Meine Kompetenzen im Überblick.

Akkordeon Inhalt

Proaktivität macht sich bezahlt

Bei der Lizenzierung von Software, IT-Projekten, Einsatz von Open Source Software, Hersteller-Audits, Einsatz von KI-Systemen, bei all diesen Themen ist es wichtig, vorauszudenken und zu planen. Dabei ist folgende Vorgehensweise vorteilhaft: Definition des geplanten Anwendungsfalles, Prüfung des geltenden Regelwerks, Identifikation der potentiellen Risiken und dann die bewusste Entscheidung für oder gegen die Durchführung. Dieses Vorgehen verbessert in den überwiegenden Fällen die rechtliche Ausgangssituation des Unternehmens und fördert das Bewusstsein für die möglichen Risiken und den Umgang damit. Oder aber möglicherweise führt diese Vorgangsweise dazu, die Software bzw. das KI-System aufgrund zu hoher Risiken eben nicht einzusetzen. Es sind die unbekannte Risiken, die gefährlich werden können.
Bei Audits von Software-Herstellern ist eine frühzeitige Einbindung der anwaltlichen Unterstützung wesentlich, am besten noch vor Beginn des Audits. Dadurch vergrößert sich der Spielraum für das weitere Vorgehen und nur dann kann der weitere Ablauf proaktiv gestaltet werden. Hingegen verkleinert sich der Spielraum dramatisch, wenn die Informationen und Daten vom Auditor bereits erhoben wurden und möglicherweise bereits hohe Nachforderungen gestellt werden.
Bei IT-Projekt ist es natürlich optimal, den Vertrag im Sinne des Kunden – noch vor Projektbeginn – zu gestalten. Aber auch wenn der Vertrag mit dem IT-Dienstleister nicht verhandelt wurde und das Projekt bereits in „Schieflage“ ist, ist es wichtig, frühzeitig die Strategie für die weitere Vorgehensweise und gegebenenfalls die Geltendmachung von Ansprüchen festzulegen.
Sollte der Weg zu Gericht im Raum stehen bzw. bereits eine Klage eingereicht worden sein, arbeite ich mit spezialisierten Verfahrensanwälten zusammen.
Ich berate und unterstütze Unternehmen ua wie folgt:

  • Prüfung von SaaS/Cloud Verträgen, insbesondere bei Business kritischen Anwendungen
  • Outsourcing des Betriebs an ein Rechenzentrum
  • (Ver)Kauf von (Gebraucht)Software
  • Verhandlung von IT-Projektverträgen und Projektbegleitung
  • Begleitung von Software-Hersteller Audits auf Kundenseite
  • Vorbereitung des Einsatzes von KI-Systemen oder Open Source Software

Den Überblick bewahren

Im Bereich Cybersecurity gibt es geradezu eine „Schwemme“ an Rechtsakten der EU. Schon alleine die Klärung, ob und wie ein Unternehmen von NIS2, CRA (Cyber Resilience Act) und CER (Critical Entities Resilience Act) betroffen ist, ist teilweise nicht einfach zu klären. Welche Pflichten treffen eigentlich das „Leitungsorgan“? Bei all den vorgeschriebenen Pflichten, wie der Festlegung von geeigneten und verhältnismäßigen Risikomanagementmaßnahmen bzw. Resilienzmaßnahmen, der Berücksichtigung der Erfüllung des Cyber Resilience Aktes bei Produkten mit digitalen Elementen im Rahmen der Sicherstellung der Cybersecurity der gesamten Lieferkette, ist es wichtig, den Überblick zu bewahren.
  • Klärung der Betroffenheit von NIS2, CRA und CER  – direkt bzw. als Teil der Lieferkette
  • Unterstützung beim Vorgehen zur Risikobewertung und zum Risikomanagement
  • Unterstützung beim Vorgehen zur Festlegung von Risikomanagementmaßnahmen bzw. Resilienzmaßnahmen
  • Festlegung von Compliance-Maßnahmen, unter Berücksichtigung der Berichtspflichten und der Pflichten der Leitungsorgane

Wir sind nicht nur für das verantwortlich, was wir tun, sondern auch für das, was wir nicht tun (ein Molière zugeschriebenes Zitat)

Das AktG und das GmbHG legen fest, dass die Geschäftsführer bzw. Vorstandsmitglieder „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden haben“. Aus rechtlicher Sicht ist für die Anwendung der ordentlichen Sorgfalt die Beachtung relevanter Rechtsnormen zentral. Wie aber kann der Geschäftsführer bzw. der Vorstand die Beachtung der relevanten Rechtsnormen durch das Unternehmen, dessen Management und Mitarbeiter bewerkstelligen? Die Antwort darauf ist: durch den Aufbau einer Compliance-Organisation unter „Mithilfe“ aller Unternehmensbereiche. Grundsätzlich gibt es eine Vielzahl von möglichen Compliance Maßnahmen:
  • Erstellung eines Verhaltenskodex als Basis für eine Compliance -Kultur des Unternehmens
  • Richtlinien und Schulungen in Bezug auf den jeweiligen Fachbereich: Steigerung des Wissens und der Awareness
  • Handlungsanweisung (SOP): klare Definition eines Vorgehens, zB für den Fall eines datenschutzrechtlich relevanten data breaches
  • Compliance-Audits: Prüfung der Einhaltung und Effektivität der Compliance-Organisation
Ich berate und unterstütze Unternehmen bei der Festlegung von Compliance Maßnahmen beispielsweise in folgenden Bereichen:
  • Cybersicherheit & Resilienz: Vorbereitung auf NIS2 (Netz- und Informationssicherheit – EU-Richtlinie bzw. nationales Gesetz) und CER (EU-Richtlinie über die Resilienz kritischer Einrichtungen)
    • Bildung eines Cybersecurity Teams, Risikoanalyse und Festlegung der erforderlichen Risikomanagementmaßnahmen
    • Dazu gehören Maßnahmen zur Bewältigung von Sicherheitsvorfällen: Incident Response Management (auch mit externen Vertragspartnern) bestehend aus Präventionsmaßnehmen, Notfallmaßnahmen und Prozess für den Umgang mit Sicherheitsvorfällen
    • Festlegen von Compliance Maßnahmen (zB Richtlinie und Schulung)
  • Software-Verträge, insb. SaaS & Co und IT-Projektverträge
    • Prüfprozess
    • Vertragsmanagement
    • Vertragslandkarte: Prüfen der Verträge auf „Kompatibilität“ untereinander
  • Einsatz von Standard-Software
    • Proaktives Lizenzmanagement
    • Policy zu Download bzw. Verwendung durch Mitarbeiter
  • Open Source Software
    • Richtlinie zum Einsatz von OSS
    • Checkliste für Lizenzüberprüfung
    • Black/White List
  • Künstliche Intelligenz (KI)
    • Assessment für den geplanten Einsatz eines KI-Systems und dessen rechtliche Voraussetzungen
    • Check der Nutzungsbedingungen des KI-Systems
    • Überprüfung der Compliance über die Dauer des Einsatzes
  • Data Governance & Datenschutz
    • Datenschutz-Richtlinie
    • Handlungsanweisungen (SOP)

Für Awareness sorgen

Im Bereich „Datenschutz“ ist wichtig, dass die Mitarbeiter, ein gewisses „Sensorium“ für datenschutzrechtliche Problematiken entwickeln. Dafür sind Grundkenntnisse des Datenschutzes und das Verständnis der Anwendungsfälle im jeweiligen Unternehmen nötig. Dadurch wird erst ermöglicht, dass datenschutzrechtliche Problematiken erkannt und geprüft werden können.

Ich berate und unterstütze Unternehmen unter anderem wie folgt:

  • Erstellung einer auf das Unternehmen zugeschnittenen Datenschutz-Richtlinie und bei der Schulung der Mitarbeiter
  • Erstellung von Handlungsanweisungen für data breach und Betroffenenanfrage
  • Beurteilung von einzelnen Anwendungsfällen
  • Datenschutzbeauftragte bei einigen Mandanten

SORGFALT wird großgeschrieben

Aufgrund meiner einschlägigen Erfahrung berate ich Teilnehmer bzw. Bieter im Vergaberecht, wobei im Zusammenhang mit der Teilnahme an Ausschreibungen eine sorgfältige Vorbereitung wesentlich ist.

Ich berate und unterstütze Unternehmen unter anderem wie folgt:

  • Prüfung der Ausschreibungsunterlagen und Unterstützung beim Stellen von Fragen an die Behörde, bei der Erstellung von Teilnahmeanträgen und Angeboten
  • Begleitung während des Vergabeverfahrens
  • Beurteilung von bestehenden Verträgen mit öffentlichen Behörden