nuwacom erfüllt die Anforderungen aus § 203 StGB und DORA - was das für regulierte Branchen bedeutet

Die meisten KI-Plattformen sind für Organisationen gebaut, in denen die zentralen Governance-Fragen primär interner Natur sind: Wer darf worauf zugreifen? Wie werden Ergebnisse geprüft? Wie werden Daten klassifiziert? Doch es gibt Unternehmen, die unter grundsätzlich anderen Bedingungen arbeiten: Branchen, in denen die Vertraulichkeit von Kunden-, Mandanten- und Patientendaten keine Richtlinienentscheidung ist, sondern eine gesetzliche Pflicht.

Mit zwei aktuellen Ergänzungen unseres rechtlichen und regulatorischen Rahmens adressieren wir genau diese Lücke.

Eine Zusatzvereinbarung für Berufsgeheimnisträger

§ 203 des Strafgesetzbuchs begründet eine strafrechtliche Verantwortlichkeit für die unbefugte Offenbarung von Geheimnissen, die einem Berufsträger im Rahmen seiner Tätigkeit anvertraut wurden. Anwälte, Ärzte, Steuerberater, Wirtschaftsprüfer, Psychotherapeuten - die Aufzählung umfasst eine breite Reihe beratender und versorgender Berufe. Die Pflicht ist streng, und sie erstreckt sich auf externe Dienstleister: Seit einer Gesetzesänderung im Jahr 2017 können KI- und Cloud-Anbieter als “mitwirkende Personen” nach § 203 eingebunden werden, allerdings nur, wenn sie schriftlich zur Verschwiegenheit verpflichtet und ausdrücklich über die strafrechtlichen Folgen einer Verletzung belehrt wurden.

Eine standardmäßige Auftragsverarbeitungsvereinbarung nach DSGVO erfüllt diese Anforderung nicht. Sowohl die Rechtsgrundlage als auch die mit einhergehenden Pflichten sind andere. Außerdem unterscheidet sich das persönliche Haftungsrisiko je nach Berufsträger.

Um diese Lücke zu schließen, findet Ihr ab sofort eine Zusatzvereinbarung, die speziell für Berufsgeheimnisträger konzipiert ist, im nuwacom Trust Center. Diese Vereinbarung schafft die vertragliche Grundlage, die Anwälte, Ärzte, Steuerberater und weitere regulierte Berufsträger brauchen, um nuwacom für Mandats-, Patienten- und Beratungsdaten rechtssicher einzusetzen.

DORA-Compliance für den Finanzsektor

Der Digital Operational Resilience Act (DORA) gilt EU-weit seit Januar 2025. Er verpflichtet Banken, Versicherungen, Wertpapierfirmen und Zahlungsdienstleister zur Einhaltung einheitlicher Standards für das Management von IKT-Risiken, das Melden von Vorfällen, das Testen der operationellen Resilienz und die Aufsicht über Drittdienstleister. Entscheidend ist: DORA endet nicht beim Finanzinstitut selbst - die Anforderungen erstrecken sich unmittelbar auf die Technologieanbieter, von denen diese Institute abhängen.

Für Organisationen im Finanzsektor, die KI-Plattformen evaluieren, entsteht daraus eine konkrete Sorgfaltspflicht. Sie müssen nicht nur klären, ob die KI-Plattform nützlich ist, sondern auch sicherstellen, dass sie sich in die  Governance-Strukturen, vertraglichen Regelungen und Drittparteien-Risikorahmen einfügen lässt, die DORA verlangt.

Um Unternehmen dabei zu unterstützen,veröffentlicht nuwacom ab sofort eine eigene DORA-Dokumentation auf dieser Seite. Sie behandelt die regulatorischen Anforderungen, die für Banken, Versicherer und Finanzdienstleister relevant sind, und zeigt, wie die Architektur von nuwacom ihnen hilft, rechtskonform mit KI zu arbeiten.

Warum das über die Dokumentation hinaus zählt

Rechtliche Dokumente in einem Trust Center bereitzustellen, ist die Pflicht, nicht die Kür. Bedeutung gewinnen diese Ergänzungen erst durch die Architektur, auf der sie aufbauen.

nuwacom ist um ein Governance-System herum gebaut, das Zugriffsrechte aus angebundenen Anwendungen wahrt, granulare Rollen- und Berechtigungskontrollen ermöglicht und sensible Daten unter einer klar definierten organisatorischen Hoheit hält. Für Organisationen, die unter § 203 StGB oder DORA arbeiten, ist diese Architektur eine Voraussetzung - kein Nice-to-have. Eine vertragliche Verpflichtung zur Vertraulichkeit ist immer nur so belastbar wie das System, welches sie sicherstellen muss.

Für Organisationen, die ein Hosting auf deutschem Boden benötigen - sei es aufgrund regulatorischer Vorgaben, interner Richtlinien oder der Erwartungen ihrer Kunden - bietet nuwacom zusätzlich den Betrieb auf STACKIT an, der souveränen Cloud-Infrastruktur der Schwarz Gruppe, die unter deutscher und EU-Jurisdiktion mit Datenhaltung in Deutschland betrieben wird. Diese Option, kombiniert mit der nun verfügbaren rechtlichen Dokumentation für diese spezifischen regulatorischen Kontexte, bedeutet, dass nuwacom den vollständigen Anforderungskatalog einiger der anspruchsvollsten Compliance-Umgebungen im europäischen Markt erfüllen kann. Diese Kombination ist selten.

Was bedeutet das in der Praxis?

Für Kanzleien und Anwälte heißt dies, dass nuwacom für Mandatsdaten, Mandantenkommunikation und Dokumentenarbeit auf der von § 203 StGB verlangten Grundlage genutzt werden kann. Dasselbe gilt für Patientendaten, klinische Dokumentation und die vertraulichen Unterlagen, die den Kern jeder beruflichen Informationsumgebung im Gesundheitswesen ausmachen. Das ist essentiell für Arztpraxen, Kliniken und Gesundheitsorganisationen.

Banken, Versicherungen und Finanzdienstleister können nuwacom innerhalb des Drittparteien-Risiko- und Anbieter-Governance-Rahmens einsetzen, der von DORA vorgeschrieben wird.

Die Dokumentation ist ab sofort verfügbar. Für Organisationen, die einen Anbieter-Due-Diligence-Prozess durchlaufen oder verstehen möchten, wie nuwacom in ihren spezifischen regulatorischen Kontext passt, ist das Trust Center der erste Anlaufpunkt.

nuwacom ist das KI-Betriebssystem, das für europäische Unternehmen gebaut ist. Wenn Eure Organisation unter strengen Anforderungen an Datenschutz, Sicherheit oder Compliance arbeitet und Ihr sehen möchtet, wie nuwacom innerhalb dieser Vorgaben funktioniert, bucht eine Demo.