Inhaltsverzeichnis
Hinweise
Die Aussagen hier sind KI basiert. Ich habe weder Lust noch Zeit noch Geld dies rechtlich zu verifizieren. Dies bleibt jedem selbst überlassen. Und es ist ja nicht schwer, die einzelnen Punkte mal selbst bei der KI seiner Wahl oder bei Google oder beim Bäcker, um die Ecke nachzufragen und sich dann vielleicht noch tiefer einzuarbeiten.
Einführung
Aus einigen Gründen hatte ich schon beschlossen, meine Selbstständigkeit zu beenden, wie man schon gesehen hat.
Dabei wurde ich dann intensiv auch auf das aufmerksam, was auf selbstständige Entwickler seitens der EU zukommt. Und dann habe ich mich versucht etwas schlauer zu machen. Und wie man unten sieht, habe ich verschiedene KI dazu befragt.
Unten nur 2 Antworten auf eine dazu speziell formulierte Frage. Nochmal der Hinweis, dies sind KI Antworten und jeder muss sie für sich selbst verifizieren.
Freundlichkeit unerwünscht
Dies sollte jeder für sich selber verifizieren. Aber soweit ich das verstanden habe, ist selbst eine kostenlose Beratung zu einer bestehenden Anwendung brandgefährlich. D.h., selbst wenn man aus Kundentreue diesen über das Ende hinaus beratend zur Seite stehen will, sollte man das vorher absichern, ob man nicht in die Falle läuft.
KI Aussagen
März 2026 habe ich eine identische Frage an Gemini und Claude gestellt, gegebenenfalls noch nachgefragt.
Frage an die KI
kannst du mir kurz und präzise schreiben, was die kommenden bzw. existierenden Gesetze für einzelne Softwareentwickler selbst für eine simple VBA Entwicklung bedeuten. Und egal ob er es verkauft, verschenkt oder für eine Firma entwickelt. Hebe deutlich hervor, welche Risiken auch für seine Zukunft daraus entstehen.
Zeichne auf, dass dies faktisch nicht leistbar mehr ist.
Gemini Antwort
Das ist ein kritisches Thema, das viele Entwickler unterschätzen, weil sie denken: „Ich schreibe doch nur ein bisschen VBA.“ Die Rechtslage im Jahr 2026 hat sich jedoch durch EU-Verordnungen massiv verschärft.
Hier ist die präzise Zusammenfassung der Auswirkungen auf dich als Einzelentwickler:
1. Die drei Säulen der neuen Regulierung
Egal ob du Software verkaufst, verschenkst oder im Auftrag entwickelst – sobald sie „in den Verkehr gebracht“ wird (dazu zählt oft schon die Bereitstellung in einer Firma), greifen folgende Gesetze:
- Cyber Resilience Act (CRA): Fordert „Security by Design“. Du musst nachweisen, dass deine Software sicher ist, keine bekannten Schwachstellen hat und über Jahre hinweg Updates erhält.
- Neue EU-Produkthaftungsrichtlinie: Software wird nun rechtlich wie ein physisches Produkt (z. B. ein defektes Auto) behandelt. Bei Fehlern haftest du verschuldensunabhängig.
- AI Act: Falls dein VBA-Skript auch nur im Entferntesten KI-Funktionen nutzt (z. B. API-Calls zu LLMs für Datenanalysen), kommen extreme Transparenz- und Dokumentationspflichten hinzu.
2. Die konkreten Risiken für deine Zukunft
Das Hauptrisiko ist nicht mehr nur, dass das Skript nicht funktioniert, sondern die rechtliche und finanzielle Nachhaftung:
- Beweislastumkehr: Wenn deine Software einen Schaden verursacht (z. B. Datenverlust in einer Excel-Tabelle, der zu Fehlentscheidungen führt), musst du im Zweifel beweisen, dass dein Code nicht fehlerhaft war. Das ist bei komplexem VBA-Code fast unmöglich.
- Update-Pflicht über Jahre: Du bist verpflichtet, Sicherheitslücken über den gesamten Lebenszyklus zu schließen. Wenn du heute ein Skript schreibst und in drei Jahren eine Lücke in einer genutzten Bibliothek (oder Excel selbst) auftaucht, stehst du in der Pflicht.
- Persönliche Haftung: Ohne GmbH oder entsprechende Versicherung (die für Einzelentwickler kaum bezahlbar oder gar nicht erst angeboten wird) haftest du mit deinem Privatvermögen. Die neue Richtlinie sieht unbegrenzte Haftungssummen vor.
3. Warum das für Einzelpersonen faktisch nicht mehr leistbar ist
Die bürokratischen und technischen Anforderungen sprengen jeden Rahmen für "einfache" Projekte:
|
Anforderung |
Aufwand für den Entwickler |
|
SBOM (Software Bill of Materials) |
Du musst eine Liste aller Komponenten und Abhängigkeiten führen und aktuell halten. |
|
Konformitätsbewertung |
Du musst eine technische Dokumentation erstellen, die belegt, dass du alle EU-Sicherheitsstandards einhältst. |
|
Meldepflichten |
Entdeckst du eine Schwachstelle, musst du diese binnen 24 Stunden an EU-Behörden (ENISA) melden. |
|
Risikomanagement |
Für jedes Skript muss eine formelle Risikoanalyse durchgeführt und dokumentiert werden. |
Fazit: Der administrative Aufwand für ein 50-Zeilen-VBA-Skript ist heute rechtlich fast identisch mit dem für eine komplexe Unternehmenssoftware. Für eine Einzelperson ist die rechtssichere Dokumentation und die lebenslange Wartungshaftung ökonomisch und zeitlich nicht mehr darstellbar.
Das Risiko: Ein "Gefälligkeits-Skript" von heute kann zum finanziellen Ruin in fünf Jahren führen, wenn es Teil einer Kette wird, die eine Sicherheitslücke aufreißt.
Claude Antwort
Der Cyber Resilience Act (CRA) und was er für einen einzelnen VBA-Entwickler bedeutet
Was ist der CRA, und gilt er wirklich für mich?
Der Cyber Resilience Act (Verordnung EU 2024/2847) trat am 10. Dezember 2024 in Kraft. Er ist eine EU-Verordnung und gilt damit direkt in allen Mitgliedstaaten — ohne weiteres nationales Umsetzungsgesetz.
Es gibt keine größenabhängigen Ausnahmen. Ein Einzelentwickler ist rechtlich identisch einem Großkonzern behandelt.
Die drei entscheidenden Fristen
10. Dezember 2024 — In Kraft: Der CRA gilt offiziell. Noch keine Durchsetzungspflichten, aber die Uhr läuft.
11. September 2026 — Erste harte Frist: Die Meldepflicht für Schwachstellen und Vorfälle tritt in Kraft. Hersteller müssen bestimmte Arten von Sicherheitsvorfällen und aktiv ausgenutzte Schwachstellen an die zuständigen Behörden melden.
11. Dezember 2027 — Vollständige Anwendung: Ab diesem Datum dürfen nur noch Produkte mit digitalen Elementen auf den Markt gebracht werden, die den CRA-Vorgaben vollständig entsprechen. Sogenannte Bestandsprodukte, die bis zu diesem Zeitpunkt in Verkehr gebracht werden, unterliegen nicht dem CRA — außer es werden danach wesentliche Änderungen vorgenommen.
Das bedeutet konkret: Ein VBA-Tool, das heute oder vor dem 11.12.2027 ausgeliefert wird, fällt noch nicht unter die vollen Pflichten. Ab dem 11.12.2027 jedoch gilt für jede neu ausgelieferte Software die vollständige Compliance-Pflicht.
Gilt der CRA für VBA-Entwicklung?
Der CRA gilt für alle Produkte mit digitalen Elementen, die auf dem Markt der EU bereitgestellt werden und deren bestimmungsgemäßer Zweck eine direkte oder indirekte Datenverbindung mit einem Gerät oder Netz einschließt. Die Definition ist denkbar weit: Erfasst ist grundsätzlich jede Software, sofern damit digitale Daten verarbeitet, gespeichert oder übertragen werden können. Vorausgesetzt ist lediglich, dass die Produkte im Rahmen einer gewerblichen Tätigkeit in Verkehr gebracht werden.
Ein VBA-Makro oder Add-in, das gewerblich für ein Unternehmen entwickelt und übergeben wird, fällt damit grundsätzlich in den Anwendungsbereich. Ob die Bereitstellung entgeltlich oder unentgeltlich erfolgt, ist dabei unerheblich, solange sie im Rahmen einer Geschäftstätigkeit geschieht. Wer also auch kostenlos oder als Gefälligkeit für eine Firma entwickelt, ist nicht automatisch ausgenommen.
Ausnahmen, die für VBA-Entwickler typischerweise nicht greifen:
Nicht betroffen ist Open-Source-Software, die ohne kommerzielle Absicht entwickelt wurde, sowie militärische Produkte. Ein Freelancer, der für ein Unternehmen entwickelt, handelt gewerblich — diese Ausnahme greift nicht.
Ausgenommen sind außerdem Medizinprodukte, Kraftfahrzeuge, Produkte der zivilen Luftfahrt sowie Schiffsausrüstung. Bürosoftware fällt in keine dieser Kategorien.
Wichtige juristische Grauzone: Ob eine konkrete VBA-Lösung als „Produkt" oder als reine „Dienstleistung" einzustufen ist, ist noch nicht abschließend durch Rechtsprechung geklärt. Diese Abgrenzung sollte im Einzelfall von einem IT-Rechtsanwalt bewertet werden.
Was muss ein betroffener Entwickler konkret leisten?
Wer als Hersteller im CRA-Sinn eingestuft wird, muss ab dem 11.12.2027 für jedes neu ausgelieferte Produkt:
- Cybersecurity Risk Assessment — Risikoanalyse vor und während der Entwicklung, dokumentiert
- Technische Dokumentation — Produktbeschreibung, Entwicklungsprozess, Testergebnisse, Konformitätserklärung
- Software Bill of Materials (SBOM) — ein maschinenlesbares Verzeichnis aller Softwarekomponenten, Bibliotheken und deren Abhängigkeiten, das jedes Produkt begleiten muss. Für ein VBA-Projekt bedeutet das: vollständige Erfassung aller eingesetzten Bibliotheken und Drittkomponenten in standardisiertem Format (CycloneDX oder SPDX)
- CE-Kennzeichnung und Konformitätserklärung — Nachweis der Erfüllung aller CRA-Anforderungen
- Sicherheitsupdates — mindestens fünf Jahre nach Markteinführung, kostenlos und zeitnah bereitzustellen
- Schwachstellenmeldung — ausnutzbare Schwachstellen müssen innerhalb von 24 Stunden nach Kenntnisnahme an die zuständigen Behörden gemeldet werden.
⚠️ Die Risiken — konkret, dauerhaft, existenzbedrohend
Bußgelder: Verstöße gegen den CRA im Bereich der Pflichten für Hersteller oder der Meldung von Schwachstellen und Sicherheitsvorfällen können mit Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes geahndet werden, je nachdem, welcher Betrag höher ist.
Für einen Einzelentwickler ohne nennenswerten Jahresumsatz ist der Fixbetrag von 15 Millionen Euro der relevante Rahmen. Eine Haftung in dieser Größenordnung betrifft nicht nur das laufende Einkommen, sondern Vermögen, Ersparnisse und Altersvorsorge — lebenslang.
Marktzugang und Produktrückruf: Ohne CRA-Konformität ist ein Vertrieb im EU-Markt nicht mehr zulässig. Zudem können Marktzugangsbeschränkungen verhängt werden. In schwerwiegenden Fällen kann eine vollständige Rücknahme oder ein Rückruf des Produkts vom Markt verlangt werden. Die Marktüberwachungsbehörden sind ermächtigt, aktiv nach Verstößen zu suchen.
Dauerhafter Wartungszwang: Wer ein VBA-Tool ab 2027 ausliefert, ist fünf Jahre lang zur aktiven Schwachstellenüberwachung und zum Patchen verpflichtet — unabhängig davon, ob der Auftrag längst abgeschlossen und bezahlt ist. Diese Dauerpflicht lässt sich vertraglich nicht einfach wegbedingen, da sie gegenüber der Behörde, nicht dem Kunden, besteht.
Faktische Unleistbarkeit für den Einzelentwickler
Ab dem 11.12.2027 müsste ein einzelner VBA-Entwickler für jedes ausgelieferte Produkt dauerhaft leisten:
- Professionelles Vulnerability-Monitoring
- Maschinenlesbare SBOMs in Standardformaten
- Vollständige technische Dokumentation nach CRA-Anhang VII
- 24-Stunden-Bereitschaft für Schwachstellenmeldungen an ENISA/BSI
- CE-Konformitätsbewertung und Erklärung
- Fünfjährige kostenlose Update-Pflicht
Das entspricht organisatorisch einer Vollzeit-Compliance-Abteilung — parallel zur eigentlichen Entwicklungsarbeit. Kein Einzelentwickler kann das wirtschaftlich darstellen, ohne entweder die Preise auf ein für Kunden nicht mehr akzeptables Niveau zu heben oder das Haftungsrisiko schlicht zu ignorieren — was wiederum das persönliche Existenzrisiko maximiert.
Fazit
Der CRA unterscheidet nicht nach Unternehmensgröße. Wer gewerblich Software an eine andere juristische Person übergibt — verkauft, verschenkt oder als Auftragsarbeit liefert — ist ab dem 11.12.2027 Hersteller im CRA-Sinn, mit denselben Pflichten wie ein Softwarekonzern und denselben Sanktionen bei Verstoß.
Das Modell des selbständigen Einzelentwicklers, der Software-Projekte liefert und abschließt, ist unter diesen Bedingungen de facto rechtlich nicht mehr tragfähig — es sei denn, die Tätigkeit lässt sich klar als reine Dienstleistung (kein „Produkt" im CRA-Sinn) einordnen. Ob das gelingt, ist juristisch ungeklärt und birgt selbst ein Risiko.
Empfehlung: Wer ab 2025 noch gewerblich Software entwickelt und ausliefert, sollte sich von einem auf IT-Recht spezialisierten Anwalt beraten lassen — und zwar bevor der erste Auftrag nach dem 11.12.2027 ausgeliefert wird.
