Schiefer Rechtsanwälte: Digitale Resilienz (Interview)

„EU-Vorgaben wie die NIS-2-Richtlinie oder der Cyber Resilience Act fördern eine einheitliche digitale Resilienz, indem sie verbindliche Mindestanforderungen über alle Branchen hinweg festlegen. Insbesondere in der öffentlichen Beschaffung von IT-Diensten und digitalen Produkten ist das das Um und Auf“, so Martin Schiefer, Partner Schiefer Rechtsanwälte.

Im Interview mit Leitbetriebe Austria erzählt Martin Schiefer über die Handhabung sensibler Klienten-Daten bei Schiefer Rechtsanwälte, der NIS-2-Richtlinie und dem Einsatz künstlicher Intelligenz.

Welche Maßnahmen setzt Schiefer Rechtsanwälte, um die digitale Sicherheit und Vertraulichkeit von sensiblen Klienten-Daten in öffentlichen Ausschreibungsverfahren zu gewährleisten?
Bei Schiefer Rechtsanwälte setzen wir auf einen integrativen Ansatz, der sowohl die rechtlichen als auch die technischen Aspekte der Datensicherheit umfasst. Wir stellen sicher, dass alle sensiblen Daten in Übereinstimmung mit den höchsten Sicherheitsstandards verarbeitet werden. Dazu gehören verschlüsselte Kommunikationskanäle und regelmäßige Audits unserer IT-Infrastruktur. Zusätzlich arbeiten wir mit spezialisierten Partnern zusammen, um die Einhaltung von Datenschutzvorgaben wie der DSGVO sicherzustellen.
In öffentlichen Ausschreibungsverfahren achten wir darauf, dass die Anforderungen an Cybersicherheit und Datenschutz bereits in der Angebotsphase berücksichtigt und vertraglich verankert werden. Besonders in der digitalen Transformation des Vergaberechts spielen diese Maßnahmen eine Schlüsselrolle.

Inwiefern fördern Ihrer Meinung nach EU-Vorgaben eine einheitliche digitale Resilienz in Vergabeverfahren, und welche rechtlichen Anpassungen sind dafür auf nationaler Ebene erforderlich?
EU-Vorgaben wie die NIS-2-Richtlinie oder der Cyber Resilience Act fördern eine einheitliche digitale Resilienz, indem sie verbindliche Mindestanforderungen über alle Branchen hinweg festlegen. Insbesondere in der öffentlichen Beschaffung von IT-Diensten und digitalen Produkten ist das das Um und Auf. Darüber hinaus schaffen Maßnahmen wie diese auch eine gemeinsame Basis für den Wettbewerb im digitalen Bereich.
Auf nationaler Ebene ist Österreich gefordert, die NIS-2-Richtlinie auch umzusetzen, um nicht weiter ins Hintertreffen zu geraten. Insbesondere müssen auch neue Sicherheitsstandards für öffentliche Ausschreibungen geschaffen werden, die den Schutz kritischer Infrastrukturen und sensibler Daten gewährleisten. Ein zügiger legislative Umsetzungsprozess ist entscheidend, um ein funktionierendes System der digitalen Resilienz in Vergabeverfahren zu etablieren.

Welche Strategien empfehlen Sie Unternehmen, um die Anforderungen der EU-Richtlinien, wie der NIS-2-Richtlinie, im Rahmen digitaler Vergabeverfahren zu erfüllen?
Unternehmen sollten frühzeitig beginnen, ihre internen Sicherheitsstrukturen auf die Anforderungen der NIS-2-Richtlinie auszurichten. Dazu gehört, dass sie ihre Cybersicherheitsstrategie umfassend überprüfen und gegebenenfalls anpassen, um sicherzustellen, dass alle relevanten Systeme und Daten ausreichend geschützt sind. Konkret sollten Unternehmen über ein funktionierendes Incident-Management verfügen, das schnell auf Sicherheitsvorfälle reagieren kann. Auch die regelmäßige Schulung der Mitarbeitenden in Bezug auf digitale Sicherheit ist wichtig. IT-Produkte und -Dienste müssen den neuen Anforderungen, insbesondere im Hinblick auf den Cyber Resilience Act, entsprechen. In öffentlichen Vergabeverfahren bedeutet dies, dass Unternehmen die Einhaltung dieser Richtlinien als Teil ihres Angebots nachweisen können müssen – und das nicht nur zum Zeitpunkt der Vergabe, sondern auch während der gesamten Laufzeit des Projekts.

Welche rechtlichen und sicherheitsrelevanten Anforderungen stellt die EU an den Einsatz von KI in digitalen Vergabeverfahren?
Der Einsatz von Künstlicher Intelligenz (KI) in digitalen Vergabeverfahren unterliegt strengen rechtlichen und sicherheitsrelevanten Anforderungen, die sowohl die Datensicherheit als auch die Fairness und Transparenz betreffen. Zunächst einmal müssen KI-gestützte Systeme in Übereinstimmung mit den Datenschutzvorgaben der EU betrieben werden, insbesondere der DSGVO, wenn mit personenbezogenen Daten gearbeitet wird. Darüber hinaus gibt es Anforderungen an die Transparenz der verwendeten Algorithmen: Anbieter müssen nachweisen, wie ihre KI-Modelle Entscheidungen treffen und wie die Daten verarbeitet werden. Auch in Bezug auf Cybersicherheit ist der Schutz vor Manipulation und Missbrauch von KI-Systemen unerlässlich. Die EU hat in ihrem AI-Act bereits erste gesetzliche Regelungen getroffen, um den sicheren und ethischen Einsatz von KI zu fördern. Unternehmen, die KI in Vergabeverfahren einsetzen, müssen sicherstellen, dass ihre Systeme den Anforderungen an Sicherheit, Nachvollziehbarkeit und Diskriminierungsfreiheit entsprechen.

Was bedeutet für Sie die Teilnahme bei Leitbetriebe Austria? Was heißt es für Sie, ein Vorbildunternehmen zu sein?
Die Teilnahme an Leitbetriebe Austria ist für uns eine große Ehre und zugleich eine Verpflichtung. Sie ist Ausdruck unseres Engagements für Innovation, Nachhaltigkeit und Verantwortung in der Wirtschaft. Als Vorbildunternehmen streben wir danach, nicht nur als erfolgreiche Kanzlei in unserem Bereich wahrgenommen zu werden, sondern auch als Unternehmen, das Verantwortung für die Gesellschaft und unser aller Zukunft übernimmt.
Für uns bedeutet das, immer einen Schritt voraus zu sein, Vergaberecht neu zu denken. Als Leitbetrieb zeigen wir, dass es möglich ist, rechtliche Expertise mit einem tiefen Verständnis für die gesellschaftlichen Herausforderungen unserer Zeit zu verbinden und so aktiv zur Weiterentwicklung unseres Landes beizutragen.