loading=”lazy” width=”400px”>Sich in den Regelwerken der EU zurechtzufinden, ist oft gar nicht so einfach.alphaspirit – shutterstock.com Die EU hat in den vergangenen Jahren zahlreiche Gesetze verabschiedet, die Unternehmen dazu verpflichten, bestimmte Compliance-Regeln im Digitalbereich einzuhalten. Dazu gehören unter anderem die Datenschutzgrundverordnung (DSGVO), die KI-Verordnung (AI Act), die NIS-2-Richtlinie, der EU Data Act, die DORA-Verordnung und der Cyber Resilience Act (CRA). NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick All diese Gesetze zielen darauf ab, den Schutz von Daten, die Sicherheit von IT-Systemen und die Transparenz im Umgang mit digitalen Technologien sicherstellen. Doch einige dieser Vorschriften haben ähnliche oder sogar identische Anforderungen. Redundante Compliance-Pflichten Der Branchenverband Bitkom hat vor Kurzem ein Diskussionspapier vorgestellt, mit dem Titel „Digitalgesetzgebung der EU: Konfliktzonen und Wege zur Kohärenz“, das diese Redundanzen untersucht und zugleich erste praktische Lösungsansätze anbietet. In dem Papier werden mehrere Bereiche identifiziert, in denen sich Compliance-Pflichten verschiedener EU-Gesetze überschneiden: 1. Dokumentationspflichten Sowohl die DSGVO als auch die KI-Verordnung verlangen umfassende Dokumentationen. Das Verzeichnis der Verarbeitungstätigkeiten nach der DSGVO und die Risikobewertung sowie das Post-Market-Monitoring nach der KI-Verordnung verfolgen ähnliche Ziele. Unternehmen können hier durch eine zentrale Dokumentation, die den Anforderungen beider Gesetze gerecht wird, effizienter arbeiten. 2. Risikomanagement Auch die Datenschutzfolgenabschätzung nach Art. 35 DSGVO und die Risikobewertung nach Art. 2 Abs. 7 KI-Verordnung haben viele Überschneidungen. Zudem erkennen einige der EU-Digitalgesetze an, dass die Erfüllung der IT-Sicherheitsanforderungen nach anderen EU-Gesetzen zumindest teilweise die Vermutung auslöst, dass auch die Anforderungen der neuen Gesetze erfüllt sind. Unternehmen können hier ein einheitliches Risikomanagementsystem entwickeln, das die Anforderungen aller relevanten Gesetze abdeckt. 3. Meldepflichten für IT-Sicherheitsstörfälle Unterschiedliche Gesetze wie die DSGVO, die KI-Verordnung, die NIS-2-Richtlinie, der Cyber Resilience Act und die ePrivacy-Richtlinie verlangen Meldungen an unterschiedliche Behörden und haben unterschiedliche Meldefristen. Unternehmen sollten hier, soweit möglich, einheitliche Meldeprozesse etablieren und klare Verantwortlichkeiten definieren, um die Effizienz zu steigern und doppelte Arbeit oder gar widersprüchliche Meldeprozesse zu vermeiden. 4. IT-Sicherheitsstandards Anforderungen an den IT-Sicherheitsstandard sind in Art. 32 DSGVO, Art. 15 KI-Verordnung sowie der NIS-2-Richtlinie und der DORA-Verordnung teilweise überlappend oder gar identisch. Unternehmen sollten daher einen Mindest-Sicherheitsstandard wählen und in die Praxis umsetzen, der alle diese Anforderungen gleichzeitig erfüllt, um die Implementierung zu vereinfachen. Das beinhaltet auch die einheitliche und regelmäßige Weiterentwicklung nach dem jeweils aktuellen Stand der Technik. 5. Benennung eines EU-Vertreters Unternehmen ohne Sitz oder Niederlassung in der EU müssen einen Vertreter benennen, der als Ansprechpartner für Aufsichtsbehörden und Betroffene fungiert. Dies wird sowohl von der DSGVO, der KI-Verordnung, dem Cyber Resilience Act als auch der NIS-2-Richtlinie verlangt. Hier können Unternehmen einen Vertreter für mehrere Bereiche betrauen und ihn entsprechend in allen Registern benennen. Beispiele aus der Praxis Ein praktisches Beispiel für die effiziente Nutzung redundanter Compliance-Pflichten ist die Datenschutzfolgenabschätzung, die viele Unternehmen aktuell für den Einsatz von Microsoft Copilot durchführen. Die DSGVO-Dokumentationshilfen des Herstellers Microsoft unterstützen dabei, und sind zugleich hilfreich, um die Dokumentationspflichten als KI-Betreiber nach der KI-Verordnung zu erfüllen. Ein weiteres Beispiel sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum aktuellen Stand der Technik für IT-Sicherheit. Diese Empfehlungen lassen sich für alle relevanten Digitalgesetze anwenden und bieten eine solide Grundlage für die Umsetzung der IT-Sicherheitsanforderungen. Die Umsetzungsempfehlungen der EU-Kommission zum Risikomanagement nach der NIS-2-Richtlinie bieten praxistaugliche Hilfestellungen, um die Anforderungen an das Risikomanagement in der IT-Sicherheit zu erfüllen. Darüber hinaus sind die Leitlinien des Europäischen Datenschutzausschusses zu den Meldepflichten nach der DSGVO ebenfalls hilfreich, um alle anderen Meldeprozesse zu strukturieren und effizient zu gestalten. Vorschriften vereinheitlichen und harmonisieren Der Bitkom weist darauf hin, dass die Überschneidungen und Doppelregelungen sowie uneinheitliche Begriffsdefinitionen zu Rechtsunsicherheit und erhöhtem Verwaltungsaufwand führen können. Um diese Herausforderungen zu bewältigen, empfiehlt der Verband unter anderem: • Einheitliche Definitionen: Die EU sollte klare und einheitliche Begriffsdefinitionen verwenden, um Verwirrungen zu vermeiden. • Gemeinsame Praxishandreichungen und Leitfäden: Die EU-Kommission könnte Leitfäden und Handreichungen bereitstellen, die die Umsetzung der verschiedenen Gesetze erleichtern und die Kohärenz fördern. • Auflösung der Konkurrenz der gesetzlichen Regelungen: Durch Harmonisierung der Vorschriften könnten Unternehmen die Anforderungen effizienter erfüllen und Rechtsunsicherheiten minimieren. Fazit: Compliance einfacher und effizienter machen Für Unternehmer, Geschäftsführer, Vorstände und IT-Leiter kann es hilfreich sein, die Übereinstimmungen in den relevanten Digitalgesetzen zu identifizieren und dementsprechend vorhandene Compliance-Prozesse, Verantwortlichkeiten und Dokumentationen zusammenzuführen. Effizienzen hier besser zu nutzen, kann den Implementierungsaufwand erheblich reduzieren und die Einhaltung der gesetzlichen Anforderungen erleichtern. Durch eine enge Zusammenarbeit von Compliance-Teams aus den Bereichen Recht und IT sowie bei Bedarf externen Experten lässt sich die Umsetzung der EU-Digitalgesetze effizient und rechtssicher gestalten. Unternehmen können so nicht nur die Herausforderungen der neuen EU-Digitalgesetze meistern, sondern auch Wettbewerbsvorteile erzielen. (ba)
Wie Sie den Compliance-Durchblick behalten
loading="lazy" width="400px">Sich in den Regelwerken der EU zurechtzufinden, ist oft gar nicht so einfach.alphaspirit – shutterstock.com Die EU hat in den vergangenen Jahren zahlreiche Gesetze verabschiedet, die Unternehmen dazu verpflichten, bestimmte Compliance-Regeln im Digitalbereich einzuhalten. Dazu gehören unter anderem die Datenschutzgrundverordnung (DSGVO), die KI-Verordnung (AI Act), die NIS-2-Richtlinie, der EU Data Act, die DORA-Verordnung und der Cyber Resilience Act (CRA). NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick All diese Gesetze zielen darauf ab, den Schutz von Daten, die Sicherheit von IT-Systemen und die Transparenz im Umgang mit digitalen Technologien sicherstellen. Doch einige dieser Vorschriften haben ähnliche oder sogar identische Anforderungen. Redundante Compliance-Pflichten Der Branchenverband Bitkom hat vor Kurzem ein Diskussionspapier vorgestellt, mit dem Titel „Digitalgesetzgebung der EU: Konfliktzonen und Wege zur Kohärenz“, das diese Redundanzen untersucht und zugleich erste praktische Lösungsansätze anbietet. In dem Papier werden mehrere Bereiche identifiziert, in denen sich Compliance-Pflichten verschiedener EU-Gesetze überschneiden: 1. Dokumentationspflichten Sowohl die DSGVO als auch die KI-Verordnung verlangen umfassende Dokumentationen. Das Verzeichnis der Verarbeitungstätigkeiten nach der DSGVO und die Risikobewertung sowie das Post-Market-Monitoring nach der KI-Verordnung verfolgen ähnliche Ziele. Unternehmen können hier durch eine zentrale Dokumentation, die den Anforderungen beider Gesetze gerecht wird, effizienter arbeiten. 2. Risikomanagement Auch die Datenschutzfolgenabschätzung nach Art. 35 DSGVO und die Risikobewertung nach Art. 2 Abs. 7 KI-Verordnung haben viele Überschneidungen. Zudem erkennen einige der EU-Digitalgesetze an, dass die Erfüllung der IT-Sicherheitsanforderungen nach anderen EU-Gesetzen zumindest teilweise die Vermutung auslöst, dass auch die Anforderungen der neuen Gesetze erfüllt sind. Unternehmen können hier ein einheitliches Risikomanagementsystem entwickeln, das die Anforderungen aller relevanten Gesetze abdeckt. 3. Meldepflichten für IT-Sicherheitsstörfälle Unterschiedliche Gesetze wie die DSGVO, die KI-Verordnung, die NIS-2-Richtlinie, der Cyber Resilience Act und die ePrivacy-Richtlinie verlangen Meldungen an unterschiedliche Behörden und haben unterschiedliche Meldefristen. Unternehmen sollten hier, soweit möglich, einheitliche Meldeprozesse etablieren und klare Verantwortlichkeiten definieren, um die Effizienz zu steigern und doppelte Arbeit oder gar widersprüchliche Meldeprozesse zu vermeiden. 4. IT-Sicherheitsstandards Anforderungen an den IT-Sicherheitsstandard sind in Art. 32 DSGVO, Art. 15 KI-Verordnung sowie der NIS-2-Richtlinie und der DORA-Verordnung teilweise überlappend oder gar identisch. Unternehmen sollten daher einen Mindest-Sicherheitsstandard wählen und in die Praxis umsetzen, der alle diese Anforderungen gleichzeitig erfüllt, um die Implementierung zu vereinfachen. Das beinhaltet auch die einheitliche und regelmäßige Weiterentwicklung nach dem jeweils aktuellen Stand der Technik. 5. Benennung eines EU-Vertreters Unternehmen ohne Sitz oder Niederlassung in der EU müssen einen Vertreter benennen, der als Ansprechpartner für Aufsichtsbehörden und Betroffene fungiert. Dies wird sowohl von der DSGVO, der KI-Verordnung, dem Cyber Resilience Act als auch der NIS-2-Richtlinie verlangt. Hier können Unternehmen einen Vertreter für mehrere Bereiche betrauen und ihn entsprechend in allen Registern benennen. Beispiele aus der Praxis Ein praktisches Beispiel für die effiziente Nutzung redundanter Compliance-Pflichten ist die Datenschutzfolgenabschätzung, die viele Unternehmen aktuell für den Einsatz von Microsoft Copilot durchführen. Die DSGVO-Dokumentationshilfen des Herstellers Microsoft unterstützen dabei, und sind zugleich hilfreich, um die Dokumentationspflichten als KI-Betreiber nach der KI-Verordnung zu erfüllen. Ein weiteres Beispiel sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum aktuellen Stand der Technik für IT-Sicherheit. Diese Empfehlungen lassen sich für alle relevanten Digitalgesetze anwenden und bieten eine solide Grundlage für die Umsetzung der IT-Sicherheitsanforderungen. Die Umsetzungsempfehlungen der EU-Kommission zum Risikomanagement nach der NIS-2-Richtlinie bieten praxistaugliche Hilfestellungen, um die Anforderungen an das Risikomanagement in der IT-Sicherheit zu erfüllen. Darüber hinaus sind die Leitlinien des Europäischen Datenschutzausschusses zu den Meldepflichten nach der DSGVO ebenfalls hilfreich, um alle anderen Meldeprozesse zu strukturieren und effizient zu gestalten. Vorschriften vereinheitlichen und harmonisieren Der Bitkom weist darauf hin, dass die Überschneidungen und Doppelregelungen sowie uneinheitliche Begriffsdefinitionen zu Rechtsunsicherheit und erhöhtem Verwaltungsaufwand führen können. Um diese Herausforderungen zu bewältigen, empfiehlt der Verband unter anderem: • Einheitliche Definitionen: Die EU sollte klare und einheitliche Begriffsdefinitionen verwenden, um Verwirrungen zu vermeiden. • Gemeinsame Praxishandreichungen und Leitfäden: Die EU-Kommission könnte Leitfäden und Handreichungen bereitstellen, die die Umsetzung der verschiedenen Gesetze erleichtern und die Kohärenz fördern. • Auflösung der Konkurrenz der gesetzlichen Regelungen: Durch Harmonisierung der Vorschriften könnten Unternehmen die Anforderungen effizienter erfüllen und Rechtsunsicherheiten minimieren. Fazit: Compliance einfacher und effizienter machen Für Unternehmer, Geschäftsführer, Vorstände und IT-Leiter kann es hilfreich sein, die Übereinstimmungen in den relevanten Digitalgesetzen zu identifizieren und dementsprechend vorhandene Compliance-Prozesse, Verantwortlichkeiten und Dokumentationen zusammenzuführen. Effizienzen hier besser zu nutzen, kann den Implementierungsaufwand erheblich reduzieren und die Einhaltung der gesetzlichen Anforderungen erleichtern. Durch eine enge Zusammenarbeit von Compliance-Teams aus den Bereichen Recht und IT sowie bei Bedarf externen Experten lässt sich die Umsetzung der EU-Digitalgesetze effizient und rechtssicher gestalten. Unternehmen können so nicht nur die Herausforderungen der neuen EU-Digitalgesetze meistern, sondern auch Wettbewerbsvorteile erzielen. (ba)
Wie Sie den Compliance-Durchblick behalten loading="lazy" width="400px">Sich in den Regelwerken der EU zurechtzufinden, ist oft gar nicht so einfach.alphaspirit – shutterstock.com Die EU hat in den vergangenen Jahren zahlreiche Gesetze verabschiedet, die Unternehmen dazu verpflichten, bestimmte Compliance-Regeln im Digitalbereich einzuhalten. Dazu gehören unter anderem die Datenschutzgrundverordnung (DSGVO), die KI-Verordnung (AI Act), die NIS-2-Richtlinie, der EU Data Act, die DORA-Verordnung und der Cyber Resilience Act (CRA). NIS2, DORA, Data Act & Co.: Die wichtigsten Security-Gesetze im Überblick All diese Gesetze zielen darauf ab, den Schutz von Daten, die Sicherheit von IT-Systemen und die Transparenz im Umgang mit digitalen Technologien sicherstellen. Doch einige dieser Vorschriften haben ähnliche oder sogar identische Anforderungen. Redundante Compliance-Pflichten Der Branchenverband Bitkom hat vor Kurzem ein Diskussionspapier vorgestellt, mit dem Titel „Digitalgesetzgebung der EU: Konfliktzonen und Wege zur Kohärenz“, das diese Redundanzen untersucht und zugleich erste praktische Lösungsansätze anbietet. In dem Papier werden mehrere Bereiche identifiziert, in denen sich Compliance-Pflichten verschiedener EU-Gesetze überschneiden: 1. Dokumentationspflichten Sowohl die DSGVO als auch die KI-Verordnung verlangen umfassende Dokumentationen. Das Verzeichnis der Verarbeitungstätigkeiten nach der DSGVO und die Risikobewertung sowie das Post-Market-Monitoring nach der KI-Verordnung verfolgen ähnliche Ziele. Unternehmen können hier durch eine zentrale Dokumentation, die den Anforderungen beider Gesetze gerecht wird, effizienter arbeiten. 2. Risikomanagement Auch die Datenschutzfolgenabschätzung nach Art. 35 DSGVO und die Risikobewertung nach Art. 2 Abs. 7 KI-Verordnung haben viele Überschneidungen. Zudem erkennen einige der EU-Digitalgesetze an, dass die Erfüllung der IT-Sicherheitsanforderungen nach anderen EU-Gesetzen zumindest teilweise die Vermutung auslöst, dass auch die Anforderungen der neuen Gesetze erfüllt sind. Unternehmen können hier ein einheitliches Risikomanagementsystem entwickeln, das die Anforderungen aller relevanten Gesetze abdeckt. 3. Meldepflichten für IT-Sicherheitsstörfälle Unterschiedliche Gesetze wie die DSGVO, die KI-Verordnung, die NIS-2-Richtlinie, der Cyber Resilience Act und die ePrivacy-Richtlinie verlangen Meldungen an unterschiedliche Behörden und haben unterschiedliche Meldefristen. Unternehmen sollten hier, soweit möglich, einheitliche Meldeprozesse etablieren und klare Verantwortlichkeiten definieren, um die Effizienz zu steigern und doppelte Arbeit oder gar widersprüchliche Meldeprozesse zu vermeiden. 4. IT-Sicherheitsstandards Anforderungen an den IT-Sicherheitsstandard sind in Art. 32 DSGVO, Art. 15 KI-Verordnung sowie der NIS-2-Richtlinie und der DORA-Verordnung teilweise überlappend oder gar identisch. Unternehmen sollten daher einen Mindest-Sicherheitsstandard wählen und in die Praxis umsetzen, der alle diese Anforderungen gleichzeitig erfüllt, um die Implementierung zu vereinfachen. Das beinhaltet auch die einheitliche und regelmäßige Weiterentwicklung nach dem jeweils aktuellen Stand der Technik. 5. Benennung eines EU-Vertreters Unternehmen ohne Sitz oder Niederlassung in der EU müssen einen Vertreter benennen, der als Ansprechpartner für Aufsichtsbehörden und Betroffene fungiert. Dies wird sowohl von der DSGVO, der KI-Verordnung, dem Cyber Resilience Act als auch der NIS-2-Richtlinie verlangt. Hier können Unternehmen einen Vertreter für mehrere Bereiche betrauen und ihn entsprechend in allen Registern benennen. Beispiele aus der Praxis Ein praktisches Beispiel für die effiziente Nutzung redundanter Compliance-Pflichten ist die Datenschutzfolgenabschätzung, die viele Unternehmen aktuell für den Einsatz von Microsoft Copilot durchführen. Die DSGVO-Dokumentationshilfen des Herstellers Microsoft unterstützen dabei, und sind zugleich hilfreich, um die Dokumentationspflichten als KI-Betreiber nach der KI-Verordnung zu erfüllen. Ein weiteres Beispiel sind die Empfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) zum aktuellen Stand der Technik für IT-Sicherheit. Diese Empfehlungen lassen sich für alle relevanten Digitalgesetze anwenden und bieten eine solide Grundlage für die Umsetzung der IT-Sicherheitsanforderungen. Die Umsetzungsempfehlungen der EU-Kommission zum Risikomanagement nach der NIS-2-Richtlinie bieten praxistaugliche Hilfestellungen, um die Anforderungen an das Risikomanagement in der IT-Sicherheit zu erfüllen. Darüber hinaus sind die Leitlinien des Europäischen Datenschutzausschusses zu den Meldepflichten nach der DSGVO ebenfalls hilfreich, um alle anderen Meldeprozesse zu strukturieren und effizient zu gestalten. Vorschriften vereinheitlichen und harmonisieren Der Bitkom weist darauf hin, dass die Überschneidungen und Doppelregelungen sowie uneinheitliche Begriffsdefinitionen zu Rechtsunsicherheit und erhöhtem Verwaltungsaufwand führen können. Um diese Herausforderungen zu bewältigen, empfiehlt der Verband unter anderem: • Einheitliche Definitionen: Die EU sollte klare und einheitliche Begriffsdefinitionen verwenden, um Verwirrungen zu vermeiden. • Gemeinsame Praxishandreichungen und Leitfäden: Die EU-Kommission könnte Leitfäden und Handreichungen bereitstellen, die die Umsetzung der verschiedenen Gesetze erleichtern und die Kohärenz fördern. • Auflösung der Konkurrenz der gesetzlichen Regelungen: Durch Harmonisierung der Vorschriften könnten Unternehmen die Anforderungen effizienter erfüllen und Rechtsunsicherheiten minimieren. Fazit: Compliance einfacher und effizienter machen Für Unternehmer, Geschäftsführer, Vorstände und IT-Leiter kann es hilfreich sein, die Übereinstimmungen in den relevanten Digitalgesetzen zu identifizieren und dementsprechend vorhandene Compliance-Prozesse, Verantwortlichkeiten und Dokumentationen zusammenzuführen. Effizienzen hier besser zu nutzen, kann den Implementierungsaufwand erheblich reduzieren und die Einhaltung der gesetzlichen Anforderungen erleichtern. Durch eine enge Zusammenarbeit von Compliance-Teams aus den Bereichen Recht und IT sowie bei Bedarf externen Experten lässt sich die Umsetzung der EU-Digitalgesetze effizient und rechtssicher gestalten. Unternehmen können so nicht nur die Herausforderungen der neuen EU-Digitalgesetze meistern, sondern auch Wettbewerbsvorteile erzielen. (ba)