EU-Digitalrecht, das in Ihrem Unternehmen ankommt.

Die EU hat in kurzer Zeit einen neuen Rechtsrahmen für digitale Geschäftsmodelle, IT-Sicherheit und Plattformregeln geschaffen. Für viele Organisationen ist das weniger „Juristerei“, sondern ein Umsetzungsprogramm mit Governance-, Dokumentations- und Haftungsrelevanz. Ich begleite Sie vom schnellen Überblick bis zur konkreten Umsetzung in Policies, Rollen, Prozessen, Verträgen und auditfähigen Nachweisen – in einer Sprache, die Management und Fachbereiche gleichermaßen verstehen.

Hierbei unterstütze ich Unternehmen dabei, EU-Digitalisierungsgesetze wie NIS2, AI Act, Cyber Resilience Act, DSGVO, RKEG, Data Act, DSA und DMA pragmatisch und rechtssicher umzusetzen. Ich kläre rasch, ob und wie Sie betroffen sind, übersetze Pflichten in konkrete Schritte und sorge dafür, dass Prozesse, Verträge und Nachweise auch in der Praxis funktionieren.

Vereinbaren Sie ein kurzes Orientierungsgespräch oder lassen Sie Ihre Betroffenheit in einem strukturierten Erstcheck einschätzen.

NIS2 stärkt Cybersicherheit in kritischen und wichtigen Sektoren. Schwerpunkt sind Management‑Verantwortung, Risikomanagement‑Maßnahmen, Lieferkettensicherheit und klare Meldepflichten bei erheblichen Vorfällen.

Das nationale NIS2 Umsetzungsgesetz – NISG 2026 – hält folgende zeitlichen Meilensteine fest:

Bis 31.12.26 = 3 Monate nach Inkrafttreten (01.10.26):
o Registrierung als wesentliche/wichtige Einrichtung im NIS-Register.

Laufend ab 01.10.26:
o  Meldung von wesentlichen Cybersicherheitsvorfällen
o  Änderungen von Name/Firma, Kontaktdaten, Sektor: Meldung binnen 2 Wochen.
o  Änderungen bei IP-Bereichen, Niederlassungen, Schwellenwertinfos: Meldung binnen 3 Monaten.

Bis 12 Monate nach Registrierungspflicht:
o Selbstdeklaration (Risikomanagement, Risikoanalyse, System- und Lieferketteninfos) einreichen.

Ab 2 Jahren nach Inkrafttreten (nach Aufforderung durch die Behörde)
o Innerhalb von 2 Monaten nach Aufforderung (nur wesentliche Einrichtungen):
Nachweis der operativen & organisatorischen Umsetzung.
o Innerhalb von 2 Jahren nach Aufforderung (alle): technisch/operativer/organisatorischer Gesamtnachweis durch unabhängige Stelle.

Im Vorfallsfall:
Frühwarnung an Cybersicherheitsbehörde: unverzüglich, max. 24 h.
Detailmeldung: unverzüglich, max. 72 h.
Abschlussbericht: 1 Monat nach Detailmeldung (bzw. Fortschritts- + späterer Abschlussbericht bei langen Vorfällen).

Für wen:

Unternehmen in NIS2‑Sektoren nach dem NISG 2026, sowie
relevante IT‑Dienstleister und Lieferkettenbeziehungen

Die wichtigsten Rechte und Pflichten:

Feststellung der Betroffenheit
Schulung von Leitungsorganen
Awarenessbildung und Schulung aller Mitarbeitenden
Einführung Asset-/Risikomanagement und Informations-Sicherheits-Management-System (ISMS)
Umsetzung der Maßnahmen aus dem Risikomanagement
Sicherheit / Management der Lieferkette
Einführung der Systeme und Prozesse zur Erkennung und Meldung von Vorfällen
Einführung Business Continuity Management (BCM) und Notfallpläne (und Übung)
Registrierung bei der Behörde als wesentliche/wichtige Einrichtung
Selbstdeklaration vorbereiten und einreichen
!! Dokumentation und Führung der Nachweise zu Prozessschritten, Entscheidungen, Besprechungen etc.

Meine Leistungen für Sie:

Betroffenheitsanalyse und Klassifizierung (wesentlich/wichtig)
Gap‑Analyse, Maßnahmenplan, Governance‑Set‑up und Nachweise
Meldeprozesse, Übungen, Management‑Reporting
Schulungen und Trainings für Geschäftsleitungen, Führungskräfte und Mitarbeitende

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Der CRA richtet sich an Produkte mit digitalen Elementen und macht Security‑by‑Design sowie Schwachstellenmanagement verbindlich.

In Kraft seit 10.12.2024. Die Hauptpflichten gelten ab 11.12.2027, bestimmte Meldepflichten ab 11.09.2026.

Für wen:

Hersteller/Importeure/Vertreiber von Hardware/Software mit digitalen Elementen; indirekt auch Beschaffer über Lieferkettenanforderungen.

Die wichtigsten Rechte und Pflichten:

Sichere Entwicklung, technische Dokumentation, Updates, Vulnerability‑Handling und teils Meldepflichten bei aktiv ausgenutzten Schwachstellen.

Meine Leistungen für Sie:

Produktportfolio‑Check und Pflichtenmapping
Verträge zu Updates, Support, Transparenz (z. B. SBOM)
Compliance‑Roadmap und Dokumentations‑Setup

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Die CER‑Richtlinie stärkt die physische und organisatorische Resilienz kritischer Einrichtungen – über IT hinaus (Kontinuität, Schutz, Krisenfähigkeit).

Österreichische Umsetzung durch das RKEG:; Inkrafttreten mit 01.03.2026.

Für wen:

Betreiber kritischer Einrichtungen (je nach nationaler Einstufung), z. B. Energie, Transport, Gesundheit, Wasser, digitale Infrastruktur. – Die Einstufung erfolgt durch Bescheid der Behörde.

Die wichtigsten Rechte und Pflichten:

Risikoanalyse,
Resilienzmaßnahmen, Koordination und Nachweise;
Verzahnung mit BCM und Sicherheitsorganisation.

Meine Leistungen für Sie:

Scope‑Abgrenzung und Betroffenheitscheck
Resilienz‑Gap‑Analyse, Maßnahmenplan, Nachweissystem
Verzahnung mit BCM (ISO 22301) und Informationssicherheit (ISO 27001/NIS2)

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Der AI Act schafft EU‑weit einheitliche Regeln für KI. Er folgt einem risikobasierten Ansatz: je höher das Risiko, desto strenger die Anforderungen. Er bringt auch Pflichten für alle Unternehmen, die KI einsetzen.

Für wen:

Unternehmen, die KI entwickeln, vertreiben, betreiben oder im Unternehmen einsetzen – besonders in sensiblen Bereichen (z. B. HR, Kredit, kritische Infrastruktur).

Die wichtigsten Rechte und Pflichten:

Pflichten betreffen Governance, Dokumentation, Transparenz, Human Oversight, Datenqualität, Robustheit/Cybersicherheit und laufende Risikosteuerung.

Meine Leistungen für Sie:

AI‑Use‑Case‑Inventar und Risikoklassifizierung
Policy‑Set, Verantwortlichkeiten und Prozessdesign
Vertrags‑ und Lieferantenklauseln (KI‑Provider, Daten, Haftung)
Audit‑Readiness und Schulungen
Erstellung von KI-Richtlinien und Guidelines

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Die DSGVO ist der zentrale EU‑Rechtsrahmen für den Schutz personenbezogener Daten. Sie soll Transparenz schaffen, Betroffenenrechte stärken und klare Pflichten für Verantwortliche und Auftragsverarbeiter etablieren – inklusive Haftung und Sanktionen.

Für wen:

Praktisch alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten (Kunden, Mitarbeitende, Lieferanten, Interessenten).
Besonders relevant bei Online‑Services, Marketing/Tracking, Cloud‑Nutzung, HR‑Prozessen, Videoüberwachung und internationalen Datenübermittlungen.

Die wichtigsten Rechte und Pflichten:

Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch; Informationspflichten (Transparenz).
Pflichten: Rechtsgrundlagen, Zweckbindung/Datensparsamkeit, TOMs, Auftragsverarbeitung, Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung (DSFA) bei hohem Risiko, Meldung von Datenschutzverletzungen, Privacy-by-Design/Default.
Organisatorisch: Rollen, Prozesse und Nachweise müssen im Alltag funktionieren und dokumentiert sein.

Meine Leistungen für Sie:

Pragmatischer DSGVO‑Check (Betroffenheit, Risiken, Prioritätenplan)
Überarbeitung von Verträgen (AVV, Joint Controller, Datenübermittlungen), Datenschutzhinweisen und Cookie-/Tracking‑Setup
Aufbau eines nachvollziehbaren Datenschutz‑Governance‑Systems (Rollen, Prozesse, Dokumentation, Schulungen)
DSFA/Privacy‑Risikoanalysen sowie Begleitung bei Data Breaches und Kommunikation mit der DSB
Übernahme der Rolle als Datenschutzbeauftragte gem. Art 37 ff. DSGVO

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Der Data Act regelt fairen Zugang zu und Nutzung von Daten aus vernetzten Produkten und Diensten. Ziel sind Portabilität, weniger Lock‑in und fairere Datenverträge.

In Kraft seit 11.01.2024; gilt ab 12.09.2025.

Für wen:

Hersteller/Anbieter vernetzter Produkte/Services,
Dateninhaber und Datenempfänger,
Cloud‑/Edge‑Anbieter und datengetriebene Industriebetriebe.

Die wichtigsten Rechte und Pflichten:

Zugangsrechte zu Produktdaten, Datenweitergabe, Kontrolle unfairer Vertragsklauseln sowie Regeln zu Cloud‑Switching/Interoperabilität.

Meine Leistungen für Sie:

Datenfluss‑ und Vertragsanalyse, Standardklauseln
Cloud‑Exit/Portabilitäts‑Readiness
Abstimmung mit DSGVO und Geschäftsgeheimnissen

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Der DSA schafft EU‑weit Regeln für ein sicheres und transparentes Online‑Umfeld. Er setzt Pflichten für Vermittlungsdienste und Plattformen fest.

Gilt EU‑weit seit 17.02.2024; KDD‑G in Österreich: Inkraft seit 17.02.2024.

Für wen:

Plattformen, Hosting‑Provider, Marktplätze, App‑Stores, soziale Netzwerke und andere Vermittlungsdienste.

Die wichtigsten Rechte und Pflichten:

Meldesysteme (Notice‑and‑Action), Transparenz, Begründungen bei Inhaltsentscheidungen, Werbetransparenz; bei sehr großen Plattformen zusätzlich systemisches Risikomanagement.

Meine Leistungen für Sie:

Pflichtencheck, Prozessdesign und AGB/Policy‑Update
Transparenz‑ und Reporting‑Pakete, Training
Schnittstelle zur Aufsicht: nationaler Rahmen u. a. über das österreichische KDD‑G

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.

Der DMA adressiert Marktmacht großer Gatekeeper‑Plattformen und soll faire, wettbewerbsfähige digitale Märkte sichern.

Gilt seit 02.05.2023.

Für wen:

Gatekeeper‑Plattformen sowie Unternehmen, die Plattformen als Geschäftskanal nutzen.

Die wichtigsten Rechte und Pflichten:

Do’s & Don’ts für Gatekeeper (z. B. Datennutzung, Selbstbevorzugung, Interoperabilität) und mehr Rechte für Business‑User.

Meine Leistungen für Sie:

Prüfung von Plattformverträgen und Datenklauseln
Strategische Beratung zu Plattformabhängigkeiten und Optionen
Unterstützung bei Kommunikation/Beschwerden

Die Leistungen werden gemeinsam mit meinem Kooperationspartner angeboten.