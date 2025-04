IDD GmbH - Institut für Datenschutz und Datensicherheit

Neue EU-Verordnungen überfordern Unternehmen: Dietmar Niehaus von der IDD GmbH verrät, wie Firmen sich jetzt auf NIS2, KI-Verordnung & Co. vorbereiten müssen

Bremen (ots)

In vielen Unternehmen breitet sich momentan eine große Verunsicherung aus, weil bald zahlreiche neue Verordnungen der EU und des Bundes umzusetzen sind. Was genau verbirgt sich eigentlich hinter NIS2, HinSchG und der KI-Verordnung und wie lässt sich die Gesetzeskonformität ohne großen Aufwand herstellen?

Während die Datenschutz-Grundverordnung (DSGVO) seit Jahren bekannt ist und von vielen Unternehmen längst umgesetzt wird, bringt die nächste Welle der Regulierungen neue Herausforderungen mit sich. Drei große Vorgaben der EU stehen aktuell im Fokus: Die NIS2-Richtlinie, mit der Cybersicherheit zur Pflicht wird, die KI-Verordnung, die den Umgang mit Künstlicher Intelligenz regelt und das Hinweisgeberschutzgesetz (HinSchG), das dazu verpflichtet, sichere Meldewege für Whistleblower einzurichten. Nun besteht kein Zweifel, dass die neuen Vorgaben erfüllt werden müssen. Doch bedeutet das nicht einen enormen bürokratischen Aufwand, der die Geschäftsprozesse behindert und letztlich zu einer geringeren Wettbewerbsfähigkeit führt? „Die Befürchtungen sind nachvollziehbar, weil niemand so genau weiß, was auf ihn zukommt“, sagt Dietmar Niehaus, Geschäftsführer der IDD GmbH. „Dabei sollten wir festhalten, dass die Regelungen durchaus sinnvoll sind – auch wenn viele Unternehmen ohne externe Hilfe mit ihnen überfordert sein dürften. Eine schlechte Idee ist, die Sache auf die lange Bank zu schieben, denn es drohen eben auch Sanktionen, die dann richtig ins Geld gehen.“

„Ein Grund zur Panik ist das aber sicherlich nicht, denn mit unserer schlanken, pragmatischen Herangehensweise können wir Lösungen schaffen, die den individuellen Bedürfnissen der Unternehmen entsprechen und gleichzeitig die Anforderungen erfüllen“, fügt Dietmar Niehaus hinzu. Mit seiner umfangreichen Erfahrung in Sachen Datenschutz, IT-Sicherheit und Compliance unterstützt der Experte mit der IDD GmbH zahlreiche Unternehmen dabei, neue Regelungen sauber umzusetzen, wobei er großen Wert auf einen praxisnahen Ansatz legt, der Analyse, Beratung und Schulung vereint. Im Folgenden erklärt Dietmar Niehaus, welche Aufgaben auf die Unternehmen zukommen und wie sie sich mit minimalem Aufwand bewältigen lassen.

Cybersicherheit – die NIS2-Richtlinie

Die EU hat mit der NIS2-Richtlinie neue Mindeststandards zur Cybersicherheit eingeführt, die Unternehmen dazu verpflichten, sich besser gegen Cyberangriffe zu schützen. Diese Verordnung ist auf EU-Ebene bereits beschlossen, muss allerdings noch in deutsches Recht umgesetzt werden. Da ein Referentenentwurf für das Umsetzungsgesetz vorliegt und kaum große Streitpunkte erwartet werden, dürfte das Gesetz noch 2025 in Kraft treten. Ein heikler Punkt der NIS2-Richtlinie ist, dass die Verantwortung des Unternehmens nicht bei den eigenen IT-Systemen endet. Es muss vielmehr sichergestellt werden, dass auch Lieferanten oder andere Partner die Sicherheitsstandards einhalten, insbesondere wenn die Netzwerke miteinander verbunden sind. Dies bedeutet, dass Unternehmen, die eigentlich nicht direkt von der NIS2-Richtlinie betroffen sind, dennoch von ihren Lieferanten in die Pflicht genommen werden. Unternehmen sollten sich frühzeitig vorbereiten, um hohe Bußgelder und Haftungsrisiken zu vermeiden.

Künstliche Intelligenz im Arbeitsalltag – die KI-Verordnung der EU

Die KI-Verordnung der EU zielt darauf ab, sinnvolle Regeln für den Umgang mit künstlicher Intelligenz aufzustellen, und sie macht den Unternehmen dazu klare Vorgaben. Die eingesetzten KI-Systeme müssen zunächst einer umfassenden Prüfung unterzogen werden, um sie gemäß den regulatorischen Vorgaben in verschiedene Risikoklassen einzuordnen, weiß Dietmar Niehaus von der IDD GmbH. Neben der Frage, welche Anwendungen erlaubt oder verboten sind, sieht die Verordnung auch eine Schulungspflicht vor: Seit dem 1. Februar 2025 müssen Unternehmen sicherstellen, dass Mitarbeiter, die mit KI-Systemen arbeiten, entsprechend ausgebildet sind. Viele Unternehmensleiter unterschätzen dabei, wie oft KI bereits heute im Arbeitsalltag eingesetzt wird – sei es in der Datenanalyse, in der Kundenkommunikation oder bei der Automatisierung von Prozessen. Ein Problem ergibt sich für die Unternehmen im Besonderen daraus, dass die Verordnung zwar Schulungen verpflichtend macht, aber nicht konkret definiert, wie sie aussehen müssen.

Schutz für Whistleblower – das Hinweisgeberschutzgesetz

Seit Sommer 2023 gilt das Hinweisgeberschutzgesetz (HinSchG), das Unternehmen dazu verpflichtet, sichere Meldewege für Whistleblower einzurichten. Ziel ist es, Korruption, Betrug und Missstände aufzudecken, ohne dass die Hinweisgeber Repressalien fürchten müssen. Die Unternehmen sind dazu angehalten, eine unabhängige Meldestelle zu schaffen, die es sowohl internen Mitarbeitern als auch externen Personen wie beispielsweise Lieferanten ermöglicht, ein eventuelles Fehlverhalten anonym und geschützt zu melden.

Sinnvolle Vorschriften – hoher Aufwand

All diese Vorschriften haben ihre Berechtigung: Eine verbesserte Cybersicherheit ist angesichts zunehmender Bedrohungen unerlässlich, während der ethische Umgang mit KI nicht dem Zufall überlassen werden sollte und Korruptionsprävention ohnehin einen wichtigen Aspekt verantwortungsvoller Unternehmensführung ausmacht. In der Praxis bedeuten diese neuen Regelungen für viele Betriebe jedoch einen zusätzlichen bürokratischen Aufwand, der personelle und finanzielle Ressourcen bindet, betont Dietmar Niehaus von der IDD GmbH. Gerade kleine und mittelständische Unternehmen haben zudem oft nicht die Kapazitäten, um sich mit jeder neuen Vorschrift im Detail auseinanderzusetzen.

Eine effiziente Umsetzung geht auch mit minimalem Aufwand

Da klar ist, dass die neuen Regelungen in den Unternehmen umgesetzt werden müssen, sollte es darum gehen, die Anforderungen mit minimalem Aufwand zu erfüllen. Dabei ist eine pragmatische Herangehensweise zu empfehlen, die mit der Analyse bestehender Prozesse beginnt: Es muss zunächst geprüft werden, ob im Unternehmen bereits Maßnahmen umgesetzt werden, die den neuen Regelungen entsprechen. Häufig stellt sich dabei heraus, dass vieles schon längst vorhanden ist und lediglich angepasst oder dokumentiert werden muss.

Auf die Analyse kann die Erstellung eines maßgeschneiderten Konzepts folgen, mit dem das Unternehmen sicherstellt, dass alle Vorgaben genauestens beachtet werden. Während standardisierte Lösungen erfahrungsgemäß zu Ungenauigkeiten und einem unnötigen Mehraufwand führen, hat ein individuelles Konzept den entscheidenden Vorteil, praxisnah zu sein und mit minimalen Anpassungen auszukommen. Wer bei den anstehenden Themen unsicher ist, sucht sich am besten einen erfahrenen Partner, der mit seinem geschulten Blick und seiner Kenntnis der gesamten Materie für eine gesetzeskonforme Aufstellung sorgt, ohne dass die neuen Vorschriften die Geschäftsabläufe unnötig belasten.

