Home

  • Home

Die Schnittstelle zwischen Recht, Technologie und Management

Wer im globalen Wettbewerb steht, wer exportiert, Kapital im Ausland investiert, oder Unternehmen im In- oder Ausland gründen oder führen will, braucht kompetente Beratung.

Die JORDAN & WAGNER Rechtsanwaltsgesellschaft mbH hat sich auf Unternehmen des exportorientierten Mittelstandes spezialisiert.

Wir beraten und unterstützen unsere Mandanten, bei den Themen #Business Transformation und #Digitalisierung.

Rechtssicherheit sollte bei der Erschließung neuer, nationaler und internationaler Märkte und um im globalen Wettbewerb bestehen zu können, eine Grundvoraussetzung sein.

Mit der konsequenten Ausrichtung auf #Informationstechnologie, #Datenschutz, #Gewerblicher Rechtsschutz, # Handel & Vertrieb, #Wirtschaftsrecht, beraten wir Produzierende-, Dienstleistungs- und Handelsunternehmen.

Ob  Start-up  oder börsennotierter   Weltmarktführer, ob  KMU oder international tätiger Technologiekonzern, ob  Hidden Champion oder etablierter Markenhersteller, wir bilden die Schnittstelle zwischen Recht, Technologie und Management.

Weiterlesen

EVENTS · VERANSTALTUNGEN

< Oktober 2024 >
So Mo Di Mi Do Fr Sa
    1 2 3 4 5
6 7 8 9 10 11 12
13 14 15 16 17 18 19
20 21 22 23 24 25 26
27 28 29 30 31    
Donnerstag, 10.10.2024

„Der Weg zur Beherrschung der IT-Compliance-Risiken“

Die rechtlichen, normativen und betriebsspezifischen IT-Compliance-Verpflichtungen werden zunehmend komplexer und unterliegen einer dynamischen Veränderung. Um dennoch Compliance-Verstöße, Haftungs- und Schadensrisiken nachhaltig zu vermeiden, ist die systematische Steuerung und Kontrolle der IT-Compliance mit Hilfe eines ganzheitlichen IT-Compliance-Managementsystems (IT-CMS) zielführend. In diesem Training erhalten Sie einen umfassenden Überblick über die IT-relevanten Gesetze, Verordnungen und Standards. Beispiele aus der aktuellen Rechtsprechung verdeutlichen die Verantwortlichkeiten und Organisationspflichten. Sie lernen, wie die IT-Compliance-Verpflichtungen in den Unternehmensprozessen eingehalten und die Compliance-Risiken reduziert werden können. Workshops aus der IT-Praxis ermöglichen es Ihnen, das Gelernte direkt in Ihrem Arbeitsumfeld anzuwenden.

Mittwoch, 23.10.2024

Seminardaten
Beginn:
Mittwoch, 23. Oktober 2024 (Uhrzeit wird noch bekannt gegeben)
Dauer / Ende:
5 Stunden (Fachanwaltsfortbildung nach FAO)
Ort:
Virtueller Online-Workshop der Rechtsanwaltskammer Karlsruhe
Kurzbeschreibung

Das Seminar richtet sich an Rechtsanwälte, deren Mitarbeiter, Datenschutzbeauftragte, - Datenschutzkoordinatoren (m/w/d).

 

Donnerstag, 24.10.2024

Kurzbeschreibung
Das Seminar richtet sich an Geschäftsführungen, Schulleitungen, Leitungskräfte mit Personalverantwortung und Datenschutzkoordinatoren an freien Schulen.

Events-Archiv

NEWS · NACHRICHTEN

Das Wichtigste über die neue KI-Verordnung (AI-Act)

Die KI-Verordnung[1] der Europäischen Union ist als Grundpfeiler der KI-Regulierung am 02.08.2024 in Kraft getreten.[2] Es gelten jedoch längere Anwendbarkeits- und Umsetzungsfristen.[3]

Als Handlungsempfehlung im Ergebnis vorab: Aufgrund der unterschiedlichen Anforderungen sollte eine Klärung der „wirklichen Betroffenheit“ von den Verordnungsregelungen und sodann die Implementierung eines passenden Compliance-Management-Systems erfolgen.

Verordnungszweck ist gemäß Art. 1 Abs. 1 KI-VO[4] die Einführung vertrauenswürdiger KI-Systeme, die insbesondere die Grundrechte der EU-Charta zu beachten haben. Die KI-VO gilt gemäß Art. 2 Abs. 1 für Anbieter (Entwickler und/ oder „Inverkehrbringer“) und Betreiber – dies nach dem Niederlassungs- und Marktortprinzip.

Die Begriffsbestimmungen des Artikel 3 definieren in Nr. 1 „KI-Systeme“ relativ weit (nach internationaler OECD-Definition), wobei in Zusammenspiel mit Erwägungsgrund 12 in (schwieriger und unklarer) Abgrenzung zur „einfachen“ Software wesensprägend die Merkmale eigenständigen Schlussfolgerns („ableiten“) sowie die Autonomie unabhängig von menschlichem Zutun und Eingreifen sein sollen.

Sodann werden risikobasiert unterschiedliche Anforderungen gestellt. Unterteilt wird in verbotene Praktiken, Hochrisiko-KI-Systeme, nach Art. 50 „bestimmte“ KI-Systeme und KI-Modelle mit allgemeinem Verwendungszweck (und mit systemischem Risiko).[5]

Verbotene Praktiken richten sich im Kern gegen (unterbewusste) Beeinflussung von Menschen, die sich hiergegen nicht erwehren können, oder aber ganz konkret das gegen das sog. social scoring, Art. 5 Abs. 1. Verstöße sind bußgeldbewehrt mit bis zu 35 Mio. EUR oder 7% Jahresumsatz, sofern höher (wie auch im Übrigen mit anderer Höhe nach dieser Systematik).

„Herzstück“ der Verordnung stellen Hochrisiko-Systeme dar. Diese Eingruppierung erfolgt nach einem dynamischen Verständnis der Art. 6 und 7 – ein nicht abschließender, von der Kommission erweiterbarer Katalog an Lebenssachverhalten. Hieraus folgt die obige Handlungsempfehlung:

Das jeweilige System ist i.R.e. Einzelfallbetrachtung zu bewerten, vgl. auch Art. 6 Abs. 4 S. 1. Hervorzuheben sind insbesondere KI-Systeme „in Beschäftigung“ und Personalwesen (Erwägungsgrund 57). Liegt ein solches KI-System vor, stellt die Verordnung in Abschnitt 2 des Kapitel 3 u.a. einzuhaltende Anforderungen (Art. 8), die Einführungspflicht eines Risikomanagementsystems (Art. 9), Dokumentations- und Aufzeichnungspflichten (Art. 11f.) auf.[6] Mit der ISO/IEC 42001 wurde die erste Managementnorm für KI-System bereits veröffentlicht.

Es hat eine Konformitätsbewertung nach den Art. 40 ff. zu erfolgen. Die Mitgliedsstaaten haben „notifizierende Behörden“ (Art. 28 ff.) einzurichten

Zuletzt werden im Wesentlichen für die KI-Systeme nach Art. 50 Transparenzpflichten auferlegt, für KI-Modelle mit allgemeinem Verwendungszweck u.a. Dokumentationspflichten nach Art. 53 (mit systemischem Risiko nach Art. 55).

Fragen & Antworten:

Für die nachhaltige und gewinnbringende Einführung neuer Technologien wie KI bedarf es einer systematischen Planung und Prüfung und Etablierung von Compliance-Management-Systemen. Die Jordan & Wagner RA GmbH unterstützt Unternehmen, Verbände und die öffentliche Hand bei der Umsetzung.

Wenden Sie sich an unser Compliance-Team:

Peter Wagner, Dr. Thomas A. Degen, Dr. Hanns-Georg Pipping, Tilo Schindele, Mathias Lang LL.M., Marzia Carla Iosini LL.M., Dr. Arnd-Christian Kulow, Dipl.-Jur. Sebastian Teufel

 

[1] VERORDNUNG (EU) 2024/1689 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 13. Juni 2024 zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz).

[2] Verabschiedung durch EU-Parlament am 13.3.2024, Beschluss im EU-Rat 21.5.2024, Veröffentlichung im Amtsblatt am 12.7.2024.

[3] Von 6 bis 36 Monaten.

[4] Alle nachfolgenden Art. ohne Quellenangabe sind solche der KI-VO.

[5] KI-Systeme mit geringem Risiko sind von vornherein nicht von der Verordnung erfasst, s. allerdings Art. 95 (freiwillige Verhaltenskodizes). Natürlich gilt hier auch wie im Übrigen bspw. die DSGVO.

[6] Wobei Unterschiedliches für Betreiber und Anbieter gilt. Betreiber ist derjenige, der das System in eigener Verantwortung, soweit nicht privat (persönlich/ nicht beruflich), verwendet. Daher ist es ggf. vorteilhaft, Entwicklung und Betrieb extern zu beauftragen. Hier ist vertragsrechtliche Gestaltung zu eruieren.

 

 

Löschkonzept: DSGVO-Verpflichtung und DIN 66398 - Framework

Personenbezogene Daten müssen nach bestimmten Zeiträumen oder Zwecken gelöscht werden, um die Privatsphäre zu schützen. Ein Löschkonzept ist nach der DSGVO erforderlich, damit Daten nicht unnötig lange aufbewahrt werden und um den gesetzlichen Anforderungen zu entsprechen. Im Datenschutzmanagement gehört ein systematisch und nachhaltig konzipiertes Löschkonzept zu den Fundamenten einer validen Datenschutz-Architektur. Unternehmen, Verbände und Behörden müssen personenbezogene Daten ordnungsgemäß verwalten und die Regelungen der DSGVO einhalten. Die Datenschutzmanagement-Lösung der Jordan & Wagner Rechtsanwaltsgesellschaft mbH beinhaltet ein Lösch-App. Mit den App-Einstellungsmöglichkeiten deckt das Softwaresystem die spezifischen Anforderungen der jeweiligen Unternehmens, Verbands oder behördlichen Körperschaft ab. Damit wird sichergestellt, dass die effektiv und rechtskonform aufbewahrt und gelöscht werden. Das Löschkonzept ist Teil der A-Z-Systemstruktur des Datenschutz- und IT-Sicherheitskonzepts der Jordan & Wagner Rechtsanwaltsgesellschaft mbH, die im Datenschutzmanagement umzusetzen ist. Insofern bestehen auch Dokumentations- und Rechenschaftspflichten.  

Welches sind die elementare Grundlagen der IT- und Datenschutz-Compliance beim Löschen?

  • Datensparsamkeit: Nur die notwendigen Daten für den jeweiligen Zweck sammeln und speichern.
  • Speicherbegrenzung: Daten dürfen nicht länger als erforderlich aufbewahrt werden.
  • Zweckbindung: Daten dürfen nur für den angegebenen Zweck verarbeitet werden.

 

Welches sind die einzelnen Schritte im Löschkonzept?

  • Systematisierung und Dateninventar: Identifikation und Kategorisierung aller gespeicherten personenbezogenen Daten
  • Festlegung von Aufbewahrungsfristen: Bestimmung der Zeiträume, für die Daten aufbewahrt werden müssen
  • Identifizierung von Löschklassen
  • Einordnung von Datenarten in die Löschklassen -> Identifizierung und Festlegung von Löschregeln
  • Automatisierung: Einrichtung automatisierter Prozesse zur Löschung von Daten nach Ablauf der Aufbewahrungsfristen oder wenn der Zweck erfüllt ist

Gibt es Frameworks? Welche Struktur besteht nach DIN ISO 66398?

Wie erfolgt die Umsetzung des Löschkonzepts?

  • Konzeptionell wird das A-Z-Strukturmodell der Jordan & Wagner Rechtsanwaltsgesellschaft mbH zugrunde gelegt. Dieses basiert auf einem GRC-Methodenansatz (Governance, Risk und Compliance) und in Anlehnung an Frameworks und Leitbilder wie BSI-Grundschutz, ISO 27001, ISO 27701, angepasst für kleine und mittele Unternehmen (KMU), Verbände, Behörden und Bildungseinrichtungen.
  • Als Technische Lösung wird eine SaaS-/cloudbasierten zertifizierte Lösch-App eines Kooperationspartners aus Deutschland verwendet.  Bei der Erfassung der Daten werden diese der unterschiedlichen Software zugeordnet; genauso werden Softwareverantwortliche festgelegt, die für die fristgerechte Löschung der Daten zuständig sind
  • Die Dokumentation zur Protokollierung der durchgeführten Löschvorgänge zur Nachvollziehbarkeit erfolgt ebenfalls in der Lösch-App.

Bestehen in der Praxis bei Löschpflichten Ausnahmen?

  • Vertragsbezogene Aufbewahrung: Daten, die für Verträge oder rechtliche Ansprüche relevant sind, können längere Aufbewahrungsfristen erfordern.
  • Rechtliche Anforderungen: Bestimmte Daten müssen im Einzelfall aufgrund von Rechtsvorschriften länger aufbewahrt werden.

 

Bestehen Dokumentations- und Rechenschaftspflichten für das Löschkonzept?

Der Verantwortliche im Sinne der DSGVO muss darlegen und beweisen können, dass und wie er eine Löschung bzw. Datenträgervernichtung vollzogen hat. Der Löschungsnachweis erfolgt nach Art. 5 II DSGVO und hat Auswirkungen auf die rechtliche Beweislast. Es ist demnach unerlässlich, ein Löschkonzept zu etablieren und nach dem PDCA-Zyklus (angelehnt an ISO 37301) auch die Wirksamkeitskontrolle desselben regelmäßig vorzunehmen.

Nehmen Sie gerne Kontakt zu uns auf und erfragen Sie unverbindlich ein maßgeschneidertes Angebot.

 

Ihre Ansprechpartner:

Dr. Thomas A. Degen

Peter Wagner

Dr. Arnd-Christian Kulow

Tilo Schindele

Marzia Carla Iosini LL.M.

Mathias Lang LL.M.

News-Archiv