Zum Hauptinhalt springen
Machen Sie jetzt den
DSGVO Quick-Check!

Datenrecht

Wir eröffnen Möglichkeiten.

Hinweisgeber­schutzgesetz

Hintergründe

Das Hinweisgeberschutzgesetz (HinSchG) ist am 2. Juli 2023 in Kraft getreten und setzt die EU-Richtlinie 2019/1937 in deutsches Recht um. Es dient dem Schutz von HinweisgeberInnen vor Repressalien und verpflichtet Unternehmen ab einer bestimmten Größe oder in bestimmten Sektoren zur Einrichtung interner Meldestellen.

Ziel des Gesetzes ist es, Missstände frühzeitig intern zu klären – bevor externe Stellen oder die Öffentlichkeit eingeschaltet werden müssen.

Ein wirksames Hinweisgeberschutzsystem ist jedoch nicht nur gesetzliche Pflicht, sondern bringt Unternehmen auch zahlreiche Vorteile: Es stärkt die Compliance-Kultur, senkt das Risiko von Rechtsverstößen und schützt vor wirtschaftlichen Schäden durch Reputationsverlust oder Sanktionen. Unternehmen, die Hinweisgeberschutz ernst nehmen, fördern zudem ein offenes Betriebsklima und eine konstruktive Fehlerkultur.

Warum das Hinweisgeberschutz für Unternehmen entscheidend ist

Unternehmen profitieren in mehrfacher Hinsicht von einem funktionierenden Hinweisgeberschutz.

Frühzeitige Problemerkennung

Interne Meldungen ermöglichen es, Verstöße frühzeitig zu identifizieren und Gegenmaßnahmen einzuleiten.

Reputation und Vertrauen

Unternehmen, die aktiv Hinweisgeberschutz betreiben, werden als verantwortungsbewusst wahrgenommen und genießen höheres Vertrauen – bei Mitarbeitenden, KundInnen und Partnerunternehmen.

Reduzierung von Haftungsrisiken

Durch proaktive Maßnahmen lassen sich Bußgelder, Strafzahlungen und Imageschäden vermeiden.

Offene Unternehmenskultur

Ein Hinweisgeberschutzsystem schafft Transparenz und fördert eine Kultur der offenen Kommunikation.

Wer muss ein Hinweisgeberschutzsystem einrichten?

Unternehmen und Behörden mit in der Regel mindestens 50 Mitarbeitenden sind zur Einrichtung einer internen Meldestelle verpflichtet. In bestimmten Branchen, wie dem Finanzsektor, gilt diese Pflicht unabhängig von der Unternehmensgröße.

Ihre Vorteile mit unserem Hinweisgeber­schutzsystem HintPilot

Unsere Kanzlei bietet Ihnen ein umfassendes Hinweisgeberschutzsystem, das alle gesetzlichen Anforderungen erfüllt und nahtlos in Ihre Unternehmensstruktur integriert werden kann. Mit unserem sicheren Meldeportal HintPilot ermöglichen wir eine einfache, vertrauliche und effiziente Bearbeitung von Hinweisen.

Mehr erfahren

Datenschutz-Grundverordnung

DSGVO
Hintergründe

Die Datenschutz-Grundverordnung (DSGVO) ist seit dem 25. Mai 2018 in Kraft und bildet die zentrale rechtliche Grundlage für den Schutz personenbezogener Daten in der Europäischen Union. Sie legt fest, wie datenverarbeitende Stellen personenbezogene Daten verarbeiten dürfen, um so den Schutz der Privatsphäre von natürlichen Personen sicherzustellen.

Ziel der Verordnung ist es, ein einheitliches Datenschutzniveau innerhalb der EU zu gewährleisten und Betroffenen mehr Kontrolle über ihre Daten zu geben.

Grundprinzipien der DSGVO

Die DSGVO basiert auf mehreren Grundprinzipien, die von allen Verantwortlichen beachtet werden müssen:

Rechtmäßigkeit und Transparenz

Die Verarbeitung personenbezogener Daten muss auf einer rechtlichen Grundlage beruhen und für die betroffenen Personen nachvollziehbar sein.

Zweckbindung

Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben und verarbeitet werden.

Datenminimierung

Unternehmen sollen nur so viele Daten erheben, wie für den jeweiligen Zweck erforderlich sind.

Richtigkeit

Daten müssen korrekt und auf dem neuesten Stand gehalten werden.

Speicherbegrenzung

Daten dürfen nicht länger als notwendig gespeichert werden.

Integrität und Vertraulichkeit

 Unternehmen müssen geeignete Sicherheitsmaßnahmen ergreifen, um personenbezogene Daten zu schützen.

Pflichten der Verantwortlichen

Neben diesen Grundprinzipien müssen Verantwortliche ganz konkrete Pflichten erfüllen, soweit sie personenbezogene Daten verarbeiten. Dazu zählen beispielsweise:

  • Die Gewährleistung der Betroffenenrechte
  • Eine Meldepflicht bei Datenschutzverletzungen
  • Die Benennung eines oder einer Datenschutzbeauftragten
  • Die Gewährleistung von technischen und organisatorischen Maßnahmen zum Schutz von Daten
  • Allgemeine Dokumentation und Rechenschaftspflichten
  • Regelungen für den Drittlandtransfer

Sanktionen bei Verstößen

Die DSGVO sieht empfindliche Strafen bei Verstößen vor. Diese reichen von Verwarnungen bis hin zu hohen Bußgeldern von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens. Neben finanziellen Sanktionen können Verstöße auch zu Reputationsschäden und einem Vertrauensverlust bei den betroffenen Personen führen.

Sie wollen sich einen ersten Überblick über das Datenschutzniveau in Ihrer Organisation machen? Nutzen Sie unseren kostenlosen DSGVO-Quick-Check.

Mehr erfahren

Interview mit Scheja & Partners

KI-Verordnung

Hintergründe
Die Europäische Union hat mit der Verordnung über Künstliche Intelligenz (KI-Verordnung oder AI Act) den weltweit ersten umfassenden Rechtsrahmen geschaffen, um den Einsatz von Künstlicher Intelligenz zu regulieren. Diese Verordnung wurde am 13. Juni 2024 verabschiedet und trat am 1. August 2024 in Kraft.
Zielsetzung der Verordnung

Die KI-Verordnung hat das Ziel, ein harmonisiertes Regelwerk innerhalb der EU zu schaffen, das die Sicherheit und die Grundrechte der Bürger schützt und gleichzeitig Innovationen fördert. Durch klare Vorgaben sollen Risiken im Zusammenhang mit dem Einsatz von KI minimiert werden.

Einteilung von KI-Systemen

Ein zentrales Element der Verordnung ist der risikobasierte Ansatz, der KI-Systeme in verschiedene Kategorien einteilt:
Unvertretbares Risiko

KI-Systeme, die eine Bedrohung für Sicherheit oder Grundrechte darstellen, sind verboten.

Hohes Risiko

Diese Systeme sind erlaubt, unterliegen jedoch strengen Anforderungen.

Bestimmte KI-Systeme

KI-Systeme, für die besondere Transparenzpflichten gelten.

KI-Kompetenz

Die KI-Verordnung verpflichtet Unternehmen, Behörden, Verbände und NGOs, bei ihren MitarbeiterInnen für ein „ausreichendes Maß an KI-Kompetenz“ zu sorgen. „KI-Kompetenz“ beinhaltet die Kenntnis der Chancen und Risiken von KI, der Rechte und Pflichten aus der KI-Verordnung sowie die Fähigkeit, KI-Systeme sachkundig einzusetzen. Da dies für alle KI-Systeme, unabhängig von deren Risikoeinstufung, gilt, sind hiervon alle Stellen betroffen, die KI-Systeme einsetzen.

Konsequenzen beim Einsatz von KI

Kernelement der KI-Verordnung ist die Ermittlung der konkret für Sie geltenden Pflichten. Hierbei muss zunächst geprüft werden, ob überhaupt ein „KI-System“ im Sinne der KI-Verordnung vorliegt. Kann dies bejaht werden, muss ermittelt werden, welche „Rolle“ die Unternehmen, Behörden, Verbände und NGOs jeweils einnehmen und welches Risiko von dem jeweiligen KI-System ausgeht. Hieran knüpfen sich spezielle Pflichten an, die Sie beim Einsatz der KI beachten müssen.

Scheja & Partners berät Sie umfassend zu allen Rechtsfragen zur KI-Verordnung, einschließlich der komplexen Bestimmung von Rolle und Risiko und zeigt Ihnen so Ihre individuellen Pflichten auf. So können Sie sich voll und ganz auf Ihr Kerngeschäft konzentrieren und sichergehen, dass KI-Systeme rechtskonform eingesetzt werden.

Ihre Bevollmächtigten nach Art. 22 und 54 KI-Verordnung

– Compliance auf höchstem Niveau

Zugang zum EU-Markt sichern. Risiken minimieren. Vertrauen schaffen.

Warum ist ein Bevollmächtigter unverzichtbar?

Für Anbieter mit Sitz außerhalb der EU – sei es für ein Hochrisiko-KI-System oder ein KI-Modell mit allgemeinem Verwendungszweck – ist die Benennung eines in der EU niedergelassenen Bevollmächtigten gesetzlich vorgeschrieben, um auf dem EU-Markt tätig werden zu können. Ohne diese zentrale Rolle ist ein rechtmäßiger Marktzugang in vielen Fällen nicht möglich.

Unsere Expertise für Ihre Sicherheit

Bevollmächtigte für Anbieter von Hochrisiko-KI-Systemen

Als Bevollmächtigter für Ihr Unternehmen übernehmen wir umfassend die gesetzlich vorgeschriebenen Aufgaben, z. B.:

  • Prüfung, ob EU‑Konformitätserklärung und technische Dokumentation erstellt wurden
  • Bereithaltung der Kontaktdaten, Konformitätserklärung, Dokumentation und ggf. Zertifikate – 10 Jahre ab Inverkehrbringen/Inbetriebnahme
  • Übermittlung aller für den Konformitätsnachweis benötigten Informationen und automatisiert erzeugter Protokolle auf behördliche Anfrage
  • Zusammenarbeit mit Behörden zur Risikominimierung
  • Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen

Bevollmächtigte für KI-Modelle mit allgemeinem Verwendungszweck

Für Anbieter solcher Modelle übernehmen wir sämtliche Aufgaben, die der EU-Gesetzgeber festgelegt hat, z. B.:

  • Prüfung, ob die technische Dokumentation erstellt wurde und ob die gesetzlichen Pflichten eingehalten werden
  • Bereithaltung der Dokumentation und Kontaktdaten – 10 Jahre ab Inverkehrbringen
  • Übermittlung aller für den Konformitätsnachweis erforderlichen Informationen gegenüber dem Büro für Künstliche Intelligenz oder zuständigen Behörden auf konkreten Antrag
  • Kooperation bei behördlichen Maßnahmen, auch wenn Ihr Modell in KI-Systeme integriert ist
  • Ansprechpartner für Behörden in allen Fragen, die die Gewährleistung der Einhaltung der KI-VO betreffen

Der Data Act – Ein neuer Rechtsrahmen für den Datenzugang

Mit dem Data Act hat die Europäische Union einen Meilenstein gesetzt: Sukzessive gelten ab September 2025 weitreichende Pflichten zum Zugang, zur Nutzung und zur Weitergabe von Daten. Ziel ist es, Daten für Innovation und Wettbewerb besser nutzbar zu machen – insbesondere im Bereich vernetzter Produkte und digitaler Dienste. 

Für Unternehmen bedeutet das: Neue Chancen für datengetriebene Geschäftsmodelle, aber auch erhebliche rechtliche Risiken, wenn Vorgaben nicht beachtet werden.

Data Act im Kontext der Europäischen Datenstrategie

Die zentrales Herausforderung der Umsetzung liegt im Zusammenspiel von Data Act und den übrigen Rechtsakten der vergangenen Jahre, einschließlich der DSGVO. Der Data Act erfasst sowohl personenbezogene Daten als auch solche Daten, die nicht-personenbezogen sind. Dieses Spannungsfeld aufzulösen stellt die Adressaten dieses Rechtsakts in Zeiten komplexer Datenstrukturen vor enorme Herausforderungen: 

  • Welche Vorkehrungen müssen Verantwortliche treffen, um die Weitergabe von Daten zu ermöglichen?  
  • Welche technischen und rechtlichen Grundlagen müssen bereits vor Geltendmachung der Rechte durch Kunden und andere Dritte erledigt werden?  
  • Wie können Verantwortliche selbst vom Data Act profitieren? 

    Was Unternehmen jetzt tun sollten

    Die Umsetzung des Data Act verlangt mehr als juristische Einzelfallprüfungen. Erforderlich sind ganzheitliche Strategien, die Technik, Vertragswesen und weitere zwingende Bestandteile der Umsetzung zusammenbringen. Dies sind u.a.: 

    • Aufbau sicherer Schnittstellen für Datennutzung und -weitergabe 
    • Anpassung von Vertragsklauseln im Lichte neuer Fairnessvorgaben 
    • Entwicklung integrierter Compliance-Konzepte, die DSGVO und Data Act zusammenführen 
    • Identifizierung von Chancen für neue datengetriebene Geschäftsmodelle 

    NIS2 – Sind Sie compliant?

    Die EU-Richtlinie NIS-2 (Network and Information Security Directive) ist in Deutschland nun verbindlich umgesetzt. Mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG), das am 6. Dezember 2025 in Kraft getreten ist, gelten die neuen Cybersicherheitsanforderungen unmittelbar für eine Vielzahl von Unternehmen und öffentlichen Stellen.

    Kern der Umsetzung ist eine umfassende Neufassung des BSI-Gesetzes (BSIG n. F.). Parallel dazu wurden zahlreiche sektorale Spezialgesetze – darunter insbesondere das Energiewirtschaftsgesetz (EnWG) und das Telekommunikationsgesetz (TKG) – an die Vorgaben der NIS-2-Richtlinie angepasst. Ziel des Gesetzgebers ist es, das Cybersicherheitsniveau in Deutschland deutlich anzuheben und die Widerstandsfähigkeit zentraler und digitaler Dienstleistungen nachhaltig zu stärken.

    Warum Handlungsbedarf besteht

    Mit dem Inkrafttreten des NIS2UmsuCG geht für viele Organisationen eine spürbare Ausweitung der bisherigen Cybersicherheits-Compliance-Pflichten einher. Erstmals werden zudem weite Teile des Mittelstands der Aufsicht des Bundesamts für Sicherheit in der Informationstechnik (BSI) unterstellt. Schätzungen zufolge finden die neuen Regelungen in Deutschland auf mehr als 30.000 Unternehmen Anwendung.

    Die Pflichten gelten nicht nur formal, sondern sind mit konkreten organisatorischen, technischen und haftungsrechtlichen Anforderungen verbunden. Verstöße können zu erheblichen Bußgeldern, aufsichtsrechtlichen Maßnahmen und – erstmals ausdrücklich – zu einer persönlichen Verantwortlichkeit der Geschäftsleitung führen. Ein Abwarten oder rein reaktives Vorgehen ist daher keine tragfähige Option mehr.

    Wesentliche Neuerungen & Neuer Pflichtenrahmen
    • Deutlich erweiterter Anwendungsbereich
      Neben klassischen Kritischen Infrastrukturen werden zahlreiche weitere Unternehmen als „wichtige“ oder „besonders wichtige Einrichtungen“ erfasst – auch außerhalb traditioneller KRITIS-Sektoren.
    • Aufsicht durch das BSI
      Betroffene Einrichtungen unterliegen nun der direkten Aufsicht des BSI, einschließlich Prüf-, Anordnungs- und Sanktionsbefugnissen und müssen sich beim BSI registrieren.
    • Geschäftsleiterverantwortung und -haftung
      Leitungsorgane sind verpflichtet, Cybersicherheitsmaßnahmen aktiv zu billigen, zu überwachen und durchzusetzen. Pflichtverstöße können persönliche Haftungsfolgen haben.
    • Verbindliche Mindestsicherheitsanforderungen
      Einführung konkret definierter technischer und organisatorischer Maßnahmen, u. a. zu:
      • Risikoanalyse und Risikomanagement
      • Incident-Handling und Meldeprozessen
      • Business Continuity und Krisenmanagement
    • Stärkere Einbindung der Lieferkette
      Cybersicherheitsrisiken bei Dienstleistern und Zulieferern müssen systematisch bewertet, vertraglich adressiert und überwacht werden.
    • Verschärfte Meldepflichten
      Sicherheitsvorfälle sind innerhalb gesetzlich festgelegter Fristen mehrstufig an die zuständige Stelle zu melden.
    • Erhebliche Sanktionen
      Bei Verstößen drohen empfindliche Bußgelder, die sich an der Systematik der DSGVO orientieren, sowie weitere aufsichtsrechtliche Maßnahmen.
    Wer ist betroffen?
    • Öffentliche Stellen und Behörden
    • Unternehmen in regulierten Sektoren (z. B. Energie, Verkehr, Gesundheitswesen, digitale Dienste, Telekommunikation, öffentliche Verwaltung) sowie weitere besondere Unternehmen wie qualifizierte Vertrauensdiensteanbieter oder Anbieter öffentlich zugänglicher Telekommunikationsdienste.
    • Mittelbar auch Einrichtungen, die Teil der Lieferkette von Unternehmen sind, die unmittelbar unter das BSIG n.F. fallen.
    Ihre Pflichten nach geltendem Recht
    • Etablierung klarer Governance- und Verantwortlichkeitsstrukturen auf Leitungsebene
    • Risikoanalyse und Risikomanagement mit regelmäßiger Überprüfung
    • Umsetzung angemessener technischer und organisatorischer Sicherheitsmaßnahmen
    • Einbindung der Lieferkette in die Sicherheitsmaßnahmen
    • Fristgerechte Meldung von Sicherheitsvorfällen an die zuständige Meldestelle
    • Registrierung betroffener Einrichtungen beim BSI
    Erste Handlungsempfehlungen
    • Betroffenheitsprüfung durchführen: Fällt Ihre Organisation unter die Regelungen des BSIG n.F.? Mit unserem kostenfreien NIS2-Check bieten Ihnen die Möglichkeit, schnell und unkompliziert zu prüfen, ob Ihr Unternehmen unter die neuen Regelungen fällt: Quick Check NIS2
    • Gap-Analyse erstellen: Wo bestehen Abweichungen zwischen aktuellem Stand und gesetzlichen Anforderungen?
    • Governance klar definieren: Rollen und Verantwortlichkeiten auf Geschäftsleitungs-, IT- und Compliance-Ebene festlegen.
    • Sicherheitsmaßnahmen umsetzen und dokumentieren: Technik, Prozesse und Lieferkettenmanagement gezielt anpassen.
    • Melde- und Registrierungsprozesse etablieren: Fristen, Zuständigkeiten und Abläufe verbindlich regeln.
    • Awareness schaffen: Schulungen für Mitarbeitende und Führungskräfte durchführen.
    Jetzt den NIS2 Check durchführen

    Vertrauen Sie auf die Expertise von Scheja & Partners

    Scheja & Partners berät seit vielen Jahren umfassend im Datenschutz- und IT-Recht und verfügt über besondere Erfahrung mit komplexen Compliance-Regimen wie DSGVO, Lieferkettensorgfaltspflichten und NIS-2. Wir unterstützen Sie dabei, die neuen rechtlichen und technischen Anforderungen praxisnah, risikominimierend und nachhaltig umzusetzen.

    Ob mittelständisches Unternehmen, Konzern oder öffentliche Stelle – mit Scheja & Partners stellen Sie sicher, dass Ihre Organisation die Vorgaben von NIS-2 bzw. des BSIG n.F. rechtskonform erfüllt und Cybersicherheitsrisiken wirksam beherrscht.

    Lassen Sie uns sprechen.
    Jens-Martin Heidemann, LL.M.
    Schreiben Sie mir
    zum Profil
    Leistungen
    Datenschutz

    für Behörden

    Internationaler Datenschutz

    Data Privacy Framework

    Künstliche Intelligenz

    Telekommunikations­datenschutz

    Telemedien & Digitale Dienste

    Gesundheitsdatenschutz

    Finanz- und Bankendatenschutz

    Kirchlicher Datenschutz

    Konzepte

    Expertise

    Individualität

    Engagement

    Kanzlei

    Team

    Standorte

    Karriere

    Philosophie

    Impressum

    Datenschutzerklärungen

    Adenauerallee 136
    D-53113 Bonn
    Tel.: +49 (0) 228-227 226-0
    Mail: info@scheja-partners.de

    DSGVO Quick-Check