Meine Kompetenzen im Überblick.
Ausgeblendet
IT & KI
“ Proaktivität macht sich bezahlt„
Bei der Lizenzierung von Software, IT-Projekten, Einsatz von Open Source Software, Hersteller-Audits, Einsatz von KI-Systemen, bei all diesen Themen ist es wichtig, vorauszudenken und zu planen. Dabei ist folgende Vorgehensweise vorteilhaft: Definition des geplanten Anwendungsfalles, Prüfung des geltenden Regelwerks, Identifikation der potentiellen Risiken und dann die bewusste Entscheidung für oder gegen die Durchführung. Dieses Vorgehen verbessert in den überwiegenden Fällen die rechtliche Ausgangssituation des Unternehmens und fördert das Bewusstsein für die möglichen Risiken und den Umgang damit. Oder aber möglicherweise führt diese Vorgangsweise dazu, die Software bzw. das KI-System aufgrund zu hoher Risiken eben nicht einzusetzen. Es sind die unbekannte Risiken, die gefährlich werden können.
Bei Audits von Software-Herstellern ist eine frühzeitige Einbindung der anwaltlichen Unterstützung wesentlich, am besten noch vor Beginn des Audits. Dadurch vergrößert sich der Spielraum für das weitere Vorgehen und nur dann kann der weitere Ablauf proaktiv gestaltet werden. Hingegen verkleinert sich der Spielraum dramatisch, wenn die Informationen und Daten vom Auditor bereits erhoben wurden und möglicherweise bereits hohe Nachforderungen gestellt werden.
Bei IT-Projekt ist es natürlich optimal, den Vertrag im Sinne des Kunden – noch vor Projektbeginn – zu gestalten. Aber auch wenn der Vertrag mit dem IT-Dienstleister nicht verhandelt wurde und das Projekt bereits in „Schieflage“ ist, ist es wichtig, frühzeitig die Strategie für die weitere Vorgehensweise und gegebenenfalls die Geltendmachung von Ansprüchen festzulegen.
Sollte der Weg zu Gericht im Raum stehen bzw. bereits eine Klage eingereicht worden sein, arbeite ich mit spezialisierten Verfahrensanwälten zusammen.
Ich berate und unterstütze Unternehmen ua wie folgt:
- Prüfung von SaaS/Cloud Verträgen, insbesondere bei Business kritischen Anwendungen
- Outsourcing des Betriebs an ein Rechenzentrum
- (Ver)Kauf von (Gebraucht)Software
- Verhandlung von IT-Projektverträgen und Projektbegleitung
- Begleitung von Software-Hersteller Audits auf Kundenseite
- Vorbereitung des Einsatzes von KI-Systemen oder Open Source Software
Cybersecurity
„ Den Überblick bewahren“
Im Bereich Cybersecurity gibt es geradezu eine „Schwemme“ an Rechtsakten der EU. Schon alleine die Klärung, ob und wie ein Unternehmen von NIS2, CRA (Cyber Resilience Act) und CER (Critical Entities Resilience Act) betroffen ist, ist teilweise nicht einfach zu klären. Welche Pflichten treffen eigentlich das „Leitungsorgan“? Bei all den vorgeschriebenen Pflichten, wie der Festlegung von geeigneten und verhältnismäßigen Risikomanagementmaßnahmen bzw. Resilienzmaßnahmen, der Berücksichtigung der Erfüllung des Cyber Resilience Aktes bei Produkten mit digitalen Elementen im Rahmen der Sicherstellung der Cybersecurity der gesamten Lieferkette, ist es wichtig, den Überblick zu bewahren.- Klärung der Betroffenheit von NIS2, CRA und CER – direkt bzw. als Teil der Lieferkette
- Unterstützung beim Vorgehen zur Risikobewertung und zum Risikomanagement
- Unterstützung beim Vorgehen zur Festlegung von Risikomanagementmaßnahmen bzw. Resilienzmaßnahmen
- Festlegung von Compliance-Maßnahmen, unter Berücksichtigung der Berichtspflichten und der Pflichten der Leitungsorgane
Compliance-Organisation
„Wir sind nicht nur für das verantwortlich, was wir tun, sondern auch für das, was wir nicht tun“ (ein Molière zugeschriebenes Zitat)
Das AktG und das GmbHG legen fest, dass die Geschäftsführer bzw. Vorstandsmitglieder „die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden haben“. Aus rechtlicher Sicht ist für die Anwendung der ordentlichen Sorgfalt die Beachtung relevanter Rechtsnormen zentral. Wie aber kann der Geschäftsführer bzw. der Vorstand die Beachtung der relevanten Rechtsnormen durch das Unternehmen, dessen Management und Mitarbeiter bewerkstelligen? Die Antwort darauf ist: durch den Aufbau einer Compliance-Organisation unter „Mithilfe“ aller Unternehmensbereiche. Grundsätzlich gibt es eine Vielzahl von möglichen Compliance Maßnahmen:- Erstellung eines Verhaltenskodex als Basis für eine Compliance -Kultur des Unternehmens
- Richtlinien und Schulungen in Bezug auf den jeweiligen Fachbereich: Steigerung des Wissens und der Awareness
- Handlungsanweisung (SOP): klare Definition eines Vorgehens, zB für den Fall eines datenschutzrechtlich relevanten data breaches
- Compliance-Audits: Prüfung der Einhaltung und Effektivität der Compliance-Organisation
- Cybersicherheit & Resilienz: Vorbereitung auf NIS2 (Netz- und Informationssicherheit – EU-Richtlinie bzw. nationales Gesetz) und CER (EU-Richtlinie über die Resilienz kritischer Einrichtungen)
- Bildung eines Cybersecurity Teams, Risikoanalyse und Festlegung der erforderlichen Risikomanagementmaßnahmen
- Dazu gehören Maßnahmen zur Bewältigung von Sicherheitsvorfällen: Incident Response Management (auch mit externen Vertragspartnern) bestehend aus Präventionsmaßnehmen, Notfallmaßnahmen und Prozess für den Umgang mit Sicherheitsvorfällen
- Festlegen von Compliance Maßnahmen (zB Richtlinie und Schulung)
- Software-Verträge, insb. SaaS & Co und IT-Projektverträge
- Prüfprozess
- Vertragsmanagement
- Vertragslandkarte: Prüfen der Verträge auf „Kompatibilität“ untereinander
- Einsatz von Standard-Software
- Proaktives Lizenzmanagement
- Policy zu Download bzw. Verwendung durch Mitarbeiter
- Open Source Software
- Richtlinie zum Einsatz von OSS
- Checkliste für Lizenzüberprüfung
- Black/White List
- Künstliche Intelligenz (KI)
- Assessment für den geplanten Einsatz eines KI-Systems und dessen rechtliche Voraussetzungen
- Check der Nutzungsbedingungen des KI-Systems
- Überprüfung der Compliance über die Dauer des Einsatzes
- Data Governance & Datenschutz
- Datenschutz-Richtlinie
- Handlungsanweisungen (SOP)
Datenschutz
„ Für Awareness sorgen“
Im Bereich „Datenschutz“ ist wichtig, dass die Mitarbeiter, ein gewisses „Sensorium“ für datenschutzrechtliche Problematiken entwickeln. Dafür sind Grundkenntnisse des Datenschutzes und das Verständnis der Anwendungsfälle im jeweiligen Unternehmen nötig. Dadurch wird erst ermöglicht, dass datenschutzrechtliche Problematiken erkannt und geprüft werden können.
Ich berate und unterstütze Unternehmen unter anderem wie folgt:
- Erstellung einer auf das Unternehmen zugeschnittenen Datenschutz-Richtlinie und bei der Schulung der Mitarbeiter
- Erstellung von Handlungsanweisungen für data breach und Betroffenenanfrage
- Beurteilung von einzelnen Anwendungsfällen
- Datenschutzbeauftragte bei einigen Mandanten
Öffentliche Ausschreibungen auf Bieterseite
„ SORGFALT wird großgeschrieben“
Aufgrund meiner einschlägigen Erfahrung berate ich Teilnehmer bzw. Bieter im Vergaberecht, wobei im Zusammenhang mit der Teilnahme an Ausschreibungen eine sorgfältige Vorbereitung wesentlich ist.
Ich berate und unterstütze Unternehmen unter anderem wie folgt:
- Prüfung der Ausschreibungsunterlagen und Unterstützung beim Stellen von Fragen an die Behörde, bei der Erstellung von Teilnahmeanträgen und Angeboten
- Begleitung während des Vergabeverfahrens
- Beurteilung von bestehenden Verträgen mit öffentlichen Behörden
Legal as a Service - LaaS
„ Effektiv zusammenarbeiten“
Legal as a Service – LaaS ist eine Art Legal Outsourcing. Meine Mandanten im LaaS sind Unternehmen mit juristischem Beratungsbedarf, jedoch ohne eigene Rechtsabteilung.
Aufgrund meiner mehrjährigen Tätigkeit als Unternehmensjuristin kenne ich die Anforderungen an die Rechtsabteilung eines Unternehmens sehr gut, insbesondere im IT- und Datenschutz-Umfeld:
- Unterstützung bei der Prüfung und Verhandlung von Verträgen: wie Cloud Services / XaaS Bestimmungen, SLAs,
- Unterstützung bei datenschutzrechtlichen Fragen, auch als Datenschutzbeauftragte: wie der Abschluss von Auftragsverarbeitervereinbarungen, ist eine bestimmte Datenverarbeitung zulässig…
- Entwicklung von Vertragsstandards für den Einkauf bzw. Vertrieb – Standards haben 2 Vorteile: das Unternehmen startet mit einer „eigenen“ Version des Vertrags in die Verhandlung und 2. ist die „eigene“ Version ein guter Vergleichsmaßstab bei der Beurteilung „fremder“ Verträge
- Unterstützung bei der Angebotserstellung bzw. bei der Beurteilung von Angeboten: wird das Angebot angenommen, entsteht ein Vertrag – daher ist es umso wichtiger das Angebot sorgfältig zu erstellen bzw. genau zu prüfen und ggfs. Änderungen einzufordern
- Unterstützung bei der Teilnahme an Vergabeverfahren: vielen Teilnehmern an öffentlichen Ausschreibungen ist nicht bewusst, dass bereits gegen die Ausschreibungsunterlagen kurzfristig ein Rechtsmittel eingebracht werden muss, falls diese Fehler aufweisen – insofern ist die sorgfältige Prüfung der Ausschreibungsunterlagen bereits zu Beginn, nicht erst bei der Angebotslegung wesentlich
…und vieles mehr, eben alles, was von einer Rechtsabteilung erwartet werden kann.
Um „von außen“ effektiv zuzuarbeiten, ist folgender „Service Level“ bei LaaS wesentlich:
- eine kurzfristige Verfügbarkeit,
- eine kurze Reaktionszeit, insbesondere
- wenn schnell Entscheidungen getroffen werden müssen, das Angebot am nächsten Tag beim Kunden sein soll, der Vertrag noch dringend abgeschlossen werden muss etc.
Ziel ist eine Win-Win Situation: der pragmatische LaaS – Ansatz führt zu Compliance und Vertragsabschlüssen bei gleichzeitiger Minimierung des Unternehmens- und Haftungsrisikos
Die Erfahrung zeigt: je länger die Zusammenarbeit andauert, desto effektiver wird die Kooperation!
• Die Fähigkeit, kurze, verständliche Vertragsformulierungen zu erstellen.
• Pragmatischer Zugang, auch bei komplexen Themen im Vertragsrecht
• Rasche Umsetzung – auch am Tagesrand
• Unterstützung bei Verhandlungen, speziell bei Großaufträgen