03150 NIS2, DSGVO und CRA – Strategien für Unternehmen im digitalen Zeitalter
|
Wie können Unternehmen die Anforderungen von DSGVO, NIS2, CRA und KI-VO effizient und integriert umsetzen und gleichzeitig Wettbewerbsvorteile sichern? Der Beitrag liefert praxisnahe Strategien, um Risiken zu minimieren, Prozesse zu optimieren und gesetzliche Vorgaben zu erfüllen. Arbeitshilfen: von: |
1 NIS2, DSGVO, CRA und KI-VO – Alles klar, oder?
Seit Monaten prasseln die Abkürzungen NIS2 [1], DSGVO [2], CRA [3] und KI-VO [4] nur so auf Unternehmer und ihre Mitstreiter ein. Doch was hat es damit auf sich? Wirken diese zusammen? Wenn ja, wie? Hinsichtlich dieser Fragen hat es sich der Gesetzgeber einfach gemacht. „Der Data Act etwa ‚gilt unbeschadet’ der DSGVO, der DSA lässt die DSGVO ‚unberührt’, der Digital Markets Act ‚sollte [...] unbeschadet der Vorschriften’ der DS-GVO gelten; auch der DGA ‚gilt’ wie der Data Act ‚unbeschadet’, wobei ‚im Fall eines Konflikts [... der] Schutz personenbezogener Daten Vorrang haben soll’ (im Vergleich zu ‚haben [...] Vorrang’ im Data Act). Was sofort auffällt, ist, dass die Formulierungen zwar nahe beieinander liegen, aber kein Gleichklang besteht”, führen Nebel und Geminn in ihrem Aufsatz „Das Zusammenspiel von KI-VO und DS-GVO” aus [5]. Und darin bleibt NIS2 auch noch unberücksichtigt!
Die Tabelle 1 bietet eine knappe Übersicht über aktuelle Regelwerke zur Digitalisierung.
Tabelle 1: Überblick über wichtige Regelwerke zur Digitalisierung
Cyber Resilience Act/Cyberresilienz-Verordnung [3]
Der Cyber Resilience Act (CRA) hat das Ziel, einheitliche Sicherheitsanforderungen für digitale Produkte und Software in der Europäischen Union festzulegen. Er soll sicherstellen, dass vernetzte Geräte und Programme von Anfang an so gestaltet werden, dass sie vor Cyberangriffen geschützt sind. Die Verordnung legt Pflichten für Hersteller, Importeure und Händler fest, um Sicherheitslücken zu vermeiden, regelmäßige Updates bereitzustellen und die Nutzer über Risiken zu informieren. |
Data Act/Datenverordnung [6]
Der Data Act, auch Datengesetz genannt, soll dazu beitragen, den bislang ungenutzten Wert an Daten der EU auszuschöpfen, und hält fest, wer welche Daten verwerten darf. |
Data Governance Act/Daten-Governance-Rechtsakt [7]
Der Data Governance Act (DGA) soll als Grundstein für den Aufbau eines europäischen Datenaustauschmodells dienen. |
NIS2-Richtlinien-Umsetzungsgesetz [8]
Das Gesetz zur Stärkung der Cybersicherheit überführt die EU-weiten Mindeststandards für Cybersecurity der EU-Direktive NIS2 in deutsches Recht. |
Digital Services Act/Gesetz über digitale Dienste [9]
Das Gesetz über digitale Dienste (Digital Services Act, DSA) hat das Ziel, den Rechtsrahmen für digitale Dienste in Europa zu modernisieren und ein sichereres und verantwortungsvolleres Onlineumfeld zu schaffen. Es enthält Vorschriften zur Haftung von Providern und zur Meldung illegaler Inhalte und legt Pflichten für Onlinedienste fest. |
Digital Markets Act/Gesetz über digitale Märkte [10]
Der Digital Markets Act (DMA) soll für faire und offene Märkte im digitalen Sektor sorgen. |
Artificial lntelligence Act (AIA)/Verordnung über künstliche Intelligenz [4]
Der Artificial Intelligence Act (AIA) stellt neue rechtliche Anforderungen an den Einsatz von künstlicher Intelligenz. |
Digital Operational Resilience Act (DORA)/DORA-Verordnung [11]
Mit der DORA-Verordnung (Digital Operational Resilience Act) verfolgt die Europäische Kommission das Ziel, einen einheitlichen Rahmen für ein effektives und umfassendes Management von Cybersicherheits- und IKT-Risiken auf den Finanzmärkten zu schaffen. |
NIS2: Datenschutz & Sicherheit
Während Fachleute und Aufsichtsbehörden über Zuständigkeiten streiten und diskutieren, ob Datenschutz und Informationssicherheit nun völlig getrennt oder doch gemeinsam betrachtet werden, hat die EU mit der NIS2-Regulation gehandelt und darin niedergelegt, dass ein Data-Breach immer auch ein Verstoß gegen den Datenschutz nahelegt, da heute die Datenverarbeitung nicht mehr ohne die Verwendung personenbezogener Daten erfolgt.
Während Fachleute und Aufsichtsbehörden über Zuständigkeiten streiten und diskutieren, ob Datenschutz und Informationssicherheit nun völlig getrennt oder doch gemeinsam betrachtet werden, hat die EU mit der NIS2-Regulation gehandelt und darin niedergelegt, dass ein Data-Breach immer auch ein Verstoß gegen den Datenschutz nahelegt, da heute die Datenverarbeitung nicht mehr ohne die Verwendung personenbezogener Daten erfolgt.
Nachweis & Sanktionen
Der Gesetzgeber hat aus der Praxis der DSGVO gelernt, dass Bußgelder wirken, und auch die neuen Regelungen mit Sanktionsandrohungen ausgestattet. Zukünftig kann daher die Umsetzung nicht mehr nur nach kaufmännisch-organisatorischem Kalkül der Geschäftsführung erfolgen, sondern muss auch im Nachgang einer juristischen Überprüfung genügen. Das bedeutet, dass die Entscheidungen der Geschäftsführung nachprüfbar juristischen Kriterien standhalten müssen. Dieser Nachweis erfordert also eine umfangreiche Dokumentation, von der Risikoanalyse bis hin zur Kontrolle der Wirksamkeit der Schutzmaßnahmen.
Der Gesetzgeber hat aus der Praxis der DSGVO gelernt, dass Bußgelder wirken, und auch die neuen Regelungen mit Sanktionsandrohungen ausgestattet. Zukünftig kann daher die Umsetzung nicht mehr nur nach kaufmännisch-organisatorischem Kalkül der Geschäftsführung erfolgen, sondern muss auch im Nachgang einer juristischen Überprüfung genügen. Das bedeutet, dass die Entscheidungen der Geschäftsführung nachprüfbar juristischen Kriterien standhalten müssen. Dieser Nachweis erfordert also eine umfangreiche Dokumentation, von der Risikoanalyse bis hin zur Kontrolle der Wirksamkeit der Schutzmaßnahmen.
Zwei Seiten einer Medaille
Die Abbildung 1 stellt die Schutzsysteme zu Datenschutz und Informationssicherheit einander gegenüber.
Die Abbildung 1 stellt die Schutzsysteme zu Datenschutz und Informationssicherheit einander gegenüber.
Ganzheitlicher Ansatz
In der Praxis müssen wir diese Vorgaben gesamthaft sehen, wollen wir nicht für jede Verordnung und jedes Gesetz einzelne Regelungen und Prozesse sowie Abläufe und Dokumente nebeneinander schaffen. Die Verwirrung der Mitarbeiter wäre perfekt, insbesondere in dem alles andere als einstimmigen Chor der Beauftragtengruppe. Zudem droht am Horizont ein bürokratisches Monster, das für jeden Bereich ein eigenes Managementsystem einfordert.
In der Praxis müssen wir diese Vorgaben gesamthaft sehen, wollen wir nicht für jede Verordnung und jedes Gesetz einzelne Regelungen und Prozesse sowie Abläufe und Dokumente nebeneinander schaffen. Die Verwirrung der Mitarbeiter wäre perfekt, insbesondere in dem alles andere als einstimmigen Chor der Beauftragtengruppe. Zudem droht am Horizont ein bürokratisches Monster, das für jeden Bereich ein eigenes Managementsystem einfordert.
Integriertes Vorgehen
In der Praxis haben wir längst erkannt, dass in solchen Fällen ein integriertes Vorgehen zwingend erforderlich ist, um die gesetzlichen Ziele zu erreichen. Dies muss effizient aus Sicht der Mitarbeitenden sein, da störende, widersinnige und redundante Aufgaben von diesen bald unterlassen und so Daten und Informationen nicht effektiv geschützt und abgesichert werden.
In der Praxis haben wir längst erkannt, dass in solchen Fällen ein integriertes Vorgehen zwingend erforderlich ist, um die gesetzlichen Ziele zu erreichen. Dies muss effizient aus Sicht der Mitarbeitenden sein, da störende, widersinnige und redundante Aufgaben von diesen bald unterlassen und so Daten und Informationen nicht effektiv geschützt und abgesichert werden.
Zweckerfüllung aus unternehmerischem Interesse, Gesetzeskonformität und Effizienzdenken bestimmten daher sinnvollerweise die Beratungstätigkeit in diesem Umfeld, denn „geteiltes Leid ist halbes Leid” oder: „Wenn Sie schon den Datenschutz ausbauen müssen, dann lassen Sie uns doch gleich die Anforderungen an die Informationssicherheit mit erfüllen.” Jetzt wird NIS2-RLUG für viele Unternehmen neben der DSGVO zur gesetzlichen Pflicht. Statt alles von Grund auf neu zu beginnen, schlage ich vor, Datenschutz und Informationssicherheit eng miteinander zu verknüpfen. Interessiert? Dann lassen Sie uns einen Einblick geben, wie Sie dies in der Praxis umsetzen können. Dazu beleuchten wir im Folgenden zentrale Aspekte.