Tag: 12. Juli 2024

On 14 May 2024, the Telemedia Act (TMG) was replaced by the Digital Services Act (DDG). In addition, the Telecommunications Telemedia Data Protection Act (TTDSG) is now the Telecommunications Digital Services Data Protection Act (TDDDG).

The following changes must therefore be made to websites:

Data protection notices often contain a reference to Section 25 para. 1 TTDSG, especially when it comes to naming the legal basis for consent in the area of tracking tools, such as Google Analytics. Please amend the provision so that it now reads Section 25 para. 1 TDDDG and no longer Section 25 para. 1 TTDSG.

If you have mentioned Section 5 TMG on your imprint page, please change this to Section 5 DDG.

This will keep your website up to date.

The new version of the TISAX VDA ISA catalogue is now available. This updated version contains extended requirements that are aligned with the latest security standards. Companies are advised to familiarise themselves with the new requirements in order to continue to optimally protect their data.

TISAX (Trusted Information Security Assessment Exchange) is of great importance to the automotive industry as it enables a standardised assessment of information security. With TISAX certification, companies can demonstrate to their business partners and customers that they meet high security standards and are able to effectively protect sensitive information. Compliance with these standards offers a decisive advantage at a time when data protection and information security are becoming increasingly important

Introduction

The AI Act, which was passed on 21 May 2024, is the world’s first law on the regulation of artificial intelligence. It is expected that many industries will have to deal intensively with this regulation in the future.

It is planned that the AI Regulation will come into effect 20 days after its publication in the Official Journal of the European Union. Publication in the Official Journal of the European Union is scheduled for June/July 2024.

A staggered system of transitional periods will then come into effect. Initially, 6 months after coming into effect, the provisions on prohibited AI systems will apply and their use must be discontinued. 24 months after entry into force, the other provisions of the AI Regulation, such as the transparency obligations for generative AI systems, will apply. One exception is the obligations relating to high-risk AI systems, for which a transitional period of 36 months after entry into force is envisaged.

The purpose of the regulation, as stated in Art. 1 I of the AI Regulation, is to strengthen social trust in AI applications. For this reason, compliance requirements are placed on AI that are proportionate to the respective threat of interference with fundamental rights. With this risk-based approach, the AI Regulation should be able to react flexibly to future technical developments. For affected companies, the main challenges are likely to lie in the formalisation of the certification process and the implementation of the compliance management system.

II. Overview of key content

The definition of artificial intelligence contained in Art. 3 No. 1 AI Regulation, which is decisive for the material scope of application and on the basis of which the respective requirements for the development and use of AI are determined, deserves particular attention.

According to this definition, an AI system is a machine-based system that is designed to operate with varying degrees of autonomy, demonstrates adaptability after deployment and derives explicit or implicit goals from inputs to produce results such as predictions, content, recommendations or decisions that can influence physical or virtual environments.

This broad definition is further specified and limited by the recitals of the AI Regulation.Recital 12, for example, expressly clarifies that an application is not considered AI within the meaning of the standard if it is performed automatically on the basis of rules established by humans. Rather, AI requires independent reasoning: „An essential characteristic of AI is its ability to reason.“

A) Scope of application

Due to the digital nature of AI systems and the possibility of continuous further development during operation, it is sometimes difficult to draw clear boundaries with regard to the applicability of the AI Regulation.

Temporal scope of application

In terms of time, the AI Regulation aims to regulate AI throughout its entire life cycle. This means that the AI Regulation not only sets out requirements for the development of AI, but also provides for numerous obligations after it has been placed on the market, such as monitoring obligations. This is nothing new from the perspective of product liability law. The obligation to monitor the respective product after it has been placed on the market has always been an integral part of product liability law.

Personal scope of application

The personal scope of application includes both the deployer and the provider. According to Art. 3 No. 4 of the AI Regulation, the operator is the natural or legal person, public authority, agency or other body which uses an AI system under its authority, unless the AI system is used in the course of a personal, non-professional activity.

According to Art. 3 No. 3 of the AI Regulation, the provider is the natural or legal person, public authority, agency or other body which develops or has developed an AI-system or an AI-model for general purposes and places it on the market or puts it into service under its own name or trademark, regardless of whether this is done for remuneration or free of charge.

Local scope of application

According to Art. 2 I a) of the AI Regulation, the local scope of application covers providers that place an AI system or a system with a general purpose on the market or put it into operation in the Union. It also covers operators established in the Union. In addition to the establishment principle, the market place principle also applies.

The AI Regulation therefore also addresses providers and operators that are based in a third country but whose AI system operates in the Union. This is intended to prevent companies in third countries from not having to comply with the requirements of the AI Regulation.

(to be continued in Overview AI Regulation Part 2)

B) Risk-based approach of the AI Regulation

As already described in the Overview of the AI Regulation Part 1, the AI Regulation follows a risk-based approach.This means that the degree of regulation depends on the severity of the risks posed by the AI applications. In order to be able to assess which requirements need to be met, an affected organisation must first check what type of AI system is involved. AI systems are generally divided into four categories:

– According to Art. 5 I AI Regulation into AI systems for prohibited practices

– According to Art. 6 AI Regulation in high-risk systems

– According to Art. 50 of the AI Regulation into AI systems with limited risk

– According to Art. 95 of the AI Regulation in low-risk AI systems

Additional requirements are demanded for systems with a general purpose. More on this later. In order to be able to assess which requirements must be met, an affected organisation must first check what type of AI system it has.

a) Prohibited practices

Prohibited practices are listed in Art. 5 of the AI Regulation. It is assumed that the risk posed by these systems for those affected is too serious to authorise their use.For example, the placing on the market, commissioning and use of AI for subliminal manipulation outside of a person’s awareness is prohibited if this manipulation is significant and is intended to cause physical or psychological harm to that person or another person.

b) High-risk systems

The regulation of AI high-risk systems represents a large part of the AI Regulation.The European legislator has not included a precise definition of high-risk systems in the law. Instead, it aims to remain as adaptable as possible and not to set excessively narrow limits. Points of reference are therefore distributed across Art. 6 of the AI Regulation and Art. 7 of the AI Regulation. According to Art. 6 I of the AI Regulation, a high-risk system exists if it is used as a safety component for a product or is itself a product that is subject to certain EU regulations. Art. 7 I of the AI Regulation authorises the EU Commission to draw up a catalogue of life situations or applications that fall under this definition. Further use cases can be added by the EU Commission in the future. For example, AI systems that are to be used for the recruitment or selection of natural persons, in particular for placing targeted job advertisements, analysing and filtering applications and evaluating applicants, have been defined as high-risk systems.

Requirements for high-risk systems

Art. 8 et seq. AI Regulation define the compliance requirements for high-risk AI systems.The central provision here is likely to be Art. 9 of the AI Regulation, which requires the establishment of a risk management system that covers the entire life cycle of the AI. The risk analysis should take into account the risks to health, safety and fundamental rights that the AI system poses when used appropriately.

c) AI systems with limited risk

Art. 50 of the AI Regulation sets out information obligations for both operators and providers of AI systems with limited risk. The user must be informed that they are interacting with an AI in order to be able to prepare for this. According to Art. 50 I of the AI Regulation, AI systems must be designed in such a way that a normal person clearly recognises that they are interacting with an AI.

d) AI systems with minimal risk

For AI systems that neither fall under Art. 50 of the AI Regulation nor constitute a high-risk system, a code of conduct can be followed voluntarily in accordance with Art. 95 of the AI Regulation. According to the legislator, this is intended to strengthen social trust in AI applications.

e) Special provisions for AI systems for general use

For general purpose AI systems, additional obligations apply in accordance with Art. 51 et seq. AI Regulation, additional obligations apply that must be fulfilled in addition to the requirements of the respective level.

It should be noted that these additional obligations apply exclusively to providers of so-called GPAI (General Purpose Artificial Intelligence). Operators of such systems are not affected by these additional obligations. A GPAI model is an AI model that, even if it has been trained with large amounts of data using large-scale self-monitoring, has significant generality and is capable of competently performing a wide range of different tasks. This is true regardless of how the model is brought to market. It can be integrated into a variety of downstream systems or applications, with the exception of AI models that are used for research, development or prototyping purposes before being brought to market.

A well-known example of a GPAI model is currently ChatGPT. Companies that intend to use or are already using AI systems must therefore consider a number of aspects. It is strongly recommended to prepare accordingly by setting up AI compliance.

NIS2UmsuCG – a complicated-sounding string of letters – is coming our way this year and translates as the NIS 2 Implementation and Cyber Security Strengthening Act.

It is estimated that the law will affect at least 30 thousand companies when it is introduced.

It is therefore important that you check whether you also fall under it. This is the case if you belong to the „essential“ and „important“ institutions, or if you are a KRITIS operator. The legislative process is expected to be completed by October 2024.

In any case, you will have to deal with the regulations if you are active in the following sectors:

Essential: energy, transportation, banking, healthcare, drinking water, wastewater, digital infrastructure, ICT service management, administration, financial market, space,

or

Important: Post, waste management, industry, digital services, research, chemical companies, food industry,

and if you have 50 or more employees and generate an annual turnover of 10 million.

However, it is important to note that small companies that generate less turnover or have fewer employees may also fall within the scope of application. If they carry out critical activities that could have an impact on public order, or if they have cross-border effects, they are also affected.

The NIS 2 Directive is also of particular importance for managing directors, CEOs and board members, as they are held accountable. Specifically, this means that these persons must approve and monitor risk management.

If they do not comply with these obligations, this can also result in personal liability. Inadequate or insufficient preparatory actions can also give rise to such liability.

In any case, action should be taken quickly and, if necessary, professional support should be sought. We draw your attention to this in particular as part of our duty to inform. Gindat can also support you in all phases of the process. We recently presented an overview of this topic at our ITQC event to raise your awareness. Feel free to contact us if you have any questions or uncertainties. Our team is always at your disposal.

The planned EU supply chain law has overcome a decisive hurdle: Despite resistance from the German government, a majority of EU countries support the law to protect human rights. It is intended to ensure that European companies guarantee compliance with human rights and environmental standards in their supply chains – including with their suppliers. In future, companies will have to prove that their imported products from third countries have been manufactured without child labour or environmental damage. The adopted draft is less strict than originally envisaged: The law now applies to companies with 1,000 or more employees and an annual turnover of at least 450 million euros, instead of 500 or more employees and 150 million euros turnover as initially planned. The possibility of civil liability has also been weakened. The EU member states, the EU Parliament and the Commission had already agreed on the law in December.

What companies now need to consider:

• Due diligence obligations: Carrying out risk analyses and taking preventative measures.
• Documentation: Regular reports on compliance with standards must be prepared and made publicly available.
• Complaints mechanisms: Establishment of systems for anonymous reporting of violations.
• Contract adjustments: Ensuring that suppliers comply with standards.
• Data protection: Compliance with the GDPR in data processing.

Due to our duty to provide information as your external data protection officer, we would like to sensitise you to these issues and will be happy to answer any questions you may have at any time.

Zum 14.05.2024 wurde das Telemediengesetz (TMG) durch das Digitale-Dienste-Gesetz (DDG) ersetzt. Außerdem ist das Telekommunikations-Telemedien-Datenschutzgesetz (TTDSG) nun das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG).

Es müssen daher folgende Änderungen auf Webseiten vorgenommen werden:

In den Datenschutzhinweisen ist oftmals der Hinweis auf § 25 Abs. 1 TTDSG enthalten, insbesondere, wenn es um die Nennung der Gesetzesgrundlage für Einwilligungen im Bereich von Tracking Tools, wie z.B. Google Analytics, geht. Bitte ändern Sie die Vorschrift ab. Dies bedeutet nunmehr, dass es § 25 Abs. 1 TDDDG und nicht mehr § 25 Abs. 1 TTDSG heißen muss.

Sollten sie auf Ihrer Impressumsseite den § 5 TMG genannt haben, ändern Sie das bitte auf § 5 DDG um.

Damit haben Sie dann Ihre Website aktuell.

Die neue Version des TISAX VDA ISA Katalogs ist jetzt verfügbar. Diese aktualisierte Version enthält erweiterte Anforderungen, die auf die neuesten Sicherheitsstandards abgestimmt sind. Unternehmen wird empfohlen, sich mit den neuen Vorgaben vertraut zu machen, um ihre Daten weiterhin optimal zu schützen.

TISAX (Trusted Information Security Assessment Exchange) ist von großer Bedeutung für die Automobilindustrie, da es eine einheitliche Bewertung der Informationssicherheit ermöglicht. Mit einer TISAX-Zertifizierung können Unternehmen ihren Geschäftspartnern und Kunden nachweisen, dass sie hohen Sicherheitsstandards entsprechen und in der Lage sind, sensible Informationen effektiv zu schützen. Die Einhaltung dieser Standards bietet einen entscheidenden Vorteil in einer Zeit, in der Datenschutz und Informationssicherheit immer wichtiger werden.

Einleitung

Die am 21.05.2024 verabschiedete KI-Verordnung (AI-Act) ist das weltweit erste Gesetz zur Regulierung von Künstlicher Intelligenz. Es wird erwartet, dass viele Branchen sich zukünftig intensiv mit dieser Verordnung auseinandersetzen müssen.

Geplant ist, dass die KI-Verordnung 20 Tage nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft tritt. Die Veröffentlichung im Amtsblatt der Europäischen Union ist für Juni/Juli 2024 vorgesehen.

Anschließend wird ein gestaffeltes System an Übergangsfristen in Kraft treten. Zunächst werden 6 Monate nach Inkrafttreten die Vorschriften über verbotene KI-Systeme gelten, deren Nutzung eingestellt werden muss. 24 Monate nach Inkrafttreten werden die übrigen Vorgaben der KI-Verordnung, wie etwa die Transparenzpflichten für generative KI-Systeme, gelten. Eine Ausnahme bilden die Pflichten in Bezug auf Hochrisiko-KI-Systeme, für die eine Übergangsfrist von 36 Monaten nach Inkrafttreten vorgesehen ist.

Der Zweck der Verordnung ist, wie aus Art. 1 I KI-VO hervorgeht, die Stärkung des gesellschaftlichen Vertrauens in KI-Anwendungen. Aus diesem Grund werden Compliance-Anforderungen an die KI gestellt, die im Verhältnis zu den jeweiligen drohenden Grundrechtseingriffen stehen. Mit diesem risikobasierten Ansatz soll die KI-Verordnung flexibel auf zukünftige technische Entwicklungen reagieren können. Für betroffene Unternehmen dürften die Herausforderungen vor allem in der formellen Durchführung des Zertifizierungsverfahrens und der Implementierung des Compliance-Managementsystems liegen.

Überblick über wesentliche Inhalte

Ein Hauptaugenmerk verdient die in Art. 3 Nr. 1 KI-VO enthaltene Definition von Künstlicher Intelligenz, die maßgeblich für den sachlichen Anwendungsbereich ist und anhand derer die jeweiligen Anforderungen bei der Entwicklung und dem Einsatz der KI festgelegt werden.

Demnach ist ein KI-System ein maschinengestütztes System, das so konzipiert ist, dass es mit unterschiedlichem Grad an Autonomie operieren kann, nach dem Einsatz Anpassungsfähigkeit zeigt und explizite oder implizite Ziele aus den Eingaben ableitet, um Ergebnisse wie Vorhersagen, Inhalte, Empfehlungen oder Entscheidungen zu erzeugen, die physische oder virtuelle Umgebungen beeinflussen können.

Diese weitreichende Definition wird durch die Erwägungsgründe der KI-Verordnung genauer spezifiziert und eingeschränkt. So wird z.B. in Erwägungsgrund 12 ausdrücklich klargestellt, dass eine Anwendung nicht als KI im Sinne der Norm angesehen wird, wenn sie auf Grundlage von Menschen aufgestellten Regeln automatisch erfolgt. Vielmehr setzt eine KI ein eigenständiges Schlussfolgern voraus: „Ein wesentliches Merkmal von KI ist ihre Fähigkeit, abzuleiten.“

A) Anwendungsbereich

Aufgrund der digitalen Natur von KI-Systemen und der Möglichkeit der fortwährenden Weiterentwicklung während des Betriebs, ist das Ziehen von eindeutigen Grenzen hinsichtlich der Anwendbarkeit der KI-VO mitunter schwierig.

Zeitlicher Anwendungsbereich

In zeitlicher Hinsicht verfolgt die KI-VO das Ziel, KI während ihres gesamten Lebenszyklus zu regulieren. Dies bedeutet, dass die KI-VO nicht nur Anforderungen an die Entwicklung von KI aufstellt, sondern auch zahlreiche Pflichten nach dem Inverkehrbringen, beispielsweise Überwachungspflichten, vorsieht. Dies ist aus dem Blickwinkel des Produkthaftungsrechts nichts Neues. Die Pflicht, das jeweilige Produkt nach dem Inverkehrbringen zu überwachen, ist seit jeher ein fester Bestandteil des Produkthaftungsrechts.

Persönlicher Anwendungsbereich

Der persönliche Anwendungsbereich umfasst sowohl die Betreiber (Deployer) als auch die Anbieter (Provider). Gemäß Art. 3 Nr. 4 KI-VO ist der Betreiber die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System unter ihrer Aufsicht einsetzt, es sei denn, das KI-System wird im Rahmen einer persönlichen, nicht beruflichen Tätigkeit verwendet.

Gemäß Art. 3 Nr. 3 KI-VO ist der Anbieter die natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die ein KI-System oder ein KI-Modell für allgemeine Zwecke entwickelt oder entwickeln lässt und es unter ihrem eigenen Namen oder ihrer eigenen Marke in Verkehr bringt oder in Betrieb nimmt, unabhängig davon, ob dies entgeltlich oder unentgeltlich geschieht.

Örtlicher Anwendungsbereich

Der örtliche Anwendungsbereich erfasst gemäß Art. 2 I a) KI-VO Anbieter, die in der Union ein KI-System oder ein System mit allgemeinem Verwendungszweck in den Verkehr bringen oder es dort in Betrieb nehmen. Außerdem umfasst er Betreiber, die ihren Sitz in der Union haben. Neben dem Niederlassungsprinzip findet auch das Marktortsprinzip Anwendung.

Die KI-VO adressiert also auch Anbieter und Betreiber, die ihren Sitz in einem Drittstaat haben, deren KI-System aber in der Union wirkt. So soll verhindert werden, dass Unternehmen in Drittstaaten die Anforderungen der KI-VO nicht beachten müssen.

(wird in Überblick KI-Verordnung Teil 2 fortgeführt)

B) Risikobasierter Ansatz der KI-Verordnung

Die KI-VO verfolgt, wie im Überblick KI-Verordnung Teil 1 bereits beschrieben, einen risikobasierten Ansatz. Dies bedeutet, dass der Grad der Regulierung von der Schwere der Risiken, die von den KI-Anwendungen ausgehen, abhängt. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt. Generell werden KI-Systeme in vier Kategorien unterteilt:

• Nach Art. 5 I KI-VO in KI-Systeme für verbotene Praktiken
• Nach Art. 6 KI-VO in Hochrisiko-Systeme
• Nach Art. 50 KI-VO in KI-Systeme mit beschränktem Risiko
• Nach Art. 95 KI-VO in KI-Systeme mit geringem Risiko

Zusätzliche Voraussetzungen werden für Systeme mit allgemeinem Verwendungszweck gefordert. Dazu später mehr. Um einschätzen zu können, welche Anforderungen zu erfüllen sind, muss eine betroffene Organisation zunächst prüfen, welche Art von KI-System vorliegt.

a) Verbotene Praktiken

Verbotene Praktiken werden in Art. 5 KI-VO aufgezählt. Es wird davon ausgegangen, dass die von diesen Systemen ausgehende Gefahr für die Betroffenen zu gravierend ist, um eine Nutzung zu genehmigen. So ist z.B. das Inverkehrbringen, die Inbetriebnahme sowie die Verwendung von KI zur unterschwelligen Beeinflussung außerhalb des Bewusstseins eines Menschen verboten, wenn diese Beeinflussung wesentlich ist und darauf abzielt, dieser oder einer anderen Person physischen oder psychischen Schaden zuzufügen.

b) Hochrisikosysteme

Die Regelung von KI-Hochrisikosystemen stellt einen Großteil der KI-Verordnung dar. Eine genaue Definition für Hochrisikosysteme hat der europäische Gesetzgeber nicht in das Gesetz eingefügt. Er setzt vielmehr darauf, hier möglichst anpassungsfähig zu bleiben und keine zu engen Grenzen zu setzen. Anknüpfungspunkte sind daher auf Art. 6 KI-VO und Art. 7 KI-VO verteilt. Gemäß Art. 6 I KI-VO liegt ein Hochrisikosystem vor, wenn es als Sicherheitskomponente für ein Produkt verwendet wird oder selbst ein Produkt ist, das bestimmten EU-Regulierungen unterliegt. In Art. 7 I KI-VO wird die EU-Kommission dazu ermächtigt, einen Katalog von Lebenssachverhalten bzw. Anwendungen zu erstellen, die unter diese Definition fallen. Weitere Anwendungsfälle können von der EU-Kommission zukünftig hinzugefügt werden. So wurden z.B. als Hochrisikosysteme KI-Systeme bestimmt, die für die Einstellung oder Auswahl natürlicher Personen verwendet werden sollen, insbesondere zur Schaltung gezielter Stellenanzeigen, zur Analyse und Filterung von Bewerbungen und zur Bewertung von Bewerbern.

Anforderungen an Hochrisikosysteme

In den Art. 8 ff. KI-VO werden die Compliance-Voraussetzungen für Hochrisiko-KI-Systeme definiert. Zentrale Vorschrift dürfte hier der Art. 9 KI-VO sein, die zur Einrichtung eines Risikomanagementsystems verpflichtet, das den gesamten Lebenszyklus der KI umfasst. Die Risikoanalyse soll hierbei die Gefahren im Hinblick auf Gesundheit, Sicherheit und Grundrechte berücksichtigen, die das KI-System bei einer zweckgemäßen Verwendung mit sich bringt.

c) KI-Systeme mit beschränktem Risiko

Sowohl für Betreiber als auch Anbieter von KI-Systemen mit beschränktem Risiko statuiert Art. 50 KI-VO Informationspflichten. Der Nutzer muss darüber aufgeklärt werden, dass er mit einer KI interagiert, um sich darauf vorbereiten zu können. So müssen KI-Systeme nach Art. 50 I KI-VO derart gestaltet werden, dass eine normale Person eindeutig erkennt, dass sie mit einer KI interagiert.

d) KI-Systeme mit minimalem Risiko

Für KI-Systeme, die weder unter Art. 50 KI-VO fallen noch ein Hochrisikosystem darstellen, kann gemäß Art. 95 KI-VO freiwillig ein Verhaltenskodex befolgt werden. Dies soll nach Aussage des Gesetzgebers dazu dienen, das gesellschaftliche Vertrauen in KI-Anwendungen zu stärken.

e) Sonderbestimmungen für KI-Systeme mit allgemeinem Verwendungszweck

Für KI-Systeme mit allgemeinem Verwendungszweck gelten gemäß Art. 51 ff. KI-VO zusätzliche Pflichten, die neben den Anforderungen der jeweiligen Stufe erfüllt werden müssen.

Es ist zu beachten, dass diese zusätzlichen Pflichten ausschließlich für Anbieter von sogenannten GPAI (General Purpose Artificial Intelligence) gelten. Betreiber solcher Systeme sind von diesen zusätzlichen Pflichten nicht betroffen.

Ein GPAI-Modell ist ein KI-Modell, das, selbst wenn es mit großen Datenmengen unter Verwendung von Selbstüberwachung in großem Maßstab trainiert wurde, eine erhebliche Allgemeinheit aufweist und in der Lage ist, eine breite Palette unterschiedlicher Aufgaben kompetent zu erfüllen. Dies gilt unabhängig davon, wie das Modell auf den Markt gebracht wird. Es kann in eine Vielzahl von nachgelagerten Systemen oder Anwendungen integriert werden, mit Ausnahme von KI-Modellen, die für Forschungs-, Entwicklungs- oder Prototyping-Zwecke verwendet werden, bevor sie auf den Markt gebracht werden.

Ein bekanntes Beispiel für ein GPAI-Modell ist derzeit ChatGPT.

Unternehmen, die beabsichtigen, KI-Systeme einzusetzen oder bereits einsetzen, müssen daher eine Reihe von Aspekten berücksichtigen. Es wird dringend empfohlen, sich durch die Einrichtung einer KI-Compliance sich entsprechend vorzubereiten.