Interview mit Fachanwältin für IT-Recht
„Nicht nur Pflicht, sondern echter Mehrwert für die Unternehmen“
NIS2, DORA, AI Act – es gibt derzeit eine Reihe von Regularien, die Unternehmen hinsichtlich IT-Sicherheit und Datenschutz berücksichtigen müssen. Carola Sieling, Fachanwältin für IT-Recht, liefert im Interview fundierte Einblicke und gibt praktische Tipps zur Vorbereitung auf die Anforderungen.
Aktuelle Regularien und der Umgang damit
connect professional: Frau Sieling, heute sprechen wir über die neuesten EU-Verordnungen zur Cybersicherheit und deren Auswirkungen auf Unternehmen. Welche Regularien sind Ihrer Meinung nach besonders wichtig für Unternehmen?
Carola Sieling: Die EU hat in letzter Zeit viele Verordnungen und Vorgaben zur Cybersicherheit erlassen. Besonders wichtig sind derzeit die NIS2-Richtlinie1, die DORA-Verordnung2 und die EU-KI-Verordnung3 (AI Act). Diese Regelungen haben große Auswirkungen auf Unternehmen, besonders im Hinblick auf Cybersicherheit und Datenschutz. Diese Regularien betreffen verschiedene Sektoren in unterschiedlicher Weise. Zum Beispiel müssen Unternehmen in kritischen Infrastrukturen wie Energie und Wasser die NIS2-Richtlinie beachten, während DORA speziell für den Finanzsektor relevant ist. Die EU-KI-Verordnung hingegen regelt den Umgang mit Künstlicher Intelligenz in der EU. Es ist wichtig, dass Unternehmen prüfen, ob sie unter diese Verordnungen fallen.
connect professional: Wie unterscheiden sich Verordnungen und Richtlinien der EU?
Sieling: Eine Richtlinie muss von den einzelnen Mitgliedsstaaten in nationales Recht umgesetzt werden, was zu unterschiedlichen Auslegungen und Umsetzungen führen kann. Eine Verordnung hingegen gilt direkt und unmittelbar in allen EU-Mitgliedsstaaten, was eine einheitliche Anwendung sicherstellt. Ein Beispiel für eine Verordnung ist die DSGVO, während die NIS2-Richtlinie zunächst als Richtlinie verabschiedet wurde, die dann in nationales Recht umgesetzt werden muss.
connect professional: Wie sollten Unternehmen vorgehen, um herauszufinden, ob sie von diesen Verordnungen betroffen sind?
Sieling: Es ist entscheidend, dass Unternehmen sich alle relevanten Vorschriften genau anschauen und prüfen, ob sie betroffen sind. Oft gibt es einen regelrechten „Dschungel“ an Gesetzen, und die Herausforderung besteht darin, herauszufinden, welche Regelungen für das eigene Unternehmen gelten. Dazu zählt auch, dass man sich über die jeweiligen Branchenanforderungen informiert und die eigene Stellung in der Lieferkette berücksichtigt. Dies umfasst die Analyse der spezifischen Anforderungen und die Bewertung, ob das Unternehmen die notwendigen Kriterien erfüllt, wie zum Beispiel bestimmte Branchenzugehörigkeiten oder Umsatzgrößen. Es ist auch ratsam, sich professionelle Unterstützung zu suchen, um diese komplexen Regelungen zu verstehen.
connect professional: Was ist mit Unternehmen, die glauben, nicht betroffen zu sein – zum Beispiel mit Blick auf NIS2?
Sieling: Viele Unternehmen schließen sich fälschlicherweise aus, weil sie denken, sie seien keine kritische Infrastruktur. Aber die Schwellenwerte haben sich geändert, und auch Unternehmen außerhalb der klassischen kritischen Infrastrukturen könnten betroffen sein. Es ist wichtig, sich nicht selbst auszuschließen, sondern eine genaue Prüfung vorzunehmen, ob man den neuen Anforderungen unterliegt.
connect professional: Was passiert, wenn ein Unternehmen unsicher ist, ob es unter eine bestimmte Verordnung fällt?
Sieling: In solchen Fällen ist es ratsam, sich kompetente Hilfe zu suchen. Viele Regelungen sind komplex und ändern sich laufend, und es ist oft schwierig, sich allein einen Überblick zu verschaffen. Auch wenn einige Regelungen noch nicht final umgesetzt sind, sollten Unternehmen sich darauf vorbereiten und gegebenenfalls vorab Maßnahmen ergreifen, um zukünftigen Anforderungen gerecht zu werden. Die Gesetzgebung kann sich noch ändern, daher ist es ratsam, kontinuierlich auf dem Laufenden zu bleiben.
| Vertiefende Webinar-Inhalte zu DORA, NIS2 & Co. |
|---|
|
connect professional hat in den letzten Monaten zusammen mit Partnern und Vertretern aus der Branche mehrere Webinar-Tage zur NIS2-Richtlinie und DORA aufgesetzt. Themenaspekte waren u.a.:
Alle Inhalte sind kostenfrei gegen Registrierung hier on-demand einsehbar. |
connect professional: Gibt es besondere Herausforderungen für Unternehmen, die bisher keine Risikomanagementmaßnahmen durchgeführt haben und nun betroffen sind?
Sieling: Ja, das ist eine große Herausforderung. Unternehmen, die bisher keine Risikomanagementsysteme implementiert haben, müssen sich oft komplett neu aufstellen. Das kann komplex und zeitaufwändig sein. Es ist jedoch von Vorteil, sich frühzeitig mit diesen Anforderungen auseinanderzusetzen, um späteren Schwierigkeiten vorzubeugen.
connect professional: Wie wirkt sich die Haftung der Geschäftsleitung in den neuen Regelungen aus?
Sieling: Die Haftung der Geschäftsleitung ist ein wichtiger Punkt. Normalerweise ist die Geschäftsleitung für die Compliance im Unternehmen verantwortlich, aber die neue Regelung macht dies explizit. Die Geschäftsleitung muss sich aktiv mit den Anforderungen auseinandersetzen und ist verpflichtet, sich weiterzubilden und zu überwachen, wie die IT-Sicherheits- und Datenschutzmaßnahmen umgesetzt werden. Dies sollte dazu beitragen, dass mehr Mittel für Cybersecurity bereitgestellt werden und Unternehmen nicht erst nach einem Vorfall reagieren.
connect professional: Viele deutsche Unternehmen haben ja bereits Erfahrung mit der DSGVO gesammelt. Aus Ihrer Sicht als Fachanwältin für IT-Recht: Was können Unternehmen daraus lernen?
Sieling: Die Unternehmen haben definitiv aus den Erfahrungen mit der DSGVO gelernt. Die Sensibilität für Compliance-Fragen ist gestiegen. Auch gibt es ein besseres Verständnis dafür, wie wichtig es ist, sich rechtzeitig auf neue Regelungen vorzubereiten. Vor der DSGVO war das Bewusstsein oft schwach ausgeprägt, und viele Unternehmen haben erst kurz vor dem Wirksamwerden der Verordnung reagiert. Ich war bereits 2007 als externe Datenschutzbeauftragte tätig und musste anfangs viel Überzeugungsarbeit leisten, da viele Unternehmen das Thema damals noch nicht ernst nahmen. Mittlerweile aber, seit etwa zehn Jahren, haben sich die Unternehmen jedoch gebessert und sind proaktiver geworden. Die steigende Sensibilität für Datenschutz und Datensicherheit steht in enger Verbindung mit den Enthüllungen durch Snowden. Seit 2018 spielte dann die DSGVO einen entscheidenden Faktor.
| „Cybersecurity-Anforderungen führen zu einem besseren Risikomanagement und sind nicht nur für direkt betroffene Unternehmen sinnvoll.“ |
|---|
connect professional: Was halten Sie von der neuen KI-Verordnung und den Herausforderungen, die sie mit sich bringt?
Sieling: Die KI-Verordnung ist komplex und teils umstritten. Ein zentraler Punkt ist die Definition von KI, die zwar schon in der Verordnung legaldefiniert ist, deren Auslegung jedoch noch nicht ganz klar ist. Die Verordnung unterscheidet zwischen verschiedenen Risikostufen für KI-Systeme, von verbotenen Anwendungen bis hin zu Hochrisikosystemen und Systemen ohne zusätzliche Anforderungen. Hinzukommt die Einführung von Transparenzpflichten bei der Nutzung von KI. Dies bedeutet, dass die Nutzer über den Einsatz von KI informiert werden müssen – unabhängig davon, ob personenbezogene Daten verarbeitet werden.
Besonders interessant ist auch der Schulungsansatz der Verordnung. Es wird erwartet, dass Unternehmen ihre Mitarbeiter schulen, um ein ausreichendes Maß an Kompetenz im Umgang mit KI zu gewährleisten. Diese Schulungspflicht gilt bereits sechs Monate nach Inkrafttreten der Verordnung und betrifft alle, die mit KI-Systemen arbeiten.
connect professional: Welche Empfehlungen haben Sie für Unternehmen, um die Anforderungen der KI-Verordnung umzusetzen, besonders angesichts des Fachkräftemangels?
Sieling: Unternehmen sollten sich zunächst einen Überblick verschaffen, welche Anforderungen auf sie zutreffen. Wichtig ist, dass Unternehmen Richtlinien zum Einsatz von KI etablieren, ihre Mitarbeiter schulen und sicherstellen, dass sie ein grundlegendes Verständnis für die eingesetzten KI-Systeme haben. Auch wenn Fachkräftemangel ein Problem darstellt, gibt es Lösungen, um den Bedarf zu decken – sei es durch externe Berater oder spezialisierte Software.
Beruflicher Werdegang
connect professional: Könnten Sie uns noch etwas über Ihren beruflichen Werdegang erzählen? Wie wird man Fachanwältin für IT-Recht?
Sieling: Der Weg zur Fachanwältin für IT-Recht umfasst sowohl theoretisches Wissen als auch praktische Erfahrung. Man muss nachweisen, dass man eine bestimmte Anzahl von Fällen bearbeitet hat und eine langjährige, umfassende praktische Erfahrung in diesem Bereich vorweisen kann. Die Fachanwälte für IT-Recht sind daher besonders spezialisiert und kombinieren juristische Kenntnisse mit technischem Verständnis. Ich habe mich schon während meines Studiums auf diesen Bereich konzentriert und mich nach dem Erwerb der Anwaltschaft weiter spezialisiert.
connect professional: Sie haben bereits zahlreiche Verträge gelesen und beraten. Gab es ein besonders bemerkenswertes Ereignis im Laufe Ihrer Karriere?
Sieling: Nun, es gab einige interessante Fälle, aber ich vermeide es grundsätzlich, lange Gerichtsverfahren zu führen. Diese sind oft langwierig und teuer, und das Risiko kann enorm sein. Einmal endete ein Verfahren sogar in einer Insolvenz, was den gesamten Aufwand wertlos machte. Daher empfehle ich immer, Risiken zu minimieren und Streitigkeiten möglichst zu vermeiden.
connect professional: Das klingt nach einer sehr pragmatischen Herangehensweise. Wie sieht es mit den Klienten aus, mit denen Sie arbeiten? Gibt es da eine Zielgruppe?
Sieling: Meine Klienten kommen aus verschiedenen Bereichen – von Einzelunternehmen bis hin zu größeren Firmen mit bis zu 500 Mitarbeitenden. Hauptsächlich konzentrieren wir uns auf kleine und mittelständische Unternehmen (KMU). Auch Privatpersonen können manchmal zu uns kommen, aber das ist eher die Ausnahme.
connect professional: Hat sich Ihr Berufsfeld in den letzten Jahren verändert?
Sieling: Ja, definitiv. Seitdem ich 2010 den Titel Fachanwältin für Infomrationstechnologierecht erhalten habe, ist die Komplexität gestiegen. Die Vielzahl der Gesetze und Vorschriften hat zugenommen, was zusätzliche Einarbeitung und kontinuierliche Weiterbildung erfordert. Der Bedarf an Datenschutz- und IT-Rechtsberatung ist gestiegen, und die Themen werden ernsthafter behandelt, insbesondere nach Ereignissen wie dem Snowden-Skandal und der Einführung der DSGVO.
| „Ich rate davon ab, Gerichtsverfahren zu führen, weil sie langwierig und teuer sind. Der Aufwand kann enorm sein und manchmal steht am Ende eine Insolvenz.“ |
|---|
connect professional: Das klingt nach einem dynamischen und anspruchsvollen Arbeitsfeld. Wie gehen Sie mit den Herausforderungen um?
Sieling: Ich sehe es als meine Aufgabe an, meine Klienten über die Vorteile des Datenschutzes und der IT-Sicherheit aufzuklären und ich freue mich über die positive Entwicklung in diesem Bereich und dass diese Themen mehr Beachtung finden. Es ist nicht nur eine Pflicht, sondern bietet auch echten Mehrwert für Unternehmen. Ich finde es wichtig, dass meine Arbeit den Klienten einen echten Nutzen bringt. Man sollte sich daher nicht von den Herausforderungen abschrecken lassen, sondern die Entwicklungen als Chance sehen.
connect professional: Vielen Dank für die aufschlussreichen Antworten und für Ihre Zeit.
Anmerkung der Redaktion: Das Gespräch wurde am 15.07.2024 geführt.
1 https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html
2 https://www.bafin.de/DE/Aufsicht/DORA/DORA_node.html
3 https://artificialintelligenceact.eu/de/
Lesen Sie mehr zum Thema
Das könnte Sie auch interessieren
Cybersicherheit im Finanzsektor
„Viele sehen Cybersicherheit immer noch als reines IT-Thema“
„MAiRA Pro S“ dirigiert
Roboter-Sinfonie wird aus Dresden weltweit übertragen
Gefährliches Sicherheitsgefühl
IT-Führungskräfte unterschätzen Bedrohungen für KRITIS
Interview mit Cohesity
NIS2-Umsetzung verzögert: Kein Grund, sich zurückzulehnen
AI Act und ISO 42001
Nicht nur eine punktuelle Aufgabe
Webinar-Thementag DORA
Ein Act zur richtigen Zeit!?
Irrtum mit Folgen
Diese Fehleinschätzungen kursieren rund um NIS2
Vor dem Hintergrund des AI Acts
TÜV AI.Lab bietet Compliance-Check für KI an
EU-Richtlinie NIS2
Augenmerk auf die Lieferkette
EU AI Act
Was bedeutet das neue KI-Gesetz für Unternehmen?
Webinar-Thementag am 28. August
Bereit für DORA?
