An die von euch die in kleineren (Software) Unternehmen arbeiten, wie wird bei euch mit der zunehmenden Fülle an Rechtsvorschriften umgegangen - oder auch nicht?

DSGVO lief bei uns noch ganz ok (interner Zuständiger + externe Beratung), war auch für die Entwicklung unproblematisch da unsere Kunden kaum mit personenbezogene Daten arbeiten. Aber was z.B. Barrierefreiheit und Security angeht ist es zum Schreien. Niemand fühlt sich verantwortlich, die Entwickler fühlen sich im Stich gelassen und bangen um ihre Jobs, falls dann doch die fette Strafzahlung kommt.

Online findet man fast nur Infos über Konzerne mit eigener Complianceabteilung, oder für regulierte Branchen. Das hilft uns wenig weiter. Wie läuft das bei euch? Wegschauen und hoffen, oder habt ihr einen Weg gefunden, euch anzupassen? 

Im Endeffekt geht es bei der Barrierefreiheit um Produkte im web und app Bereich welche nach dem 28. Juni veröffentlicht werden. Ebenso ausgenommen sind B2B Geschichten.

Also ich bin inzwischen zwar seit zwei Jahren nicht mehr in einer kleinen Firma, allerdings war mein damaliger Chef immer sehr hinterher solche Gesetze frühzeitig zu berücksichtigen. Das war allerdings auch Branchenbedingt sehr relevant.

Barrierefreiheit wurde von uns Entwicklern mittlerweile für Neuprojekte das Minimum durchgeboxt, hat aber mehrere Jahre gedauert (haben auch Kunden im öffentlichen Dienst, da gelten mit schon länger strengere Vorgaben). 

So wirklich zuständig fühlt sich aber niemand. Es gibt auch keine Qualitätsziele oder andere Vorgaben an denen sich die Entwicklung orientieren könnte.  Im Moment macht mir der Security Bereich mehr Sorgen. Nach meinem eingeschränkten Rechtsverständnis müssten wir spätestens mit CRA ziemlich viel umstrukturieren/ändern.

Ich glaube bei uns fehlt einfach das Wissen, wie mir solchen Themen vernünftig umzugehen ist. Daher die Frage, wie es bei anderen läuft. 

Security ist relativ simpel: Der/Die Geschäftsführer haften gemäß Gesetz persönlich (inklusive Privatvermögen) dafür das der BSI-Grundschutz eingehalten wird.

Falls kein Bewusstsein existiert, ist es mMn. durchaus ein empfehlenswerter Grund sich langfristig was neues zu suchen.

Es müsste eigentlich einen Beauftragten dafür geben, auch in kleineren Unternehmen, vergleichbar Datenschutz bzw. DSGVO. Notfalls ein externer Berater, wobei das den/die GF nicht zwangsläufig aus der Haftung entbindet.

Ist keine Grundlage vorhanden, handelt das Unternehmen und der/die GF grob fahrlässig.

Der/die GF einen Tipp zu geben, kann sicherlich nicht schaden. Die Strafzahlung ist eher noch das kleinere Übel und das sprichwörtliche blaue Auge.

Ohne Grundschutz steht das Unternehmen im Angriffsfalle vorm Bankrott.

Löhne und Gehälter muss ein GF dann vom Privatvermögen zahlen, weil grob fahrlässig gehandelt wurde. Das Unterlassen von Grundschutzregeln gilt als Vorsatz. 

Bearbeitet 21. März21. Mar von tTt