IT-Projekte: Welche Risiken trägt die Geschäftsführung? Teil 5: Regulatorische Vorgaben
Die rechtliche Landschaft für IT-Projekte wird immer komplexer, besonders mit der Einführung neuer regulatorischer Vorgaben seitens der EU wie dem Digital Services Act, der KI-Verordnung, dem Cyber Resilience Act, dem Data Act oder der NIS-2-Richtlinie sowie dem DORA. Die zunehmend engmaschige und unübersichtliche Regulierung führt zu erhöhten Anforderungen an IT-Projekte und neuen Herausforderungen für Unternehmen und deren Geschäftsführung. Dazu gehören Melde- und Transparenzpflichten, Sicherheitskonzepte, Risikobewertungen und Prozesse bei der Datenerhebung, -verarbeitung und -weitergabe. Kurzum: IT-Compliance weist eine äußerst stark ansteigende Komplexität und Bedeutung auf.
Auch in IT-Projekten spielen diese regulatorischen Vorgaben bei der rechtlichen Risikoanalyse eine zunehmend wichtige Rolle. Im fünften Teil der Serie blicken wir auf Haftungsrisiken für Geschäftsführer, die aus der bereits bestehenden, der jüngst in Kraft gesetzten und der künftigen Regulierung der EU entstehen können.
Datenschutzgrundverordnung
Die DSGVO schützt personenbezogene Daten streng und lässt wenig Spielraum für Abwägungen. Im Rahmen von IT-Projekten sollten Geschäftsführer daher vertraglich regeln, wer für den konkreten Verarbeitungsvorgang und damit auch für die Informationspflichten und Ansprüche von Betroffenen zuständig ist. Dabei sollten sie u.a. folgende Fragen klären:
Wer trägt die Verantwortung bei gemeinsamer Datenverarbeitung oder Auftragsdatenverarbeitung?
Wer kümmert sich um technische und organisatorische Maßnahmen, die Datenschutzgrundausstattung, Verarbeitungsverzeichnisse oder Datenschutz-Folgenabschätzungen?
Sind die ergriffenen Sicherheitsmaßnahmen ausreichend?
Wie gestaltet sich die Datenübermittlung in Drittländer?
Bei Nichteinhaltung der DSGVO drohen Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes.
Digital Services Act
Der seit dem 17. Februar 2024 für sämtliche Plattformen geltende Digital Services Act (DSA) setzt einheitliche Standards für digitale Dienste. Besonders betroffen sind Online-Plattformen und Suchmaschinen. Geschäftsführer solcher Unternehmen müssen sich mit den Bestimmungen zu rechtswidrigen Inhalten, Transparenz und Hinweispflichten auseinandersetzen. Zu klären sind beispielsweise:
Was versteht der Gesetzgeber unter „rechtswidrigen Inhalten“, und welche Pflichten ergeben sich daraus konkret für die Sperrung und Löschung?
Welche Maßnahmen entsprechen den Anforderungen analog zum Caching?
Lässt sich die Überwachungspflicht auslagern, und welche Anforderungen gelten dafür?
Welche Vorgaben müssen in Allgemeinen Geschäftsbedingungen berücksichtigt werden?
Bei Verstößen gegen den DSA drohen Bußgelder von bis zu 6 % des weltweiten Jahresumsatzes.
Data Act
Der am 11.01.2024 in Kraft getretene Data Act regelt den Umgang sowohl mit personenbezogenen als auch nicht-personenbezogenen Daten, wobei vor allem Nutzungsdaten besondere Aufmerksamkeit gewidmet wird. Insbesondere im Bereich des Internets der Dinge (IoT) sind erhebliche Auswirkungen auf IT-Projekte zu erwarten. Geschäftsführer sollten dabei besonders auf das Verhältnis zwischen dem Recht auf Datenzugang und dem Schutz von Geschäftsgeheimnissen achten. Sie sollten prüfen, ob und wie Datenerhebungen für ihr Geschäftsmodell notwendig sind, sofern solche Daten einem Zugangsanspruch nach dem Data Act unterliegen können. Zudem sollten sie den Umgang mit KI und Trainingsdatensätzen genau betrachten.
Verstöße gegen den Data Act können in Anlehnung an die DSGVO zu Bußgeldern bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes führen.
KI-Verordnung
Mit der Zustimmung der Mitgliedstaaten und zuletzt des Europaparlaments zum Entwurf der KI-Verordnung, der Gegenstand mühsamer Verhandlungen war und im Gesetzgebungsverfahren vielfache Änderungen erfahren hat, stehen neue Anforderungen für die Entwicklung und Nutzung von KI-Systemen bevor. Geschäftsführer sollten sicherstellen, dass eingesetzte KI-Systeme den Vorschriften entsprechen, insbesondere im Bereich der Hochrisiko-KI.
Bei Einführung einer Hochrisiko-KI sind zahlreiche Vorgaben zu beachten, wie zu Risikomanagement, Datenqualität, technische Dokumentation und Transparenz. Unbedingt erforderlich ist auch eine Konformitätsbewertung.
Von hoher praktischer Bedeutung werden die zuletzt neu eingefügten Transparenzpflichten für General Purpose AI (GPAI) sein, zu denen etwa die viel diskutierten Large Language Models (LLM) wie Bard und ChatGPT zählen.
Für IT-Projekte ergeben sich Stolpersteine, etwa durch die Intransparenz maschinellen Lernens oder rechtswidriger Datennutzung, aber auch die ungeklärte und undurchsichtige Rechtslage in Bezug auf geschütztes Trainingsmaterial. Prüfen Sie sorgfältig die Möglichkeiten eines Outsourcings und berücksichtigen Sie, dass je nach Kritikalität in vielen Fällen internes Know-how erforderlich sein wird.
Verstöße gegen die KI-Verordnung können zu Bußgeldern von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes führen.
Cyber Resilience Act
Der sich gegenwärtig in Endabstimmung befindliche Cyber Resilience Act zielt darauf ab, ein hohes Sicherheitsniveau für digitale Produkte zu gewährleisten. Geschäftsführer der entsprechenden Hersteller, Importeure und Händler sind dafür verantwortlich, die Cybersicherheit der Produkte über deren gesamten Lebenszyklus sicherzustellen. Insbesondere bei kritischen Produkten ist Vorsicht geboten.
Stellen Sie sicher, dass die Datenintegrität gewährleistet ist und dass alle Sicherheitsanforderungen erfüllt werden. Beachten Sie, dass bei Nichteinhaltung Bußgelder von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes drohen werden.
NIS-2-Richtlinie
Die NIS-2-Richtlinie erhöht die Anforderungen an die Cybersicherheit. Geschäftsführer betroffener Unternehmen, zu denen über die bislang adressierten Betreiber kritischer Anlagen hinaus künftig noch viele weitere Unternehmen (wichtige bzw. besonders wichtige Einrichtungen) zählen werden, sollten umfassende Cybersicherheitsstrategien entwickeln und effektive Risikomanagementmaßnahmen umsetzen. Die neuen Vorgaben umfassen unter anderem die Entwicklung von Sicherheitskonzepten, das Vorfallsmanagement und die Sicherung der Lieferkette.
Für IT-Vorhaben ergeben sich daraus etwa folgende Herausforderungen:
Stellen Sie die Anforderungen für die Gesamtdauer eines Projekts sicher.
Bei der Einbindung von Drittdienstleistern erfordert dies eine umfangreiche vertragliche Absicherung, z.B. für digitale Elemente. Die Standards dafür sind erst noch zu etablieren.
Beim Outsourcing sind ähnliche Vorkehrungen zu treffen wie beim Datenschutz, soweit kritische Aufgaben wie Überwachungspflichten nicht ohnehin intern gelöst werden sollten.
Die Nichteinhaltung kann zu Bußgeldern von bis zu 15 Millionen Euro oder 2,5 % des weltweiten Jahresumsatzes führen.
Die konkret zu lösenden Herausforderungen sind aktuell noch nicht vollständig absehbar, da der zur Richtlinie gehörende nationale Umsetzungsakt noch finalisiert werden muss. Aber bereits jetzt zeigt sich, dass sich weitergehende Anforderungen an die Cybersicherheit als zusätzliche, nicht delegierbare Compliance-Aufgaben für Geschäftsführer ergeben.
Angesichts der vielfältigen Regulierungsthemen sind ein vorausschauendes Management und die kontinuierliche Überprüfung der Compliance-Strategien entscheidend, um die Haftungsrisiken bei IT-Projekten zu minimieren. Geschäftsführer sind in der Pflicht, wenn es um die Einhaltung der neuen und sich ständig ändernden regulatorischen Anforderungen geht. Nur wenn sie die aktuellen Gesetze und Verordnungen kennen und in die Praxis umsetzen, können sie die Haftungsrisiken für sich, ihre Unternehmen und ihre IT-Projekte reduzieren.