Die Anzahl der Regularien und Normen, die in der IT umgesetzt werden müssen, nimmt zu. Doch wer ist zuständig und wie kann die Umsetzung sinnvoll und wirtschaftlich gemanagt werden?
Lösungseleganz im Bereich IT-Legal-Management trägt dazu bei, dass die rechtliche Sicherheit gewährleistet wird und damit die Wertigkeit der IT-Strategie von Unternehmen steigt.
(Bild: XaMaps - stock.adobe.com)
Gesetze und Verordnungen, die Auswirkungen auf das Betreiben von IT-Landschaften haben, gibt es schon lange. Im Rahmen der Digitalisierung und der Harmonisierung von Normen innerhalb der EU nimmt die Anzahl dieser Normen weiter zu.
Hier nur einige Beispiele, die Liste ließe sich fortführen:
Europäische Datenschutz-Grundverordnung (DSGVO): Die DSGVO trat am 25. Mai 2018 in Kraft.
IT-Sicherheitsgesetz (IT-SiG) und IT-Sicherheitsgesetz 2.0 und NIS 2 („Network and Information Security“ - Netzwerk und Informationssicherheit).
Dazu stehen noch an bzw. sind in der Umsetzung:
Data Governance Act (DGA),
Data Act,
Digital Services Act (DSA),
Digital Markets Act (DMA),
Artificial Intelligence Act (AIA).
Hier geht es nun nicht darum zu klären, welche Norm auf welche Organisation zutrifft, sondern vielmehr um die Frage, wie geht eine Organisation mit der Umsetzung der sie betreffenden Normen um? Betrachten wir dazu zunächst die möglichen Stakeholder kraft Gesetzes oder (arbeits-)vertraglicher Zuordnung:
Geschäftsführung (CEO, Vorstand): Die oberste Führungsebene ist letztlich verantwortlich für die Einhaltung aller gesetzlichen und regulatorischen Vorschriften.
Compliance Officer: Diese Rolle ist speziell dafür verantwortlich, Compliance-Programme zu entwickeln, zu überwachen und zu verwalten.
Chief Data Officer (CDO) oder Datenschutzbeauftragter (DSB): In Unternehmen, die mit großen Mengen personenbezogener Daten arbeiten, ist der CDO oder DSB speziell für die Einhaltung von Datenschutzgesetzen wie der DSGVO verantwortlich.
Rechtsabteilung: Die Rechtsabteilung bietet Beratung und Unterstützung, um sicherzustellen, dass das Unternehmen alle relevanten Gesetze und Vorschriften einhält.
IT-Abteilung: Die IT-Abteilung, unter der Leitung des Chief Information Officer (CIO), spielt eine entscheidende Rolle bei der Implementierung technischer Kontrollen und Systeme, die zur Einhaltung beitragen, besonders in Bezug auf Informationssicherheit und Datenschutz.
In vielen Fällen ist die Verantwortung für die Einhaltung der Regularien eine gemeinsame Anstrengung, die Koordination und Kommunikation zwischen verschiedenen Abteilungen und Ebenen innerhalb eines Unternehmens erfordert. Dies muss nicht, kann aber aufgrund der Seltenheit der konkreten Umsetzung im Tagesgeschäft zu erheblichem internem Aufwand führen.
Auch hat sich der Begriff Compliance oder hier speziell IT-Compliance als Oberbegriff platziert. Das ist jedoch keine Lösung. Compliance kann Regeln vorgeben, aber die Regeln nicht umsetzen oder Konflikte nicht lösen. Wenn vorgegeben wird, dass technologische Anwendungen versprechen, Compliance-Themen zu lösen, muss die Frage gestellt werden: „Wenn nicht, wer haftet dann?“.
Neue Wege einschlagen
Insgesamt heißt die hier vorgeschlagene Antwort mixsprachlich „Lösungseleganz im IT-Legal-Management“. Das ist ein nicht alltägliches Begriffselement und bedarf der Erklärung.
Lösungseleganz bedeutet, komplexe rechtliche und technologische Herausforderungen mit Effizienz und Präzision anzugehen. Die Lösung muss dabei logisch und nachvollziehbar sein. Nur wenn sie funktioniert, ist sie elegant. Elegante Lösungen für Probleme zeichnen sich durch ihre Einfachheit und Direktheit aus ohne unnötige Komplexität. Elegantes Denken meint, komplexe Ideen klar und prägnant auszudrücken, oft mit einer gewissen Originalität oder Kreativität.
IT-Legal-Management stellt sicher, dass die IT-Anforderungen rechtskonform umgesetzt werden, wodurch Risiken minimiert, operative Effizienz gesteigert und das Vertrauen von Kunden sowie Partnern in die Sicherheit und Integrität der Geschäftsprozesse gestärkt wird.
Lösungseleganz im IT-Legal-Management ist eine Disziplin (angeboten als Service), die sich mit der Steuerung und Verwaltung aller rechtlichen Fragen befasst, die im Zusammenhang mit der IT stehen. Betroffen sein können z. B. die gewählte IT-Infrastruktur (Cloud oder on-Prem., etc.), die eingesetzte Software, Softwareentwicklungen, Datenschutz, Cybersicherheit, digitale Lizenzen und der Schutz geistigen Eigentums innerhalb eines Unternehmens oder einer Organisation.
Die relevanten Rechtsthemen werden für die angesprochenen Stakeholder als Service professionell aufbereitet, so dass schnelle und gesicherte Entscheidungen innerhalb der Organisation getroffen werden können. Die Aufbereitung der relevanten Themen im Bereich IT-Legal-Management erfolgt durch interdisziplinäre Teams, die je nach Anforderung vom Service-Erbringer zusammengesetzt werden.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Die Zeitersparnis gegenüber dem klassischen In-House-Modell beträgt 80 Prozent, die Kostenersparnis 60 Prozent. Die Begründung für diese Verbesserung liegt in der Erfahrungskurve der Handelnden (mehr Erfahrung führt dazu, dass Aufgaben schneller erledigt werden können) und im Law of Practice. Dieses Gesetz resultiert daraus, dass die Leistung bezüglich einer Aufgabe mit zunehmender Übung verbessert wird.
Ein Beispiel für Lösungseleganz im Bereich IT-Legal-Management ist etwa die smarte Umsetzung der rechtlichen Vorgaben bei der Implementierung von Microsoft 365 (M365). Diese Anforderungen werden z. B. bei einer Implementierung für deutsche Organisationen gestellt (kleine Auswahl):
DSGVO und weitere Datenschutzgesetze (BDSG - Bundesdatenschutzgesetz -, LDSG - Landesdatenschutzgesetz -): Organisationen in Deutschland müssen sicherstellen, dass ihre Nutzung von M365 im Einklang mit den Prinzipien der Datenschutzgesetze steht.
Einbindung von Betriebsrat oder Personalrat: Es sind die Mitbestimmungsrechte bei der Einführung und Anwendung von technischen Einrichtungen zu beachten.
Organisationen in regulierten Branchen, wie dem Finanz- und Gesundheitssektor, müssen zusätzlich branchenspezifische Vorschriften einhalten, die über die allgemeinen Datenschutz- und Sicherheitsanforderungen hinausgehen.
Betreiber Kritischer Infrastrukturen (KRITIS), zu denen Sektoren wie Energie, Wasser, Ernährung und Gesundheitswesen gehören, müssen besondere Anforderungen an die IT-Sicherheit erfüllen und signifikante Sicherheitsvorfälle melden. Hier wird NIS 2 weitere Anforderungen stellen.
Um diesen rechtlichen Anforderungen gerecht zu werden, sollten Organisationen in Deutschland u. a. folgende Maßnahmen ergreifen:
Datenschutz-Folgenabschätzung (DSFA oder DPIA - Data Protection Impact Assessment): Vor der Implementierung von M365 sollte eine DPIA durchgeführt werden, um potenzielle Risiken für die Rechte und Freiheiten natürlicher Personen zu identifizieren und zu mindern.
Auftragsverarbeitungsvertrag (AVV): Mit Microsoft als Anbieter von M365 muss ein AVV abgeschlossen werden, der die Verarbeitung personenbezogener Daten im Einklang mit der DSGVO regelt.
Technische und organisatorische Maßnahmen (TOM): Implementierung geeigneter TOM, um ein hohes Sicherheitsniveau für die verarbeiteten Daten zu gewährleisten.
Schulung und Bewusstseinsbildung: Mitarbeitende sollten hinsichtlich der datenschutzrechtlichen Anforderungen und der sicherheitsbewussten Nutzung von M365 geschult werden.
Die rechtlichen und organisatorischen Themen betreffen somit eine Vielzahl von notwendig zu Beteiligenden. Eine Lösungseleganz im Bereich IT-Legal-Management bei M365 sieht wie folgt aus: Eine Softwarelösung prüft den bereits vorhandenen Tenant auf seine Einstellungen oder gibt Vorgaben für die Einstellungen im Tenant. Erfahrene IT-Legal-Management Berater bereiten die Ergebnisse auf und geben den unterschiedlichen Stakeholdern die notwendigen Handlungsempfehlungen mit transparenter und nachvollziehbarer Begründung. Auf diese Weise werden erhebliche Ressourcen an Zeit und Geld bei der Implementierung oder rechtlichen Stabilisierung von M365 eingespart.
Meine Empfehlung
Wenn Sie rechtliche Vorgaben in der IT abbilden müssen, prüfen Sie, ob dazu ein IT-Legal-Management angeboten wird, und prüfen Sie dann, ob die Umsetzung über Lösungseleganz verfügt. Das ist dann der Fall, wenn die Lösung für sie transparent, logisch und nachvollziehbar in der Umsetzung und bei den Kosten ist.
* Der Autor Wilfried Reiners ist Rechtsanwalt und Gründer der PRW Group, die im Bereich des Informationstechnologierechts berät. Zu den Mandanten zählen nationale, wie internationale Unternehmen, IT-Systemhäuser, Softwarehersteller, IT-Dienstleister, Cloud- und Rechenzentrumsbetreiber. Im Microsoft-Cloud-Umfeld betreuen die PRW Rechtsanwälte zahlreiche Microsoft Partner.
Bildquelle: PRW Group
Mit diesen Ansätzen erreichen Unternehmen Lösungseleganz
• Anforderungen verstehen: Unternehmen sollten die spezifischen rechtlichen und technologischen Herausforderungen, denen sie gegenüberstehen, identifizieren. Dies erfolgt durch eine gründliche Überprüfung der aktuellen Prozesse und Systeme. • Geeignete Technologien implementieren: Legal Tech-Tools optimieren die Prozesse. Diese Tools helfen dabei, rechtliche Risiken zu identifizieren und zu minimieren sowie Compliance zu gewährleisten. • Schulung und Weiterbildung: Teams sollten über die notwendigen Kenntnisse und Fähigkeiten verfügen, um die implementierten Technologien effektiv zu nutzen. Dies kann durch regelmäßige Schulungen und Weiterbildungen erreicht werden. • Externe Expertise einholen: Unternehmen sollten die Zusammenarbeit mit externen Beratern oder Dienstleistern in Betracht ziehen, die auf IT-Legal-Management spezialisiert sind, und auf deren Fachwissen vertrauen. • Kontinuierliche Verbesserung: Durch die Implementierung eines Prozesses zur kontinuierlichen Verbesserung, können Unternehmen sicherstellen, dass ihre Lösungen immer auf dem neuesten Stand sind und den sich ändernden rechtlichen und technologischen Anforderungen entsprechen.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/22/5d/225d1d7930c9090fe8fbf68e9d3465c2/0129163513v2.jpeg "Betroffen von der kritischen Schwachstelle EUVD-2026-4712 / CVE-2026-24858 sind die Produkte FortiOS, FortiManager, FortiAnalyzer, FortiProxy und FortiWeb. Die Sicherheitslücke erlaubt es Angreifern, sich über die FortiCloud-SSO-Anmeldung auf anderen Geräten unautorisiert anzumelden. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/24/aa/24aad994e872a642db8ce5e566b2ff5a/0128652115v2.jpeg "Mit Agentic AI wollen Cyberkriminelle Angriffe effizienter durchführen, um ihren ROI zu erhöhen. (Bild: KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/07/97/07979550bc313aa202a7481391f76ce6/0129212062v2.jpeg "Am 29. Januar 2026 befasste sich der Deutsche Bundestag in zweiter und dritter Lesung mit dem KRITIS-Dachgesetz. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/e4/03/e403d8463e7796490cc475b2403f6db3/0128970281v2.jpeg "Crowdstrike und Nord Security ermöglichen KMU umfassende Cybersicherheit über die Falcon-Plattform. (Bild: Canva / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/bd/16/bd16fac8755e7f1c18fda7a9d2c13ed2/0128306930v1.jpeg "Unternehmen können einiges machen, um sich widerstandsfähiger gegen Cyberangriffe aufzustellen. (Bild: © AD – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9a/c4/9ac49e87ca2e15d5c87112420f91805f/0129092634v1.jpeg "Security-Analysten im Security Operations Center (SOC) korrelieren Telemetrie, Identitäten und Netzwerkdaten, um autonome Angriffsmuster frühzeitig zu erkennen und Eindämmungsschritte zu automatisieren. (Bild: © whitestorm - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5f/01/5f01f4759ed9713f2d51b9ac93f87e4e/0129075784v2.jpeg "2026 wird KI-Governance Pflicht, Datensouveränität entscheidet über Clouds, Exposure Management läuft kontinuierlich und IT/OT konvergiert durch NIS2-Druck. (Bild: © Celt Studio - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/c6/7e/c67ee3c3d518dfe5a48378e20a95fde5/0129075400v1.jpeg "Clickjacking nutzt Autofill aus um an Zugangsdaten zu gelangen, aber die Deaktivierung der Funktion sorgt eher für mehr Probleme! Endpoint-Security, MFA und URL-Abgleich schützen wirksamer. (Bild: © Montri - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/2c/7f/2c7f325ab87e8cde7456fb75e3fd2e0b/0128865641v2.jpeg "Die Code-Injection-Sicherheitslücke in PowerPoint von 2009 ermöglicht es Angreifern, durch speziell gestaltete PowerPoint-Dateien beliebigen Code auszuführen. (Bild: Dall-E / Vogel IT-Medien GmbH / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/b0/7c/b07c2afa7203635856ba0d1fdea2bc28/0129154622v2.jpeg "Die häufigsten Passwörter in Deutschland sind nach einer Auswertung geleakter Daten einfache Kombinationen wie „123456“ und „123456789“, die eine Einladung für Hacker darstellen und Sicherheitsrisiken bergen. (Bild: vinnstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d5/94/d5947c5498ec72f1344c4f900c360d81/0129222277v2.jpeg "Standardisierte Vorlagen schaffen einheitliche Compliance-Abläufe, reduzieren Fehler und verkürzen Audits messbar. (Bild: © Pixels Hunter - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/67/f6/67f625705f340/ftapi-logo.jpeg "ftapi-logo (FTAPI Software GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/0c/12/0c1213565bd46d206ad9e837f8c5f858/0127924133v2.jpeg "Der Data Act schafft Regeln, aber keine Souveränität. (Bild: © Oleksandr Bochkala – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/ba/04/ba04dd8c994803cd75e8ab334735abce/0124002937v2.jpeg "Einer Befragung der Association of Corporate Counsel Foundation zufolge haben 38 Prozent der Chief Legal Officers eine Führungsrolle im Bereich der Cybersicherheit inne. (Bild: Pixabay)")