de
en
Karriere Team Philosophie Fokusgruppen
Blog & Podcasts News & Events Suche Kontakt
×
Karriere Team Philosophie Fokusgruppen
Blog & Podcasts News & Events Suche Kontakt
de
en
×
Fokusgruppen
+
Transactions HR.Law Japan Tech.Law Risk Regulatory
News & Events
+
Deals Pressemitteilungen Auszeichnungen Events
Karriere
+
Karriere Stellenangebote
Kontakt
Ansprechpartner Human Resources
Karrierewege
Karriereweg Juristen Karriereweg Wirtschaftsjuristen Karriereweg Assistenz & Business Services
Entwicklungmöglichkeiten
Nachwuchsprogramme Praktikantenprogramm ARQIS Academy
Blog & Podcasts
+
Blog Podcasts
Big Law Boutique
HR.Law Tech.Law Regulatory Compliance Alle Blogbeiträge
Innovation
ESG Metaverse Alle Blogbeiträge
Team
Philosophie
Presseanfragen
Kontakt
Home | Tech.Law | Tech Compliance (Data, AI, Cyber)

Daten, KI-Systeme und vernetzte Infrastrukturen sind heute Grundlage vieler Geschäftsmodelle – und gleichzeitig Gegenstand einer dichten, sich permanent verändernden Regulierung.

Mit Tech Compliance (Data, AI, Cyber) sorgen wir dafür, dass Ihr Unternehmen die relevanten Vorgaben aus DSGVO/BDSG, Data Act, AI Act, DSA/DMA, NIS2, DORA, CRA und weiteren Regelwerken beherrscht – ohne Innovationskraft zu verlieren.

Unser Ziel: Ein Compliance-Setup, das nicht nur Risiken begrenzt, sondern den sicheren Einsatz von Daten, KI und Technologie als Wettbewerbsvorteil ermöglicht.

Worum es bei Tech Compliance geht

Tech Compliance bündelt alle Anforderungen, die sich aus Datenschutzrecht, KI-Regulierung, Cyber-Sicherheitsrecht und digitaler Regulierung für den Einsatz von Technologie ergeben.

Wir betrachten dabei nicht nur einzelne Rechtsakte, sondern Ihr gesamtes technisches und organisatorisches Setup: Datenströme, Systeme, Rollen, Verträge, Prozesse und Governance-Strukturen.

Auf dieser Grundlage entwickeln wir mit Ihnen ein Operating Model, in dem Verantwortlichkeiten klar definiert sind, Risiken transparent werden und technische Innovation sicher skaliert werden kann.

Unsere Leistungen im Überblick

DSGVO, BDSG, internationale Transfers

Datenschutz & Data Governance

Wir unterstützen Unternehmen beim Aufbau und der Weiterentwicklung eines tragfähigen Datenschutz- und Data-Governance-Frameworks.

Dazu gehören u.a. die Analyse und Dokumentation von Datenverarbeitungsprozessen, Datenschutz-Folgenabschätzungen (DPIA), internationale Datentransfers (inkl. Schrems II, Transfer Impact Assessments) sowie die Ausgestaltung von Rollen- und Verantwortlichkeitsmodellen (Controller/Processor/Joint Controllers).

Auf Wunsch entwickeln wir gemeinsam mit Ihnen Datenschutzrichtlinien, TOM-Konzepte, Standardvertragsklauseln, Datenverarbeitungsverträge und Binding Corporate Rules und begleiten interne Stakeholder bei der Umsetzung.

 

  • Konzeption einer Datenschutz- und Data-Governance-Strategie (Zielbild, Rollen, Policies)
  • Erstellung und Review von Verzeichnissen der Verarbeitungstätigkeiten und Datenfluss-Mappings
  • Durchführung von Datenschutz-Folgenabschätzungen (DPIA) inkl. Risikobewertung und Maßnahmenplanung
  • Internationale Datentransfers: Transfer Impact Assessments, SCCs, Ergänzungsmaßnahmen, konzernweite Transfer-Frameworks
  • Rollen- und Verantwortlichkeitsmodelle (Controller/Processor/Joint Controllers) inkl. Vertragsdokumente
  • Privacy-by-Design/-Default-Konzepte in Produkten und Prozessen
  • Datenschutz-Management-System (Richtlinien, Prozesse, Reporting, KPIs)
AI Act, Produkthaftung, KI & IP, KI & Datenschutz

KI-Compliance

Wir beraten beim Einsatz von KI-Systemen entlang der Vorgaben des AI Act und der einschlägigen Haftungs- und Produktsicherheitsregime.

Im Fokus stehen u.a. die Einstufung von KI-Systemen in Risikokategorien, Anforderungen an Governance, Datenqualität, Transparenz und Human Oversight sowie die Verzahnung mit Datenschutz- und IP-Fragen (Training von Modellen, Nutzung von Trainingsdaten, Schutz und Nutzung von KI-Outputs).

Wir helfen, KI-Use-Cases so zu gestalten, dass sie rechtlich tragfähig, dokumentiert und intern vermittelbar sind – inklusive Policies, Guidelines und Schulungen.

 

  • AI-Act-Readiness-Assessment: Analyse von Use-Cases (Risikoklassen, Pflichten, Rollen)
  • AI-Governance-Framework (Rollen, Freigaben, Dokumentation, Monitoring)
  • Unterstützung bei Dokumentation/Technical File (Datenherkunft, Trainingsdaten, Tests, Monitoring)
  • Human Oversight & Eskalationswege („Human in the loop / on the loop“)
  • Verzahnung mit Datenschutz (Rechtsgrundlagen, Profiling, Transparenz) und IP (Training, Outputs)
  • Verträge & Haftung für KI (Vendor, SLA/OLA, Gewährleistung, Produktregeln)
  • Schulungen/Workshops für Legal, Compliance, IT, Produkt und Fachbereiche

Data Act & Datenwirtschaft / Data Sharing

Der Data Act und weitere datenbezogene Regelwerke schaffen neue Zugangs-, Nutzungs- und Weitergaberechte für Daten – insbesondere bei vernetzten Produkten und IoT-Ökosystemen.

Wir analysieren, welche Pflichten und Gestaltungsspielräume sich für Ihr Geschäftsmodell ergeben, und entwickeln passende Vertrags- und Governance-Strukturen für B2B- und B2G-Datenzugriff, Datenpools, Datenräume und Data-Sharing-Modelle.

Dabei legen wir besonderen Wert auf die Abstimmung mit bestehenden IP-, Datenschutz- und IT-Vertragsstrukturen, um Widersprüche und Doppelregulierung zu vermeiden.

 

  • Impact-Analyse Data Act (insb. vernetzte Produkte, IoT, Plattformen)
  • Mapping von Datenquellen, Datenarten und Zugriffsrechten
  • Data-Sharing-Modelle (B2B/B2G, Datenräume, Datenpools) inkl. Governance
  • Datenlizenz-, Data-Sharing- und Datenzugangsverträge (Haftung, IP, Wettbewerb, Geheimnisschutz)
  • Alignment mit IP-, Datenschutz- und IT-Vertragsstrukturen
  • Prozesse/Gremien zur Steuerung von Datennutzung (Data Council, Use-Case-Review)
  • Begleitung bei Behörden-/Regulatorik-Kontakten (bei aufsichtsrechtlicher Relevanz)

Digitale Ethik & Corporate Digital Responsibility

Rechtliche Compliance ist nur ein Teil einer verantwortungsvollen Digitalstrategie. Viele Unternehmen definieren zusätzlich eigene Standards für einen verantwortungsvollen Umgang mit Daten, Algorithmen und Technologie.

Wir unterstützen bei der Entwicklung von Leitlinien, Governance-Strukturen und Prozessen für Digital Ethics und Corporate Digital Responsibility (CDR) – etwa zu Fairness, Nichtdiskriminierung, Transparenz und Erklärbarkeit von Entscheidungsprozessen.

Ziel ist ein Rahmen, in dem rechtliche, ethische und unternehmensstrategische Aspekte konsistent zusammengeführt werden.

 

  • Digital-Ethics- und CDR-Leitlinien (Daten, Algorithmen, KI, Automatisierung)
  • Prüf- und Freigabeprozesse für kritische Use-Cases (Scoring, Profiling, automatisierte Entscheidungen, Monitoring)
  • Gremienstrukturen (Ethikboard, Use-Case-Committee) inkl. Eskalationswegen
  • Integration in Risikomanagement, Produktentwicklung und Vendor-Management
  • Transparenz- und Erklärbarkeitskonzepte (intern/extern)
  • Trainings/Sensibilisierung für Management, Fachbereiche und Tech-Teams
  • Unterstützung bei externer Kommunikation (z.B. CDR/ESG-Berichte mit Digital-Fokus)
NIS2, DORA, CRA, BSI/KRITIS

Cyber-Resilienz & IT-Sicherheit

Cyber-Resilienz ist Kernbestandteil moderner Tech Compliance. Mit NIS2, DORA, CRA und branchenspezifischen BSI-/KRITIS-Vorgaben werden die Anforderungen an Sicherheitsmaßnahmen und Meldeprozesse deutlich verschärft.

Wir beraten bei der Einordnung Ihres Unternehmens in den relevanten Anwendungsbereich, beim Aufbau von Informationssicherheits- und Meldeprozessen sowie bei der Erstellung und Überprüfung von Notfall- und Incident-Response-Plänen.

Im Ernstfall begleiten wir Sie bei der Bewertung von Sicherheitsvorfällen und der Kommunikation mit Aufsichtsbehörden, Partnern und Betroffenen.

 

  • Gap-Analysen zu NIS2/DORA/CRA/BSI-KRITIS (Organisation, Prozesse, Dokumentation)
  • ISMS-Aufbau/Weiterentwicklung in Abstimmung mit CISO/IT
  • Security-Policies, Notfall- und Incident-Response-Pläne inkl. Meldeprozessen
  • Tabletop-Exercises / Incident-Simulationen (IT, Legal, Compliance, Kommunikation)
  • Verträge mit IT-/Cloud-Dienstleistern (Security-Klauseln, Auditrechte, Meldepflichten, Haftung)
  • Produktsicherheits-/Konformitätsanforderungen nach CRA (Soft-/Hardware)
  • Unterstützung bei Aufsichtsverfahren und Audits (Q&A, Maßnahmenpläne)

Typische Situationen & Use Cases

  • Einführung eines neuen datengetriebenen Produkts oder einer Plattform für mehrere EU-Staaten
  • Aufbau eines konzernweiten Data-Lakes / Data Warehouses für Analytics, Reporting und KI
  • Implementierung von generativer KI oder anderen KI-Systemen in internen Prozessen (z.B. Customer Support, HR, Compliance)
  • Anpassung von Governance- und Vertragsstrukturen an AI Act, Data Act, DSA/DMA, NIS2, DORA oder CRA
  • Vorbereitung auf Aufsichtsprüfungen, Audits oder Zertifizierungen im Bereich Datenschutz, Informationssicherheit oder KI

Schnittstellen zu anderen Fokusgruppen

Tech Compliance (Data, AI, Cyber) ist eng verzahnt mit weiteren ARQIS-Fokusgruppen:

  • HR.Law – insbesondere bei Beschäftigtendatenschutz, HR-Analytics, Workplace Tools und HR-AI
  • Transactions – bei Tech-M&A, Buy-&-Build, IP/IT- und Daten-Compliance in Due Diligence und Post-Merger-Integration
  • Risk und Regulatory – bei sektoralen Anforderungen, Enforcement-Themen und der Ausgestaltung von Compliance-Management-Systemen

Wir stellen sicher, dass Tech Compliance nicht isoliert gedacht wird, sondern in Ihre gesamthafte Governance- und Unternehmensstrategie eingebettet ist.

Team & Kontakt

Wenn Sie Fragen zu Tech Compliance haben oder ein konkretes Projekt besprechen möchten, schreiben Sie uns gerne oder sprechen Sie unsere Ansprechpartnerinnen und Ansprechpartner direkt an.

Jetzt Kontakt aufnehmen
Tobias Neufeld, LL.M.