Telefon: 0731 - 280 656 30
email: info [at] kanzlei-it [dot] com
Google+

Neue Herausforderungen für Unternehmen in der digitalen Wirtschaft

Stefan Schwytz

Die rasante Entwicklung digitaler Technologien und der zunehmende Einsatz von künstlicher Intelligenz (KI) stellen Unternehmen vor komplexe rechtliche und sicherheitstechnische Herausforderungen. Das sich stetig erweiternde Datenwirtschaftsrecht umfasst eine Vielzahl teils sehr umfangreicher nationaler wie EU-rechtlicher Regelungen, die Unternehmen in den Bereichen Compliance, Dokumentation, Vertragsrecht, Beschäftigtendatenschutz und Informationssicherheit beachten müssen.

Eine Wordcloud mit den wichtigsten Begriffen des Datenwirtschaftsrechtes. Von KI-VO bis NIS-2.

Kernbereiche des Datenwirtschaftsrechts

Datenschutz und Privatsphäre

Die Datenschutz-Grundverordnung (DSGVO) bleibt auch künftig das Fundament für den Umgang mit personenbezogenen Daten. Sie schützt die informationelle Selbstbestimmung, indem sie umfassende Regelungen zum Schutz personenbezogener Daten und der Privatsphäre von Individuen in der digitalen Welt festlegt.
Ergänzend dazu sollte längst die geplante ePrivacy-Verordnung konkretere Regeln für die elektronische Kommunikation festlegen – hier ist allerdings derzeit kein ernsthaftes Weiterkommen auf EU-Ebene in Sicht.

Regelungen der E-Privacy-Richtlinie wurden in Deutschland 2021 unter dem Namen Telekommunikation-Telemedien-Datenschutzgesetz (TTDSG) umgesetzt, welches inzwischen an den europäischen Digital Services Act angepasst und zum 13. Mai 2024 umbenannt wurde in Telekommunikation-Digitale Dienste-Datenschutz-Gesetz (TDDDG).
Art. 5 Abs. 3 der ePrivacy-Richtlinie gilt bereits seit 2009 – Aus Sicht des Datenschutzes bleibt weiterhin § 25 TDDDG die relevanteste Norm( früher nach TTDSG): 25 TDDDG regelt den Schutz der Privatsphäre bei Endgeräten: Für den Einsatz von Cookies und ähnlichen Technologien ist grundsätzlich eine Einwilligung der Nutzer erforderlich, sofern diese nicht zwingend für die Bereitstellung des Dienstes notwendig sind. Marketing in diesem Sinne ist übrigens nicht zwingend notwendig…

Künstliche Intelligenz und Haftung

Mit dem AI-Act (KI-Verordnung) schafft die EU einen Rechtsrahmen für den Einsatz von KI-Systemen. Unternehmen müssen ihre KI-Anwendungen entsprechend den Risikoklassen bewerten und regulatorische Anforderungen erfüllen. [wir berichteten bereits hier]

Die AI Liability Directive wird zudem diverse Haftungsfragen bei KI-Systemen regeln. Als KI-Haftungsrichtlinie soll sie Regeln für Schadensfälle einführen, die durch Einsatz künstlicher Intelligenz verursacht werden und ergänzt insofern bestehende Produkthaftungsregeln.

Cybersicherheit und Resilienz – Die zentrale Herausforderung in der digitalisierten Unternehmenswelt

In einer immer stärker vernetzten und digitalisierten Unternehmenslandschaft sind Cybersicherheit und Resilienz nicht nur essenziell, sondern entscheidend, um Risiken zu minimieren und die Zukunftsfähigkeit zu sichern. Bedrohungen haben drastisch zugenommen, insbesondere im Kontext kriegerischer Auseinandersetzungen und geopolitischer Spannungen, aber auch durch organisierte Kriminalität, die sich modernster – auch KI-gestützter Angriffsmethoden bedient. Cyberangriffe treffen längst nicht mehr nur große Unternehmen, sondern gerade auch Dienstleister in Lieferketten.
Mehrere EU-Verordnungen zielen darauf ab, die Widerstandsfähigkeit von Unternehmen gegen derartige Cyberangriffe zu erhöhen – hier lag in jüngster Zeit ein Schwerpunkt der neueren EU-Regularien:

  • Die Richtlinie zur Resilienz kritischer Einrichtungen (CER bzw. EU RCE-Direktive (EU 2022/2557), stärkt den Schutz kritischer Infrastrukturen und zielt auf deren allgemeine Resilienz und Ausfallsicherheit.
  • Die NIS-2-Richtlinie erweitert den Kreis der verpflichteten Unternehmen und verschärft die Sicherheitsanforderungen, sie zielt auf ein einheitliches hohes Cybersicherheitsniveau in der Union. Cybersicherheitskapazitäten sollen verbessert werden und Bedrohungen für Netz- und Informationssysteme eingedämmt werden.
  • Der Cyber Resilience Act (CRA) legt Sicherheitsstandards für digitale Produkte fest.
  • Der Digital Operational Resilience Act (DORA) richtet sich speziell an den Finanzsektor.

Digitale Märkte und Dienste

Der Digital Services Act (DSA) und der Digital Markets Act (DMA) regulieren Online-Plattformen und digitale Dienste, um faireren Wettbewerb und mehr Verbraucherschutz zu gewährleisten. Eine Konsequenz des DMA ist die Verpflichtung sogenannter Torwächter“, eine gesonderte Einwilligung der Nutzer in die Verarbeitung ihrer personenbezogenen Daten einzuholen, vgl. Artikel 5 Abs. 2 lit b) DMA. („Gatekeeper“ sind dabei große Online-Plattformen mit herausgehobener wirtschaftlicher Position mit erheblichen Auswirkungen auf den Binnenmarkt wie Google…)

Datenökonomie

Der Data Governance Act (DGA) und der Data Act (DA) schaffen Rahmenbedingungen für die Datenwirtschaft, einschließlich der Regelungen für Datenaustausch und -nutzung.

Neue Anforderungen an Unternehmen

Compliance und Dokumentation

Unternehmen müssen ihre Compliance-Strukturen anpassen, um den neuen regulatorischen Anforderungen gerecht zu werden.

Dies beinhaltet:

  • Implementierung von Risikomanagement-Systemen für KI-Anwendungen
  • Erstellung umfassender Dokumentationen zu Datenverarbeitungsprozessen
  • Regelmäßige Audits und Überprüfungen der Cybersicherheitsmaßnahmen

Vertragsrecht

Die neuen Regelungen wirken sich auch auf die Vertragsgestaltung aus. Beispiele sind:

  • Anpassung von Auftragsverarbeitungsverträgen gemäß DSGVO und KI-Verordnung , AI-as-a-Service-Regelungen
  • Einbeziehung von Cybersicherheitsklauseln in Lieferanten- und Kundenverträge
  • Berücksichtigung der Vorgaben des Digital Services Act bei Online-Plattformen

Beschäftigtenrecht

Ein besonderes Beschäftigtendatenschutzgesetz in Deutschland ist immer noch nicht verabschiedet, obwohl schon vor Inkrafttreten der DSGVO darüber diskutiert wurde und die Erforderlichkeit klarerer Regeln für die Arbeitswelt kaum bezweifelt wird – der Umgang mit Leistungsdaten, Biometrische Daten, Kommunikationsdaten von Beschäftigten im Unternehmen wirft weiterhin viele unklare Fragen auf. Eine zügige Verabschiedung ist in der derzeitigen politischen Situation leider wenig wahrscheinlich. Es bleibt also vorläufig bei einer Anwendung und Auslegung von DSGVO und ggf. BDSG.

Der Einsatz von KI-Systemen im Personalbereich erfordert besondere Aufmerksamkeit. Dies gilt auch beim Recruiting bzw. bereits im Bewerbungsverfahren. Monitoring, Zeiterfassung, Auswertungen sowie moderne cloudbasierte Cyber- Sicherungssysteme sind häufig inzwischen KI-unterstützt.

  • Schulung von Mitarbeitern im Umgang mit KI-Systemen
  • Transparenz bei KI-gestützten Entscheidungsprozessen
  • Wahrung der Arbeitnehmerrechte bei der Datenverarbeitung,
  • Hinweispflichten

Informationspflichten

Unternehmen müssen ihre Informations- und Meldepflichten erweitern:

  •  Transparente Kommunikation über den Einsatz von KI-Systemen
  • Meldung von Cybersicherheitsvorfällen gemäß NIS-2 und CRA
  • Bereitstellung von Informationen zur Datenverarbeitung nach DSGVO und Data Act

Investitionen in Sicherheit und Compliance

Angesichts der zunehmenden Bedrohungen durch KI-gestützte Cyberangriffe und der strengeren regulatorischen Anforderungen müssen Unternehmen verstärkt in Informationssicherheit, Compliance und Datenschutz investieren. Dies ist essentiell für das Überleben jedes datengetriebenen Unternehmens.
KI-gestützte Angriffe werden schneller, schädlicher und intelligenter, was ein ernsthaftes Existenzrisiko für Unternehmen darstellt, die diese Bedrohungen ignorieren. Investitionen in robuste Sicherheitsmaßnahmen und Härtung der Systeme sind daher unerlässlich.

  • Implementierung KI-basierter Sicherheitssysteme zur Erkennung und Abwehr von Bedrohungen
  • Kontinuierliche Schulung und Sensibilisierung der Beschäftigten
  • Regelmäßige Überprüfung und Aktualisierung von Sicherheitskonzepten

Ausblick

Die Zukunft des Datenwirtschaftsrechts wird von weiteren umfangreichen Regulierungen geprägt sein, darunter möglicherweise spezifische Regelungen für Bereiche wie Health Data Spaces. Unternehmen müssen wachsam bleiben und ihre Strategien kontinuierlich an das sich entwickelnde rechtliche Umfeld anpassen.
Die Investition in robuste Compliance-Strukturen, Cybersicherheit und KI-Kompetenz ist nicht nur eine rechtliche Notwendigkeit, sondern auch ein entscheidender Wettbewerbsvorteil in der digitalen Wirtschaft. Unternehmen, die proaktiv handeln, werden besser gerüstet sein, um die Herausforderungen der Zukunft zu meistern und die Chancen der Digitalisierung zu nutzen.

Wir unterstützen Sie gerne bei diesen Herausforderungen – sprechen Sie uns an!

Tags:

AI-Act,
Cybersicherheit,
Cybersicherheitsklauseln,
Data Governance Act,
Datenökonomie,
Datenschutz,
Datenwirtschaftsrecht,
DSGVO,
EU RCE-Direktive,
KI-Kompetenz,
KI-Richtlinie,
KI-VO,
NIS-2,
Resilienz,

Verwandte Posts

Die KI-Verordnung: Neue Herausforderungen und Chancen für Unternehmen 12. Dezember 2024

Kontakt

Adresse: IT-Kanzlei Twelmeier
Magirus-Deutz-Str. 12
D - 89077 Ulm
Telefon: 0731 - 280 656 30
0731 - 938 590 15 (FAX)

email:          info [at] kanzlei-it [dot] com

Weitere aktuelle Beiträge

Beliebte Seiten

© IT-Kanzlei Twelmeier