Die Europäische Union (EU) führt bei der Regulierung fortschrittlicher Technologien, wobei hohe Strafen für die Nichteinhaltung von Vorschriften besondere Vorsicht von Unternehmen erfordern, die Geschäftsanwendungen nutzen, sei es SAP, Oracle oder sogar Odoo. Das zunehmende Vertrauen auf zentralisierte Datenbanken und künstliche Intelligenz (KI) wirft neue Fragen im Zusammenhang mit Datenschutz, Systemsicherheit und ethischen Implikationen auf und erhöht das Risiko von Datenschutzverletzungen, Informationslecks und unzureichender Überwachung.
Die regionale gesetzgeberische Landschaft wird ebenfalls komplexer. Serbien hat das Datenschutzgesetz bereits vor einigen Jahren verabschiedet, während Bosnien und Herzegowina (BiH) dies im Februar dieses Jahres getan hat,als das neue Datenschutzgesetz in Kraft trat. Obwohl eine klare Übereinstimmung mit der Datenschutz-Grundverordnung (DSGVO) besteht, zeigt die Praxis, dass die Anwendung der DSGVO zahlreichen Rechtsstreitigkeiten und weiteren Interpretationen Tür und Tor öffnet. Dies weist auf die Notwendigkeit präziserer Leitlinien hin, die im regionalen Recht derzeit noch nicht umfassend enthalten sind.
Auf der anderen Seite stellt die schrittweise Angleichung der Rechtsvorschriften in BiH und Serbien an europäische Standards ein wichtiges Signal für Rechtssicherheit und Zuverlässigkeit dar. Ein solcher Rahmen trägt zum Aufbau von Vertrauen bei und erleichtert die Zusammenarbeit mit Partnern vom Balkan, insbesondere im Kontext der Datenverarbeitung, der Erbringung digitaler Dienstleistungen und der gemeinsamen Teilnahme am digitalen Binnenmarkt der EU. 
Die Nutzung von Softwarelösungen wie Odoo All-in-One kann erheblich zur Erfüllung regulatorischer Anforderungen beitragen. Odoo SA, als Unternehmen, das Cloud-Hosting-Dienste anbietet, entwickelt seine Systeme und Werkzeuge kontinuierlich weiter, um eine sichere Plattform aufrechtzuerhalten und Best Practices im Bereich Datenschutz und Sicherheit umzusetzen. 
Es ist wichtig zu betonen, dass selbst wenn Business-Software zahlreiche regulatorische Anforderungen unterstützt, die Verantwortung für die vollständige Compliance stets beim Endnutzer liegt – dem Unternehmen, das die Software nutzt. Daher bringt die Implementierung jeder fortschrittlichen technologischen Lösung die Notwendigkeit der Einhaltung von Anforderungen, definierten internen Verfahren, ordnungsgemäß formulierten Unternehmens- und Datenschutzrichtlinien sowie der Schulung von Mitarbeitern mit sich. 
Odoo als Business-Software ist eines der Beispiele für Softwareprodukte auf dem Markt, bei denen Recht und Ethik mit der Technologie Schritt halten müssen. Damit ein Unternehmen wirklich konform mit dem gesetzlichen Rahmen ist, muss jede Implementierung von Business-Software von einer genauen rechtlichen Analyse und technischen Lokalisierung begleitet werden.

Wichtige EU-Verordnungen für Business-Software, einschließlich Odoo

Da Softwarelösungen allein oft nicht ausreichen, erfordert echte Compliance im Prozess der Digitalisierung und Optimierung von Geschäftsprozessen durch die Implementierung fortschrittlicher Technologien auch die Einführung interner Richtlinien, regelmäßige Mitarbeiterschulungen sowie klare Protokolle für den Umgang mit personenbezogenen Daten und die Wahrnehmung der Rechte der Nutzer. Daraus ergibt sich, dass Transparenz ein Schlüsselfaktor in Geschäftsprozessen ist, die die Nutzung personenbezogener Daten oder KI-basierter Tools beinhalten. 
Die DSGVO ist die grundlegende EU-Verordnung zum Schutz personenbezogener Daten der EU-Bürger. Sie bestimmt, wie personenbezogene Daten von EU-Bürgern von Unternehmen verarbeitet werden dürfen, die auf dem EU-Markt tätig sind oder diese Daten im Rahmen ihrer Geschäftstätigkeit außerhalb der EU verwenden. Odoo als All-in-One-Business-Software bietet in diesem Sinne eine Vielzahl von Funktionalitäten. Dennoch ist es notwendig, eine rechtliche Überprüfung durchzuführen und zu prüfen, ob das System so implementiert ist, dass es die gesetzlichen Bestimmungen der DSGVO einhält. 
Der EU AI Act, als neuer regulatorischer Rahmen für künstliche Intelligenz, bringt zusätzliche Verpflichtungen für Unternehmen mit sich, die in der EU tätig sind. So verwendet Odoo KI zur Automatisierung und Personalisierung von Prozessen (z. B. Verkaufsprognosen, CRM-Segmentierung), was eine Risikoklassifizierung und möglicherweise zusätzliche Maßnahmen gemäß dem AI Act erfordert. Der AI Act verlangt Transparenz, menschliches Eingreifen und die Erklärbarkeit von Entscheidungen – insbesondere bei Hochrisikosystemen, was vom Software-Nutzer gemäß den gesetzlichen Vorgaben sicherzustellen ist. Daher muss bei der Implementierung von Business-Software auf diese Anforderungen des AI Act geachtet werden.

Erweiterter regulatorischer Rahmen: Relevante EU-Vorschriften für Business-Software, einschließlich Odoo

Neben der DSGVO und dem AI Act gibt es in der EU eine Reihe gesetzlicher Rahmenbedingungen, die für die Entwicklung und Implementierung von Business-Software relevant sind und eingehalten werden müssen, wenn ein Unternehmen in der EU tätig ist oder Daten von EU-Bürgern nutzt. 

Wenn es um sogenannte Cookies und elektronische Kommunikation geht, findet die ePrivacy-Directive, die diesen Bereich regelt. Im Kontext von Odoo ist diese Richtlinie insbesondere für Webmodule und CRM von Bedeutung. 

Der EU Digital Services Act (DSA) hat Pflichten für Plattformen eingeführt, die Endnutzern Dienste anbieten. Im konkreten Fall ist der DSA für Odoo-Module wie eCommerce, Foren oder Benutzerportale relevant. 

Sicherheitsanforderungen für Softwaresysteme im Gesundheits-, Bildungs- und Finanzwesen fallen unter die NIS2-Directive. 

Zusätzlicher Schutz für Endnutzer von Odoo wird durch das Verbraucherrechtepaket (CRD, Omnibus) geregelt. Diese gesetzlichen Rahmenbedingungen betreffen Preise, Angebotspersonalisierung und Transparenz bei Bewertungen und sind besonders wichtig für das Odoo Sales-Modul. 

Im Zusammenhang mit Business-Software, einschließlich Odoo, ist auch das European accessibility act relevant. Dieser rechtliche Rahmen verpflichtet Unternehmen dazu, Software und Webinhalte für Menschen mit Behinderungen zugänglich zu machen. 

Am Ende hängt der Umfang der EU-rechtlichen Regulierung vom Anwendungssektor ab – je regulierter ein Sektor ist, desto komplexer ist der rechtliche Rahmen für die Entwicklung von Softwarelösungen.

Was bedeuten die EU-Vorschriften für Unternehmen aus BiH oder Serbien, die ihr Geschäft digitalisieren und in der EU tätig sind? 

Für Unternehmen aus BiH oder Serbien, die Dienstleistungen oder Waren auf dem Gebiet der EU anbieten, ist die Einhaltung der EU-Vorschriften keine Frage der Wahl, sondern eine gesetzliche Verpflichtung. 
Zum Beispiel gelten die Vorschriften der DSGVO nicht nur für Unternehmen mit Sitz in der EU, sondern auch für alle Unternehmen außerhalb der EU, die Daten von EU-Bürgern verarbeiten oder Waren und Dienstleistungen auf diesem Markt anbieten. Die Nichteinhaltung europäischer Standards kann schwerwiegende Folgen haben – von hohen Geldbußen und Beschränkungen der Geschäftstätigkeit bis hin zum Vertrauensverlust bei Kunden und Geschäftspartnern. Die Einhaltung von Vorschriften wie der DSGVO, dem AI Act und anderen EU-Rechtsrahmen ermöglicht es Unternehmen aus BiH, rechtskonform, transparent und gleichberechtigt am einheitlichen digitalen Binnenmarkt der EU teilzunehmen.

Warum ist es wichtig, bei der Digitalisierung von Geschäftsprozessen technische und juristische Teams zu konsultieren? 

Die Digitalisierung mit fortschrittlichen Tools wie Odoo erfordert die rechtzeitige Einbindung juristischer und technischer Experten, da sonst Diskrepanzen zwischen den Funktionalitäten der Software und den rechtlichen Verpflichtungen des Nutzers entstehen. Im Folgenden werden zwei Beispiele vorgestellt, die die Bedeutung der Zusammenarbeit von juristischen und technischen Experten bei der Entwicklung und Implementierung von Softwarelösungen verdeutlichen.
 
1. Automatisierte Entscheidungsfindung und Kundenprofilierung
 
Wenn eine Business-Software über Algorithmen zur Kundenprofilierung oder automatisierten Entscheidungsfindung verfügt (z. B. Angebotsvorschläge für bestimmte Produkte), sind die gesetzlichen Verpflichtungen bei automatisierten Entscheidungen und Profiling zu beachten. 
Artikel 22 der DSGVO legt fest, dass Personen das Recht haben, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden, die rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt. Es gibt jedoch Ausnahmen. Automatisierte Entscheidungen oder Profiling sind zulässig, wenn die personenbezogenen Daten mit ausdrücklicher Einwilligung verarbeitet werden oder wenn dies Teil eines Vertragsverhältnisses ist. Darüber hinaus verlangt Artikel 22 Bedingungen wie eine sinnvolle menschliche Intervention in Bezug auf die automatisierte Entscheidung oder das Profiling. 
Konkreter gesagt: Stellen wir uns ein Unternehmen vor, das personenbezogene Daten sammelt, verarbeitet und personalisierte Werbung nutzt, in der Annahme, dass genau dieses Produkt oder diese Dienstleistung für eine Zusammenarbeit mit der betroffenen Person relevant ist. 
Technisch gesehen kann Business-Software, einschließlich Odoo, Funktionen zur Datenerhebung und zum Start solcher Prozesse bereitstellen. Keine Software kann jedoch die ausdrückliche Einwilligung des Nutzers für eine solche Verarbeitung garantieren oder eine sinnvolle menschliche Intervention ersetzen. Das ist aber notwendig, um Verstöße gegen Artikel 22 der DSGVO zu vermeiden. Eine Software kann Kunden automatisch auf Basis ihrer Einkäufe segmentieren und ihnen personalisierte Angebote zusenden. Wenn dieses Profiling und die automatisierte Entscheidung den Nutzer wesentlich beeinträchtigen (z. B. indem ihm eine Dienstleistung verwehrt oder er ohne menschliche Prüfung als Risikokunde eingestuft wird), muss das Unternehmen einen rechtlichen Rahmen sicherstellen (z. B. ausdrückliche Einwilligung), eine menschliche Prüfungsinstanz anbieten, die Logik der Entscheidung erklären und Widerspruchsmöglichkeiten gewährleisten. Business-Software ist zwar technisch in der Lage, automatisierte Entscheidungen und Profiling vorzunehmen, bietet jedoch nicht automatisch die notwendigen prozeduralen und ethischen Schutzmechanismen, die für die Einhaltung von Artikel 22 der DSGVO erforderlich sind. Daher muss das Unternehmen interne Verfahren, Datenschutzrichtlinien, Beschwerdemechanismen und Mitarbeiterschulungen definieren, um diese "Compliance-Lücke" zu schließen. 

2. DSGVO-Konformität von Unternehmenswebseiten im BiH-Kontext 

Wir haben eine Vielzahl von Unternehmenswebseiten in BiH mit Online-Shops analysiert. Da das neue Datenschutzgesetz in BiH in Kraft getreten ist und weitgehend den Grundsätzen der DSGVO entspricht, war diese Analyse entscheidend für die Bewertung der Marktreife in BiH. 
Die detaillierte Analyse zeigt, dass viele der untersuchten Webseiten von Unternehmen mit Sitz in BiH nicht den geltenden Vorschriften entsprechen. Zusätzlich sind viele dieser Unternehmen nicht an EU-Standards angepasst, obwohl sie ihre Produkte und Dienstleistungen online auf dem EU-Markt anbieten. 
Beispiele für die häufigsten Mängel der Webseiten: 
Der Verantwortliche und Auftragsverarbeiter sind nicht klar benannt. 
Es fehlen Angaben zu Zweck und Rechtsgrundlage der Datenverarbeitung. 
Die Rechte der Nutzer sind nicht klar definiert, und es fehlen Mechanismen zur Ausübung dieser Rechte. 
Es gibt keine Informationen zu Dritten, mit denen Daten geteilt werden, oder zu etwaigen internationalen Datenübermittlungen. 
Es fehlen Angaben zur Speicherdauer und zu angemessenen Sicherheitsmaßnahmen. 
Cookies werden nicht angezeigt, und es fehlt ein Cookie-Consent-Banner. 
Diese Feststellungen zeigen deutlich, dass dringend eine vollständig ausgearbeitete und implementierte Datenschutzrichtlinie erforderlich ist, die alle gesetzlich vorgeschriebenen Elemente gemäß dem neuen BiH-Gesetz sowie geschäftsinterne Richtlinien, die mit weiteren gültigen Gesetzen in BiH übereinstimmen, enthält. 
Wenn ein Unternehmen in der EU tätig ist, müssen dieselben Richtlinien und Dokumente an die EU-Standards angepasst und auf der Unternehmenswebseite transparent veröffentlicht werden. Die Einhaltung der EU-Vorschriften ist nicht nur wichtig, um hohe Geldstrafen zu vermeiden, sondern auch, um das Unternehmensprofil zu verbessern und das Vertrauen von Partnern und Kunden auf dem EU-Markt zu stärken – besonders wichtig für Unternehmen mit Sitz außerhalb von BiH.

Fazit 

​Die Digitalisierung von Unternehmen ohne angemessene rechtliche und technische Unterstützung stellt ein erhebliches Risiko für Unternehmen dar, die in der EU, BiH oder Serbien tätig sind. Es stimmt zwar, dass Business-Software wie Odoo leistungsstarke Funktionen bietet, aber echte Compliance beginnt erst dort, wo Technologie mit Recht und Ethik verbunden wird. Daher ist im Prozess der Entwicklung, Implementierung oder Erweiterung von Software eine interdisziplinäre Zusammenarbeit zwischen Technik- und Rechtsexperten entscheidend. 

Wolfinne.com steht Ihnen als Partner für umfassende Unterstützung im Bereich der rechtlichen Überprüfung und ethischen Beratung zur Seite, um sicherzustellen, dass Ihre digitale Transformation vollständig den geltenden Vorschriften entspricht und auf Best Practices basiert.

​