Die Implementierung von Künstlicher Intelligenz (KI) in Geschäftsprozessen hat eine neue Ära der Datenverarbeitung und -analyse eingeläutet. Trotz der unbestreitbaren Vorteile, die KI-Technologien bieten, ergeben sich jedoch zahlreiche Herausforderungen im Bereich des Datenschutzes. Wir beleuchten diese Herausforderungen und bieten einen Einblick in die aktuelle rechtliche Situation zum Einsatz von KI.
Durch den Einsatz von Künstlichen Intelligenzen entstehen neue Herausforderungen für Unternehmen und Gesetzgeber. Daher ist es notwendig, dass der Gesetzgeber die Datenschutz-Grundverordnung und die Künstliche Intelligenz-Verordnung anpasst.
Die fortschreitende Integration von Künstlicher Intelligenz (KI) in automatisierte Entscheidungsprozesse birgt ein faszinierendes, zugleich jedoch komplexes Spannungsfeld im Bereich des Datenschutzes, insbesondere im Kontext des Artikels 22 der Datenschutz-Grundverordnung (DSGVO). Dieser Abschnitt taucht tief in die facettenreichen Herausforderungen ein, die sich aus der Verwendung von KI-Systemen ergeben, insbesondere wenn diese Entscheidungen mit weitreichenden Konsequenzen für Individuen treffen.
Ein zentraler Diskussionspunkt ist die Gewährleistung, dass KI-Systeme in Unternehmen nicht nur effizient, sondern auch fair, transparent und ohne Diskriminierung agieren. Es geht darum, eine Balance zu finden: Wie können Unternehmen die Rechte der Betroffenen wahren und gleichzeitig die immensen Vorteile der automatisierten Datenverarbeitung voll ausschöpfen?
An der Schnittstelle von KI und Datenschutz steht das Transparenzgebot der DSGVO. Die Komplexität von KI-Systemen stellt hierbei jedoch eine Herausforderung dar, da sie die Bereitstellung klarer und verständlicher Informationen über Datenverarbeitungsprozesse erschwert.
In einer Welt, in der KI-Algorithmen stetig komplexer und autonomer werden, ist die Frage der Transparenz besonders herausfordernd. Wie kann man sicherstellen, dass Transparenz in einem Umfeld gewahrt bleibt, indem KI-Systeme selbständig Schlussfolgerungen ziehen, die möglicherweise sogar über das Vorstellungsvermögen ihrer Entwickler hinausgehen?
Dies erfordert innovative Ansätze, um die Black-Box-Natur fortgeschrittener KI-Systeme zu durchdringen und zu verstehen, wie und warum bestimmte Entscheidungen getroffen werden. Es gilt, effektive Mechanismen und Richtlinien zu entwickeln, die sowohl die Verständlichkeit als auch die Nachvollziehbarkeit von KI-Entscheidungsprozessen sicherstellen, und damit ein Gleichgewicht zwischen technologischem Fortschritt und ethischer Verantwortung schaffen.
Herausforderungen in der Datenverarbeitung:
Die Wahrung der Rechte betroffener Personen stellt einen wichtigen Aspekt dar, denn gerade in Bezug auf die Korrektur und Löschung von personenbezogenen Daten stößt die Technologie hier oft an ihre Grenzen. Dies unterstreicht die Notwendigkeit, Datenschutzprinzipien in die Entwicklung und Anwendung von KI-Systemen zu integrieren.
Die Verantwortlichkeit bei der Nutzung von KI-Systemen ist eine weitere komplexe Herausforderung, der sich Unternehmen stellen müssen. Zudem wirft sie die Frage auf, wie die rechtlichen Rahmenbedingungen an die sich ständig weiterentwickelnden Technologien angepasst werden können? Um für dieses und weitere Probleme Lösungen zu finden, bedarf es der bevorstehenden Künstliche Intelligenz-Verordnung der EU.
Mit der KI-Verordnung wird eine neue technikrechtliche Ebene eingeführt, die das Datenschutzrecht ergänzt. Es bedarf hierbei innovative Ansätze, um die Black-Box-Natur fortgeschrittener KI-Systeme zu durchdringen und zu verstehen, wie und warum bestimmte Entscheidungen getroffen werden. Zudem gilt es, effektive Mechanismen und Richtlinien zu entwickeln, die sowohl die Verständlichkeit als auch die Nachvollziehbarkeit von KI-Entscheidungsprozessen sicherstellen, und damit ein Gleichgewicht zwischen technologischem Fortschritt und ethischer Verantwortung schaffen.
In der Praxis ist die Umsetzung der DSGVO im Kontext von KI eine herausfordernde Aufgabe. Unternehmen müssen sicherstellen, dass ihre KI-Systeme Grundsätze der Datenverarbeitung wie Transparenz, Datenminimierung und Zweckbindung einhalten. Dies umfasst die Implementierung klarer Datenschutzrichtlinien, die den betroffenen Personen präzise Informationen über die Verarbeitung ihrer Daten bieten.
Des Weiteren ist es wichtig, dass Unternehmen Mechanismen zur Einholung und Verwaltung von Einwilligungen etablieren, insbesondere wenn es um automatisierte Entscheidungsfindungen oder die Verarbeitung sensibler Daten geht. Durch regelmäßige Datenschutz-Folgenabschätzungen können Risiken identifiziert und minimiert werden. Die Schulung der Mitarbeiter im Umgang mit KI-Systemen und Datenschutzbestimmungen ist ebenfalls ein entscheidender Schritt zur Gewährleistung der Compliance.
Die geplante Künstliche Intelligenz-Verordnung der EU fügt, besonders im Bereich des Arbeitsrechts, eine neue Dimension der Komplexität hinzu. Hierbei steht der risikobasierte Ansatz im Vordergrund, der die Behandlung von KI-Systemen je nach ihrem Risikopotenzial regelt. Dieser Ansatz zeigt, wie rechtliche Überlegungen mit technologischen Entwicklungen Schritt halten müssen.
Die CNIL-Leitlinien zur KI-Entwicklung in Frankreich bieten praktische Hinweise, wie KI-Entwicklung und Datenschutz miteinander in Einklang gebracht werden können. Diese Leitlinien sind ein Beispiel dafür, wie Datenschutzbehörden aktiv daran arbeiten, Klarheit in die komplexen Interaktionen zwischen KI und Daten zu bringen.
In ihren Richtlinien unterstreicht die CNIL die Möglichkeit, KI-Forschung und -Entwicklung mit den Anforderungen der Datenschutz-Grundverordnung (DSGVO) in Einklang zu bringen. Sie hebt hervor, dass die Verwendung umfangreicher Datensätze für das Training von Algorithmen durchaus möglich ist, sofern dabei der Grundsatz der Datenminimierung beachtet wird.
Darüber hinaus wird klargestellt, dass der Grundsatz der Speicherbegrenzung einer längeren Aufbewahrung von Trainingsdaten nicht zwangsläufig im Weg steht, insbesondere wenn diese für wissenschaftliche Zwecke oder zur Sicherung finanzieller Investitionen benötigt werden
Neben den arbeitsrechtlichen Aspekten sind gerade auch Aspekte wie die Datenqualität und Datengenauigkeit essentiell, denn die Verlässlichkeit und Funktionsweise von KI-Systemen hängt maßgeblich von der Qualität der verwendeten Daten ab.
Nicht nur arbeitsrechtliche Fragen verdienen Aufmerksamkeit, sondern auch die Datenqualität und -genauigkeit spielen eine Schlüsselrolle. Die Verlässlichkeit und Leistungsfähigkeit von KI-Systemen hängen entscheidend von der Qualität der Daten ab.
Ungenaue oder verzerrte Daten können zu fehlerhaften oder ethisch problematischen Ergebnissen führen. Unternehmen stehen daher vor der Herausforderung, Mechanismen zu implementieren, die die Datenintegrität sicherstellen. Dies umfasst das Überprüfen von Datensätzen und die Implementierung von Prozessen zur ständigen Überwachung und Anpassung der Datenqualität.
Ein weiterer Punkt ist die internationale Datenübertragung. In einer Welt, in der Daten nahtlos über Grenzen hinweg fließen, müssen Unternehmen sicherstellen, dass ihr Datentransfer den internationalen Datenschutzstandards entspricht. Dies ist gerade mit Blick auf das Schrems II-Urteils des Europäischen Gerichtshofs relevant. Unternehmen müssen demnach die Datenschutzregelungen in verschiedenen Jurisdiktionen verstehen und berücksichtigen, um Compliance-Risiken zu vermeiden.
Die Entwicklung und Implementierung von KI-Anwendungen erfordert nicht nur rechtliche, sondern auch ethische Überlegungen. Ethik in der KI befasst sich mit Fragen wie Fairness, Transparenz, Nichtdiskriminierung und dem Schutz der Privatsphäre. Unternehmen sollten ethische Richtlinien und Frameworks entwickeln und anwenden, um sicherzustellen, dass ihre KI-System nicht nur rechtlich konform, sondern auch ethisch verantwortungsbewusst sind.
Die aktuellen Anfragen des Hessischen Beauftragten für Datenschutz und Informationsfreiheit (HBDI) an OpenAI illustrieren, wie Datenschutzaufsichtsbehörden die Einhaltung von Datenschutzstandards in der Praxis überwachen. Dies unterstreicht die Notwendigkeit einer fortlaufenden Bewertung und Anpassung der Datenschutzpraktiken im Kontext der KI.
Die Anfragen zielen darauf ab, zu klären, wie OpenAI mit sensiblen Daten wie Gesundheitsdaten oder Daten zur politischen, religiösen oder sexuellen Orientierung umgeht. Außerdem koordiniert die Taskforce des Europäischen Datenschutzausschusses den Umgang mit OpenAI auf EU-Ebene, um eine einheitliche Anwendung der DSGVO sicherzustellen.
Um den Einsatz von KI in Unternehmen möglichst sicher zu gestalten, können folgende Handlungsempfehlungen eine sinnvoll sein:
Die Einführung von Künstlicher Intelligenz in Unternehmensprozesse erfordert eine sorgfältige Navigation im Bereich Datenschutz. Die Herausforderungen reichen von der Einhaltung von Informationspflichten bis hin zur Anpassung an neue rechtliche Rahmenbedingungen, wie sie durch die EU-KI-Verordnung geschaffen werden.
Unternehmen müssen ein Gleichgewicht zwischen technologischer Innovation und Datenschutz finden, um das volle Potenzial von KI zu nutzen, während sie gleichzeitig die Privatsphäre und die Rechte der betroffenen Personen wahren. Künstliche Intelligenz wird in Zukunft von immer stärker werdender Bedeutung sein. Daher ist es umso wichtiger, jetzt die Rahmenbedingungen festzulegen, um zukünftige Probleme zu vermeiden.
Mit HWData als Ihrem Ansprechpartner für Compliance-Themen unterstützen wir Sie bei der gesetzeskonformen Verwendung von Künstlichen Intelligenzen und beraten Sie bei Ihren Fragen für ein effektives Compliance-Management.
Die EU-Kommission hat am 10.7.2023 den endgültigen Angemessenheitsbeschluss zum EU-U.S. Data Privacy Framework veröffentlicht. Datentransfers an die großen U.S.-Anbieter sind nun wieder möglich. Die Kommission bescheinigt den USA jetzt wieder ein angemessenes Datenschutzniveau. In diesem Artikel beleuchten wir die Schlüsselfaktoren dieses Abkommens und warum es von großer Bedeutung ist.
Nach Ansicht der EU-Kommission sind die vorherigen Bedenken des EuGH im Zusammenhang mit seinen Schrems I und II Entscheidungen durch die Änderungen des EU-US Data Privacy Framework beseitigt worden. Durch den neuen Rechtsschutzmechanismus existiere – so die Kommission – nun ein ausreichender Rechtsschutz für EU-Bürger.
Im Rahmen dieses EU-US Data Privacy Framework haben Unternehmen die Möglichkeit, sich selbst nach den EU-US Data Privacy Principles zu zertifizieren. Dieser neue Selbstzertifizierungsmechanismus der EU-U.S. Data Privacy Framework Principles unterscheidet sich dabei nur minimal von seinen Vorgängern Safe Harbor und Privacy Shield Principles. Dabei ist weiter auf den Umfang der jeweiligen Zertifizierung zu achten und auch für hiesige Unternehmen zu prüfen, ob die gegenständlichen Datenkategorien von der jeweiligen Zertifizierung umfasst sind.
Das neue Datenschutzabkommen enthält bedeutende Verbesserungen gegenüber seinen Vorgängern:
Für Unternehmen ist das neue Abkommen von herausragender Bedeutung. Es schafft endlich die notwendige Rechtsgrundlage für den Datentransfer zwischen der EU und den USA. Dies beseitigt die bisherige Rechtsunsicherheit, die Unternehmen beim Datenaustausch zwischen den beiden Regionen beeinträchtigte.
Trotz des vielversprechenden neuen EU-US Datenschutzabkommens ist es unerlässlich, dass Unternehmen weiterhin die Entwicklungen und möglichen rechtlichen Änderungen im Blick behalten. Da Datenschutz- und Compliance-Anforderungen einem permanenten Wandel unterliegen. Unternehmen sollten sicherstellen, dass ihre Datenschutzpraktiken auf dem neuesten Stand sind und den aktuellen Vorschriften entsprechen.Ob der EuGH das EU-U.S. Data Privacy Framework als ausreichend angesehen wird, um ein angemessenes Schutzniveau im Sinne der DS-GVO zu garantieren, ist offen. Sicher ist hingegen, dass sich der Gerichtshof mit dem Angemessenheitsbeschluss befassen wird.
Das neue EU-US Datenschutzabkommen markiert einen bedeutenden Fortschritt in der Debatte über Datenschutz und Datenaustausch zwischen der Europäischen Union und den Vereinigten Staaten. Die Schaffung eines klaren Rechtsrahmens und die Einführung eines unabhängigen Gerichts zur Überprüfung des Datenschutzes sind positive Schritte, die das Vertrauen in den transatlantischen Datenaustausch stärken werden.
Schreiben Sie uns gerne eine E-Mail oder rufen Sie uns an, wenn wir Sie in Sachen Datenschutz und Compliance-Anforderungen unterstützen können. Von Legal as a Service bis externer Datenschutzbeauftragter sind wir für Sie da. Mehr Informationen finden Sie auch auf unserer Webseite.
Kontaktieren Sie unsDer EU Data Act ist ein Teil der zweiteiligen europäischen Datenstrategie und wurde Ende Juni von den Unterhändlern der EU-Regierungen und dem Europäischen Parlament beschlossen. Lediglich die formelle Verabschiedung im Plenum steht noch aus. Aber was verändert sich im Datenaustausch für die Verbraucher und Unternehmen?
Eine der meistgestellten Fragen soll mithilfe des EU Data Acts näher beantwortet werden. Heutzutage sammeln immer mehr Geräte Nutzerdaten. Von Autos, Zahnbürsten und Alexa bis zu Windrädern, die an den Wetterbericht gekoppelt sind, werden nicht nur Daten gesammelt, sondern auch immer mehr Daten miteinander vernetzt. Die Datennutzung, der Datenzugang und auch der Verkauf der Daten sind bisher nur unzureichend geregelt.
Die Daten stellen das Herzstück der digitalen Wirtschaft dar, denn von der Suchmaschine, über Industrieanlagen, große Maschinen oder Haushaltsgeräte, die erzeugten Daten haben einen sehr hohen wirtschaftlichen Wert. Sie können bisher jedoch kaum genutzt werden und liegen in den Händen weniger großer Unternehmen. Das Bild eines typischen datensammelnden Unternehmens, wie manche sich vielleicht vorstellen kann, hat ein großes Potenzial Mehrwert zu bieten, wenn man es nur richtig reguliert. Und genau hier setzt der EU Data Act an.
Für wen gilt der Data Act?
Für Kleinstunternehmen, KMU und Gatekeeper gelten Sonderregelungen.
Der Data Act soll Verbrauchern und Unternehmen mehr Kontrolle über ihre Daten geben und dafür sorgen, dass diese auch wirtschaftlich besser genutzt werden können. In Ausnahmefällen, wie etwa Umweltkatastrophen, sollen Regierungen auf Daten aus der Privatwirtschaft zugreifen können.
„Dieses Datengesetz kann die Situation grundlegend verändern und dafür sorgen, dass es einen einfacheren Zugang gibt zu den nahezu unendlich zur Verfügung stehenden Datenmengen. Wir gehen davon aus, dass bis 2028 auf diese Art 270 Milliarden Euro zusätzlich erwirtschaftet werden können“, sagte Pilar del Castillo Vera (EVP/Spanien), die für das Parlament die Verhandlungen führte.
Mehr Recht für Verbraucher: Durch die Regeln zur Nutzung der Daten, die von Internet of Things (IoT)-Geräten generiert werden, soll mehr Fairness entstehen. Etwa sollen Autobesitzer zukünftig selbst entscheiden können, ob die eigenen Daten auch von der Versicherung ausgewertet werden können oder nicht. Auch bekommen Verbraucher mehr Rechte, wenn ihre Daten von einem Cloud-Anbieter rechtswidrig weitergegeben werden.
Regelung zur Nutzung: Unternehmen bekommen durch das Gesetz die Möglichkeit, die Daten rechtskonform für die Weiterentwicklung von Produkten zu nutzen und Grundverbraucher sollen die von ihren Geräten gesammelten Daten auch selbst zu Geld machen können.
Mehr Wettbewerb: Durch eine vereinfachte Übertragbarkeit von Daten an und zwischen Dienstanbietern wird es mehr (und auch kleinere) Akteure geben, die sich an der Datenwirtschaft beteiligen, zur Marktwirtschaft beitragen und Innovationen entwickeln. 80 Prozent der generierten Industriedaten werden laut der EU-Kommission heute nicht genutzt, obwohl das Wachstums- und Innovationspotenzial enorm sei. Dies könne sich mit dem Datengesetz ändern.
Keine Verstärkung der Datenmacht: Die Weitergabe und der Empfang von Daten an Unternehmen wie Meta oder Google ist hingegen ausgeschlossen, mit dem Ziel, die Datenmacht der großen Technologie-Konzerne zu beschränken und kleine Unternehmen und den Mittelstand zu stärken.
Mit dem EU Data Act soll es auch Zugang zu den relevanten Daten für Aftermarkt-Dienstleistungen geben, wodurch Reparatur- und Wartungsangebote günstiger werden und die Lebensdauer von vernetzten Produkten verlängert wird. Eine Sorge dabei ist, dass das Gesetz Unternehmen dazu verpflichten könnte, Firmengeheimnisse weiterzugeben und europäische Firmen dadurch weniger wettbewerbsfähig werden.
Der Dateninhaber kann bei Geschäftsgeheimnissen dem Nutzer die freie Weitergabe verbieten und Maßnahmen zur Wahrung der Vertraulichkeit der Daten vereinbaren. Jedoch dürfen die übermittelten Daten nicht zur Entwicklung von Produkten genutzt werden, die mit dem der Dateninhaber konkurrieren. Die Entwicklung konkurrierender Leistungen soll hingegen wohl erlaubt sein.
Nachdem sich das Parlament und die Unterhändler der EU-Regierungen am 28.06.2023 politisch geeinigt haben, unterliegt das Datengesetz nun der förmlichen Genehmigung. Nach seiner Annahme tritt es 20 Tage nach der Veröffentlichung des Amtsblatts in Kraft und tritt nach 20 Monaten in Kraft.
Der Data Act ist eine Säule der Rechtsvorschriften, die die EU Kommission beschlossen hat und wird im Zusammenspiel mit dem Datengesetz und geltenden horizontalen und sektoralen Rechtsvorschriften, wie dem Daten-Governance-Rechtsakt und der Datenschutz-Grundverordnung (DSGVO), präzisiert.
Schreiben Sie uns gerne eine E-Mail oder rufen Sie uns an, wenn wir Sie in Sachen Datenschutz unterstützen können. Von Legal as a Service bis externer Datenschutzbeauftragter sind wir für Sie da. Mehr Informationen finden Sie auch auf unserer Webseite.
Das Lieferkettensorgfaltspflichtgesetz, im Juni 2021 verabschiedet und seit Januar 2023 in Kraft, hat das Ziel, die internationale Menschenrechtslage zu verbessern. Es legt Verbote von Kinderarbeit, Sklaverei, Zwangsarbeit, Arbeits- und Gesundheitsschutzverletzungen, unangemessener Lohnzahlung, Missachtung des Rechts auf Bildung von Gewerkschaften bzw. Mitarbeitervertretungen, Verwehrung des Zugangs zu Nahrung und Wasser sowie widerrechtlichem Entzug von Land und Lebensgrundlagen fest.
Lieferketten umfassen den gesamten Weg einer Dienstleistung oder eines Produktes vom Rohstoff bis zum Konsumenten. Sie verdeutlichen die globalen Verflechtungen der Wirtschaft, da Produkte oft durch zahlreiche Stationen gehen, bevor sie beim Endkunden ankommen.
Durch die internationale Zusammenarbeit können unterschiedliche Mindeststandards gelten, und schwerwiegende Menschenrechtsverletzungen können Teil der Lieferkette werden. Das Gesetz verpflichtet Unternehmen, ihre Lieferketten im Hinblick auf Menschenrechtsverletzungen zu überwachen und zu bekämpfen.
Das Gesetz richtet sich primär an unmittelbare Zulieferer und den eigenen Geschäftsbereich. Jedoch müssen auch bei mittelbaren Zulieferern Risikoanalysen durchgeführt sowie Präventiv- und Abhilfemaßnahmen ergriffen werden, wenn konkrete Kenntnisse über mögliche Verstöße gegen Menschenrechte oder Umweltverpflichtungen vorliegen.
Dadurch können die Sorgfaltspflichten erheblich ausgedehnt werden. Zudem wird durch eine Klausel sichergestellt, dass die Sorgfaltspflicht nicht durch Zwischenschaltungen umgangen werden kann.
Das Lieferkettensorgfaltspflichtgesetz strebt sichere Bedingungen für Menschen in den Lieferketten, Unternehmen und Konsumenten an. Es zielt auf den Schutz vor Kinderarbeit, faire Löhne, den Schutz der Umwelt und sichere Arbeitsbedingungen ab. Zudem sollen Konsumenten Sicherheit haben, dass die Produkte unter Berücksichtigung fairer Herstellungspraktiken hergestellt werden.
Das Gesetz betrifft seit Januar 2023 deutsche Unternehmen mit mehr als 3.000 Beschäftigten und mindestens einem Standort in Deutschland. Die Pflichten gelten sowohl für den eigenen Geschäftsbereich als auch für Vertragspartner und mittelbare Zulieferer.
Ab Januar 2024 müssen auch Unternehmen mit mehr als 1.000 Mitarbeitern umfassende Sorgfaltspflichten erfüllen. In den kommenden Jahren wird es voraussichtlich ein vergleichbares Gesetz auf EU-Ebene geben, das für Unternehmen aller Größenordnungen gelten soll
Achtung: Konzernangehörige Gesellschaften werden in die Arbeitnehmeranzahl des Mutterkonzerns miteingerechnet, ebenso wie Leiharbeitnehmer, deren Einsatzdauer mehr als sechs Monate andauert.
Großunternehmen müssen Risikoanalysen durchführen und Präventionsmaßnahmen gegenüber ihren Vertragspartnern und Lieferanten ergreifen. Dadurch werden die betroffenen Unternehmen auch von ihren kleineren Zulieferern verlangen, entsprechende Maßnahmen zu ergreifen.
Das Gesetz fordert Unternehmen auf, bei der Auswahl ihrer Lieferanten darauf zu achten, ob diese die „menschenrechtsbezogenen Erwartungen“ erfüllen können. Kleinere Unternehmen sollten ebenfalls auf die Einhaltung der Sorgfaltspflichten achten, um Vertragsstrafen zu vermeiden. Zudem erwarten größere Unternehmen auch vermehrt die Umsetzung dieser gesetzlichen Anforderungen im Rahmen Ihres Auswahlprozesses von den “kleineren Unternehmen”.
Unternehmen, die ihren Pflichten nicht nachkommen, können mit Bußgeldern von bis zu 8 Millionen Euro oder bis zu 2 Prozent des weltweiten Jahresumsatzes belegt werden. Zudem besteht die Möglichkeit, vom öffentlichen Auftragsvergabe ausgeschlossen zu werden. Das BAFA überwacht die Unternehmensberichte, geht Beschwerden nach und hat weitreichende Kontrollbefugnisse.
Bei Verstößen kann es Zwangsgelder verhängen und Unternehmen zur Erfüllung ihrer Pflichten auffordern. Im Falle von Schäden in anderen Ländern gilt das Recht des betroffenen Staates und nicht das deutsche Lieferkettensorgfaltspflichtgesetz.
Das Lieferkettensorgfaltspflichtgesetz ist ein dringender Appell an Unternehmen, ihre unternehmerische Verantwortung wahrzunehmen und aktiv Maßnahmen zu ergreifen, um Menschenrechtsverletzungen entlang ihrer Lieferketten zu verhindern. Es eröffnet die Möglichkeit, die Welt ein Stück gerechter und nachhaltiger zu gestalten. Indem Unternehmen ihre Sorgfaltspflichten erfüllen, tragen sie dazu bei, menschenunwürdige Arbeitsbedingungen, Umweltzerstörung und Ausbeutung zu bekämpfen.
Das Lieferkettensorgfaltspflichtgesetz hat auch Auswirkungen auf die Verbraucher und Konsumenten. Immer mehr Menschen legen Wert auf ethische und nachhaltige Produkte, bei deren Herstellung die Menschenrechte geachtet werden.
Mit dem Gesetz erhalten Konsumenten die Gewissheit, dass die von ihnen gekauften Produkte unter Berücksichtigung der Menschenrechtsstandards hergestellt wurden. Unternehmen, die ihre Lieferkettensorgfaltspflicht vernachlässigen, könnten mit einem Imageverlust und einem Rückgang der Nachfrage konfrontiert werden.
Das Lieferkettensorgfaltspflichtgesetz ist ein wichtiges Compliance-Thema mit hohen Haftungsrisiken. Unternehmen sollten sich mit den Neuerungen auseinandersetzen und den aktuellen Stand in ihrem eigenen Unternehmen sorgfältig prüfen.
Mit HWData als Ihrem Ansprechpartner für Compliance-Themen unterstützen wir Sie bei der gesetzeskonformen Umsetzung des Gesetzes, der digitalen Dokumentation und der Überarbeitung Ihrer Verträge mit Zulieferern und Geschäftspartnern.
Compliance Maßnahmen kommen in Unternehmen oftmals zu kurz. Die Datenschutzerklärung wird, wenn es gut läuft, einmal im Jahr aktualisiert, aber das reicht nicht. Vermeiden Sie Compliance Risiken mit unserer Compliance Management-Software.
Website Compliance bezieht sich auf die Einhaltung von Gesetzen, Vorschriften und Standards in Bezug auf die Gestaltung, den Inhalt und den Betrieb einer Website. Es beinhaltet die Erfüllung rechtlicher Anforderungen in Bezug auf Datenschutz, Barrierefreiheit, Urheberrecht, Verbraucherschutz und andere relevante Bestimmungen, die für den Online-Betrieb eines Unternehmens gelten.
Sie verwenden ein neues Tool oder wollen über die Cookies neue Informationen erfahren, dann muss die Compliance dementsprechend upgedatet werden. Jedoch denken die meisten Unternehmer nicht bei jedem Schritt, den sie gehen, daran, die Datenschutzerklärung aktualisieren zu lassen bzw. ist ihnen vielleicht auch gar nicht bewusst, dass eine Aktualisierung notwendig wäre.
Wann sind Änderungen notwendig?
Die DSGVO kann daher kein statisches Dokument sein, sondern ist ein kontinuierlicher Prozess der Einhaltung und Überwachung des Datenschutzes. Unternehmen sollten regelmäßig ihre Datenschutzmaßnahmen überprüfen, Mitarbeiter schulen und den Datenschutz aktiv verfolgen oder eine externe Firma beauftragen, um sicherzustellen, dass die DSGVO effektiv umgesetzt wird.
Die notwendige Häufigkeit der Aktualisierung einer DSGVO kann von Unternehmen zu Unternehmen variieren und hängt von verschiedenen Faktoren ab. Aspekte wie die Art der Datenverarbeitung, die Größe des Unternehmens und die geltenden Datenschutzgesetze sollten berücksichtigt werden.
Als allgemeine Faustregel gilt es, die Compliance monatlich zu überprüfen und bei Bedarf zu aktualisieren. Eine jährliche Überprüfung reicht daher nicht mehr aus, um sicherzustellen, dass sie auf dem aktuellen Stand sind und alle Regeln einhalten.
Dabei gilt eine dreijährige Aufbewahrungsfrist (§ 11 Abs. 5 HinSchG) für eine Gleichstellung mit zivilrechtlicher regelmäßigen Verjährungsfrist.Damit die Compliance Themen nicht zu viel Zeit und Geld in Anspruch nehmen, haben wir eine Compliance Software entwickelt, mit der sich die Herausforderungen des Compliance Managements umfassend lösen lassen.
Vorteile eines externen Compliance Management Systems
Unsere Software scannt Ihre Website jeden Monat, um sie auf mögliche Änderungen zu untersuchen, so müssen unsere Kunden uns nicht über jede Änderung informieren, sondern die Seite wird jeden Monat automatisch gescannt, sodass wir notwendige Änderungen vornehmen können.
Sie erhalten ein umfassendes Compliance Management System aus einer Hand und können sich auf andere Aufgaben der Unternehmensführung konzentrieren, während wir die Compliance übernehmen.
Warum ist eine gute Website Compliance wichtig?
Compliance Due Diligence bezieht sich auf den Prozess der gründlichen Prüfung und Bewertung der Compliance-Praktiken und -Risiken eines Unternehmens, insbesondere im Zusammenhang mit potenziellen Investitionen, Übernahmen oder Geschäftsbeziehungen.
Warum ist Compliance Management hierfür so wichtig?
Die Website kann Einblicke in die Geschäftspraktiken, ethischen Standards und die Einhaltung von Gesetzen und Vorschriften des Unternehmens geben, um potenzielle Compliance Risiken zu identifizieren und zu bewerten. Dies ist gerade im Kontext mit Investoren, Übernahmen oder Geschäftsbeziehungen besonderes relevant.
Compliance Management Systeme sind die Zukunft, da sie eine effektive und effiziente Lösung bieten, um die wachsenden Anforderungen an Compliance in Unternehmen zu bewältigen. Hier sind einige Gründe, warum Sie am bereits jetzt in ein Compliance Management System (CMS) investieren sollten:
Zusammenfassend lassen sich Compliance Management Systeme als zukunftsweisende Lösungen betrachten, um Compliance effektiv zu managen und Risiken zu minimieren. Sie bieten Unternehmen die Möglichkeit, mit den wachsenden Anforderungen an Compliance Schritt zu halten, die Effizienz zu steigern, Risiken frühzeitig zu erkennen, Transparenz zu gewährleisten und sich kontinuierlich weiterzuentwickeln.
Durch den Einsatz von Compliance Management Systemen können Unternehmen ihre Compliance-Strategien stärken und ihre Wettbewerbsfähigkeit in einer zunehmend regulierten Geschäftsumgebung erhöhen. Lassen Sie uns dafür sorgen, dass die Compliance Regeln Ihres Unternehmens eingehalten werden.
HWData ist Ihr Ansprechpartner für Legal as a service. Von Arbeiten als externer Datenschutzbeauftragter bis zur Unterstützung mithilfe unseres Compliance Management Systems greifen wir Ihnen da unter die Arme, wo Sie es brauchen.
Das Hinweisgeberschutzgesetz setzt eine EU-Richtlinie um, die den Schutz von Personen, die im Rahmen ihrer beruflichen Tätigkeit Informationen über Missstände oder Verstöße erlangt haben und diese an die interne oder externe Meldestelle weitergeben, regelt.
Mitarbeiter nehmen Missstände oftmals als Erste wahr. Durch konkrete Hinweise können diese aufgedeckt, untersucht, verfolgt und unterbunden werden. Dabei geht es explizit um Verstöße gegen das Unionsrecht.
Hinweisgebende Personen übernehmen Verantwortung für die Gesellschaft, weshalb sie vor Benachteiligungen, die ihnen durch ihre Meldung drohen könnte, geschützt werden müssen. Dieser Schutz der Hinweisgebenden soll zudem die Abschreckung durch Angst verhindern.
Grundsätzlich meint “Whistleblowing” oder ein Hinweisgeber einen Arbeitnehmer, der seinem Arbeitgeber oder einem Dritten gegenüber Missstände (tatsächliche oder vermeintliche) bezüglich des Arbeits- und Gesundheitsschutzes im Unternehmen meldet.
Das Gesetz wird für Unternehmen und Organisationen im öffentlichen und privaten Sektor mit 50 oder mehr Arbeitnehmern oder einem Jahresumsatz von mehr als 10 Mio. Euro gelten.
Hinweisgeber schaden Unternehmen nur, wenn sie sich direkt an die Öffentlichkeit oder die Medien wenden. Durch eine interne Meldestelle wird das Unternehmen geschützt, der Compliance geholfen und mögliche Missstände können aufgedeckt werden.
Da Beobachtungen direkt an die zuständige Stelle im Unternehmen übermittelt werden, können Missstände frühzeitig erkannt und behoben werden. Es können große Schäden am Ruf des Unternehmens vermieden werden, denn das Risiko für Skandale sinkt.
Vorteile auf einen Blick:
Das Gesetz wird für Unternehmen und Organisationen im öffentlichen und privaten Sektor mit 50 oder mehr Arbeitnehmern oder einem Jahresumsatz von mehr als 10 Mio. Euro gelten.
Das Hinweisgeberschutzgesetz konzentriert sich auf einen besseren Schutz hinweisgebender Personen (Hinweisgeberschutzgesetz, HinSchG). Das Ziel ist es dabei, Personen, die im Zusammenhang mit ihrer beruflichen Tätigkeit beobachtete Verstöße melden, zu schützen und Meldung von Verstößen und deren Untersuchung durch die Unternehmen transparenter zu regeln.
Dabei gilt eine dreijährige Aufbewahrungsfrist (§ 11 Abs. 5 HinSchG) für eine Gleichstellung mit zivilrechtlicher regelmäßigen Verjährungsfrist.
Das Arbeitsschutzgesetz in Deutschland legt das „Whistleblowing“ als „Beschwerderecht“ in § 17 fest, ebenso wie den Umgang mit Beschwerden. Der Vorrang des „internen Hinweises“ besagt, dass, nur wenn der Arbeitgeber auf einen Hinweis eines Beschäftigten über einen Missstand nicht tätig wird, dieser sich an die zuständige Aufsichtsbehörde wenden darf.
Der Arbeitsschutz beinhaltet zudem „Doppelwirkung“, denn der Arbeitgeber muss die Arbeitsschutzpflichten erfüllen und die Arbeitsschutzbehörden müssen für die Einhaltung und Umsetzung dieser sorgen.
Jede Meldung wird auf Plausibilität und Stichhaltigkeit überprüft, wobei die Durchführung der erforderlichen Untersuchungen unter strengster Vertraulichkeit bzw. Anonymität zu erfolgen hat.
Die erhaltenen Informationen werden in einem fairen und schnellen Prozess bearbeitet und es folgen eine Ableitung und Implementierung von Maßnahmen, um ähnlich gelagertes Fehlverhalten zukünftig zu vermeiden.
Was sind typische Meldungen?
Das Hinweisgeberschutzgesetz soll drei Monate nach seiner Verkündung im Bundesgesetzblatt in Kraft treten. Das genaue Datum des Inkrafttretens ist bisher unbekannt.
Das Gesetz besagt, dass anonyme Meldungen bearbeitet werden müssen, daher muss auch die Möglichkeit zur anonymen Kommunikation zwischen hinweisgebender Person und Meldestelle gewährleistet sein.
Die Pflichten im Gesetz zur Umsetzung von anonymen Meldungen greifen nach der Übergangsvorschrift streng genommen erst ab 01. Januar 2025 (§ 42 Abs. 2 HinSchG), um die Hinweisgeberschutzsysteme entsprechend zu überarbeiten.
Unser Tipp: Es ist empfehlenswert, die interne Meldestelle möglichst attraktiv zu gestalten und anonyme Hinweise direkt zu ermöglichen, um Meldungen an externe Meldestellen und damit Behörden vermeiden zu können.
Es entsteht ein erweiterter Anspruch auf Schadensersatz. Mit dem neuen Gesetz haben Hinweisgeber, die Repressalien erleiden, jetzt auch einen Anspruch auf Schadensersatz für immaterielle Schäden und nicht mehr nur Vermögensschäden.
Konkret bedeutet das, dass im Einzelfall auch Schmerzensgeld für immaterielle Schäden geltend gemacht werden kann. Dies ist insbesondere bei Mobbing oder Diskriminierung relevant, wenn die Schäden an Rechtsgütern in der Regel schwer nachweisbar sind (§ 37 Abs. 1 HinSchG).
Vermeiden Sie Hinweise an Behörden und externe Meldestellen durch ein attraktives Hinweisgebersystem in Ihrem Unternehmen. HWData unterstützt Sie bereits jetzt mit einer Hinweisgebersystem-Software, um einen sicheren Kommunikationskanal in Ihrem Konzern aufzubauen.
Wir bieten unseren Mandanten die Einrichtung und den Betrieb des gesetzlich geforderten internen Hinweisgebersystems und der umfassenden Betreuung sämtlicher daraus resultierenden Vorgänge und Meldungen an.
Unser All-in-One-Tech-Ansatz sorgt dafür, dass für Sie kein Mehraufwand für das Hosting, die Pflege oder das Thema Datensicherheit entsteht. In Kooperation mit dem HWLP Legal-Tech-Ansatz unserer Partnerfirma profitieren Sie zudem von automatisierten Prozessen im Kontext der Erstellung und Anpassung der erforderlichen rechtlichen Dokumentationen und Verträge.
Schreiben Sie uns gerne eine E-Mail oder rufen Sie uns an, wenn wir Sie in Sachen Datenschutz oder Hinweisgebersystem unterstützen können. Von Legal as a Service bis externer Datenschutzbeauftragter sind wir für Sie da. Mehr Informationen finden Sie auch auf unserer Webseite.