Dr. Bernd Schmidt
Der oder die Datenschutzbeauftragte spielen eine entscheidende Rolle in deiner Datenschutz-Organisation und arbeiten meist sehr lange mit dir zusammen. Mit einer guten Entscheidung kannst du die Weichen für erfolgreiches Datenschutz-Management stellen aber auch einiges falsch machen. Hier erfährst du, worauf du bei der Auswahl und Bestellung eines Datenschutzbeauftragten achten solltest.
Wichtige Kriterien bei der Auswahl eines Datenschutzbeauftragten
Die Auswahl des richtigen Datenschutzbeauftragten für dein Unternehmen kann entscheidend für den Erfolg deines Datenschutz-Managements sein. Dabei gibt es verschiedene Kriterien, die du kennen und beachten solltest.
Erfahrung und Fachkenntnisse
Ein Datenschutzbeauftragter sollte über fundierte Erfahrungen und Fachkenntnisse im Bereich Datenschutzrecht- und Technik verfügen. Es ist wichtig, dass die Person mit den relevanten Datenschutzgesetzen und -bestimmungen vertraut ist und in der Lage ist, diese effektiv umzusetzen.
Branchenspezifisches Wissen
Deine Datenschutzbeauftragte sollte dein Business kennen. Datenschutz-Anforderungen können sich je nach Branche und Kunden stark unterscheiden.
Kommunikationsfähigkeiten
Ein Datenschutzbeauftragter sollte über gute Kommunikationsfähigkeiten verfügen, um die Kollegen mitzunehmen und das Bewusstsein für den Datenschutz in dein Unternehmen zu Tragen. Die Person sollte in der Lage sein, Datenschutzthemen so verständlich zu erklären und Schulungen durchzuführen, dass Mitarbeiter Datenschutzanforderungen einhalten und umsetzen können.
Unabhängigkeit und Neutralität
Es ist wichtig sicherzustellen, dass der Datenschutzbeauftragte unabhängig und neutral agiert. Die Person sollte nicht in Konflikte mit anderen Unternehmensinteressen geraten und in der Lage sein, unvoreingenommene Entscheidungen zu treffen. Personen in Leitungsfunktionen oder mit Verantwortung für Datenschutz-kritische Bereiche sind als Kandidaten nicht geeignet.
Kontinuierliche Weiterbildung
Der Datenschutz und entwickelt sich ständig weiter. Das betrifft die Technik aber auch die Regulierung. Daher ist es wichtig sicherzustellen, dass dein Datenschutzbeauftragter bereit ist, sich laufend über aktuelle Entwicklungen im Datenschutz zu informieren und auf dem aktuellen Stand hält. Du musst bereit sein, das mit entsprechenden Ressourcen zu unterstützen.
Interne oder Externe Bestellung?
Es ist möglich, einen Datenschutzbeauftragten aus der eigenen Belegschaft zu rekrutieren, einen neuen Kandidaten zu suchen und einzustellen oder die Bestellung an eine Kanzlei oder Beratungsgesellschaft auszulagern. Alle Varianten haben vor und Nachteile.
Interne Kandidaten kennen ihr Unternehmen und haben in der Regel den besseren Draht in die Organisation. Sie bekommen mit was passiert und wissen im Idealfall, was zu tun ist, um den Datenschutz zu verbessern. Er kann aber vor der Herausforderung des Propheten im eigenen Land stehen, auf den man nicht oder nicht so hört, wie auf den externen Berater. Der externe hat in der Regel mehr Erfahrung und kann Wissen aus anderen Mandaten nutzen. Die interne Datenschutzbeauftragte führt in der Regel nur einmal ein neues HR-System ein. Der externe Berater hat das in der Regel schon häufiger getan. Er braucht aber den guten Draht in das Unternehmen, damit er seine PS auch auf die Straße bringen kann.
Für welche Variante du dich entscheidest sollte im Ergebnis davon abhängen, wie du möglichst große Expertise mit dem Draht in die Organisation verbindest. Dabei kann man eine gute oder eine schlechte Wahl treffen, Lösungen, die immer passen gibt es aber nicht.
Die Bestellung eines Datenschutzbeauftragten
Wenn du die richtige Wahl getroffen hast, ist die Bestellung das kleinere Hindernis.Der Datenschutzbeauftragte wird dann durch die Bestellungsurkunde ernannt, der zuständigen Datenschutzbehörde über deren Online-Formular gemeldet undder Belegschaft bekanntgegeben.
Fazit
Bei der Auswahl und Bestellung deines Datenschutzbeauftragten solltest du sorgfältig vorgehen, um sicherzustellen, dass die Person die erforderlichen Qualifikationen besitzt und für die Aufgabe geeignet ist. Die richtige Wahl eines Datenschutzbeauftragten ist ein entscheidender Baustein für ein gutes Datenschutz-Management.
PLANIT//LEGAL
Personenbezogene Daten dürfen nur verarbeitet werden, wenn dafür eine gesetzliche Rechtfertigung besteht und nur solange, wie die Verarbeitung für diesen Zweck erforderlich ist. Danach müssen personenbezogene Daten gelöscht werden. Lesen Sie hier, welche Maßnahmen Sie treffen sollten, um diese Pflicht zu erfüllen.
So lange darf man personenbezogene Daten speichern
Personenbezogene Daten dürfen nur verarbeitet werden, wenn man dafür eine Rechtfertigung hat. Rechtfertigungstatbestände ergeben sich vor allem aus der DSGVO und dem BDSG, können sich aber auch aus anderen Rechtsnormen wie Betriebsvereinbarungen oder Tarifverträgen ergeben.
Bevor man personenbezogene Daten erhebt, muss man sicherstellen, dass eine Rechtfertigung vorliegt, z.B. weil die Betroffenen eine Einwilligung erklärt haben oder die Verarbeitung für die Erfüllung gesetzlicher oder vertraglicher Pflichten erforderlich ist. Man darf personenbezogenen Daten dann verarbeiten, bis dieser Zweck erreicht ist. Wenn etwa Adressdaten verarbeitet werden, um eine Bestellung auszuliefern, wäre dieser Zweck erfüllt, wenn die Bestellung ausgeliefert ist.
Wann muss man personenbezogene Daten Löschen?
Wenn der Zweck einer Datenverarbeitung erreicht ist, müssen personenbezogene Daten eigentlich gelöscht werden. Es gibt aber oft Gründe, das nicht direkt zu tun. Es kann nämlich sein, dass neue Rechtfertigungstatbestände eingreifen und sich aus einem geänderten Zweck eine neue Rechtfertigung ergibt. Wenn man etwa Adressdaten für eine Bestellung erhoben hat und die Empfänger sich bei der Bestellung für Infopost des Unternehmens angemeldet haben, darf das Unternehmen nach der Auslieferung Adressdaten auch zur Versendung der Infopost verwenden.
Wenn es keinen Zweck mehr zur Verarbeitung personenbezogener Daten gibt, sollte man vor der Löschung immer prüfen, ob es Pflichten oder Rechte zur Aufbewahrung gibt. Das ist sehr häufig der Fall. Dann kann eine Aufbewahrung vor der Löschung gerechtfertigt oder sogar erforderlich sein. Typische Aufbewahrungsfristen ergeben sich aus gesetzlichen Verjährungsfristen oder den steuer- und handelsrechtlichen Aufbewahrungspflichten.
Für das Beispiel der Verarbeitung personenbezogener Daten zur Auslieferung einer Bestellung ist es zulässig, diese bis zum Ablauf der gesetzlichen Verjährungsfrist von drei Jahren ab dem Ende des Kalenderjahres aufzubewahren, nämlich für den Fall, dass es im Zusammenhang mit der Bestellung zu einer rechtlichen Auseinandersetzung kommt. Wenn im Zusammenhang mit der Bestellung Handels- oder Geschäftsbriefe versendet wurden, müssen diese 6 Jahre aufbewahrt werden.
Wenn keine Rechtfertigung mehr besteht und Aufbewahrungsfristen abgelaufen sind, müssen personenbezogene gelöscht werden.
Hier gibt es eine Übersicht der Löschfristen für HR Daten.
Pflicht zur Erstellung eines Löschkonzepts
Aus Art. 5 Abs. 2 DSGVO ergibt sich faktisch eine Pflicht zur Erstellung eines Löschkonzepts.
Die Pflicht zu Löschung von personenbezogenen Daten ergibt sich aus dem Betroffenenrecht in Art. 17 DSGVO und aus dem Grundsatz der Speicherbegrenzung in Art. 5 Abs. 1 lit. e DSGVO. Die Einhaltung der Grundsätze zur Verarbeitung personenbezogener Daten müssen wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO nachgewiesen werden können. Das erfordert praktisch, dass Verantwortliche eine Dokumentation vorhalten, aus der sich IT-Systeme, enthaltene personenbezogene Daten, Verarbeitungszwecke, Aufbewahrungs- und Löschfristen und einen Nachweis der Löschung ergeben. In anderen Worten: ein Löschkonzept.
Wie erstellt man ein Löschkonzept?
Für die Erstellung des Löschkonzepts erstellt man eine Übersicht der IT-Systeme und Prozesse zur Verarbeitung personenbezogener Daten. Diese Übersicht ergänzt man um die konkret betroffenen personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten in diesen IT-Systemen und Prozessen. Für die personenbezogenen Daten bzw. die Kategorien personenbezogenen Daten legt man dann möglichst konkret fest, wie lange es Zwecke gibt, diese Daten zu verarbeiten (Vorhaltefrist) und wie lange die personenbezogenen Daten nach der Zweckerfüllung aufbewahrt werden dürfen oder müssen (Aufbewahrungspflicht).
Hier geht es zum Download von unserem Muster.
Was passiert, wenn man personenbezogene Daten zu spät oder gar nicht löscht?
Der Verstoß gegen Art. 17 DSGVO oder den Grundsatz der Speicherbegrenzung ist bußgeldbewehrt und kann zu Bußgeldern in Höhe von bis zu 20 Millionen EUR oder 4% des Unternehmensumsatzes führen. Für den Verstoß gegen Löschpflichten wurde 2019 von der Berliner Beauftragte für Datenschutz und Informationsfreiheit gegen die die „Deutsche Wohnen“ das bisher höchste Datenschutz-Bußgeld in Deutschland in Höhe von 14 Millionen EUR verhängt. Der Bußgeldbescheid ist nicht rechtskräftig. Die Rechtmäßigkeit wird noch gerichtliche geklärt.
PLANIT//LEGAL
IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im eigenen Serverraum betrieben. Die Realität für das Hosting von Daten und den Betrieb von Anwendungen ist heute die Einschaltung von Dienstleistern und die Nutzung von Diensten in der Cloud. Das bringt viele Vorteile, wie die Einsparung von internen Ressourcen für Wartung und Betrieb und kann mit den richtigen Partnern auch die IT-Sicherheit verbessern. Es gibt aber Anforderungen zur datenschutzkonformen Beauftragung, Überwachung und Einbindung der Dienstleister. Lesen Sie hier, was es zu beachten gilt.
Klassifizierung des Dienstleisters
Wenn Sie Dienstleister bei der Verarbeitung personenbezogener Daten einsetzen, kann es sich dabei grundsätzlich um eine Auftragsverarbeitung, eine Übermittlung oder eine gemeinsame Verantwortlichkeit handeln. Um die richtigen Maßnahmen zu treffen, sollten Sie sich zuerst über die Rolle Ihres Dienstleisters bewusst werden.
Rechtliche Anforderungen an die Einbindung von Dienstleistern
Die Anforderungen an die datenschutzkonforme Einbindung eines Dienstleisters als Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Dafür ist die sorgfältige Auswahl des Dienstleisters und die Kontrolle der technisch-organisatorischen Maßnahmen, der Abschluss einer Vereinbarung über die Auftragsverarbeitung und die regelmäßige Kontrolle dies Dienstleisters wichtig. Wenn der Dienstleister aus einem Drittstaat außerhalb des EWR kommt, ergeben sich zusätzliche Anforderungen.
Sorgfältige Auswahl des Dienstleisters
Die Beauftragung von Auftragsverarbeitern ist nur zulässig, wenn der Dienstleister zuverlässig ist, weil er hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen bestehen und die Verarbeitung datenschutzkonform erfolgt. Mit anderen Worten, muss die Datenverarbeitung bei dem Dienstleister genauso sorgfältig erfolgen, wie bei dem Verantwortlichen selbst. Diese Prüfung erfolgt praktisch durch die Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz.
Diese Kontrolle muss erstmalig vor der Beauftragung eines Dienstleisters erfolgen und muss dann regelmäßig wiederholt werden. Dir Frequenz und Intensität der Kontrolle richtet sich dabei insbesondere nach der Sensitivität der verarbeiteten Daten. Üblich sind jährliche Kontrollen des Konzepts zum technischen und organisatorischen Datenschutz, die bei weniger kritischen Anwendungen bedeuten können, das aktualisierte Konzept anzufordern und zu prüfen, während für kritische Anwendungen auch vor Ort Kontrollen erforderlich sein können.
Technische und organisatorische Maßnahmen (TOMs)
Das Konzept zum technisch-organisatorischen Datenschutz ist das zentrale Dokument, in dem Dienstleister dokumentieren, welche Maßnahmen sie treffen, um die Einhaltung datenschutzrechtlicher Pflichten und den Schutz der personenbezogenen Daten sicherzustellen. Als Auftraggeber sollten Sie sich dieses Dokument immer ansehen und nur dann eine Beauftragung vornehmen, wenn davon überzeugt sind, dass die dokumentierten Maßnahmen angemessen sind und tatsächlich umgesetzt werden. Die Bewertung wird klassischer Weise durch einen oder mehrerer der nachfolgenden Personen bzw. Abteilungen vorgenommen.
Inhalte, die ein TOM-Konzept abbilden sollte ergeben sich aus Art. 32 DSGVO. Es handelt sich insbesondere um
Abschluss eines Auftragsverarbeitungsvertrags (AVV)
Wenn der Dienstleister auf Grundlage der Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz sorgfältig erscheint, muss er vertraglich zur Einhaltung des Datenschutzrechts auf der Grundlage von Art. 28 DSGVO verpflichtet werden. Es muss also ein Vertrag über die Auftragsverarbeitung abgeschlossen werden, in dem unter anderem vereinbart wird,
Dienstleister in Drittstaaten
In der Praxis kommt es regelmäßig vor, dass Dienstleister in Drittstaaten außerhalb des EWR beauftragt werden, etwa AWS oder Microsoft für Hosting und Applikation Services. Für diesen Normalfall in der IT-technischen Realität bestehen zusätzliche Herausforderungen nach dem Datenschutzrecht. Der Verantwortliche muss dann nämlich zusätzlich zu den beschriebenen Anforderungen sicherstellen, dass angemessene Garantien für den Schutz der betroffenen Daten für die Verarbeitung im Drittstaat bestehen. Dafür werden häufig die Standardvertragsklauseln der EU-Kommission, Binding Corporate Rules oder Angemessenheitsbeschlüsse der EU Kommission genutzt. Es kann zusätzlich aber erforderlich sein weitere technische Maßnahmen zu treffen oder eine Datentransferfolgenabschätzung zu machen.
PLANIT//LEGAL
Die Gefahr von Cyberrisiken nimmt ständig zu. Neben der Gefahr für die IT-Sicherheit haben IT-Sicherheitsvorfälle auch immer eine datenschutzrechtliche Relevanz. Lesen Sie hier, wie Sie richtig reagieren und welche Vorbereitungen Sie für den Ernstfall treffen können.
Was ist ein Data Breach?
Ein Data Breach - auf Deutsch: Datenschutzvorfall oder Datenpanne ist gemäß Art. 33 Abs. 1 DSGVO „eine Verletzung des Schutzes personenbezogener Daten“, also ein Vorfall der die Sicherheit personenbezogener Daten verletzt, so dass unberechtigte Personen darauf zugreifen können. Klassische Fälle sind
Was gilt es bei Data Breaches zu beachten?
Oberstes Gebot bei Data Breaches ist es, die Ursache schnell zu identifizieren und zu beseitigen, um die Folgen für Betroffene so gering wie möglich zu halten oder zu beseitigen und die Ausweitung des Data Breaches zu verhindern.
Wenn sich aus dem Data Breach Risiken für die Rechte und Freiheiten der Betroffenen ergeben oder das nicht ausgeschlossen werden kann, muss der Data Breach unverzüglich und möglichst binnen 72 Stunden an die zuständige Aufsichtsbehörde gemeldet werden. Das passiert relativ häufig.
Hat der Data Breach darüber hinaus voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge, müssen auch die Betroffenen unverzüglich informiert werden. Das kommt vor, ist im Vergleich zur Meldung bei der zuständigen Aufsichtsbehörde aber seltener der Fall.
Maßnahmen zur internen Erkennung und Meldung
Um angemessen auf einen Data Breach reagieren zu können, ist es besonders wichtig, dass Data Breaches intern schnell erkannt und sofort intern gemeldet werden. Das setzt voraus, dass alle Beschäftigten wissen, was ein Data Breach ist, an wen dieser intern gemeldet werden muss und wie zu melden ist. Es mach Sinn, dafür eine Anweisung, Richtlinie oder ein ähnliches Dokument zu erstellen, das den Prozess beschreibt. Dieser Prozess muss dann den Beschäftigten aber auch so kommuniziert werden, dass sie ihn kennen und befolgen können. Die Devise dafür lautet: schulen, schulen, schulen.
Interne Behandlung – Gegenmaßnahmen und Entscheidung über die Meldung
Nach der internen Meldung sollten sich unverzüglich Personen zusammenfinden und aktiv werden, die technische Gegenmaßnahmen treffen können, den Vorgang bewerten und über weitere (rechtliche) Schritte entscheiden können. So ergibt sich die Zusammensetzung des Data Breach Teams aus mehreren oder der folgenden Stakeholder:
Erste Priorität des Data Breach Teams sollte es immer sein, Gegenmaßnahmen zu treffen, dann das Ausmaß des Vorfalls aufzuklären und dann über die weiteren Schritte zu entscheiden. Weitere Schritte sind in der Regel
Meldung von Data Breaches and Datenschutzbehörden
Wenn eine Pflicht zur Meldung nach Art. 33 DSGVO besteht, sollte die Meldung innerhalb von 72 Stunden nach der Entdeckung des Vorfalls gemeldet werden. Zur Sicherheit sollte für die Berechnung der Frist auf die erste interne Kenntnis abgestellt werden. Eine spätere Meldung ist möglich und im Zweifel auch nach 72 Stunden noch sinnvoll; dann muss aber in aller Regel begründet werden, warum die 72 Stunden Frist nicht eingehalten worden ist.
Art. 33 DSGVO sieht keine besondere Form der Meldung vor. Die Aufsichtsbehörden haben dafür aber Online-Meldeformulare und es empfiehlt sich, diese zu nutzen, weil die Aufsichtsbehörden die Meldung so in einer Form bekommen, die eine schnelle Bearbeitung und im Idealfall Erledigung ermöglichen. Genau das muss das Ziel der Meldung sein.
Hier geht es zu den Meldeformularen der 17 deutschen Datenschutzbehörden:
Information von Betroffenen
Die Information der Betroffenen hat gemäß Art. 34 Abs. 1 DSGVO zu erfolgen, wenn ein hohes Risiko für die Rechte und Freiheiten der Betroffenen besteht. Dann sind die Betroffenen in klarer, einfacher Sprache über den Vorfall zu informieren. Die Information sollte wenigstens diese Informationen enthalten:
Es gibt Ausnahmen, in denen eine persönliche Information nicht erfolgen muss. Diese sind aber mit Vorsicht zu genießen.
Macht melden frei und was sind die Folgen bei unterlassener Meldung?
Die Frage, ob ein Vorfall gemeldet wird oft intensiv im Data Breach Team diskutiert. Die Sorge, die insbesondere Geschäftsleitung, Rechtabteilung und IT-Verantwortliche oft haben ist es, sich die Datenschutzaufsicht und damit viele Probleme ins Haus zu holen oder womöglich Auflagen und Sanktionen zu provozieren. Es wird dann häufig versucht, den Vorfall oder die Folgen kleinzureden, um eine Meldung vermeiden zu können.
Diese Sorgen sind in aller Regel unbegründet. § 43 Abs. 4 BDSG enthält ein Beweisverwertungsverbot für Inhalte der Meldung, das trotz europarechtlicher Kritik an der Vorschrift nach unserem Eindruck von den Datenschutzbehörden beachtet wird. Insofern gilt: Was gemeldet wird, kann nicht gegen den Verantwortlichen verwendet werden.
Zudem sind die Reaktionen der Datenschutzbehörden auf Meldungen in der Regel deutlich harmloser als oft befürchtet wird. Häufig erhält man eine Eingangsbestätigung, gelegentlich Rückfragen, ebenfalls gelegentlich die Mitteilung, dass der Vorgang geprüft und beendet wurde. Es ist möglich, dass sich an eine Meldung ein aufsichtsbehördliches Verfahren anschließt, das ist im Verhältnis zu den abgesetzten Meldungen aber eher selten der Fall.
PLANIT//LEGAL
Betroffene haben eine Reihe von Rechten, die sie gegenüber Verantwortlichen geltend machen können. Wenn Sie Betroffenenanfragen erhalten ist es wichtig, damit richtig umzugehen, damit daraus kein größeres Problem für Ihr Unternehmen und Ihre Datenschutz-Organisation wird. Lesen Sie hier, was es zu beachten gilt.
Wie muss das Auskunftsbegehren gestellt sein?
Es gibt praktisch keine formalen Anforderungen an Betroffenenanfragen. Betroffene können diese schriftlich, elektronisch oder mündlich stellen. Wichtig für die Bearbeitung ist es, zu verstehen, worum es den Betroffenen geht. Das klingt logisch, kann in der Praxis aber bereits die erste Herausforderung sein. Stellen Sie sich daher die Frage, was die Betroffenen wirklich wollen. Wenn Betroffenenanfragen nicht klar sind, müssen Sie diese auslegen. In Betracht kommen dafür insbesondere Anfragen zu den Betroffenenrechten
Denkbar und in der Praxis ein häufiger fall ist auch, dass Betroffene die Sperrung ihrer E-Mail oder Telefonnummer für Webemailings oder -anrufe wünschen.
Die richtige Auslegung des Begehrens der Betroffenen ist der erste Schritt zur richtigen Beantwortung. Um Missverständnissen vorzubeugen, macht es für die Beantwortung oft Sinn, das Ergebnis der Auslegung den Betroffenen bei der Beantwortung mitzuteilen. Eine Formulierung dafür kann sein:
„Vielen Dank für Ihre E-Mail. Wir verstehen Ihr Anliegen als Auskunftsbegehren gemäß Art. 15 Abs. 1 DSGVO.“
Wir sehen uns hier die besonders relevanten Fälle der Auskunft gemäß Art. 15 Abs. 1 DSVO und Herausgabe einer Datenkopie gemäß Art. 15 Abs. 3 DSGVO genauer an.
Identitätsprüfung
Damit die Beantwortung des Auskunftsbegehrens nicht selbst zum Compliance-Bumerang wird, ist es wichtig, die Auskunft nur an den Betroffenen zu erteilen. Das fordert auch Art. 12 Abs. 6 DSGVO. In der Praxis kommt es immer wieder vor, dass geschiedene Ehepartner, der/die Ex, andere Familienangehöre oder völlig fremde Auskunftsbegehren stellen. Diese ohne Identitätsprüfung zu beantworten kann leicht zum Supergau führen.
Prüfen Sie daher, mit wem Sie es auf der anderen Seite zu tun haben. Bei Anfragen der eigenen Beschäftigten, Kunden, die Sie persönlich kennen oder anderen persönlich bekannten Personen ist das kein Problem. Kennen Sie die Anfragenden nicht persönlich, müssen Sie sich fragen, ob es begründete Zweifel an der Identität gibt. Das kann etwa der Fall sein, wenn eine Anfrage von einem anderen als dem bei Ihnen bekannten E-Mail-Account versendet wird oder eine E-Mail nahe legt, dass es sich um eine andere Person handelt weil z.B. von dem E-Mail-Account petra.maier@ eine Betroffenenanfrage für den Betroffenen Björn Müller gestellt wird.
Bestehen begründete Zweifel, muss die Identität verifiziert werden. Dabei gilt der Grundsatz, je sensibler die zu beauskunftende Information, desto höher die Anforderungen an die Identifizierung. In Betracht kommen dafür insbesondere
Prüfung der Vollmacht bei Auskunftsbegehren von Anwälten
In der Praxis kommt es relativ häufig vor, dass Auskunftsansprüche durch Anwälte gestellt werden. Das ist zulässig. Der Verantwortlicher sollte dann sicherstellen, dass eine Vollmacht für das Stellen der Auskunftsanfrage und für den Empfang der Auskunft vorliegt. Wird keine Originalvollmacht vorgelegt, sondern nur ein Fax o.ä., kann man die Auskunft gem. § 174 BGB „unverzüglich“ zurückweisen (siehe dazu OLG Stuttgart Urteil vom 31.03.2021 - Az.: 9 U 34/21). Die Auskunftsfrist (siehe unten) beginnt dann erst mit Übermittlung einer Originalvollmacht.
Enthält die Vollmacht keinen klaren Hinweis, dass auch die Auskunft an den Anwalt erteilt werden darf, sollte man im Zweifel die Auskunft nicht an den Anwalt schicken, sondern direkt an die Betroffenen.
Was ist zu beauskunften?
Bei Auskunftsanfragen ist zuerst immer die Frage zu beantworten, ob personenbezogene Daten des Betroffenen verarbeitet werden. Das ist entweder zu bestätigen oder zu verneinen.
Werden personenbezogenen Daten verarbeitet, kommt es für den Inhalt der Auskunft darauf an, was Betroffene verlangen. Auskunft nach Art. 15 Abs. 1 DSGVO, Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO oder eine besonders spezifizierte Auskunft. Verantwortliche können Betroffene auffordern/bitten zu spezifizieren, welche Informationen beauskunftet werden sollen oder auf welche Verarbeitungen sich das Begehren bezieht. Das kann helfen, eine schnelle und den Wünschen der Betroffenen entsprechende Auskunft sicherzustellen. Es führt aber nicht dazu, dass Betroffene Anspruch auf weniger als die ursprüngliche begehrte Informationen haben.
Wird Auskunft nach Art. 15 Abs. 1 DSGVO verlangt, muss Information gemäß dem Katalog von Art. 15 Abs. 1 DSGVO bereitgestellt werden, über
Wird Herausgabe von Datenkopien nach Art. 15 Abs. 3 DSGVO verlangt, müssen Kopien der Daten herausgegeben werden. Bezieht sich die Anfrage auf Dokumente, muss nach der Rechtsprechung des EuGH auch eine Kopie des Dokuments selbst bereitgestellt werden, soweit das für die Kontrolle der Datenverarbeitung notwendig ist.
Wird weniger als der Inhalt von Art. 15 Abs. 1 DSGVO oder Art. 15 Abs. 3 DSGVO begehrt, muss entsprechend weniger beauskunftet werden.
Frist und Form der Beauskunftung
Für die Auskunft besteht gemäß Art. 12 Abs. 3 DSGVO eine Frist von einem Monat ab Eingang des Auskunftsbegehrens. Die Frist kann bei einer besonderen Komplexität oder hohen Anzahl von Anfragen auf bis zu drei Monate verlängert werden. In der Praxis bietet es sich an, direkt nach Erhalt eines Begehrens eine Eingangsbestätigung zu schicken und anzukündigen, sich innerhalb eines Monats zu melden, um die Erwartungen zu managen und Beschwerden bei Datenschutzbehörden zu vermeiden. Das gilt natürlich besonders, wenn Betroffene selbst kürzere Fristen setzen.
Für die Übermittlung der Auskunft ist es wichtig, einen sicheren Kanal zu wählen, damit die Inhalte der Auskunft geschützt sind. Je sensibler die Inhalte, desto höher sind die Anforderungen. Bei dem häufigen Fall der Übermittlung per E-Mail sollte man im Zweifel eine angemessene Verschlüsselung vorsehen.
Die Auskunft ist abhängig von der Art der Kommunikation mit den Betroffenen schriftlich, elektronisch oder mündlich zu erteilen. Im Zweifel sollte der von Betroffenen gewählte oder soweit erkennbar gewünschte Kanal genutzt werden. Datenkopien sind in der Regel in einem gängigen elektronischen Format zu übermitteln.
Wann kann man die Auskunft verweigern?
Es gibt Fälle, in denen die Auskunft verweigert oder ein Entgelt dafür verlangt werden kann. Das sind
Diese Ausnahmen liegen selten vor und werden in der Rechtsprechung sehr zurückhalten angewendet. Es ist also ein sehr stumpfes Schwert, um sich gegen Auskunftsbegehren zu wehren.
Was passiert, wenn man nicht beauskunftet?
Nicht beantwortete Auskunftsbegehren sind die Sollbruchstelle jeder Datenschutz-Organisation und sollten vermieden werden. Insbesondere wenn es bereits einen Konflikt mit Betroffenen gibt, landen nicht beantwortetet Auskunftsbegehren häufig bei den Datenschutzbehörden. Dann sollte man eine gute Begründung – oder Ausrede parat haben, sonst drohen Bußgelder bis zu EUR 20 Millionen oder 4% des Unternehmensumsatzes. Zusätzlich können Betroffene materiellen und immateriellen Schadensersatz geltend machen. Es gibt erste Urteile, in denen Schadensersatzansprüche wegen verspäteter Auskunft zugesprochen wurden, z.B. EUR 10.000 durch das Arbeitsgericht Oldenburg Urteil vom 9. Februar 2023 – Az. 3 Ca 150/21.
PLANIT//LEGAL
Verzeichnis von Verarbeitungstätigkeiten, Art. 30 Abs. 1
Das Verzeichnis von Verarbeitungstätigkeiten ist die datenschutzrechtliche Prozessdokumentation des Verantwortlichen. Es macht Sinn, sich bei der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten etwas Zeit zu nehmen und ein intelligentes System zu schaffen, das die Unternehmensprozesse in angemessener Detailtiefe abbildet, um über die Erfüllung von Dokumentationspflichten hinaus eine sinnvolle Grundlage für die weitere Datenschutz-Organisation und -Dokumentation zu schaffen. Ein gutes Verzeichnis von Verarbeitungstätigkeiten erfasst wie ein Netz alle Unternehmensprozesse und enthält Informationen, die so komprimiert sind, dass sich das Verzeichnis von Verarbeitungstätigkeiten mit vertretbarem Aufwand aktuell halten lässt.
Was ist eine Verarbeitungstätigkeit? Beispiele inklusive
Die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten ist eine gesetzliche Pflicht, die sich aus Art. 30 Abs. 1 DSGVO ergibt. Das Verzeichnis von Verarbeitungstätigkeiten besteht aus der Dokumentation einzelner Verarbeitungstätigkeiten. Verarbeitungstätigkeiten sind Prozesse, also eine Abfolge von einzelnen Tätigkeiten, bei denen personenbezogene Daten verarbeitet werden. Wie viele Einzeltätigkeiten in einer Verarbeitungstätigkeit zusammengefasst werden, kann relativ frei definiert werden. Es ist also möglich, Prozesse zu einer großen Verarbeitungstätigkeit zusammen zu fassen oder getrennt abzubilden. Das klassische Beispiel einer Verarbeitungstätigkeit ist die Personaldatenverarbeitung – aber dazu unten mehr.
Wer braucht ein Verfahrensverzeichnis?
Grundsätzlich muss jeder Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen, also jedes Unternehmen und jede Behörde. Es gibt Ausnahmen von der Dokumentationspflicht für kleine Unternehmen mit weniger als 250 Beschäftigten, die aber mit Vorsicht zu genießen sind und im Ergebnis nur selten relevant werden. Denn es gibt Rückausnahmen, also Fälle, in denen auch diese kleinen Unternehmen ein Verzeichnis von Verarbeitungstätigkeiten führen müssen, nämlich wenn kleine Unternehmen
Im Ergebnis sind also praktisch alle Unternehmen und Behörden verpflichtet ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Selbst wenn das einmal nicht der Fall sein sollte, sind sie zur Einhaltung des Datenschutzrechts verpflichtet und müssen das wegen der Rechenschaftspflicht in Art. 5 Abs. 2 DSGVO auch dokumentieren. Jedenfalls dafür macht es Sinn, ein Verzeichnis der Verarbeitungstätigkeiten zu führen, weil es die übliche Dokumentation ist, die eine Datenschutzbehörde kennt und erwartet.
Wer erstellt das Verfahrensverzeichnis?
Die Pflicht zur Erstellung des Verzeichnisses der Verarbeitungstätigkeiten liegt bei dem Verantwortlichen, also der natürlichen oder juristischen Person, die ein Unternehmen führt bzw. bei einer Behörde. Nach der internen Organisation muss das Management oder die Behördenleitung sicherstellen, dass ein Verzeichnis von Verarbeitungstätigkeiten erstellt wird. Diese Personen dürfen die Erstellung natürlich delegieren. Das macht Sinn und ist gängige Praxis. Management bzw. Behördenleitung müssen dann nur noch kontrollieren bzw. sich berichten lassen, dass ein Verzeichnis der Verarbeitungstätigkeiten erstellt ist und regelmäßig gepflegt wird.
In der Praxis wird die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten häufig an Datenschutzbeauftragte oder eine Datenschutzabteilung delegiert. Diese koordinieren die Erstellung, indem sie das entsprechende Dokument anlegen und die Informationsbeschaffung durch die Fachabteilungen anstoßen, indem diese zu Interviews eingeladen werden, in Fragebögen Informationen zuliefern oder direkt in das Dokument einpflegen. Für diesen Prozess macht Softwareunterstützung natürlich Sinn, um Informationen effizient zusammen zu tragen und zu konsolidieren.
Was gehört in ein Verfahrensverzeichnis?
Die Inhalte des Verzeichnisses der Verarbeitungstätigkeiten ergeben sich aus Art. 30 Abs. 1 DSGVO. Es sind:
Je nachdem, wie man das Verzeichnis der Verarbeitungstätigkeiten für die Datenschutz-Organisation und -Dokumentation nutzt, ist es zweckmäßig, weitere Informationen dort zu sammeln, wie
Gibt es „Standardverfahren“?
Es gibt „Standardverfahren“, die für alle oder die meisten Verantwortlichen eine Rolle spielen. Das sind z.B. Verfahren zur Verarbeitung von Kundendaten, zur Buchhaltung oder zum Betrieb einer Webseite. DER Klassiker der Verarbeitungstätigkeiten ist natürlich die Personaldatenverarbeitung. Sie ist in praktisch jedem Unternehmen und in jeder Behörde zu finden. In kleineren Unternehmen mit wenig Personal und wenig Aktivität und Komplexität, kann es sinnvoll sein, eine Verarbeitungstätigkeit „Personaldatenverarbeitung“ zu definieren und im Verzeichnis der Verarbeitungstätigkeiten abzubilden. In größeren Unternehmen mit komplexeren Personalprozessen hingegen ist es sinnvoll, das Thema zu splitten und getrennt abzubilden, etwa in Verarbeitungstätigkeiten für „Recruiting“, „Payroll“, „Personalentwicklung“, etc.
In vielen Fällen lässt sich eine sinnvolle Dokumentation mit ca. 15 Verarbeitungstätigkeiten abbilden. Deutlich mehr oder deutlich weniger Verarbeitungstätigkeiten können ein Indiz für eine zu komplexe bzw. zu wenig detaillierte Dokumentation sein.
Sinnvolle Standardverfahren für euer Verzeichnis der Verarbeitungstätigkeiten findet ihr in unserer kostenlosen Vorlage.
Wie sieht ein Muster eines Verfahrensverzeichnisses aus?
Muster für die Erstellung des Verzeichnisses der Verarbeitungstätigkeiten enthalten die Pflichtangaben gemäß Art. 30 Abs. 1 DSGVO (siehe oben). Gute Muster enthalten darüber hinaus weitere Angaben, die für eine sinnvolle Datenschutz-Organisation und -Dokumentation benötigt werden.
Hier geht’s zum Download von unserem Muster.
PLANIT//LEGAL
Die DSGVO schreibt vor, dass bei der Verarbeitung von personenbezogenen Daten bestimmte Maßnahmen zu deren Schutz getroffen werden - auch technisch organisatorische Maßnahmen (TOM) genannt. Diese Maßnahmen sollen sicherstellen, dass insbesondere die Integrität und Vertraulichkeit von personenbezogenen Daten gewahrt werden und die Verarbeitung sicher ist.
Welche Bedeutung haben TOMs?
Unternehmen, die personenbezogene Daten verarbeiten, sind verpflichtet, technische und organisatorischer Maßnahmen zum Schutz der Daten und zur Einhaltung des Datenschutzrechts zu implementieren. Dazu gehören Maßnahmen wie:
Ziele der TOMs im Datenschutz
Ziel der TOMs ist es, nach den aktuellen technologischen Entwicklungen einen angemessenen Datenschutz zu gewährleisten. Bei der Umsetzung der TOM sollte daher eine gründliche Risikobewertung erfolgen, damit dem Risiko angemessene Maßnahmen getroffen werden können. Wenn etwa ein Server oder Netzwerklaufwerk ausfällt muss es möglich sein, die Daten aus Back-ups wieder herstellen zu können.
TOMs im Unternehmenskontext
Mit der DSGVO steigen die Anforderungen an Unternehmen im Bereich des Datenschutzes. Es besteht die Pflicht, alle umgesetzten Schutzmaßnahmen ordnungsgemäß zu dokumentieren. Bei Nichteinhaltung können Unternehmen mit empfindlichen Geldstrafen rechnen.
Wie lässt sich der Datenschutz durch TOMs verbessern?
Welche konkreten Maßnahmen für Ihr Unternehmen erforderlich sind, sollte unbedingt anhand einer individuellen Risikoanalyse bestimmt werden.
PLANIT//LEGAL
Die Datenschutz-Folgenabschätzung (DSFA) ist das zentrale und verpflichtende Instrument zur Risikobewertung von Datenverarbeitungsvorgängen. Mit der DSFA sollen datenschutzrechtliche Gefahren frühzeitig zu erkennen und angemessene Maßnahmen zu ihrer Verringerung getroffen werden.
Was ist eine Datenschutz-Folgenabschätzung?
Die DSFA ist die zentrale Maßnahme des risikobasierten Ansatzes der DSGVO. Unternehmen müssen für jede Verarbeitung personenbezogener Daten prüfen, ob diese hohe Risiken für die Rechte und Freiheiten der Betroffenen hat. Für Verfahren, bei denen das der Fall ist, wird dann die eigentliche DSFA durchgeführt; eine detaillierte Beschreibung und Bewertung der datenschutzrechtlichen Risiken. Das Hauptziel der DSFA ist es, besondere Risiken für die Rechte und Freiheiten von Betroffenen zu bewerten und angemessene Schutzmaßnahmen zu treffen.
Wann ist eine DSFA durchzuführen?
Die DSGVO sieht vor, dass eine DSFA immer dann durchgeführt werden muss, wenn Datenverarbeitungsprozesse, insbesondere unter Einsatz neuer Technologien, ein hohes Risiko für die Rechte und Freiheiten von Personen bedeuten. Artikel 35 DSGVO enthält zudem Regelbeispiele, die die Durchführung einer DSFA verpflichtend machen, wie zum Beispiel die systematische und umfassende Bewertung persönlicher Aspekte oder die Verarbeitung besonderer Datenkategorien. Zudem haben Aufsichtsbehörden sogenannte Positivlisten veröffentlicht, die Verarbeitungsvorgänge enthalten, für die eine DSFA zwingend erforderlich ist.
Wie führt man eine DSFA durch?
Für die richtige Umsetzung gesetzlicher Anforderungen zur Durchführung einer DSFA ist es von entscheidender Bedeutung, Datenverarbeitungsvorgänge, die potenzielle Gefahren bergen, zu identifizieren und dann gründlich zu prüfen. Die DSGVO legt Mindestanforderungen für den Inhalt einer DSFA fest. Dazu gehören eine systematische Beschreibung der Verarbeitungsvorgänge, eine Bewertung ihrer Notwendigkeit und Verhältnismäßigkeit sowie eine Risikobewertung für die betroffenen Personen. Darüber hinaus müssen Unternehmen Maßnahmen zur Risikominderung und zur Gewährleistung des Datenschutzes festlegen und den Rat des Datenschutzbeauftragten einholen. Wenn nach der DSFA immer noch ein hohes Risiko besteht, muss sogar eine Konsultation der Datenschutzbehörde erfolgen.
Fazit
Die DSFA ist ein gesetzliche Pflicht und ein essenzielles Instrument, um datenschutzrechtliche Risiken bei der Einführung neuer Prozesse oder Technologien in Unternehmen zu bewerten und zu mindern. Das dient zum einen dem Schutz der Betroffenen, aber auch dem Schutz Ihres Unternehmens. Insbesondere in Zeiten der Digitalisierung und der Einführung neuer Technologien ist es für Unternehmen unerlässlich, sich mit den potenziellen Risiken und den notwendigen Schutzmaßnahmen auseinanderzusetzen.
PLANIT//LEGAL
»Wir verarbeiten ja selbst keine personenbezogenen Daten« oder »unsere Kunden wissen ja, was wir mit ihren Daten machen - bei uns gibt es daher keine besonderen Datenschutzanforderungen« Kommen Ihnen solche Aussagen bekannt vor? Dann ist höchste Vorsicht geboten. Das Datenschutzrecht gilt für jedes Unternehmen – auch für Sie. Es reicht, dass Sie Kontakten von Kunden haben, Beschäftigte oder eine Webseite und sie müssen die strengen Vorgaben der Datenschutzgrundverordnung beachten. Das sind 12 typische Fehler, die Sie bei Ihrem Datenschutz vermeiden sollten.
Es liegt in Ihrer Verantwortung, die notwendigen Schritte zu unternehmen, um sicherzustellen, dass Sie den Datenschutz In Ihrem Unternehmen einhalten und umsetzen. Die gute Nachricht: effizienter Datenschutz ist einfacher als Sie denken: PLANIT // PRIMA ist eine Datenschutz-Software, die nicht nur durch ihre browserbasierte und intuitive Benutzeroberfläche überzeugt, sondern auch alle essenziellen Bausteine für eine lückenlose Datenschutzorganisation vereint.
Rüsten Sie Ihr Unternehmen für die Datenschutzherausforderungen! Buchen Sie jetzt Ihre kostenlose, persönliche Tour durchs Tool.
Irina Diz zeigt Ihnen die Welt von PLANIT // PRIMA.
Jetzt Tour buchen oder direkt loslegen.
PLANIT//LEGAL
In einer Zeit, in der Daten als "neues Gold" bezeichnet werden, hat der Datenschutz enorm an Bedeutung gewonnen. Der Einsatz neuer Technologien und der stetige Fluss an Informationen macht Gap- und Risikoanalysen zu einem unverzichtbaren Instrument für Unternehmen, um sicherzustellen, dass sie nicht nur gesetzliche Vorgaben erfüllen, sondern auch das Vertrauen ihrer Kunden wahren.
Was ist eine Gap- und Risikoanalyse?
Die Gap-Analyse hilft Unternehmen zu erkennen, wo sie aktuell im Hinblick auf Datenschutz stehen und welche Lücken es im Vergleich zu den rechtlichen Vorgaben gibt. Sie sind die Voraussetzung, um Defizite zu erkennen und Risiken managen zu können.
Einmal identifiziert werden Gaps zur beherrschbaren Aufgabe. Das ist schon die halbe Miete. Mit der Risikoanalyse wird bewertet, welches Risikopotenzial erkannte Gaps haben, dem Unternehmen selbst zu schaden. Das Augenmerk liegt auf potenziellen Datenschutzverletzungen und ihren Folgen.
Risikobewertung: Was sind die Konsequenzen?
Jedes Gap birgt ein Risiko. Um das Risiko zu bewerten und über Maßnahmen entscheiden zu können, muss beurteilt werden, wie wahrscheinlich es ist, dass sich das Risiko verwirklicht und z.B. zu einem Datenschutzvorfall wird und welche Auswirkungen das haben kann.
Mit dieser Risikobewertung in der Hand können dann zielgerichtete Maßnahmen geplant werden. Mögliche Maßnahmen können technischer, rechtlicher oder organisatorischer Natur sein.
Die Vorteile einer gründlichen Gap- und Risikoanalyse
Aktives Risikomanagement bietet mehr als nur Rechtssicherheit. Unternehmen, die hier investieren, profitieren von einem verbesserten Image, Vertrauensbildung bei Kunden und letztlich auch von einer optimierten, datenbasierten Geschäftsstrategie. In der digitalen Ära ist ein nachlässiger Umgang mit Datenschutz keine Option. Ein proaktiver Ansatz, gestützt durch gründliche Gap- und Risikoanalysen, positioniert Unternehmen als vertrauenswürdige und verantwortungsbewusste Akteure auf dem Markt – das ist ein Wettbewerbsvorteil, der in der heutigen Geschäftswelt Gold wert ist.
Mitarbeitende schulen – Risiken langfristig mindern
Viele Datenschutzverletzungen resultieren aus menschlichen Fehlern. Durch regelmäßige Schulungen können diese Risiken erheblich reduziert werden. Das verlangt auch das Datenschutzrecht. Danach müssen Unternehmen, angemessene Maßnahmen treffen, um den Schutz personenbezogener Daten zu gewährleisten. Eine sachgerechte Schulung des Personals ist eine wesentliche Voraussetzung, um diese Anforderungen zu erfüllen.
Zusätzlich sind Schulungen aus mehreren Gründen sinnvoll:
Online -Schulungen sind daher auch integraler Bestandteil von PRIMA: Unterhaltsam aufbereitete Tutorials klären über Phishing, Passwortsicherheit und vieles mehr auf. Inklusive Quiz und Zertifikat für die Teilnehmenden.
--> Hier mehr über Online-Schulungen erfahren
Gap- und Risikoanalyse: das Fazit
Die regelmäßige Gap- und Risikoanalyse ist eine zentrale Säule für den verantwortungsvollen Umgang mit personenbezogenen Daten. Mindestens ebenso wichtig ist allerdings, im laufenden Betrieb dafür zu sorgen, dass alle Beschäftigten im Datenschutz geschult sind und Prozesse effizient ablaufen. Beispielsweise mit einer Datenschutzmanagement-Software wie PRIMA.
PLANIT//LEGAL
Der Ausdruck „Legal Tech“ wird heute oft verwendet: In den vergangenen Jahren ist er in vielen Kanzleien und einigen Start-Ups als Marketing-Schlagwort nicht mehr zu übersehen. Dieser Artikel bietet eine knappe Übersicht darüber, was Legal Tech eigentlich ist und nicht ist, sowie über die Rolle, die Legal Tech in einer fortschrittlichen und innovativen Kanzlei wie PLANIT//LEGAL einnimmt.
Grundsätzlich bezieht sich jede Technologie, ob Hardware oder Software, die Juristen (und möglicherweise ihren Mandanten oder Kunden) das Leben und die Arbeit erleichtert, in gewisser Weise auf Legal Tech. Das bedeutet, dass sowohl ein Faxgerät als auch Microsoft Word Teil der weit gefassten Definition von „Legal Tech“ sind. Legal Tech ist somit seit Jahrzehnten aus deutschen Kanzleien und Gerichten nicht mehr weg zu denken.
Natürlich versteht der durchschnittliche Jurist oder Informatiker unter „Legal Tech“ nicht ein Faxgerät. Der Begriff hat sich mehr und mehr spezialisiert und bezieht sich meistens nur noch auf hochspezialisierte Software-Produkte (eventuell in Verbindung mit zusätzlichen Dienstleistungen), die bestimmten rechtlichen Herausforderungen effektiver oder schneller lösen können als ein Mensch. Das Stichwort ist hier Skalierbarkeit.
Die Entwicklung schreitet voran: Legal Tech im engeren Sinn beginnt dort, wo Anwender über technische Innovationen nachdenken. Anders formuliert: Legal Tech setzt da ein, wo das „das haben wir schon immer so gemacht“ aufhört.
Angesichts dessen, dass viele Startups sich auf Legal Tech-Produkte konzentrieren, bezieht sich der Begriff nicht nur auf Technologien, sondern auch auf die Kultur, die sich um die Entwicklung und den Vertrieb dieser Technologie entwickelt hat. Legal Tech verbindet Elemente aus den Bereichen Jura, Informatik und Start-Ups.
Die Grenzen von Legal Tech sind im weiten Bereich der künstlichen Intelligenz oder „KI“ zu finden. Von einer „General Artificial Intelligence“, d.h. einer starken KI, die menschlicher Intelligenz nahekommt, sind wir noch weit entfernt.
Es ist jedoch bereits möglich, sogenannte „narrow purpose“ KI für einen bestimmten Anwendungsbereich zu schulen. Dabei kommen Techniken wie maschinelles Lernen und neuronale Netzwerke zum Einsatz. Produkte, die bestimmte Vertragsklauseln identifizieren oder einschätzen können und auf diesen Technologien basieren, sind schon jetzt marktfähig.
Legal Tech-Angebote, die besonders mit „KI“-Implementierungen werben, sollten mit Bedacht betrachtet werden. Legal Tech wird mittelfristig Juristen nicht ersetzen können – der Schwerpunkt muss auf Unterstützung liegen, die Daten vorsortiert oder „vorverdaut“. Aus berufs- und haftungsrechtlichen Gründen muss das Ergebnis immer noch von einem Menschen überprüft werden.
Legal Tech hat bei PLANIT//LEGAL eine wichtige Funktion – das zeigt sich schon im Namen und in unserer Spezialisierung: In den Bereichen IT und Datenschutz arbeiten wir täglich mit komplizierten, technischen Fragen. Intern treibt uns die Technikbegeisterung an, und PLANIT//LEGAL entwickelt mit mehreren internen Programmierern eigene Legal Tech (Software-)Produkte und Werkzeuge.
Unser Flaggschiff ist die Privacy Management Plattform PLANIT//PRIMA. Dieses fortschrittliche Werkzeug wird sowohl innerhalb der Kanzlei als auch bei unseren Mandanten und sogar als White-Label-Lösung verwendet. Es hilft Unternehmen und Kanzleien aller Größen dabei, ein Datenschutzmanagement schnell, rechtssicher und vor allem innovativ aufzubauen und zu betreiben.
Dieser Blog-Artikel ist eine Kurzfassung unseres Vortrags auf der Herbstakademie 2020 der deutschen Gesellschaft für Recht und Informatik, hier abrufbar: https://dsrinas.synology.me/herbstakademie/ha20/robin_schoss/