die Kommission sollte an den Sitzungen des Netzwerks der Union für Produktkonformität, seiner Untergruppen und der ADCO teilnehmen. Sie sollte die ADCO durch ein Exekutivsekretariat unterstützen, das technische und logistische Unterstützung leistet. Die ADCO kann auch unabhängige Sachverständige zur Teilnahme einladen und sich mit anderen ADCOs, beispielsweise derjenigen, die im Rahmen der Richtlinie 2014/53/EU eingerichtet wurde, in Verbindung setzen.

Erwägungsgrund 109 Cooperation of market surveillance authorities

Die Marktüberwachungsbehörden sollten über die im Rahmen dieser Verordnung eingerichtete ADCO eng zusammenarbeiten und in der Lage sein, Leitliniendokumente zu entwickeln, um die Marktüberwachungstätigkeiten auf nationaler Ebene zu erleichtern, beispielsweise durch die Entwicklung bewährter Verfahren und Indikatoren zur wirksamen Überprüfung der Konformität von Produkten mit digitalen Elementen mit dieser Verordnung.

Erwägungsgrund 113 Joint activities of market surveillance authorities

Gibt es Hinweise auf eine Nichtkonformität mit dieser Verordnung in mehreren Mitgliedstaaten, so sollten die Marktüberwachungsbehörden in der Lage sein, gemeinsame Tätigkeiten mit anderen Behörden durchzuführen, um die Konformität zu überprüfen und Cybersicherheitsrisiken von Produkten mit digitalen Elementen zu ermitteln.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.