Web-, Digital- und Creative-Agenturen

Sie bauen Websites, mobile Apps, Online-Shops, Kundenportale, CRM-Lösungen und Kampagnen-Plattformen. Ihre Kunden sind Marken, Mittelstand, Konzerne. Sie liefern kreative Konzepte plus technische Umsetzung und betreuen Projekte oft über Jahre weiter.

Aus regulatorischer Sicht sind Sie an einer bemerkenswerten Position: Sie entwickeln und liefern Software-Produkte in der gesamten Bandbreite von einfachen Corporate-Websites bis zu hochkritischen Finanz- und Gesundheits-Anwendungen. Die juristische Einordnung dieser Arbeiten unterscheidet sich erheblich - und die meisten Agenturen wissen das nicht.

Typische Projekte und ihre regulatorische Einordnung #

Corporate-Websites #

Eine reine Darstellungs-Website ohne Login, ohne Formularverarbeitung, ohne Datenverarbeitung fällt tendenziell nicht unter den CRA. Sobald aber Kontaktformulare personenbezogene Daten verarbeiten, Newsletter-Tools integriert sind oder ein Login- Bereich existiert, wird aus der Website ein "Produkt mit digitalen Elementen" nach Art. 3 Nr. 1 CRA.

Die Produkthaftung greift unabhängig davon bei jeder Auftragsentwicklung, sobald die Software kommerziell geliefert wird.

Mobile Apps #

Mobile Apps sind eindeutig Produkte mit digitalen Elementen im Sinne des CRA. Sobald sie in einem App Store veröffentlicht werden - egal ob unter Ihrem Namen oder dem Namen des Kunden - gelten sie als "in Verkehr gebracht". Die Pflichten aus dem CRA greifen damit unmittelbar.

Typische Beispiele: Event-Apps, Loyalty-Apps, Service-Apps, Bestell-Apps, Schul- und Bildungs-Apps. Apps, die Zahlungen verarbeiten oder Daten an Kernsysteme weiterreichen, unterliegen verschärften Sorgfaltspflichten.

Online-Shops und E-Commerce #

Shops verarbeiten personenbezogene Daten, Zahlungen und oft Gesundheits- oder Altersinformationen. Sie fallen klar unter den CRA. Die Produkthaftung erfasst sie umfassend - bei Datenlecks oder fehlerhaften Bestellprozessen greift Art. 6 Abs. 1 lit. c der neuen Produkthaftungsrichtlinie (Datenverlust als Haftungsgrund).

Kundenportale und Service-Plattformen #

Login-geschützte Portale - Händlerportale, Investor-Relations-Bereiche, Kunden-Self-Service-Plattformen - sind fast immer CRA-relevant, weil sie Authentifizierung und Datenverarbeitung kombinieren.

Online-Leasing, Kreditrechner, Versicherungsabschluss #

Wenn Sie solche Plattformen für Finanzdienstleister bauen, arbeiten Sie an einem kritischen IKT-System im Sinne von DORA. Ihr Kunde fällt unter DORA, Sie werden IKT-Drittdienstleister, und die gesamte Lieferantensteuerung nach Art. 28 DORA greift. Das ist der härteste Fall, den eine Agentur erreichen kann.

CRM-Systeme und Marketing-Automation #

CRM-Integrationen verarbeiten Kunden- und oft auch Finanzdaten. Je nach Ausgestaltung sind sie Produkte mit digitalen Elementen. Als Lead-Agentur für ein CRM-Projekt stehen Sie an zentraler Stelle in der Kundenlieferkette - und werden bei NIS2-Kunden in der Lieferantenbewertung prominent behandelt.

Welche Gesetze greifen bei welchen Kunden #

Zwei Gesetze greifen immer - unabhängig davon, in welchem Sektor Ihre Kunden tätig sind:

• Produkthaftungsrichtlinie (RL 2024/2853) erfasst jede Auftragsentwicklung, sobald Software kommerziell geliefert wird. Die Richtlinie nennt Entwickler ausdrücklich als Hersteller (Art. 8), Datenverlust ist eigener Haftungsgrund (Art. 6 Abs. 1 lit. c), eine Haftungsobergrenze gibt es nicht (Art. 12). Das trifft Sie bei jedem Projekt - von der Corporate-Website bis zur Banking-App.
• Cyber Resilience Act (VO (EU) 2024/2847) greift, sobald Ihre Lieferung ein "Produkt mit digitalen Elementen" ist (Art. 3 Nr. 1) - also praktisch bei jeder App, jedem Shop, jedem Kundenportal und bei jeder Website mit Datenverarbeitung. Art. 13 Abs. 5 verlangt "gebotene Sorgfalt" bei FOSS-Integration, Art. 14 regelt Meldepflichten für Schwachstellen.

Zwei weitere Gesetze kommen hinzu, sobald Ihre Kunden in regulierten Sektoren tätig sind:

• Finanzkunden (Banken, Versicherungen, Leasing-Unternehmen, FinTechs) bringen DORA-Anforderungen aus der Kundenbeziehung mit. Das sind die härtesten Anforderungen - Informationsregister, Due Diligence, Ausstiegsstrategie, TLPT-Einbezug.
• Energie- und Versorgungsunternehmen (Stadtwerke, Netzbetreiber, Gasversorger) bringen NIS2-Anforderungen aus der Kundenbeziehung als wesentliche Einrichtungen.
• Gesundheit, Krankenhäuser, Pharma bringen NIS2-Anforderungen aus der Kundenbeziehung plus besonders hohe Datenschutz-Anforderungen.
• Automotive, Halbleiter, Industrie bringen NIS2-Anforderungen aus der Kundenbeziehung als wichtige Einrichtungen.
• Öffentliche Verwaltung, Bund, Länder, DLR-artige Einrichtungen bringen NIS2-Anforderungen aus der Kundenbeziehung als öffentliche Verwaltung.
• Logistik und Transport sind NIS2-Sektor.
• Schulen und Bildungseinrichtungen sind zwar nicht unmittelbar NIS2-Sektor, aber Datenschutz für Minderjährige verschärft die Haftung unter Produkthaftungsrichtlinie.

Schon eine einzige Referenz aus einem dieser Sektoren reicht, um Ihre gesamte Agentur in die Compliance-Betrachtung Ihrer Kunden zu ziehen.

Konkrete Konsequenzen #

Rechtlich stehen auf dem Spiel:

• Haftung ohne Obergrenze nach der Produkthaftungsrichtlinie, insbesondere bei Datenverlust (Art. 6 Abs. 1 lit. c, Art. 12)
• Bußgelder bis 15 Mio. Euro oder 2,5 % des Jahresumsatzes nach CRA (Art. 64)
• Verlust des EU-Marktzugangs für betroffene Produkte, wenn der CRA nicht erfüllt ist (Art. 52, 53 CRA)
• Meldepflichten innerhalb von 24 Stunden bei aktiv ausgenutzten Schwachstellen (Art. 14 CRA)
• Verlust des gesamten Finanzkunden-Segments, wenn Sie DORA- Anforderungen gegenüber einem Banken- oder Versicherungskunden nicht erfüllen können
• Persönliche Haftung der Geschäftsleitung bei grober Sorgfaltsverletzung

Vertraglich werden Ihre Kunden verlangen:

• Dokumentierte Sicherheitsstrategie (schriftlich, überprüfbar)
• SBOM für jedes gelieferte Projekt
• Schwachstellenmeldung innerhalb vertraglich vereinbarter Fristen
• Incident-Response-Verfügbarkeit, oft 24/7
• Ausstiegsszenario und Übergabedokumentation
• Haftpflichtversicherung in relevanter Höhe

Operativ müssen Sie etablieren:

• Ein Responsible-Disclosure-Kanal (security.txt, dokumentierter Prozess)
• Kontinuierliches Monitoring der in Projekten eingesetzten Open-Source-Komponenten
• Ein Patch-Management für laufende Projekte, auch Jahre nach Projektabschluss
• Reaktionsfähigkeit auf Schwachstellenmeldungen aus der Community

Finanziell kommt auf Sie zu:

• Kosten für dokumentierte Prozesse und Zertifizierungen
• Laufende Wartungskapazität, die Sie bisher pro Projekt abrechnen konnten und jetzt als Grundlast tragen müssen
• Haftungsrisiko nach Produkthaftungsrichtlinie ohne Obergrenze

Sicherheit ist auch ohne Pflicht ein Wettbewerbsvorteil #

Selbst wenn keiner Ihrer Kunden in einem regulierten Sektor arbeiten würde, wäre es klug, diese Prozesse aufzubauen. Agenturen stehen in einem dichten Wettbewerb - Verantwortung und Professionalität heben Sie heraus. Wer im Pitch nachweisen kann, dass er seine Lieferkette kennt, Schwachstellen aktiv behebt und auf Meldungen reagiert, wirkt nicht wie eine Kreativbude, sondern wie ein Partner auf Augenhöhe.

Das bringt konkret: bessere Abschlussquoten bei anspruchsvollen Kunden, höhere Tagessätze, weniger Reibung im Projekt, günstigere Versicherungsprämien und Schutz der eigenen Marke vor Vorfällen. Die gleichen Prozesse, die Sie für die Regulierung brauchen, machen Sie auch im Markt besser.

Wie OTTRIA Agenturen hilft #

OTTRIA ersetzt nicht Ihre Entwicklungsarbeit. Wir übernehmen den Teil, der nach den neuen Gesetzen dazukommt - und der nicht Ihr Kerngeschäft ist:

• SBOM-Analyse und -Pflege für jedes Projekt, das Sie ausliefern, einschließlich aller transitiven Abhängigkeiten
• Kontinuierliches Vulnerability-Monitoring aller eingesetzten Open-Source-Komponenten - auch Jahre nach Projektabschluss
• Silent-Fix-Detection durch aktive Code-Analyse in den Projekten, die Sie einsetzen
• Responsible-Disclosure-Kanal und koordinierte Offenlegung als Service
• Auditfähige Dokumentation für Ihre Kunden - vorlegbar bei Lieferantenbewertungen, DORA-Due-Diligence und NIS2-Zulieferer-Prüfungen
• Behebung direkt im Open-Source-Projekt, wenn Schwachstellen auftreten, die Sie nicht selbst beheben können
• Frühwarnung durch OTTRIAs Rolle als Open Source Steward - Sie erfahren von Schwachstellen, bevor sie öffentlich werden

Sie bleiben Ansprechpartner für Ihren Kunden. OTTRIA liefert die Nachweise, die Ihre Kunden unter CRA, DORA und NIS2 einfordern müssen.

Erstgespräch vereinbaren

Zurück zur Übersicht für Software-Dienstleister

Weiterlesen

• CRA für Unternehmen
• DORA für Unternehmen
• NIS2 für Unternehmen
• Produkthaftung für Unternehmen
• Was ist eine SBOM?
• Silent Fixes - Die unsichtbare Mehrheit
• Glossar