Thought Leadership
Zwei neue EU-Regularien beschäftigen deutsche Unternehmen zurzeit: Der im Januar 2024 in Kraft getretene Digital Operational Resilience Act (DORA), der im Finanzsektor die Bereiche Cybersicherheit, IT-Risiken und Resilience regelt, und das im März verabschiedete Gesetz zur künstlichen Intelligenz (AI-Act).
Doch eigentlich sind die Unternehmen hierzulande gut darauf vorbereitet, die Regularien umzusetzen – wenn sie aus Vergangenem lernen.
Erinnern Sie sich noch an das Jahr 2018? Damals trat die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft. Viele deutsche Unternehmen mussten ihre Datenschutz- und Compliance-Strategien grundlegend überarbeiten, um den strengen Auflagen gerecht zu werden. Nun stehen mit dem EU AI-Act und DORA zwei weitere Regularien in den Startlöchern, die von ähnlicher Tragweite sind. Das Ziel der ehrgeizigen Digitalstrategie der Europäischen Union bleibt auch hier: Die dringendsten Herausforderungen im Digitalmarkt zu adressieren und gleichzeitig die Grundrechte des Einzelnen im digitalen Zeitalter zu bewahren
Die rechtlichen Grundlagen des AI-Acts bieten die Chance für Entwicklungen und Einsatz von KI. DORA gibt Finanzunternehmen die Richtlinien hinsichtlich Cybersicherheit. Dennoch mag für viele Führungskräfte die Umsetzung eher eine lästige Pflichtaufgabe sein. Doch sie können ihre Erfahrungen aus der DSGVO-Einführung nutzen, um sich proaktiv vorzubereiten. Denn die Lektionen aus vergangenen Umsetzungen können dabei helfen, die neuen Compliance-Anforderungen zu erfüllen und gleichzeitig die Interessen der Konsumenten bestmöglich zu schützen. Diese vier wichtigen Erkenntnisse aus der DSGVO-Umsetzung können auch heute helfen:
1. Entwickeln Sie ein tiefes Verständnis für die Unternehmensdaten
Ein zentraler Aspekt der DSGVO war, dass Unternehmen ihre internen Datenbestände gründlich analysieren mussten. Es galt herauszufiltern, welche personenbezogenen Informationen sie überhaupt sammeln. Woher stammen sie? Wie werden sie verarbeitet und gespeichert? Nur wer diese Fragen umfassend klären und anschließend lösen konnte, war in der Lage, die Vorgaben der Verordnung einzuhalten. Ähnliche Anforderungen stellen der AI-Act und DORA. Um sicherzustellen, dass KI-Systeme transparent, sicher und ethisch vertretbar sind, müssen Unternehmen die Herkunft und Verwendung der zugrunde liegenden Daten detailliert dokumentieren. Gerade im Finanzsektor ist ein präzises Verständnis über die verarbeiteten Informationen nötig, wenn sie in der IT-Sicherheit widerstandsfähig bleiben wollen. Haben Organisationen bereits im Rahmen der DSGVO-Umsetzung ein umfassendes Datenmanagement etabliert, können sie diese Strukturen und Prozesse nun gezielt auf die Anforderungen des AI-Acts und DORA übertragen. So können sie Compliance-Anforderungen deutlich effizienter und kostengünstiger bewältigen.
2. Überprüfen Sie Ihre Vertragsbeziehungen
Um Datenschutz-Vorgaben einhalten zu können, mussten Unternehmen ihre Kooperationsvereinbarungen an die Regularien der DSGVO anpassen. Ähnliche Verpflichtungen ergeben sich nun auch aus dem AI-Act und DORA. Hier sind Organisationen gefordert, ihre Vertragsbeziehungen sorgfältig zu überprüfen und zu aktualisieren – etwa um klare Anweisungen zu verankern, wie mit sensiblen Daten umzugehen ist und wie angemessene Risikoanalysen aussehen, sowie um eine transparente Berichterstattung zu gewährleisten. Wer diesen Prozess im Rahmen der DSGVO bereits durchlaufen hat, kann nun von den gewonnenen Erfahrungen profitieren. Diese Unternehmen kennen die erforderlichen Vertragsklauseln und Prüfschritte und können sie gezielt auf die Anforderungen des AI-Acts und DORA übertragen. So sparen sie wertvolle Zeit und Ressourcen.
3. Setzen Sie auf robuste Sicherheitsmaßnahmen
Die DSGVO hat Unternehmen auch dazu verpflichtet, das Sicherheitslevel ihrer Datenverarbeitungsprozesse gründlich zu überprüfen und gegebenenfalls aufzurüsten. Insbesondere bei Cloud-basierten Lösungen mussten viele Organisationen ihre Schutzmaßnahmen deutlich verschärfen. Auch der AI-Act und DORA legen großen Wert auf IT-Sicherheit. Organisationen im Finanzsektor müssen also sicherstellen, dass ihre KI-Systeme sowie ihre kritische Infrastruktur vor Cyberangriffen und anderen Bedrohungen geschützt sind – und das bestmöglich. Dafür sind umfangreiche Sicherheitstests, Risikoanalysen und technische Schutzmaßnahmen erforderlich. Wer bereits im Rahmen der DSGVO-Umsetzung robuste Sicherheitskonzepte entwickelt hat, kann diese nun gezielt an die neuen Compliance-Anforderungen anpassen. So nutzt man Synergien und der Aufwand für die Umsetzung reduziert sich deutlich.
4. Bilden Sie Ihr Personal konsequent weiter
Ein entscheidender Faktor für den Erfolg der DSGVO war das Datenschutz-Bewusstsein und die Kompetenz der Mitarbeiter. Nur wenn alle Beschäftigten die Compliance-Vorgaben verstanden und im Arbeitsalltag angewandt haben, konnten Unternehmen die strengen Auflagen erfüllen. Das gilt heute auch für den AI-Act und DORA. Organisationen müssen ebenfalls ihre Belegschaft gezielt schulen. Auf diese Weise können sie sicherstellen, dass KI-Systeme ethisch vertretbar eingesetzt werden und sie den neuen Cyberrisiken gegenüber widerstandsfähig bleiben. Wer bereits im Rahmen der DSGVO-Einführung umfangreiche Schulungsprogramme aufgesetzt hat, kann diese nun auf die neuen Compliance-Anforderungen ausrichten.
Fazit: Nutzen Sie Ihre DSGVO-Erfahrung für KI-Gesetz und DORA
Unternehmen, die aus der Implementierung der DSGVO gelernt haben, können jetzt von ihrem Wissen profitieren, um die neuen Compliance-Herausforderungen erfolgreich zu bewältigen. Auch nach dem AI-Act und in DORA ist es essenziell, die verarbeiteten Daten vollständig zu verstehen, die Vertragsbeziehungen zu überprüfen, eine starke Infrastruktur aufrechtzuerhalten und die Mitarbeiter kontinuierlich weiterzubilden. So können Führungskräfte Zeit, Aufwand und Ressourcen sparen. Gleichzeitig schützen sie die Interessen ihrer Kunden. Diese strategische Weitsicht verwandelt Compliance von einer Pflichtübung in einen klaren Wettbewerbsvorteil.
