Allgemeine Fragen und Antworten

Antworten, auf Fragen, die Sie uns üblicherweise stellen, finden Sie nachfolgend. Ansonsten kommen Sie gerne auf uns zu.

Auf welche Bereiche ist Ihre Kanzlei spezialisiert?

Wir sind spezialisiert auf: IT-Recht, Compliance, Hinweisgeberschutzgesetz, Datenschutz, Tätigkeit als Datenschutzbeauftragter.

Berät Ihre Kanzlei deutschlandweit?

Ja, wir beraten deutschlandweit.

Beraten Sie auch EU-weit?

Ja, wir beraten EU-weit über unsere Mitgründerin Diane Frank Baeza.

In welchen Sprachen beraten Sie?

Neben Deutsch beraten wir auch auf Englisch, Französisch, Spanisch und Italienisch sowie Türkisch und Portugiesisch.

Welche Unternehmensgrößen beraten Sie?

Wir beraten vom IT-Spezialisten als Einzelkämpfer bis zum Weltkonzern, hier die Rechtsabteilung oder Datenschutzabteilung, also von 1-10.000.

IT-VertragsRecht

Zu welchen Themen bieten Sie Beratung an?

Rechtssichere(s) Online Marketing, Online Shops und Webseiten, Erstellung und Überprüfung von Softwareverträgen, Rechtliche Fragen zu BigData und KI, Umsetzung von Software-Projekten, Betriebsvereinbarungen zu den Themen IT und Compliance.

Was bieten Sie zum Thema Direktmarketing an?

Wie lässt sich eine Direktmarketing-Kampagne nach Profiling/Datenanalyse bestimmter Kundenbereiche rechtskonform umsetzen? Dürfen Daten aus dem Bestand für neue Kundenprofile verwendet werden? Wir bieten Lösungen! Wir räumen datenschutzrechtliche Bedenken bei Marketingmaßnahmen aus dem Weg.

Was bieten Sie zum Thema Software-Projekte an?

Datenschutz made in Germany. Privacy by Design und Privacy by default. Wir pushen Ihre IT-Dienstleistungen bei Datenschutzbeauftragten der Vertragspartner. Wir gestalten Outsourcing-Verträge im Rahmen von ERP- oder CRM-Lösungen und unterstützen bei der Entwicklung von Löschkonzeptvorgaben.

Was bieten Sie zum Thema Arbeitnehmerdatenschutz an?

Private Internet- und E-Mail-Nutzung am Arbeitsplatz. Wir helfen bei der rechtssicheren Gestaltung von Mitarbeiter-Organisationsanweisungen oder bei der Gestaltung einer Betriebsvereinbarung.

DATENSCHUTZ

Ab wie vielen Mitarbeitern braucht man als Unternehmen einen Datenschutzbeauftragten?

Nach der DSGVO bei Datenverarbeitungen, die ein gewisses Risiko für Betroffenendaten auslösen.

Ab wann ist ein Datenschutzbeauftrager in Deutschland Pflicht?

Ab 20 Mitarbeiter, gezählt nach Köpfen.

Was passiert, wenn man keinen Datenschutzbeauftragten hat, obwohl es Pflicht wäre?

Die hartnäckige Weigerung würde zu einem Bußgeld führen.

Was genau machen Sie in der Funktion als externer Datenschutzbeauftragter?

Beratung und Überwachung der Einhaltung der DSGVO, Beratung und Schulung der Mitarbeiter zu Datenschutzthemen, Beratung zu Datenschutz-Folgeabschätzungen, Beratung zu Auftragsverarbeitung, Dokumentation im Datenschutzhandbuch.

Wie genau sieht der Prozess nach der Kontaktaufnahme aus?

Nach Ihrer Kontaktaufnahme vereinbaren wir einen Termin für das Erstgespräch zum Status Quo. Drei Tage später erhalten Sie ein individuelles Angebot. Sollte Ihnen das zusagen, werden Sie sehr gerne unser Kunde, erhalten weitere Vertragsunterlagen und es folgen weitere Gespräche.

Welche Themen deckt das Datenschutz-Coaching ab?

Datenschutzrechtliche oder datenschutzorganisatorische Aufgaben, Feedback zu Verträgen und Formulierungen etc., zur Verfügungstellen von Formulierungsmustern und aktuellen Veränderungen der Gesetzeslage, Unterstützung bei Verhandlungen.

Würden Sie unseren DSB in rechtlichen Fragen unterstützen?

Aber natürlich, das gehört zu unserer Kernexpertise.

HINWEISGEBERSYSTEME & COMPLIANCE

Seit wann ist das Hinweisgeberschutzgesetz in Deutschland aktiv?

Seit 02. Juli 2023 ist das Hinweisgeberschutzgesetz zum Schutz von hinweisgebenden Personen aktiv.

Was bedeutet das Hinweisgeberschutzgesetz für mich als Unternehmen?

Für Unternehmen mit mehr als 50 Personen muss ab 02.07.2023 ein internes Hinweisgebersystem eingerichtet werden, wobei es für Unternehmen mit weniger als 250 Mitarbeitern bis 17. Dezember 2023 eine Übergangsfrist zur Umsetzung gibt.

Was machen Sie als Ombudsmann für Ihr Unternehmen?

Wir betreiben das Hinweisgebersystem mit persönlicher Erreichbarkeit und Online-Portal und fungieren als neutrale Vertrauensperson zwischen hinweisgebender Person und Ihrem Unternehmen.

Warum sollten wir uns für Sie als Kanzlei entscheiden?

Wir sind persönlich erreichbar für Hinweisgeber und verfügen über langjährige Erfahrung im Umgang mit Hinweisgebern. Außerdem sind alle Meldekanäle aus einer Hand inkl. Online-Meldeportal.

Was bringt eine interne Meldestelle mit externen Hinweisgeberbeauftragten?

Diese Kombination führt zu einer Entlastung Ihrer Infrastruktur.

Was unterscheidet Sie von anderen Marktteilnehmern?

Wir verfügen in diesem Bereich über langjährige Erfahrung seit 2011. Gerade die Aufarbeitung gemeldeter Fälle erfordert juristische Expertise, wie bspw. die Stichhaltigkeitsprüfung nach § 17 HinSchG oder auch die besonderen Tatbestände des § 2 HinSchG.

DATA ACT

Was bedeutet der EU Data Act für mein Unternehmen?

Der Data Act ist Teil der EU-Datenstrategie und regelt den Zugang, die Nutzung und Weitergabe von Daten, die bei Produkten und verbundenen Diensten entstehen. Betroffen sind insbesondere Hersteller von IoT-fähigen Produkten und Services. Er betrifft vor allem die Daten, die beim Hersteller gespeichert werden. Damit erhalten nicht nur Privatpersonen mehr Kontrolle über ihre Daten, sondern auch Unternehmen können künftig Maschinen- und Industriedaten untereinander nutzen.

Wer profitiert vom Data Act?

Vor allem Nutzer vernetzter Geräte, die leichteren Zugang zu Produkt- und Servicedaten erhalten. Aber auch kleine und mittlere Unternehmen profitieren, da missbräuchliche Vertragsklauseln zur Datennutzung künftig unzulässig sind.

Welche Pflichten entstehen für Unternehmen?

Unternehmen müssen Nutzungsdaten – egal ob im B2C- oder B2B-Bereich – leicht zugänglich und umfassend bereitstellen, meist über technische Schnittstellen, die Interoperabilität, Sicherheit und Vertraulichkeit gewährleisten. Außerdem dürfen Daten nur im vertraglich vereinbarten Rahmen genutzt werden. Missbräuchliche Vertragsklauseln im B2B-Bereich werden ausgeschlossen.

Wie verhält sich der Data Act zur DSGVO, zum DSA und zum DMA?

Der Data Act regelt den fairen Zugang zu personenbezogenen und nicht-personenbezogenen Daten. Für personenbezogene Daten gilt zusätzlich die DSGVO, die im Zweifel Vorrang hat. Der Digital Services Act (DSA) betrifft vor allem Plattformen wie soziale Netzwerke, der Digital Markets Act (DMA) reguliert den Wettbewerb auf digitalen Märkten, insbesondere bei Gatekeeper-Plattformen.

Welche Folgen drohen bei Verstößen gegen den Data Act?

Für nicht-personenbezogene Daten übernimmt die Bundesnetzagentur die Aufsicht, für personenbezogene Daten der Bundesdatenschutzbeauftragte (BfDI). Verstöße bei personenbezogenen Daten können mit Bußgeldern von bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes geahndet werden.

Cyber Resilience Act (CRA)

Was bedeutet der Cyber Resilience Act (CRA) konkret für mein Unternehmen?

Der CRA ist eine EU-Verordnung, die einheitliche Mindestanforderungen an die IT-Sicherheit von Produkten mit digitalen Elementen festlegt. Ziel ist es, Schwachstellen in vernetzter Hard- und Software zu reduzieren. Betroffen sind Hersteller, Händler und Importeure, die solche Produkte auf dem EU-Markt anbieten.

Welche Pflichten muss mein Unternehmen nach dem CRA erfüllen?

Sie müssen sicherstellen, dass Ihre Produkte sicher sind, Risikobewertungen durchführen, Schwachstellen melden und bei Sicherheitsvorfällen reagieren. Außerdem gibt es umfangreiche Dokumentations- und Nachweispflichten.

Ab wann gelten die neuen Vorgaben für mich?

Ab 11. Juni 2026: Benannte Stellen dürfen CRA-Konformitätsprüfungen durchführen.
Ab September 2026: Pflicht zur Meldung von Sicherheitsvorfällen und Schwachstellen.
Ab 11. Dezember 2027: Alle betroffenen Produkte müssen die vollständigen CRA-Anforderungen erfüllen.

Welche Folgen drohen meinem Unternehmen bei Verstößen?

Bei Nichteinhaltung drohen Bußgelder, Vertriebsverbote oder Schadensersatzansprüche. Auch Reputationsverluste sind möglich. Zudem können Vertragspartner ihre Gewährleistungsrechte leichter durchsetzen.

Wie wirkt sich der CRA auf meine Haftung aus?

Die Haftung für unsichere Produkte wird verschärft. Unternehmen sollten daher präventiv handeln, um Haftungsrisiken aus Cyberangriffen oder Sicherheitsmängeln zu reduzieren.

Muss ich meine Lieferketten und Verträge anpassen?

Ja. Der CRA verlangt, dass auch Lieferketten auf Cybersicherheit überprüft und vertraglich abgesichert werden. Wir unterstützen Sie bei der Anpassung Ihrer Verträge.

Wie unterstützt mich eine spezialisierte Kanzlei bei der CRA-Umsetzung?

Wir beraten Sie umfassend, prüfen gemeinsam mit unserem Technologiepartner SEKAS GmbH Ihre Produkte und Prozesse und begleiten Sie bei der Umsetzung. Dazu gehören Risikoanalysen, Vertragsprüfungen, Schulungen und Unterstützung in der Kommunikation mit Behörden und Kunden.

KI-Verordnung (AI Act)

Was bedeutet die KI-Verordnung (KI-VO) für mein Unternehmen?

Die KI-Verordnung ist seit August 2024 in Kraft, ihre Anwendbarkeit erfolgt jedoch gestaffelt. Sie gilt für Anbieter und Betreiber von KI-Systemen in der EU. Ziel ist es, KI sicher, transparent und ethisch einzusetzen – mit Schutz für die Nutzer und Raum für Innovation.

Welche KI-Systeme fallen unter die Verordnung?

Die KI-VO definiert KI technologieneutral als maschinengestützte Systeme, die in unterschiedlichem Maße autonom arbeiten, sich anpassen können und Ergebnisse wie Vorhersagen, Empfehlungen oder Entscheidungen erzeugen. Die Regulierung folgt einem risikobasierten Ansatz. Welche Risikoklasse Ihr System betrifft, klären wir im Rahmen einer individuellen rechtlichen Prüfung.

Welche Pflichten ergeben sich für Unternehmen?

Je nach Risikoklasse steigen die Compliance-Anforderungen: von Transparenzpflichten bis hin zu speziellen Anforderungen an Hochrisiko-Systeme. Dazu gehören u. a. ein Risikomanagementsystem nach Art. 9 KI-VO, eine Konformitätsbewertung sowie eine umfassende technische Dokumentation nach Art. 11 KI-VO.Je nach Risikoklasse steigen die Compliance-Anforderungen: von Transparenzpflichten bis hin zu speziellen Anforderungen an Hochrisiko-Systeme. Dazu gehören u. a. ein Risikomanagementsystem nach Art. 9 KI-VO, eine Konformitätsbewertung sowie eine umfassende technische Dokumentation nach Art. 11 KI-VO.

Welche Beispiele gibt es für Hochrisiko-KI?

Hochrisiko-Systeme sind z. B. KI-Anwendungen in der beruflichen Bildung, in der Strafverfolgung oder im Zugang zu kritischen Dienstleistungen wie Gesundheitsversorgung oder Versicherungen.

Was passiert bei Verstößen gegen die KI-Verordnung?

Zuständig ist die Bundesnetzagentur. Verstöße können mit Sanktionen von bis zu 35 Mio. EUR oder 7 % des weltweiten Jahresumsatzes geahndet werden. Für KMU und Start-ups gelten reduzierte Bußgeldhöhen.

Muss ich meine Lieferketten und Verträge anpassen?

Ja. Der CRA verlangt, dass auch Lieferketten auf Cybersicherheit überprüft und vertraglich abgesichert werden. Wir unterstützen Sie bei der Anpassung Ihrer Verträge.

Wie unterstützt mich eine spezialisierte Kanzlei bei der CRA-Umsetzung?

NIS-2-Richtlinie

Was bedeutet die NIS-2-Richtlinie für mein Unternehmen?

Die NIS-2-Richtlinie ist eine EU-Richtlinie zur Stärkung der Cybersicherheit in bestimmten Sektoren. Unternehmen sind verpflichtet, umfassende Schutzmaßnahmen umzusetzen, Vorfälle zu melden und klare organisatorische Verantwortlichkeiten zu schaffen.

Wie finde ich heraus, ob mein Unternehmen unter NIS-2 fällt?

Ob Sie betroffen sind, hängt von Branche, Unternehmensgröße und Systemrelevanz ab. Wir unterstützen Sie mit einer detaillierten Betroffenheitsprüfung, die Klarheit schafft.

Können auch kleinere Unternehmen von NIS-2 erfasst werden?

Ja. Auch Unternehmen, die eigentlich unterhalb der Schwellenwerte liegen, können einbezogen werden, wenn sie kritische Funktionen erfüllen. Eine individuelle rechtliche Bewertung ist hier unerlässlich.

Welche Folgen drohen bei Verstößen gegen NIS-2?

Nicht-Umsetzung kann zu hohen Bußgeldern, behördlichen Maßnahmen und sogar persönlicher Haftung der Geschäftsleitung führen.

Wie unterstützt mich SFRP konkret bei der Umsetzung von NIS-2?

Wir entwickeln für Sie maßgeschneiderte Compliance-Programme – von der Risikoanalyse über Richtlinien bis hin zu Meldeprozessen. Mit unserem Compliance-as-a-Service-Modell entlasten wir Sie im Tagesgeschäft und sichern die laufende Umsetzung.

Warum sollte ich mir bei NIS-2 rechtliche Begleitung holen?

NIS-2 ist komplex: Neben technischen Aspekten sind auch Haftungsfragen und organisatorische Anforderungen entscheidend. Als spezialisierte Kanzlei für IT- und Datenschutzrecht sorgen wir dafür, dass Ihre Umsetzung rechtlich belastbar und wirtschaftlich tragfähig ist.