:quality(80)/p7i.vogel.de/wcms/35/f4/35f444940b03b06ae67f7e5591631792/0115165737.jpeg "Angesichts der vielen Cyberrisiken ist es wichtig, die Mitarbeiter so gut wie möglich rund um das Thema Sicherheit zu sensibilisieren. (Bild: Funtap - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/3a/f1/3af1c9fdf1a925e4b2f55f3fa725f66e/0115165714.jpeg "Moderne Enterprise Network Firewalls zählen zu den Grundlagen leistungsfähiger IT-Security-Maßnahmen. (Bild: monsitj - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/23/e2/23e21031cde02335c81dfd78228df829/0115166204.jpeg "SSE-Lösungen bieten Sicherheit direkt in der Cloud und rücken damit einen Schritt näher an die Nutzer und ihre Endgeräte. (Bild: AkuAku - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f7/5f/f75fe8856b3a544c0e93a77c5b345685/0115186788.jpeg "Hacker haben eine neue Methode entwickelt, um über Dropbox an Zugangsdaten zu gelangen. (Bild: B_A)")
:quality(80)/p7i.vogel.de/wcms/3a/97/3a9762eff04833a94471e6fbfd205e3a/0115143155.jpeg "In diesem Video-Tipp zeigen wir, wie sich Sicherheitslücken im Netzwerk mit Metasploit und Nmap identifizieren lassen. (Bild: Kurhan - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f0/76/f07608d8d7a5b66c68dd962e652507ac/0115101668.jpeg "Das Bezahlen von Lösegeld im Falle einer erfolgreichen Ransomware-Attacke ist zu kurz gedacht. (Bild: vchalup - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c4/46/c446ebd001ec134deacbecbc6c51fe45/0115211957.jpeg "Die Versorgungssicherheit von Haushalten und der Wirtschaft ist ein hohes Gut, welches es zu schützen gilt. Die aktuelle Bedrohungslage durch Cyberangriffe erschwert dieses Vorhaben jedoch. (Bild: OSORIOartist - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/03/64/0364674fa2ee58d04060445081ce3037/0115211734.jpeg "Mit aktuellen KI-Tools und Sicherheitsplattformen lassen sich shcon heute bis zu 70 Prozent aller Security-Vorfälle automatisiert abwickeln. Bleiben noch 30 Prozent der wirklich schwierigen Fälle, bei denen der Mensch nach wie vor selbst Hand anlegen muss. (Bild: Kaikoro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/01/be/01bea1dcac017ca8dddcd85afd19ace1/0115184943.jpeg "Nathan Howe und Kevin Schwarz von Zscaler wagen den Blick in die Glaskugel und stellen zehn Prognosen für die IT-Sicherheit 2024 auf. (Bild: overrust - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/77/24/772400bfb4a54a4d354988011ec4a914/0115198224.jpeg "Der Bericht nach dem Scannen zeigt die Verwundbarkeiten jedes einzelnen Kubernetes-Clusters. (Bild: Aqua Security)")
:quality(80)/p7i.vogel.de/wcms/1b/c3/1bc38dde697b6cbb871803b277ecda55/0114970324.jpeg "Flexxon Xsign dient als physischer Schlüssel zu sensiblen Daten. (Bild: Flexxon)")
:quality(80)/p7i.vogel.de/wcms/80/42/8042ab77a61420b1a5260486ba7224ab/0115183146.jpeg "Veritas 360 Defense soll Funktionen aus den Bereichen Datenschutz, Datensicherheit und Datenmanagement vereinen. (Bild: ©metamorworks, Getty Images via Canva.com)")
:quality(80)/p7i.vogel.de/wcms/16/02/160267d3ecd7f3907f4f3ebe249e7b5b/0115143018.jpeg "Unternehmen sollten die Pro- und Contra-Argumente für On-Premise und Cloud bei E-Mail-Sicherheitslösungen für ihren individuellen Bedarf genau prüfen. (Bild: Aliaksandr Marko - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/c3/99c34cbcb787fb7e2effec09a190bb17/0114907624.jpeg "Bei der Überwachung und dem Auditing von Active Directory kommt man um den Einsatz spezialisierter Werkzeuge nicht herum. Wir haben uns 15 der besten Tools angesehen. (Bild: © Delta Amphule - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ab/24/ab24d00d76562a2b1ca0e7d9d06923f2/0115142429.jpeg "Totgesagte leben länger – das gilt wohl auch für Passwörter. Aber der Hype um MFA als hundertprozentige Sicherheitslösung ist ebenfalls übertrieben. (Bild: Alexander - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/a6/f6a621103ea58427487396f7d383509b/0115102621.jpeg "Die Implementierung einer User Lifecycle Management-Software vereinfacht und beschleunigt den Prozess der Benutzer- und Rechteverwaltung erheblich. (Bild: geniusstudio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/54/00/540011b42c1b5fca2484ee1744887de5/0115185522.jpeg "Metriken bzw. KPIs sind für die IT-Security unerlässlich, um die Performance zu messen und somit effektiver auf Risiken zu reagieren. (Bild: Artem - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/49/36/4936caa8c7ac63e6d30e963670d1e85f/0113634057.jpeg "Eine Sanktionslistenprüfung ist der Abgleich der Geschäftskontakte mit verschiedenen Sanktionslisten mit dem Ziel der weltweiten Bekämpfung von Terrorismus und der Durchsetzung voin Embargos. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/89/3e/893eddbc47586768cdf9a6ede1318ebd/0113634021.jpeg "Das Lieferkettengesetz regelt die Sorgfaltspflichten der Unternehmen für ihre Lieferketten mit dem Ziel der Vermeidung von Menschenrechtsverletzungen bei Zulieferern. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/1e/07/1e073cdae9c2c2bea53ab367850c0809/0113634031.jpeg "HTTPS ist ein Internet-Protokoll zur verschlüsselten Datenübertragung zwischen Webserver und Webbrowser. (Bild: gemeinfrei)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
Juristische Fragestellungen bei neuen Technologien Rechtliche Aspekte bei der digitalen Transformation nicht vergessen!
Anbieter zum Thema
:fill(fff,0)/p7i.vogel.de/companies/60/87/6087e22313077/fujitsu-300dpi--002-.jpg "Fujitsu 300dpi (002).jpg (Fujitsu)")
:fill(fff,0)/p7i.vogel.de/companies/64/37/6437ab67aaef3/ftapi-icon--1c9045.png "ftapi-icon--1c9045 (FTAPI Software GmbH)"){kind=icon}
:fill(fff,0)/p7i.vogel.de/companies/64/4b/644b7b9f2e5b0/securityinsider-valvisio-international-profil-600x600.png "securityinsider-valvisio-international-profil-600x600 (https://www.valvisio.ag/)")
Deutsche Unternehmen befinden sich in einem Prozess der digitalen Transformation. Dass etablierte Geschäftsmodelle regelmäßig auf den Prüfstand gestellt werden müssen, wurde zuletzt durch neue KI-Sprachmodelle deutlich. Bei der digitalen Transformation sind jedoch nicht nur technische und wirtschaftliche Aspekte zu berücksichtigen, sondern auch juristische Fragestellungen.
Die Einführung neuer Technologien bringt zunächst Rechtsfragen im Bereich des IT- Vertragsrechts hervor: Anschaffung und Betrieb solcher Systeme erfordern ein belastbares Vertragswerk mit IT-Anbietern, insbesondere im Hinblick auf Verfügbarkeit, Aktualisierung, Service-Levels und Haftung. Da es zudem kaum möglich ist, ein System ohne personenbezogene Daten zu betreiben, müssen die Verarbeitungsprozesse datenschutzrechtlich analysiert und die notwendigen technischen und organisatorischen Konformitätsmaßnahmen umgesetzt werden. Dies ist eine Schnittstelle zum Arbeitsrecht, denn die rechtskonforme Verarbeitung von Mitarbeiterdaten setzt oft voraus, dass Arbeitsverträge angepasst, Einwilligungen eingeholt oder Betriebsvereinbarungen geschlossen werden müssen. Werden digitale Zahlungsmethoden für Kunden eingeführt, so sind die strengen Kreditwesen- und Zahlungsdienstevorgaben zu beachten.
Bei der Transformation von Logistikprozessen zeigt sich, dass zunehmend urheberrechtliche Aspekte in den Vordergrund rücken, etwa wenn unterschiedliche Datenbestände zusammengeführt wurden (Lagerbestandsdaten, externe Kunden- sowie Lieferantendaten oder externe Verkehrsdaten) und sich die Frage nach den Nutzungsrechten stellt. Eine ähnliche Problematik ergibt sich bei der technischen Anbindung von Industrieanlagen an vernetzte IT-Systeme, etwa zu Zwecken der vorausschauenden Wartung, die eine Fülle wertvoller Daten aus unterschiedlichen Quellen zusammenführt.
Aktuelle Fallbeispiele aus der Praxis
Die anwaltliche Beratungspraxis zeigt, dass sich derzeit insbesondere in den Bereichen des gewerblichen Rechtsschutzes sowie des Datenschutzes rechtliche Hürden auftun. So musste ein großer Mittelständler kürzlich sein Hauptprodukt, eine vernetzte Reinigungsmaschine, kurzzeitig vom Markt nehmen, weil sich herausstellte, dass die dort integrierte Software eines Drittherstellers nicht frei von Rechten Dritter war und die Rechteinhaber eine einstweilige Verfügung erwirkt hatten.
Ein großes Unternehmen der Medizintechnik wurde im Hinblick auf die Verarbeitung von Gesundheitsdaten durch vernetzte Geräte von der zuständigen Datenschutzbehörde zur Unterlassung aufgefordert. Erst nach Verschärfung der technischen Sicherheitsvorkehrungen, der Anonymisierung von Daten sowie der Durchführung einer erweiterten Datenschutz-Folgenabschätzung konnte eine Aufhebung der Untersagung erreicht werden.
Risiken ergeben sich aktuell auch im Bereich der Cybersecurity. So wurde die Muttergesellschaft eines internationalen Handelskonzerns kürzlich nach Einführung einer Plattform zur automatisierten Einbindung von Lieferanten aufgrund einer fahrlässigen Sicherheitslücke mit Schadsoftware infiziert und musste die Plattform vom Netz nehmen, die Behörden informieren und das gesamte System nach forensischer Analyse neu aufsetzen; ein Verwaltungsverfahren wegen möglicher Verletzung von Art. 32 DSGVO wurde behördenseitig eingeleitet.
Zunehmende Regulierung
Die Gesetzgebung hat erkannt, dass der Einsatz neuer Technologien nicht nur Vorteile für Unternehmen bietet, sondern auch Risiken für Verbraucher. Insbesondere die EU-Kommission hat zuletzt eine umfassende Neuregelung des EU-Digitalrechts eingeleitet.
So ist am 1.Juli 2022 das Umsetzungsgesetz zur neuen DIRL-Richtlinie (Digitale Inhalte) in Kraft getreten, wonach Unternehmen, die im Internet digitale Inhalte anbieten nun einen Kündigungsbutton bereitstellen und diverse Vorgaben erfüllen müssen. Unter Umsetzung der neuen WKRL-Richtlinie (Warenkauf) müssen Unternehmen beim Verkauf von Waren mit digitalen Elementen erweiterte Anforderungen erfüllen, wie neue Aktualisierungspflichten zur Software. Seit November 2022 ist der neue Digital Markets Act in Kraft, eine EU-Verordnung, die große Plattformbetreiber zur Zusammenarbeit mit anderen Providern verpflichtet. Nach dem neuen Digital Services Act müssen Online-Vermittler digitaler Dienste (z.B. Onlineshop-Betreiber) ergänzende Pflichten erfüllen, beispielsweise die Einführung von Verfahren zur Meldung und Löschung illegaler Inhalte. Seit dem 16. Januar 2023 hat die neue NIS2-Richtlinie zur Cybersicherheit Geltung, die bis zum 17. Oktober 2024 umgesetzt werden muss. Die Richtlinie enthält diverse neue Pflichten zur IT-Sicherheit und senkt den Anwendungsbereich für Betreiber kritischer Infrastrukturen deutlich herab. Ebenfalls im Januar in Kraft getreten ist die DORA-Verordnung (Digital Operational Resilience Act), die spätestens bis zum 17. Januar 2025 von Finanzdienstleistern und kritischen ITK-Drittanbietern umzusetzen ist und neue Anforderung zur IT-Sicherheit regelt.
Derzeit befinden sich weitere EU-Verordnungen in der Vorbereitung. Eine besondere Bedeutung hat der aktuelle Entwurf zum Cyber Resilience Act, der Unternehmen zukünftig verpflichtet zu gewährleisten, dass die auf dem EU-Markt angebotenen Produkte mit digitalen Elementen frei von IT-Sicherheitslücken sind und über die notwendigen Aktualisierungen und Konformitätsbewertungen verfügen. Im Umlauf ist zudem der Entwurf zum Data Act, der Unternehmen Zugang zu fremden Datenbeständen (insbesondere auch des Staates) gewähren soll und nach Einigung zwischen EU-Rat und Europäischem Parlament vom 27. Juni 2023 nun in Kürze in Kraft treten dürfte. Erst am 14. Juni 2023 hatte das Parlament zudem seine finale Position zur neuen EU-Verordnung zum Einsatz von Künstlicher Intelligenz veröffentlicht („KI-Act“). Auch hierzu ist wohl in Kürze mit einem Inkrafttreten zu rechnen.
Fazit
Unternehmen sollten bei der digitalen Transformation auch rechtliche Aspekte berücksichtigen. Vorrangig spielen weiterhin das IT- und Datenschutzrecht eine Rolle. Jedoch zeigt die Praxis, dass sich Überschneidungen zum Arbeitsrecht, gewerblichen Rechtsschutz, Kartellrecht, Steuerrecht und insbesondere zum Recht der regulierten Sektoren (Finanzwesen, Versicherungswesen, Energie, Automotive, Gesundheit) ergeben. Infolge der neuen Welle an Gesetzesinitiativen aus Brüssel zum EU-Digitalrecht sollten hierbei nicht nur bestehende Regelungen, sondern auch aktuelle Gesetzgebungsverfahren Berücksichtigung finden.
Über den Autor: Dr. Hans Markus Wulf ist Partner und IT- und Datenschutzexperte bei der wirtschaftsberatenden Kanzlei Heuking Kühn Lüer Wojtek.
(ID:49581066)
:quality(80)/p7i.vogel.de/wcms/65/23/6523a9c3297be435577880eaf0ee43e4/0112115110.jpeg "Der Digital Operational Resilience Act (DORA) ist eine am 16.01.2023 in Kraft getretene EU-Verordnung über die digitale operative Resilienz im Finanzsektor. (Bild: gemeinfrei)")
:quality(80)/p7i.vogel.de/wcms/44/13/441308ff843586c1023b6d993a9ba077/0112599838.jpeg "Ob CRA, NIS-2 oder die CER-Richtlinie: Halten sich Unternehmen nicht an die Vorschriften, können die EU-Staaten Bußgelder verhängen. Umso wichtiger ist eine strukturierte und ganzheitliche Cybersecurity-Strategie. (Bild: Alexander Limbach - stock.adobe.com)")