
- Welcher Erlass gilt wo und wie?
- Was ist dabei zu tun?
- Sieben kurze Schulungsvideos
In Fachkreisen ist liebevoll von der "Blue Wall" der Digitalen Regulierung die Rede: Die EU erlässt im Rahmen ihrer "Digitalen Agenda" immer mehr Gesetze zum Umgang und Schutz von Daten und digitalen Systemen in allen Farben und Formen. Sie alle wollen beachtet und umgesetzt werden. Für viele Unternehmen besteht die Herausforderung darin zu erkennen, dass ein bestimmtes Produkt, eine bestimmte Anwendung oder ein Betrieb einer bestimmten Regelung unterliegt. Die Regulierung im digitalen Sektor ist dabei mittlerweile so kompliziert und wächst so rasant, dass die Rechtsabteilungen der Unternehmen ihre Business- und Produkteteams laufend auf neue Anforderungen einschwören müssen.
Ein weltweit tätiger Industriekonzern bat uns in diesem Zusammenhang, für seine Mitarbeitenden in seinen diversen Unternehmen kurze Schulungsvideos herzustellen, in denen sie über die jeweils für sie wichtigsten Punkte der neuen Regulierung hingewiesen werden. Das Ziel: Sie sollen befähigt werden, in jeweils ihrem Bereich zu verstehen, ob und welche der diversen Bestimmungen anwendbar sein können und was das für sie bedeuten kann. Sie sollen keine Experten werden und die Videos sollen auch nicht Rechtsberatung ersetzen. Aber sie sollen ein "Ampelverständnis" vermitteln, die Bewusstsein schaffen und Mitarbeitende erkennen lassen, wo und wann sie auf Fachpersonen zugehen sollten.
Entstanden sind jeweils nur rund fünf Minuten lange Schulungsvideos zu folgenden Themen:
- KI-Verordnung (AI Act) – die EU-Verordnung, welche den Einsatz von riskanten KI-Systemen regelt, bestimmte Anwendungen ganz verbietet und bei allen anderen gewisse Transparenz-Anforderungen aufstellt;
- Digital Services Act (DSA) – die EU-Verordnung, welche Regeln für all jene aufstellt, die Internet-, Hosting-, Cloud- oder Online-Dienste bereitstellen (was zwar vor allem dem Schutz von Verbrauchern dient, aber auch auf den B2B-Bereich-Anwendung findet, z.B. wenn Unternehmen Cloud-basierte Services anbieten);
- Data Act – die EU-Verordnung, welche Regeln für Produkte mit Online-Anbindung und den von ihnen generierten Daten (z.B. dass diese auch der Konkurrenz zugänglich gemacht werden müssen), zum Austausch von Daten ganz generell (z.B. Vorgaben für Verträge) und für Cloud-Computing-Dienste enthält;
- Cyber Resilience Act (CRA) – die geplante EU-Verordnung, die Vorgaben punkto Cybersicherheit für alle Arten von elektronischen Produkten (d.h. alles, was direkt oder indirekt Ziel einer Cyberattacke sein könnte) enthält, wie z.B. die Pflicht für Security-Patches;
- NIS2 – die EU-Richtlinie, welche Cybersecurity-Vorgaben für kritische Infrastrukturen enthält, was selbst Betriebe betreffen kann, deren Sektor und Tätigkeit nicht in einer der umfangreichen Listen aufgeführt ist, weil sie einem unterstellten Betrieb als Zulieferer dienen;
- Digital Markets Act (DMA) und Data Governance Act (DGA) – die EU-Verordnungen, die grosse "Gatekeeper" im Online-Business aufgrund ihrer Marktmacht regulieren und den Zugang unter anderem zu staatlichen Daten regeln, was beides für andere Unternehmen Opportunitäten bieten kann;
- Datenschutz-Grundverordnung (DSGVO) – der EU-Erlass, der seit einigen Jahren schon den Umgang mit personenbezogenen Daten regelt (wir haben ihn quasi als Bonus-Track in das Paket integriert).
Die meisten dieser Erlasse können auch Unternehmen ausserhalb der EU betreffen. Einige der Erlasse sind bereits in Kraft, andere werden es in den nächsten Jahren sein, wobei die Übergangsfristen bereits jetzt zur Planung und Implementierung der nötigen Massnahmen genutzt werden sollte. So werden aufgrund des Data Acts und Cyber Resilience Acts etliche Produkte angepasst werden müssen, interne Prozesse werden etabliert werden müssen und die Verträge mit den Kunden und Zulieferern werden geändert werden müssen. Verschiedene unserer Klienten haben damit bereits begonnen zu prüfen, wo sie wie unterstellt sind und einige davon haben auch schon mit weitergehenden Umsetzungsarbeiten begonnen.
Die Schulungsvideos stellen wir nun auch anderen Unternehmen zur Verfügung, die als Teil einer sauberen Governance und Compliance die relevanten Mitarbeitenden in die neue Regulierung einführen möchten. Sie sind für Mitarbeitende im "Business" gedacht (also z.B. Produkteentwicklung, -management und Vertrieb) und Mitarbeitende im Rechtsdienst, nicht aber Fachspezialistinnen und -spezialisten, die zu dieser Regulierung beraten sollen (diese brauchen mehr Wissen).
In den Videos erklärt ein digitaler Avatar von David Rosenthal die jeweils drei wichtigsten Punkte zu den Erlassen in englischer Sprache. Am Anfang gibt es eine kurze Einleitung, und am Ende eine kurze Zusammenfassung. Das dauert vier bis sechs Minuten und es wird jeweils darauf verwiesen, dass bei Fragen die zuständigen internen Fachpersonen kontaktiert werden sollen.
Beim EU Data Act sieht das dann so aus:
Die Videos können bei uns im Paket gegen eine einmalige Lizenzgebühr (abgestuft nach Unternehmensgrösse) zur unbeschränkten internen Nutzung bezogen werden. Die Videos werden jeweils mit dem Logo des Unternehmens bzw. der Gruppe versehen und sind ansonsten neutral gestaltet. Individuelle Anpassungen sind grundsätzlich möglich, aber mit Zusatzkosten verbunden. Anfragen sind an [email protected] oder den Autor dieses Beitrags zu richten.