Daten­schutz, IT, KI & Tech

Alle Themen rund um Datenschutz und IT-Recht unterliegen ebenfalls ständigen Änderungen und Entwicklungen, nicht zuletzt aufgrund der voranschreitenden Digitalisierung und den damit im Zusammenhang stehenden – insbesondere auch technischen – Fragestellungen. Mit der seit 2018 geltenden EU-Datenschutz-Grundverordnung (DSGVO), welche die Regelungen zur Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht hat, stellen sich zunehmend weitere rechtliche Herausforderungen. Zudem wurden dadurch der Fokus der Datenschutzaufsicht geschärft und neue Ordnungswidrigkeitstatbeständen geschaffen, denen es zu begegnen gilt. 

Wir beraten und vertreten Sie gerichtlich, außergerichtlich und gegenüber Datenschutzbehörden in allen datenschutzrechtlichen Fragestellungen. Zudem stehen wir Ihnen mit der Vertretung bei Datenpannen und der Abwehr von daraus resultierenden Bußgeldern zur Seite. Planen Sie die Einführung neuer Systeme oder Prozesse? Wir unterstützen Sie hierbei gerne sowohl rechtlich als auch interdisziplinär durch Einbeziehung unserer Kooperationspartner.

Die beständige Ausweitung von Datenschutzbestimmungen führt parallel zu verstärkten Prüfungen per Fragebogen oder mit Aufsichtsbeamten vor Ort. Diese Prüfungen kosten nicht nur Zeit und Nerven, sondern beinhalten oftmals viele rechtliche Fallstricken. Mit unserem Service Datenschutzprüfung 360 unterstützen wir Sie professionell im gesamten Prüfungsprozess.

Vor der Prüfung: 

Mit unserem erfahrenen Team überprüfen wir Ihre aktuellen Prozesse, schulen Mitarbeitende und liefern konkrete Leitfäden für die Beteiligten. 

Während der Prüfung:

Während einer Prüfung werden Sie nach Verfügbarkeit von einem unserer Fachleute begleitet – online oder vor Ort. 

Nach der Prüfung: 

Sollte die Prüfung weitere Schritte erfordern, zum Beispiel gegenüber Behörden oder Kundinnen und Kunden, unterstützen wir Sie mit spezialisierter juristischer Expertise. 

Die wachsende Menge an Daten bringt Risiken mit sich. Trotz sorgfältigem Vorgehen kann es passieren, dass beispielsweise Kundendaten verlorengehen. Solche Datenpannen erschüttern das Vertrauen der Kundinnen und Kunden, zerstören die Reputation und ziehen mitunter erhebliche Schäden nach sich. Mit unserer Unterstützung begrenzen wir mögliche Schäden vom ersten Moment an.

Es ist soweit: Die KI-Verordnung der Europäischen Union, die in allen Mitgliedstaaten unmittelbar Anwendung finden wird, tritt vollumfänglich im Jahr 2026 in Kraft. Einige Vorschriften für verbotene KI-Systeme und KI-Systeme für allgemeine Zwecke werden bereits deutlich vorher Anwendung finden. Wir helfen Ihnen gerne bei der Vorbereitung auf wichtige Aspekte:

• Die KI-Verordnung ist ein „Risikobewältigungsgesetz“, das nach Art und Umfang des Risikos regulatorische Anforderungen definiert.
• Es legt Mindestanforderungen fest, die KI-Systeme erfüllen müssen, um sicher, transparent, zuverlässig und verantwortungsbewusst zu sein.
• Für Hochrisiko-KI-Systeme und KI-Systeme für allgemeine Zwecke findet sich in der KI-Verordnung eine umfangreiche Regulatorik.
• Die Verantwortung für den Einsatz von KI-Systemen liegt nicht ausschließlich bei den KI-Systemanbietern, sondern auch bei den Anwendern. 

Digitale Technologien spielen inzwischen eine zentrale Rolle in der Finanzbranche. Deshalb schafft die EU mit dem Digital Operational Resilience Act (DORA) neue Anforderungen an die Sicherheit und Resilienz für den Finanzsektor. Da der Termin für die Umsetzung der 17. Januar 2025 war, gilt es ab sofort zu handeln. Wir begleiten Sie bei der erfolgreichen Umsetzung anhand folgender Fragen:

• Zu welcher Kategorie gehört das Unternehmen? Welche Anforderungen sind relevant?
• Basis-Anforderungen/Checkliste AWADO RAG,
• Bereitstellung der Dokumente (zum Beispiel IT-Strategie, Guidelines, Vertragsinhalte),
• Rechtliche GAP-Analyse durch AWADO RAG, Review der Prozesse durch die AWADO Gruppe,
• Detaillierte Anforderungsliste (Pflichtdokumente, Überarbeitungen, Dokumentation).

DORA regelt fünf Schwerpunkt-Themen

• Erfüllung IKT-Risikomanagement inklusive IKT-Governance,
• Behandlung und Berichterstattung von IKT-Vorfällen,
• Testen der digitalen operativen Resilienz,
• Management des IKT-Drittparteirisikos,
• Informationsaustausch und Notfallübungen.

Für welche Formen gilt DORA?
Nahezu alle Arten von Finanzunternehmen fallen unter DORA. Dazu zählen unter anderem Kreditinstitute, Zahlungsinstitute, E-Geld-Institute, Wertpapierfirmen, Anbieter von Krypto-Assets, alternative Investmentfonds und Versicherungsmanager.

Bis wann muss DORA umgesetzt werden?

Die Umsetzungsfrist war bis Januar 2025. Falls Sie bei DORA noch Unterstützung benötigen, kommen Sie umgehend auf uns zu.

Unser Leistungspaket – auch über die Implementierung hinaus:

• Rechtliche GAP-Analyse (Abgleich der DORA-Anforderungen),
• SOLL/IST-Abgleich (Ausarbeitung notwendiger Handlungspunkte),
• Überprüfung und Erstellung Vertragsinhalte mit IKT-Drittdienstleistern,
• Muster für interne Richtlinien,
• Schulungen der Mitarbeiter im Themenbereich DORA.