News

Delegierte Verordnung gibt neue Leitplanken für Secure Gateway, OBD-Zugang und RMI

22.06.2026

Die Delegierte Verordnung (EU) 2026/699 ändert Anhang X der Verordnung (EU) 2018/858 grundlegend. Für Fahrzeughersteller ist das vor allem deshalb relevant, weil die EU nach der Secure-Gateway-Debatte erstmals detailliert regelt, welche Sicherheitsmaßnahmen beim Zugang zu OBD-Informationen zulässig sind – und wo die Grenze zur unzulässigen Zugangsbeschränkung verläuft.

Unabhängige Marktteilnehmer haben nach Art. 61 ff. i.V.m. Anhang X der Verordnung (EU) 2018/858 Anspruch auf uneingeschränkten, standardisierten und diskriminierungsfreien Zugang zu Fahrzeug-OBD-Informationen sowie zu Reparatur- und Wartungsinformationen (RMI). Gleichzeitig müssen Fahrzeughersteller Fahrzeuge vor Cyberangriffen und unberechtigten digitalen Zugriffen schützen. Genau dieses Spannungsfeld war unionsrechtlich bislang nicht ausreichend aufgelöst.

Besonders virulent wurde das Thema nach dem EuGH-Urteil C-296/22 in Sachen Carglass. In dem Verfahren stritten die unabhängigen Werkstattketten ATU und Carglass mit FCA Italy über das sogenannte „Secure Gateway“, das den Zugriff auf Fahrzeugdaten über die OBD-Schnittstelle an zusätzliche Voraussetzungen wie Registrierung, Serveranbindung und kostenpflichtige Abonnements knüpfte. Der EuGH führte diesbezüglich aus: „Daraus folgt, dass andere Voraussetzungen für den Zugang zu den in Art. 61 Abs. 1 der Verordnung 2018/858 genannten Informationen als die in dieser Verordnung vorgesehenen Voraussetzungen, wie eine Verbindung des Diagnosegerätes über das Internet mit einem vom Hersteller bestimmten Server oder eine vorherige Anmeldung der unabhängigen Wirtschaftsakteure bei diesem Hersteller, nach dieser Verordnung nicht zulässig sind“. In der Praxis wurde dieses Urteil teilweise dahingehend verstanden, dass Hersteller gar keine Sicherheitsvorkehrungen wie Secure-Gateway-Konzepte einsetzen dürfen, wenn dadurch der Zugang unabhängiger Marktteilnehmer auch nur geringfügig erschwert wird. Für OEMs führte das zu erheblicher Rechtsunsicherheit.

Dieser Rechtsunsicherheit versucht die Kommission nun durch die neue Delegierte Verordnung aufzulösen.

Kern der Reform: Cybersecurity ja, aber nur nach dem neuen Regelwerk

Die wichtigste Neuerung ist Anlage 4 zu Anhang X. Sie enthält die Bedingungen und Verfahren, die Fahrzeughersteller anwenden dürfen, wenn sie ihr Cybersecurity-Konzept mit Auswirkungen auf den Zugang zum Fahrzeugdatenstrom über den OBD-Port oder andere bordseitige Zugangsmöglichkeiten implementieren (mehr Flexibilität soll bei zusätzlichen Remote-Zugangsmöglichkeiten bestehen). Die Verordnung erlaubt Sicherheitsmaßnahmen nun ausdrücklich, aber nur innerhalb eines eng vorgegebenen Korridors.

Je nach Art des Zugriffs dürfen Hersteller insbesondere eine Authentifizierung des Diagnosegeräts und seines Herstellers verlangen; bei fahrzeugverändernden Eingriffen kann auch eine Authentifizierung des unabhängigen Wirtschaftsakteurs und in bestimmten Fällen sogar des Mitarbeiters verlangt werden.

Insight Grafik

Der Hersteller darf den Zugang nicht über die in Anlage 4 festgelegten Beschränkungen hinaus einschränken. Die Cybersicherheitsmaßnahmen müssen erforderlich und verhältnismäßig sein und dürfen unabhängige Marktteilnehmer nicht diskriminieren. Für OEMs lautet die entscheidende Frage daher nicht mehr, ob Sicherheitsmaßnahmen überhaupt zulässig sind, sondern ob ihr Security-Konzept im Einklang mit der Delegierten Verordnung umgesetzt ist.

Eine gesonderte Übergangsfrist für das neue Security-Konzept nach Anlage 4 sieht die Delegierte Verordnung nicht vor. Die Vorgaben der Anlage 4 gelten daher grundsätzlich ab Inkrafttreten der Verordnung am 23. Juni 2026. Die weiteren Umsetzungsfristen finden Sie nachfolgend im Überblick.

Praxisfolgen: Was Unternehmen jetzt tun sollten

Die neue Verordnung löst das Spannungsfeld zwischen Zugang und Sicherheit nur dann zugunsten des Herstellers auf, wenn das Security-Konzept den Vorgaben des neuen Regelwerks entspricht. Abweichungen können dazu führen, dass das Sicherheitskonzept unionsrechtswidrig ist.

Das Thema ist wirtschaftlich hoch relevant und steht unter intensiver Beobachtung durch unabhängige Marktteilnehmer, Verbände, Diagnosegerätehersteller und Aftermarket-Dienstleister. Entsprechend hoch ist das Risiko, dass nicht regelkonforme Zugangsbeschränkungen Gegenstand privater Rechtsdurchsetzung werden. Hinzu kommen behördliche Maßnahmen und typgenehmigungsrechtliche Konsequenzen. Das reicht -von aufsichtsrechtlichen Maßnahmen und Bußgeldern bis zu Maßnahmen mit Auswirkungen auf die relevante Typgenehmigung.

OEMs sollten ihre bestehenden Secure-Gateway- und sonstigen Zugangssicherheitskonzepte jetzt unverzüglich an Anlage 4 messen und, soweit erforderlich, anpassen. Dabei ist besonders zu berücksichtigen, dass die Kommission erkennbar von einer engen und strukturierten Einbindung der Diagnosetoolhersteller ausgeht. Diese Einbindung muss organisatorisch, technisch und insbesondere auch vertraglich abgebildet werden.

In der Praxis wird dies regelmäßig Anpassungen der bestehenden Verträge mit Diagnosetoolherstellern erfordern. Daneben sollten sie ihr RMI-Portal, ihre Datenpaketlogik und API-Strukturen überprüfen.

Unser Eindruck: Die Delegierte Verordnung (EU) 2026/699 beendet die Debatte um Secure Gateway nicht, sondern verlagert sie. Künftig wird nicht mehr im Vordergrund stehen, ob Sicherheitsmaßnahmen zulässig sind, sondern ob das konkrete Sicherheitskonzept innerhalb der engen unionsrechtlichen Leitplanken bleibt. Genau dort werden sich künftige Streitigkeiten entscheiden.

Weitere wesentliche Änderungen

Ziffer Anhang X Änderungsthema[Noerr1] Kurzinhalt
2.9 lit. a-c Erweiterter Zugang zum Fahrzeugdatenstrom Zugang nicht nur über den standardisierten OBD-Port, sondern auch über sonstige bordseitige Schnittstellen und Remote-Strukturen, soweit diese im autorisierten Netz genutzt werden
2.5.4; 2.5.12; 2.5.13 Erweiterter RMI-Inhalt Zusätzliche Informationen für ADAS/DCAS, Batteriediagnose, Batteriereparatur und sichere Handhabung von Batteriekomponenten
2.5.7; 2.5.7a Softwareupdate / Variantencodierung Informationen dazu, ob Updates oder Variantencodierung erforderlich sind, und wie die richtige Softwareversion bzw. Codierung identifiziert wird
6.1.1 RMI-Pakete RMI-Informationspakete nach ISO-Anwendungsfällen sind konform (vgl. ISO 18541)
6.1.1 API für bestimmte Pakete Daten zu bestimmten Anwendungsfällen sind ggf. per API bereitzustellen
6.4a Software / Schnittstellen für Diagnosetools Hersteller müssen unabhängigen Diagnosegeräteherstellern schrittweise Software, Webservices oder Implementierungsinformationen bereitstellen
6.4b Übergangsregeln / API-Informationen Zusätzliche Pflichten zu API-Informationen, Prüfungsinformationen und Übergangsbedingungen für Remote-Service-Anbieter.

 

Fristen im Überblick

Datum Thema Norm
23.06.2026 Inkrafttreten der Delegierten Verordnung Art. 2
23.09.2026 API-Informationen für andere Tätigkeiten als Softwareupdates Anhang X Nr. 6.4b Buchst. a Ziff. ii
23.12.2026 Grundsatzfrist für Software/Webservices/Informationen an unabhängige Diagnosegerätehersteller Anhang X Nr. 6.4a Satz 1
23.12.2026 API-Informationen für Fahrzeuge mit Ersttypgenehmigung vor dem 06.07.2022 Anhang X Nr. 6.4b Buchst. a Ziff. iii
23.06.2027 FIN-bezogene Informationspakete nur noch per API Anhang X Nr. 6.1.1 Unterabs. 6
23.06.2027 API für elektronisches Wartungsprotokoll Anhang X Nr. 6.1.1 Unterabs. 7
23.06.2027 Software/Webservices/Informationen für Fahrzeuge mit Ersttypgenehmigung zwischen 01.09.2020 und vor 06.07.2022 Anhang X Nr. 6.4a Unterabs. 2 Buchst. i
23.06.2027 API-Informationen für softwareupdatebezogene Tätigkeiten Anhang X Nr. 6.4b Buchst. a Ziff. i
23.12.2027 Informationen für Prüfung der Aktualisierungsfunktion und des Hardware-Zusammenspiels Anhang X Nr. 6.4b Buchst. b
23.06.2028 Pflichten für Tätigkeiten, die Softwareaktualisierungen betreffen oder davon abhängen Anhang X Nr. 6.4a Unterabs. 2 Buchst. ii

Kontakt

Cathrin Wentzel
Cathrin Wentzel+49 69 971477166
Benedikt Lutz
Benedikt Lutz+49 69 971477166

Automotive & New Mobility
Cybersecurity
Data Economy
Digital Markets & Services
Kartellrecht & Fusionskontrolle

Share

Bestens
informiert

Jetzt unseren Newsletter abonnieren, um zu aktuellen Entwicklungen auf dem Laufenden zu bleiben.

Jetzt anmelden
Alle anzeigen

Insights

abstract lights with pulse
News

Nach EuGH – Carglass: Delegierte Verordnung (EU) 2026/699 gibt neue Leitplanken für Secure Gateway, OBD-Zugang und RMI

22.06.2026
Europäische Fahnen
News

EuGH „Nova Iberomoldes“ – Steht die deutsche Grunderwerbsteuer bei Share Deals auf der Kippe?

19.06.2026
Atomium Brussels
News

EU Digital Omnibus: Bei der KI auf der Zielgeraden - Irrweg beim Datenrecht?

18.06.2026
cargo ship with pulse
News

Unfaire Handelspraktiken in der Agrar- und Lebensmittellieferkette: Was Unternehmen beachten sollten

16.06.2026
Segelboot
News

Hurdle Shares Reloaded: Endlich steuerliche Rechtssicherheit durch Finanzverwaltung

12.06.2026
cheerful manager female entrepreneur
News

Europa auf dem Weg zu tech­no­lo­gi­scher Sou­verän­ität? Das Tech Sovereignty Package der EU

11.06.2026
urban commuters in the morning
News

Mehr EU-Steuerung, neue Auswahlkriterien, neue Pflichten: Der EU-Vorschlag zum 2 GHz MSS-Band und seine Folgen ab 2027

10.06.2026
Rechenzentrum mit Serverschränken IT & Outsourcing
News

Die neue KRITIS-Verordnung: Erweiterung, Präzisierung und europarechtliche Kohärenz

09.06.2026
lights tunnel
News

12. GWB-Novelle: Überblick über den Referentenentwurf des BMWE vom 04.06.2026

08.06.2026