Zum Hauptinhalt springen

Datenrecht

Wir eröffnen Möglichkeiten.

Hinweisgeber­schutzgesetz

Hintergründe

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten und setzt die EU-Richtlinie 2019/1937 in deutsches Recht um. Es dient dem Schutz von HinweisgeberInnen vor Repressalien und verpflichtet Unternehmen ab einer bestimmten Größe oder in bestimmten Sektoren zur Einrichtung interner Meldestellen.

Ziel des Gesetzes ist es, Missstände frühzeitig intern zu klären – bevor externe Stellen oder die Öffentlichkeit eingeschaltet werden müssen.

Ein wirksames Hinweisgeberschutzsystem ist jedoch nicht nur gesetzliche Pflicht, sondern bringt Unternehmen auch zahlreiche Vorteile: Es stärkt die Compliance-Kultur, senkt das Risiko von Rechtsverstößen und schützt vor wirtschaftlichen Schäden durch Reputationsverlust oder Sanktionen. Unternehmen, die Hinweisgeberschutz ernst nehmen, fördern zudem ein offenes Betriebsklima und eine konstruktive Fehlerkultur.

Warum das Hinweisgeberschutz für Unternehmen entscheidend ist

Unternehmen profitieren in mehrfacher Hinsicht von einem funktionierenden Hinweisgeberschutz.

Frühzeitige Problemerkennung

Interne Meldungen ermöglichen es, Verstöße frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.

Reputation und Vertrauen

Unternehmen, die aktiv Hinweisgeberschutz betreiben, werden als verantwortungsbewusst wahrgenommen und genießen höheres Vertrauen – bei Mitarbeitenden, KundInnen und Partnerunternehmen.

Reduzierung von Haftungsrisiken

Durch proaktive Maßnahmen lassen sich Bußgelder, Strafzahlungen und Imageschäden vermeiden.

Offene Unternehmenskultur

Ein Hinweisgeberschutzsystem schafft Transparenz und fördert eine Kultur der offenen Kommunikation.

Wer muss ein Hinweisgeberschutzsystem einrichten?

Unternehmen und Behörden mit in der Regel mindestens 50 Mitarbeitenden sind zur Einrichtung einer internen Meldestelle verpflichtet. In bestimmten Branchen, wie dem Finanzsektor, gilt diese Pflicht unabhängig von der Unternehmensgröße.

Ihre Vorteile mit unserem Hinweisgeber­schutzsystem HintPilot

Unsere Kanzlei bietet Ihnen ein umfassendes Hinweisgeberschutzsystem, das alle gesetzlichen Anforderungen erfüllt und nahtlos in Ihre Unternehmensstruktur integriert werden kann. Mit unserem sicheren Meldeportal HintPilot ermöglichen wir eine einfache, vertrauliche und effiziente Bearbeitung von Hinweisen.

Datenschutz-Grundverordnung

DSGVO

Hintergründe

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und bildet die zentrale rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union. Sie legt fest, wie datenverarbeitende Stellen personenbezogene Daten verarbeiten dürfen, um so den Schutz der Privatsphäre von natürlichen Personen sicherzustellen.

Ziel der Verordnung ist es, ein einheitliches Datenschutzniveau innerhalb der EU zu gewährleisten und Betroffenen mehr Kontrolle über ihre Daten zu geben.

Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren Grundprinzipien, die von allen Verantwortlichen beachtet werden müssen:

Rechtmäßigkeit und Transparenz

Die Verarbeitung personenbezogener Daten muss auf einer rechtlichen Grundlage beruhen und für die betroffenen Personen nachvollziehbar sein.

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden.

Datenminimierung

Unternehmen sollen nur so viele Daten erheben, wie für den jeweiligen Zweck erforderlich sind.

Richtigkeit

Daten müssen korrekt und auf dem neuesten Stand gehalten werden.

Speicherbegrenzung

Daten dürfen nicht länger als notwendig gespeichert werden.

Integrität und Vertraulichkeit

 Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten zu schützen.

Pflichten der Verantwortlichen

Neben diesen Grundprinzipien müssen Verantwortliche ganz konkrete Pflichten erfüllen, soweit sie personenbezogene Daten verarbeiten. Dazu zählen beispielsweise:

  • Die Gewährleistung der Betroffenenrechte
  • Eine Meldepflicht bei Datenschutzverletzungen
  • Die Benennung eines oder einer Datenschutzbeauftragten
  • Die Gewährleistung von technischen und organisatorischen Maßnahmen zum Schutz von Daten
  • Allgemeine Dokumentation und Rechenschaftspflichten
  • Regelungen für den Drittlandtransfer

Sanktionen bei Verstößen

Die DSGVO sieht empfindliche Strafen bei Verstößen vor. Diese reichen von Verwarnungen bis hin zu hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens. Neben finanziellen Sanktionen können Verstöße auch zu Reputationsschäden und einem Vertrauensverlust bei den betroffenen Personen führen.

Sie wollen sich einen ersten Überblick über das Datenschutzniveau in Ihrer Organisation machen? Nutzen Sie unseren kostenlosen DSGVO-Quick-Check.

Interview mit Scheja & Partners

KI-Verordnung

Hintergründe
Die Europäische Union hat mit der Verordnung über Künstliche Intelligenz (KI-Verordnung oder AI Act) den weltweit ersten umfassenden Rechtsrahmen geschaffen, um den Einsatz von Künstlicher Intelligenz zu regulieren. Diese Verordnung wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft.
Zielsetzung der Verordnung

Die KI-Verordnung hat das Ziel, ein harmonisiertes Regelwerk innerhalb der EU zu schaffen, das die Sicherheit und die Grundrechte der Bürger schützt und gleichzeitig Innovationen fördert. Durch klare Vorgaben sollen Risiken im Zusammenhang mit dem Einsatz von KI minimiert werden.

Einteilung von KI-Systemen
Ein zentrales Element der Verordnung ist der risikobasierte Ansatz, der KI-Systeme in verschiedene Kategorien einteilt:
Unvertretbares Risiko

KI-Systeme, die eine Bedrohung für Sicherheit oder Grundrechte darstellen, sind verboten.

Hohes Risiko

Diese Systeme sind erlaubt, unterliegen jedoch strengen Anforderungen.

Bestimmte KI-Systeme

KI-Systeme, für die besondere Transparenzpflichten gelten.

KI-Kompetenz

Die KI-Verordnung verpflichtet Unternehmen, Behörden, Verbände und NGOs, bei ihren MitarbeiterInnen für ein „ausreichendes Maß an KI-Kompetenz“ zu sorgen. „KI-Kompetenz“ beinhaltet die Kenntnis der Chancen und Risiken von KI, der Rechte und Pflichten aus der KI-Verordnung sowie die Fähigkeit, KI-Systeme sachkundig einzusetzen. Da dies für alle KI-Systeme, unabhängig von deren Risikoeinstufung, gilt, sind hiervon alle Stellen betroffen, die KI-Systeme einsetzen.

Konsequenzen beim Einsatz von KI

Kernelement der KI-Verordnung ist die Ermittlung der konkret für Sie geltenden Pflichten. Hierbei muss zunächst geprüft werden, ob überhaupt ein „KI-System“ im Sinne der KI-Verordnung vorliegt. Kann dies bejaht werden, muss ermittelt werden, welche „Rolle“ die Unternehmen, Behörden, Verbände und NGOs jeweils einnehmen und welches Risiko von dem jeweiligen KI-System ausgeht. Hieran knüpfen sich spezielle Pflichten an, die Sie beim Einsatz der KI beachten müssen.

Scheja & Partners berät Sie umfassend zu allen Rechtsfragen zur KI-Verordnung, einschließlich der komplexen Bestimmung von Rolle und Risiko und zeigt Ihnen so Ihre individuellen Pflichten auf. So können Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren und sichergehen, dass KI-Systeme rechtskonform eingesetzt werden.

Ihre Bevollmächtigten nach Art. 22 und 54 KI-Verordnung

– Compliance auf höchstem Niveau

Zugang zum EU-Markt sichern. Risiken minimieren. Vertrauen schaffen.

Warum ist ein Bevollmächtigter unverzichtbar?

Für Anbieter mit Sitz außerhalb der EU – sei es für ein Hochrisiko-KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck – ist die Benennung eines in der EU niedergelassenen Bevollmächtigten gesetzlich vorgeschrieben, um auf dem EU-Markt tätig werden zu können. Ohne diese zentrale Rolle ist ein rechtmäßiger Marktzugang in vielen Fällen nicht möglich.

Unsere Expertise für Ihre Sicherheit

Bevollmächtigte für Anbieter von Hochrisiko-KI-Systemen

Als Bevollmächtigter für Ihr Unternehmen übernehmen wir umfassend die gesetzlich vorgeschriebenen Aufgaben, z. B.:

  • Prüfung, ob EU‑Konformitätserklärung und technische Dokumentation erstellt wurden
  • Bereithaltung der Kontaktdaten, Konformitätserklärung, Dokumentation und ggf. Zertifikate – 10 Jahre ab Inverkehrbringen/Inbetriebnahme
  • Übermittlung aller für den Konformitätsnachweis benötigten Informationen und automatisiert erzeugter Protokolle auf behördliche Anfrage
  • Zusammenarbeit mit Behörden zur Risikominimierung
  • Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen

Bevollmächtigte für KI-Modelle mit allgemeinem Verwendungszweck

Für Anbieter solcher Modelle übernehmen wir sämtliche Aufgaben, die der EU-Gesetzgeber festgelegt hat, z. B.:

  • Prüfung, ob die technische Dokumentation erstellt wurde und ob die gesetzlichen Pflichten eingehalten werden
  • Bereithaltung der Dokumentation und Kontaktdaten – 10 Jahre ab Inverkehrbringen
  • Übermittlung aller für den Konformitätsnachweis erforderlichen Informationen gegenüber dem Büro für Künstliche Intelligenz oder zuständigen Behörden auf konkreten Antrag
  • Kooperation bei behördlichen Maßnahmen, auch wenn Ihr Modell in KI-Systeme integriert ist
  • Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen

Der Data Act – Ein neuer Rechtsrahmen für den Datenzugang

Mit dem Data Act hat die Europäische Union einen Meilenstein gesetzt: Sukzessive gelten ab September 2025 weitreichende Pflichten zum Zugang, zur Nutzung und zur Weitergabe von Daten. Ziel ist es, Daten für Innovation und Wettbewerb besser nutzbar zu machen – insbesondere im Bereich vernetzter Produkte und digitaler Dienste. 

Für Unternehmen bedeutet das: Neue Chancen für datengetriebene Geschäftsmodelle, aber auch erhebliche rechtliche Risiken, wenn Vorgaben nicht beachtet werden.

Data Act im Kontext der Europäischen Datenstrategie

Die zentrales Herausforderung der Umsetzung liegt im Zusammenspiel von Data Act und den übrigen Rechtsakten der vergangenen Jahre, einschließlich der DSGVO. Der Data Act erfasst sowohl personenbezogene Daten als auch solche Daten, die nicht-personenbezogen sind. Dieses Spannungsfeld aufzulösen stellt die Adressaten dieses Rechtsakts in Zeiten komplexer Datenstrukturen vor enorme Herausforderungen: 

  • Welche Vorkehrungen müssen Verantwortliche treffen, um die Weitergabe von Daten zu ermöglichen?  
  • Welche technischen und rechtlichen Grundlagen müssen bereits vor Geltendmachung der Rechte durch Kunden und andere Dritte erledigt werden?  
  • Wie können Verantwortliche selbst vom Data Act profitieren? 

    Was Unternehmen jetzt tun sollten

    Die Umsetzung des Data Act verlangt mehr als juristische Einzelfallprüfungen. Erforderlich sind ganzheitliche Strategien, die Technik, Vertragswesen und weitere zwingende Bestandteile der Umsetzung zusammenbringen. Dies sind u.a.: 

    • Aufbau sicherer Schnittstellen für Datennutzung und -weitergabe 
    • Anpassung von Vertragsklauseln im Lichte neuer Fairnessvorgaben 
    • Entwicklung integrierter Compliance-Konzepte, die DSGVO und Data Act zusammenführen 
    • Identifizierung von Chancen für neue datengetriebene Geschäftsmodelle 

    NIS2 – Sind Sie gut vorbereitet?

    Sie ist in aller Munde – die EU-Richtlinie NIS2 (Network and Information Security Directive). Sie wird die Spielregeln für Cybersicherheit in Europa verändern und zielt darauf ab, die Cybersicherheit  zu stärken und digitale Infrastrukturen widerstandsfähiger zu machen. Deutschland hat die Umsetzungsfrist im Oktober 2024 verpasst. Nach dem Beschluss des Regierungsentwurfs im Juli 2025 wird jedoch erwartet, dass das NIS2-Umsetzungsgesetz (NIS2UmsuCG) Ende 2025 oder Anfang 2026 in Kraft tritt. 

    Warum Zurücklehnen keine gute Option ist:

    NIS 2 verpflichtet künftig weit mehr Unternehmen und öffentliche Stellen, verbindliche Mindeststandards für IT-Sicherheit, Risikomanagement und Meldeverfahren einzuhalten. Es sollte daher mindestens eine frühzeitige Prüfung der Betroffenheit erfolgen. Da die neuen Vorgaben zudem  komplex und umfassend sind, empfiehlt es sich für die in den Anwendungsbereich von NIS fallenden Organisationen, bereits vor Inkrafttreten des NIS2UmsuCG eine Gap-Analyse vorzunehmen und ggf. erforderliche Maßnahmen zur Erfüllung der gestiegenen Anforderungen zu ergreifen.

    Wesentliche Neuerungen & Neuer Pflichtenrahmen
    • Erweiterter Anwendungsbereich
      Mehr Sektoren werden zu „wichtigen Einrichtungen“ erklärt – nicht nur klassische kritische Infrastrukturen. 

    • Geschäftsleiterhaftung
      Leitende Personen haften künftig ausdrücklich mit für die Umsetzung der Sicherheitsvorgaben. 

    • Mindestsicherheitsanforderungen
      Einführung verbindlicher Mindeststandards (z. B. technische und organisatorische Maßnahmen, Melde- und Reaktionsmechanismen). 

    • Stärkere Berücksichtigung der Lieferkette
      Auch Dienstleister und Zulieferer müssen in die Sicherheits- und Risikoprozesse eingebunden werden. 

    • Mehrstufiges Meldesystem & verschärfte Meldepflichten
      Bei Sicherheitsvorfällen muss zeitnah (nach nationalem Gesetz) gemeldet werden.

    • Verstärkte Sanktionen & Bußgelder
      Deutlich höhere Strafen für Nicht-Erfüllung – vergleichbar mit den Vorgaben der DSGVO.
    Wer ist betroffen?
    • Öffentliche Stellen, Behörden und Unternehmen in definierten Sektoren wie Energie, Transport, Gesundheitswesen, digitale Dienste, öffentliche Verwaltung etc. 
    • Mittelgroße und große Einrichtungen, die wichtige oder kritische Dienste bereitstellen. 
    • IT-Dienstleister und Zulieferer, die Teil der Lieferkette sind.
    Ihre Pflichten mit Inkrafttreten des nationalen Umsetzungsgesetzes
    • Governance- und Führungsverantwortung auf oberster Ebene (Geschäftsleitung, Behördenleitung) 
    • Risikoanalyse und Risikomanagement mit regelmäßiger Überprüfung 
    • Erstellung und Einhaltung technischer und organisatorischer Sicherheitsmaßnahmen 
    • Einbindung der Lieferkette in die Sicherheitsmaßnahmen 
    • Meldung von Sicherheitsvorfällen nach definierten Fristen an die zuständigen Behörden (z. B. das BSI) 
    • Registrierung betroffener Einrichtungen bei zuständigen Stellen 
    Erste Handlungsempfehlungen
    • Führen Sie eine Betroffenheitsprüfung durch: Ist Ihre Organisation bereits unter NIS2-Pflichten? 
    • Machen Sie eine GAP-Analyse: Wie weit sind Sie, und wo bestehen Lücken im Vergleich zu den neuen Anforderungen? 
    • Strukturieren Sie Governance & Verantwortlichkeiten: Geschäftsleitung, IT-Sicherheit, Datenschutz, Risiko etc. 
    • Beginnen Sie mit der Implementierung der Mindestsicherheitsanforderungen – insbesondere bei Technik, Prozesssteuerung und Lieferkettenmanagement. 
    • Planen Sie Registrierungen und Prozesse zur Meldung von Vorfällen mit ausreichend Vorlauf. 
    • Schulen Sie Mitarbeitende & Führungskräfte zur Schaffung einer Grund-Awareness  
    Vertrauen Sie auf die Expertise von Scheja & Partners

    Wir bieten spezialisierte Beratung auf dem Gebiet Datenschutz & Datenrecht und haben umfassende Erfahrung mit komplexen Compliance-Anforderungen wie DSGVO, Lieferkettengesetz und eben NIS2. Wir helfen Ihnen, rechtliche und technische Anforderungen so umzusetzen, dass sie betrieblich praktikabel, risikomindert und zukunftssicher sind. 

    Ob mittelständisches Unternehmen, Großkonzern oder Behörde – mit uns können Sie sicher sein, dass Sie nicht „auf Sicht fahren“, sondern gut vorbereitet sind, wenn das NIS2UmsuCG greift und die Vorgaben von NIS2 damit auch in Deutschland verbindlich einzuhalten sind.

    Lassen Sie uns sprechen.
    Jens-Martin Heidemann, LL.M.