Recht-und-software

Recht, Compliance & Softwarearchitektur – Einfach erklärt

Diese Seite bietet einen leicht verständlichen Überblick über die wichtigsten Gesetze und Standards, die kleine und mittelständische Unternehmen (KMU) in Deutschland bis 2030 im Bereich Softwareentwicklung und IT-Architektur kennen sollten.
Sie dient als Nachschlagewerk und bietet zu jedem Thema einen ersten Einstieg.


Inhaltsverzeichnis

  1. EU-AI-Act
  2. NIS2
  3. Accessibility (EAA/BFSG)
  4. PCI DSS
  5. Querschnittsthemen

1. EU-AI-Act

Was ist das?
Der EU-AI-Act ist das erste umfassende Gesetz in Europa zur Regulierung von Künstlicher Intelligenz (KI).
Er soll sicherstellen, dass KI-Systeme sicher, nachvollziehbar und vertrauenswürdig sind.

Für KMU bedeutet das:

  • KI-Risikoklassifizierung: Prüfen, ob Ihre KI-Anwendung in eine Risikokategorie fällt (z. B. hochriskant).
  • KI-Governance: Interne Regeln und Verantwortlichkeiten für den Einsatz von KI festlegen.
  • Nachweisbarkeit: Technisch dokumentieren, wie eine KI zu ihren Entscheidungen kommt.

Warum wichtig?
Fehlerhafte KI-Entscheidungen können nicht nur das Vertrauen schädigen, sondern auch zu Bußgeldern führen.


2. NIS2

Was ist das?
Die NIS2-Richtlinie ist eine EU-weite Vorschrift zur Cybersicherheit.
Sie richtet sich an Unternehmen, die für die Gesellschaft wichtige Dienstleistungen erbringen – zunehmend auch an kleinere Betriebe.

Für KMU bedeutet das:

  • Cybersecurity-Architektur: Technische Sicherheitsmaßnahmen wie Firewalls, Verschlüsselung und Zugriffskontrollen.
  • Lieferkettensicherheit: Sicherstellen, dass auch Ihre IT-Dienstleister und Zulieferer sicher arbeiten.

Warum wichtig?
Cyberangriffe nehmen zu – NIS2 hilft, das Unternehmen widerstandsfähiger zu machen und Sicherheitslücken zu schließen.


3. Accessibility (EAA/BFSG)

Was ist das?
Der European Accessibility Act (EAA) und das deutsche Barrierefreiheitsstärkungsgesetz (BFSG) sorgen dafür, dass digitale Produkte und Dienstleistungen für alle Menschen nutzbar sind – auch für Menschen mit Behinderungen.

Für KMU bedeutet das:

  • WCAG 2.1 AA: Technischer Standard für barrierefreie Websites und Apps.
  • Barrierefreiheit in Apps: Inhalte müssen per Screenreader nutzbar sein, mit guten Kontrasten und ohne Bedienhindernisse.

Warum wichtig?
Barrierefreiheit ist nicht nur Pflicht, sondern erschließt auch neue Kundengruppen und verbessert die Nutzererfahrung für alle.


4. PCI DSS

Was ist das?
Der PCI DSS ist ein Sicherheitsstandard für Unternehmen, die Kreditkartenzahlungen verarbeiten.

Für KMU bedeutet das:

  • Zahlungsdaten-Sicherheit: Kreditkartendaten müssen verschlüsselt übertragen und gespeichert werden.

Warum wichtig?
Ein Datenleck mit Kreditkartendaten kann zu hohen Strafen und Vertrauensverlust führen.


5. Querschnittsthemen

Diese Themen betreffen fast jedes Unternehmen, unabhängig von der Branche.

Für KMU bedeutet das:

  • Datenschutz (DSGVO): Persönliche Daten nur erheben, wenn nötig, und sicher speichern.
  • DevSecOps: Sicherheit von Anfang an in die Softwareentwicklung integrieren.

Warum wichtig?
Diese Themen bilden die Grundlage für fast alle anderen IT- und Compliance-Anforderungen.