Cybersicherheit und neue Technologien

Die neue EU-Richtlinie zur Sicherheit von Netz- und Informationssystemen (NIS2) erweitert den Kreis der Unternehmen, die den Cybersicherheitsanforderungen unterliegen, erheblich. Sie gilt nicht nur für Betreiber kritischer Infrastrukturen, sondern auch für viele mittelständische und große Unternehmen aus Branchen wie Transport, Finanzen, Gesundheitswesen, digitale Infrastruktur und digitale Dienste. NIS2 schreibt eine Reihe von Maßnahmen vor – von regelmäßigen Risikoanalysen und der Umsetzung angemessener technischer Schutzmaßnahmen bis hin zur Pflicht, schwerwiegende Vorfälle innerhalb von 24 Stunden zu melden. Besonders wichtig ist, dass die Richtlinie hohe Geldstrafen bei Nichteinhaltung vorsieht (bis zu 10 Mio. EUR oder 2 % des weltweiten Umsatzes). Wir unterstützen Unternehmen dabei festzustellen, ob sie unter NIS2 fallen, und zeigen, wie sie die neuen Anforderungen erfüllen können (Schulungen, Audits, Dokumentation), bevor die Richtlinie in nationales Recht umgesetzt wird (geplant für 2024/2025).

Der Artificial Intelligence Act ist eine wegweisende EU-Verordnung, die einen umfassenden Rechtsrahmen für Künstliche Intelligenz einführt. Die Regulierung basiert auf einem risikobasierten Ansatz und unterteilt KI-Systeme in vier Kategorien: unannehmbares Risiko (verboten, z. B. soziale Scoring-Systeme für Bürger), hohes Risiko (z. B. KI im Gesundheitswesen, Transport, bei der Personalrekrutierung – erlaubt, aber unter strengen Bedingungen), begrenztes Risiko und minimales Risiko. Der AI Act legt Pflichten für Anbieter und Nutzer von KI fest – für Hochrisikosysteme gehören dazu u. a. Anforderungen an die technische Dokumentation, das Datenmanagement, die Transparenz der Algorithmen, die Registrierung in einer speziellen EU-Datenbank, Konformitätsbewertungen sowie die menschliche Aufsicht über die KI.

Anbieter müssen eine Konformitätsbewertung ihrer Lösungen durchführen, bevor diese auf den Markt kommen, während Nutzer (z. B. Unternehmen, die KI intern einsetzen) die Betriebsvorgaben einhalten und die Funktionsweise der Systeme überwachen müssen. Für Verstöße gegen den AI Act sind sehr hohe Strafen vorgesehen (bis zu 30 Mio. EUR oder 6 % des weltweiten Umsatzes).

Unser Team berät Kunden bereits jetzt, wie sie sich auf diese Änderungen vorbereiten können: Wir identifizieren die eingesetzten KI-Systeme, ordnen sie den entsprechenden Risikokategorien zu und entwickeln einen Anpassungsplan an die neuen Vorschriften (KI-Richtlinien, Aufsichtsverfahren, Folgenabschätzungen usw.).

Der Data Act ist eine neue EU-Verordnung, die den Umgang mit nicht personenbezogenen Daten in der Wirtschaft grundlegend verändern soll. Ziel ist es, einen fairen Zugang zu Daten zu gewährleisten und die datenbasierte Wirtschaft zu fördern. Die Verordnung sieht unter anderem vor, dass Nutzer von Geräten und Diensten das Recht auf Zugriff auf die von ihnen erzeugten Daten erhalten – beispielsweise soll der Eigentümer einer intelligenten Industriemaschine Zugang zu deren Sensordaten bekommen, die bislang nur dem Hersteller zugänglich waren.

Die Regelung erleichtert zudem den Datenaustausch zwischen Unternehmen (B2B) sowie zwischen Unternehmen und dem öffentlichen Sektor (B2G) in Ausnahmesituationen (z. B. Naturkatastrophen – die öffentliche Verwaltung kann Daten anfordern, die für die Krisenbewältigung relevant sind). Der Data Act verbietet den Missbrauch vertraglicher Überlegenheit in Vereinbarungen über die Datenbereitstellung – sogenannte missbräuchliche Klauseln (die der schwächeren Partei Datenrechte entziehen) sind kraft Gesetzes unwirksam.

Ein weiterer wichtiger Punkt ist die Erleichterung des Wechsels von Cloud-Dienstleistern – die Verordnung verpflichtet Anbieter, die Übertragung von Kundendaten in eine andere Cloud (Portabilität) zu ermöglichen und Ausstiegsgebühren schrittweise abzuschaffen. Unser Team unterstützt Unternehmen dabei, die neuen Pflichten aus dem Data Act zu verstehen und als Chance zu nutzen – beispielsweise beraten wir IoT-Gerätehersteller bei der Vorbereitung auf die Datenbereitstellung für Nutzer und helfen Nutzern, ihre neuen Rechte wirksam durchzusetzen.

Die Datenschutz-Grundverordnung (DSGVO) gilt seit 2018, stellt jedoch für viele Unternehmen weiterhin eine Herausforderung dar. In Zeiten rasant wachsender Technologien (KI, Big Data, Profiling, Online-Marketing) erfordert die Einhaltung der DSGVO kontinuierliche Anstrengungen. Wir unterstützen unsere Kunden bei der laufenden Sicherstellung der DSGVO-Compliance – von Datenschutz-Audits und der Erstellung der erforderlichen Dokumentation (Datenschutzerklärungen, Verarbeitungsverzeichnisse) bis hin zur Reaktion auf Vorfälle (Datenschutzverletzungen) und der Kommunikation mit der Aufsichtsbehörde.

Wir beraten in komplexen Fragen wie der Übermittlung von Daten in Drittländer (z. B. nach dem Schrems-II-Urteil), der Nutzung von Cloud-Diensten, der Mitarbeiterüberwachung oder der Datenaufbewahrung. Zudem unterstützen wir bei der Schulung von Mitarbeitern zu den Grundsätzen der Informationssicherheit. Mit uns können Sie sicher sein, dass Ihr Unternehmen stets auf dem neuesten Stand der Auslegung der Vorschriften und der Leitlinien der Datenschutzbehörde ist – und so das Risiko von Geldbußen minimiert (die – zur Erinnerung – bis zu 20 Mio. EUR oder 4 % des Jahresumsatzes betragen können, je nachdem, welcher Wert höher ist).

Smart Contracts, auch „intelligente Verträge“ genannt, sind Computerprogramme, die bestimmte Handlungen automatisch ausführen, sobald festgelegte Bedingungen erfüllt sind – meist basierend auf Blockchain-Technologie. Ihr Potenzial ist enorm – sie können die Vertragserfüllung in Branchen wie Fintech (z. B. automatische Auszahlung von Versicherungsleistungen), Logistik (Verfolgung und Bestätigung von Lieferungen) oder Energie (Abrechnung in Smart-Grid-Netzen) automatisieren.

Allerdings bringen Smart Contracts auch rechtliche Herausforderungen mit sich: Das traditionelle Vertragsrecht kommt mit dem Fehlen einer einheitlichen, physischen Gerichtsbarkeit für Blockchain kaum hinterher – es ist schwierig festzustellen, welchem Recht ein weltweit operierender, sich selbst ausführender Vertrag unterliegt. Es entstehen Durchsetzbarkeitsprobleme – was, wenn der Code einen Fehler enthält oder eine Vertragspartei behauptet, der selbst ausführende Vertrag sei ungültig?

Unser Team analysiert den Einsatz von Smart Contracts im Kontext der geltenden Rechtslage – wir zeigen auf, wie intelligente Verträge rechtskonform gestaltet werden können (z. B. durch Integration eines „Oracle“-Mechanismus zur Streitbeilegung oder von Klauseln, die menschliches Eingreifen ermöglichen). Wir unterstützen Projekte auf Basis von Smart Contracts, indem wir hybride Verträge entwickeln, die Elemente traditioneller Vereinbarungen mit automatisierter Ausführung im Code verbinden. So können die technologischen Innovationen unserer Mandanten sicher im rechtlichen Rahmen agieren.

Wir bieten auch Dienstleistungen an der Schnittstelle von Recht und digitaler Forensik an. Cyberermittlungen dienen der Aufklärung von Tätern und Umständen bei Computervorfällen – wie Systemeinbrüchen, Datenlecks, Internetbetrug oder Diebstahl von Kryptowährungen. Wir arbeiten mit erfahrenen IT-Forensikern zusammen, um digitale Beweise (Systemprotokolle, Festplattenabbilder, Spuren im Netz) in einer Weise zu sichern, die den prozessualen Anforderungen entspricht.

Wir unterstützen zudem bei der Wiederherstellung verlorener Daten sowie bei der Analyse nach Sicherheitsvorfällen (Post-Incident Review), um Lehren zu ziehen und künftige Schutzmaßnahmen zu verbessern. Unsere Tätigkeit kann auch eine enge Zusammenarbeit mit Strafverfolgungsbehörden umfassen, um Cyberkriminelle zur Rechenschaft zu ziehen. Für Geschäftskunden führen wir interne Ermittlungen bei Verdacht auf Mitarbeiterdelikte oder IT-Sabotage durch. All dies erfolgt unter Wahrung höchster Diskretion und mit größter Sorgfalt für die rechtlichen Interessen unserer Mandanten.

Wir unterstützen Insolvenzverwalter und Gläubiger bei der Aufspürung von Vermögenswerten von Schuldnern, die in Kryptowährungen versteckt sind. Dank unserer Kontakte und Analysetools können wir mit dem Schuldner verbundene Kryptowallets identifizieren, Transaktionsverläufe nachverfolgen und Orte (Börsen, Wechselstuben) benennen, an denen diese Vermögenswerte liquidiert werden können.

In Zusammenarbeit mit einem internationalen Partnernetzwerk können wir bei der Lokalisierung von Bankkonten und anderen Finanzvermögenswerten von Schuldnern im Ausland helfen. Wir bereiten Rechtshilfeersuchen an ausländische Behörden vor und beraten, wie entdeckte Auslandsvermögenswerte wirksam gesichert werden können (einschließlich Rückführung aus Steueroasen).

Bei Verdacht, dass ein Schuldner Vermögenswerte mithilfe von Cyberkriminalität beiseitegeschafft hat (z. B. Diebstahl von Geldern aus dem eigenen Unternehmen, Ransomware-Angriff auf Firmendaten), stellen wir spezialisierte Teams aus Juristen und IT-Forensikern zusammen. Deren Aufgabe ist es, den Vorfall aufzuklären, Beweise zu sichern und rechtliche Möglichkeiten zur Rückgewinnung der verlorenen Vermögenswerte aufzuzeigen.