65und Compliancestrukturen befassen und vorsorgen. Dazu geh%u00f6rt das Etablieren von Governancestrukturen, das Festlegen von Verantwortlichkeiten und das Einfordern regelm%u00e4%u00dfiger Berichterstattung. Der Schl%u00fcssel liegt darin, diese %u001aemen nicht einfach an die IT-Abteilung abzuschieben. Es handelt sich um Managementaufgaben. Die Verantwortung daf%u00fcr liegt bei den F%u00fchrungskr%u00e4ften %u2013 auch aufgrund von Haftungsstrafen f%u00fcr das Management.Die Strafen bei Verst%u00f6%u00dfen sind teilweise drastisch. Ist diese H%u00e4rte aus Ihrer Sicht gerechtfertigt, oder schie%u00dft der Gesetzgeber %u00fcber das Ziel hinaus?Thomas Simon: Die Strafen wirken hart, aber genau das ist beabsichtigt. Es geht darum, Anreize zu schaffien, die %u001aemen ernst zu nehmen. Aus Compliancesicht muss man aber keine Angst haben: Wer sauber dokumentiert, die Risiken ernst nimmt und strukturiert vorgeht, hat nichts zu bef%u00fcrchten. Wenn ein Unternehmen nachweisen kann, dass es sich bem%u00fcht %u2013 etwa durch einen Zertiffzierungsprozess oder den Aufbau entsprechender Strukturen %u2013, wird auch eine Beh%u00f6rde das bei der Beurteilung ber%u00fccksichtigen.Ist es sinnvoll, sich proaktiv nach der DSGVO zertifizieren zu lassen?Thomas Simon: Die DSGVO sieht vor, dass man sich zertiffzieren lassen kann, was bei einem Datenschutzvorfall strafmindernd wirkt. Schlie%u00dflich kann man nachweisen, dass ausreichende Ma%u00dfnahmen gesetzt wurden. Besonders im Zeitalter von KI und geopolitischen Unruhen besteht die Bef%u00fcrchtung, personenbezogene Daten weltweit zu verteilen. Eine Zertiffzierung hilft, Kunden und Dienstleistern zu signalisieren, dass die Daten DSGVO konform und sicher verarbeitet werden. Wir als BDO sind die erste und einzige Zertiffzierungsstelle in %u00d6sterreich, die sowohl Verantwortliche als auch Auftragsverarbeiter zertiffzieren darf.Der AI Act kategorisiert KI-Systeme nach Risikostufen. Nachdem wir auf dem Gebiet einen regelrechten Boom erleben: Wie stellt man fest, in welche Kategorie KI-Anwendungen fallen?Thomas Simon: Die risikoorientierte Einstufung h%u00e4ngt vom Anwendungszweck ab und nicht von der Technologie. Eine KI, die Lebensl%u00e4ufe vorsortiert, f%u00e4llt gegebenenfalls in die Hochrisikokategorie, w%u00e4hrend ein KI-Chatbot im Kundenservice eher niedrig eingestuft wird. Unternehmen m%u00fcssen k%u00fcnftig ein KI-Register f%u00fchren, Risikoanalysen durchf%u00fchren und bei Hochrisiko-KI strenge Anforderungen einhalten. Dabei geht es um Transparenz, Datenqualit%u00e4t und menschliche Aufsicht.Welche positiven Effekte beobachten Sie bei Unternehmen, die die Regulierungen nicht nur als l%u00e4stige Pflicht, sondern als Chance begreifen %u2013 gibt es messbare Vorteile?Thomas Simon: Viele Unternehmen nutzen den Anlass, um ihre IT-Strukturen zu professionalisieren, Risiken gezielt zu managen und Vertrauen bei Kunden und Partnern zu st%u00e4rken. Gerade in den Bereichen Cybersecurity und KI k%u00f6nnen gute Governance und Transparenz echte Marktvorteile bringen. Die Attraktivit%u00e4t als Gesch%u00e4ftspartner oder Dienstleister steigt, wenn man die geforderten Anforderungen nachweislich einh%u00e4lt. Es geht nicht nur um eine Pfflicht, sondern um strategische Resilienz und Wettbewerbsf%u00e4higkeit. Ausschreibungen werden zunehmend diese Anforderungen explizit fordern %u2013 wer sie nicht erf%u00fcllt, ist schnell aus dem Rennen.Wie k%u00f6nnen sich Unternehmen schon heute auf die regulatorischen Entwicklungen vorbereiten, die bereits %u201eam Horizont%u201c zu erkennen sind? Thomas Simon: Unternehmen sollten ihre Compliancestrukturen modular und skalierbar aufbauen und %u001aemen fr%u00fchzeitig scannen, bevor der Gesetzgeber zuschl%u00e4gt. Es ist wichtig, sich mit den %u001aemen zu besch%u00e4ftigen %u2013 selbst wenn man feststellt, dass man nicht betroffien ist, ist das eine wertvolle Erkenntnis. Idealerweise sollte ein Compliance Oflcer diese IT-Regulatorik im Blick haben. Da dieser aber oft nicht auf IT-Regulatorik spezialisiert ist, empffehlt es sich, eine zentrale Stelle zu deffnieren oder regelm%u00e4%u00dfig externe Unterst%u00fctzung zu holen, um auf dem Laufenden zu bleiben._Wer die regulatorischen Anforderungen nicht erf%u00fcllt, ist schnell aus dem Rennen.Thomas SimonProkurist und Experte f%u00fcr ITCompliance und Cybersecurity, BDO Austria