PRIMA // BLOG

IT-Dienste werden heute nur noch selten in eigener Regie und mit eigener IT-Infrastruktur im eigenen Serverraum betrieben. Die Realität für das Hosting von Daten und den Betrieb von Anwendungen ist heute die Einschaltung von Dienstleistern und die Nutzung von Diensten in der Cloud. Das bringt viele Vorteile, wie die Einsparung von internen Ressourcen für Wartung und Betrieb und kann mit den richtigen Partnern auch die IT-Sicherheit verbessern. Es gibt aber Anforderungen zur datenschutzkonformen Beauftragung, Überwachung und Einbindung der Dienstleister. Lesen Sie hier, was es zu beachten gilt.

Klassifizierung des Dienstleisters

Wenn Sie Dienstleister bei der Verarbeitung personenbezogener Daten einsetzen, kann es sich dabei grundsätzlich um eine Auftragsverarbeitung, eine Übermittlung oder eine gemeinsame Verantwortlichkeit handeln. Um die richtigen Maßnahmen zu treffen, sollten Sie sich zuerst über die Rolle Ihres Dienstleisters bewusst werden.

• Auftragsverarbeitung: Eine Auftragsverarbeitung ist der häufigste Fall, wenn Sie Dritte bei der Verarbeitung personenbezogener Daten einsetzen. Sie liegt vor, wenn ein Dritter in Ihrem Auftrag personenbezogene Daten nach Ihren Weisungen verarbeitet, sie also bestimmen wie die Verarbeitung erfolgt. Klassische Anwendungsfälle sind das Hosting von Daten und Anwendungen, aber auch die Bereitstellung von SaaS oder Cloud-Software. Diesen Fall gucken wir uns gleich genauer an.
• Übermittlung: Eine Übermittlung personenbezogener Daten liegt vor, wenn Sie personenbezogene Daten selbst verarbeiten und an einen Dritten weitergeben, der selbst bestimmt wie er diese verarbeitet. Für die Einbindung von Dienstleistern, ist eine Übermittlung insbesondere für die Beauftragung von Beratern relevant, die mit eigener Expertise und Entscheidungsfreiräumen tätig werden, wie Rechtsanwälte, Steuerberater oder Wirtschaftsprüfer. Für diesen Fall müssen Sie sicherstellen, dass Sie eine Rechtfertigung haben, diesen Dienstleistern personenbezogene Daten zu übermittelt. Dieser Spezialfall wir hier nicht vertieft.
• Gemeinsame Verantwortlichkeit: Wenn Sie und ein weiterer Verantwortlicher gemeinsam die Zwecke und Umstände der Verarbeitung festlegen, handelt es sich um eine gemeinsame Verantwortlichkeit. Ein häufiger Fall ist die Bereitstellung von eigenen Inhalten in einem Portal das von einem Dritten betrieben wird, wie z.B. der Betrieb einer Fanpage bei Facebook oder Tätigkeiten in einem Netzwerk von Unternehmen in dem z.B. eine Vertriebsdatenbank gemeinsam genutzt wird. Wenn eine gemeinsame Verantwortlichkeit vorliegt, muss dafür eine Vereinbarung dazu gemäß Art. 26 DSGVO geschlossen werden. Dieser Spezialfall wir hier nicht vertieft.

Rechtliche Anforderungen an die Einbindung von Dienstleistern

Die Anforderungen an die datenschutzkonforme Einbindung eines Dienstleisters als Auftragsverarbeiter ergeben sich aus Art. 28 DSGVO. Dafür ist die sorgfältige Auswahl des Dienstleisters und die Kontrolle der technisch-organisatorischen Maßnahmen, der Abschluss einer Vereinbarung über die Auftragsverarbeitung und die regelmäßige Kontrolle dies Dienstleisters wichtig. Wenn der Dienstleister aus einem Drittstaat außerhalb des EWR kommt, ergeben sich zusätzliche Anforderungen.

Sorgfältige Auswahl des Dienstleisters

Die Beauftragung von Auftragsverarbeitern ist nur zulässig, wenn der Dienstleister zuverlässig ist, weil er hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen bestehen und die Verarbeitung datenschutzkonform erfolgt. Mit anderen Worten, muss die Datenverarbeitung bei dem Dienstleister genauso sorgfältig erfolgen, wie bei dem Verantwortlichen selbst. Diese Prüfung erfolgt praktisch durch die Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz.

Diese Kontrolle muss erstmalig vor der Beauftragung eines Dienstleisters erfolgen und muss dann regelmäßig wiederholt werden. Dir Frequenz und Intensität der Kontrolle richtet sich dabei insbesondere nach der Sensitivität der verarbeiteten Daten. Üblich sind jährliche Kontrollen des Konzepts zum technischen und organisatorischen Datenschutz, die bei weniger kritischen Anwendungen bedeuten können, das aktualisierte Konzept anzufordern und zu prüfen, während für kritische Anwendungen auch vor Ort Kontrollen erforderlich sein können.

Technische und organisatorische Maßnahmen (TOMs)

Das Konzept zum technisch-organisatorischen Datenschutz ist das zentrale Dokument, in dem Dienstleister dokumentieren, welche Maßnahmen sie treffen, um die Einhaltung datenschutzrechtlicher Pflichten und den Schutz der personenbezogenen Daten sicherzustellen. Als Auftraggeber sollten Sie sich dieses Dokument immer ansehen und nur dann eine Beauftragung vornehmen, wenn davon überzeugt sind, dass die dokumentierten Maßnahmen angemessen sind und tatsächlich umgesetzt werden. Die Bewertung wird klassischer Weise durch einen oder mehrerer der nachfolgenden Personen bzw. Abteilungen vorgenommen.

• Datenschutzbeauftragte,
• IT,    
• IT-Sicherheit
• Informationssicherheit

Inhalte, die ein TOM-Konzept abbilden sollte ergeben sich aus Art. 32 DSGVO. Es handelt sich insbesondere um

• Pseudonymisierung und Verschlüsselung personenbezogener Daten,
• Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste,
• die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
• ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.

Abschluss eines Auftragsverarbeitungsvertrags (AVV)

Wenn der Dienstleister auf Grundlage der Kontrolle des Konzepts zum technisch-organisatorischen Datenschutz sorgfältig erscheint, muss er vertraglich zur Einhaltung des Datenschutzrechts auf der Grundlage von Art. 28 DSGVO verpflichtet werden. Es muss also ein Vertrag über die Auftragsverarbeitung abgeschlossen werden, in dem unter anderem vereinbart wird,

• personenbezogenen Daten nur auf dokumentierte Weisung des Verantwortlichen verarbeitet werden,
• welche technischen und organisatorischen Maßnahmen der Dienstleister treffen muss,
• dass der verantwortliche den Dienstleister kontrollieren darf,
• welche Sub-Dienstleister eingeschaltet sind und
• unter welchen Voraussetzungen weitere Sub-Dienstleister eingebunden werden dürfen.

Dienstleister in Drittstaaten

In der Praxis kommt es regelmäßig vor, dass Dienstleister in Drittstaaten außerhalb des EWR beauftragt werden, etwa AWS oder Microsoft für Hosting und Applikation Services. Für diesen Normalfall in der IT-technischen Realität bestehen zusätzliche Herausforderungen nach dem Datenschutzrecht. Der Verantwortliche muss dann nämlich zusätzlich zu den beschriebenen Anforderungen sicherstellen, dass angemessene Garantien für den Schutz der betroffenen Daten für die Verarbeitung im Drittstaat bestehen. Dafür werden häufig die Standardvertragsklauseln der EU-Kommission, Binding Corporate Rules oder Angemessenheitsbeschlüsse der EU Kommission genutzt. Es kann zusätzlich aber erforderlich sein weitere technische Maßnahmen zu treffen oder eine Datentransferfolgenabschätzung zu machen.

Der Ausdruck „Legal Tech“ wird heute oft verwendet: In den vergangenen Jahren ist er in vielen Kanzleien und einigen Start-Ups als Marketing-Schlagwort nicht mehr zu übersehen. Dieser Artikel bietet eine knappe Übersicht darüber, was Legal Tech eigentlich ist und nicht ist, sowie über die Rolle, die Legal Tech in einer fortschrittlichen und innovativen Kanzlei wie PLANIT//LEGAL einnimmt.

Wo beginnt Legal Tech?

Grundsätzlich bezieht sich jede Technologie, ob Hardware oder Software, die Juristen (und möglicherweise ihren Mandanten oder Kunden) das Leben und die Arbeit erleichtert, in gewisser Weise auf Legal Tech. Das bedeutet, dass sowohl ein Faxgerät als auch Microsoft Word Teil der weit gefassten Definition von „Legal Tech“ sind. Legal Tech ist somit seit Jahrzehnten aus deutschen Kanzleien und Gerichten nicht mehr weg zu denken.

Natürlich versteht der durchschnittliche Jurist oder Informatiker unter „Legal Tech“ nicht ein Faxgerät. Der Begriff hat sich mehr und mehr spezialisiert und bezieht sich meistens nur noch auf hochspezialisierte Software-Produkte (eventuell in Verbindung mit zusätzlichen Dienstleistungen), die bestimmten rechtlichen Herausforderungen effektiver oder schneller lösen können als ein Mensch. Das Stichwort ist hier Skalierbarkeit.

Die Entwicklung schreitet voran: Legal Tech im engeren Sinn beginnt dort, wo Anwender über technische Innovationen nachdenken. Anders formuliert: Legal Tech setzt da ein, wo das „das haben wir schon immer so gemacht“ aufhört.

Angesichts dessen, dass viele Startups sich auf Legal Tech-Produkte konzentrieren, bezieht sich der Begriff nicht nur auf Technologien, sondern auch auf die Kultur, die sich um die Entwicklung und den Vertrieb dieser Technologie entwickelt hat. Legal Tech verbindet Elemente aus den Bereichen Jura, Informatik und Start-Ups.

Wo endet Legal Tech?

Die Grenzen von Legal Tech sind im weiten Bereich der künstlichen Intelligenz oder „KI“ zu finden. Von einer „General Artificial Intelligence“, d.h. einer starken KI, die menschlicher Intelligenz nahekommt, sind wir noch weit entfernt.

Es ist jedoch bereits möglich, sogenannte „narrow purpose“ KI für einen bestimmten Anwendungsbereich zu schulen. Dabei kommen Techniken wie maschinelles Lernen und neuronale Netzwerke zum Einsatz. Produkte, die bestimmte Vertragsklauseln identifizieren oder einschätzen können und auf diesen Technologien basieren, sind schon jetzt marktfähig.

Legal Tech-Angebote, die besonders mit „KI“-Implementierungen werben, sollten mit Bedacht betrachtet werden. Legal Tech wird mittelfristig Juristen nicht ersetzen können – der Schwerpunkt muss auf Unterstützung liegen, die Daten vorsortiert oder „vorverdaut“. Aus berufs- und haftungsrechtlichen Gründen muss das Ergebnis immer noch von einem Menschen überprüft werden.

Die Rolle von Legal Tech bei PLANIT//LEGAL

Legal Tech hat bei PLANIT//LEGAL eine wichtige Funktion – das zeigt sich schon im Namen und in unserer Spezialisierung: In den Bereichen IT und Datenschutz arbeiten wir täglich mit komplizierten, technischen Fragen. Intern treibt uns die Technikbegeisterung an, und PLANIT//LEGAL entwickelt mit mehreren internen Programmierern eigene Legal Tech (Software-)Produkte und Werkzeuge.

Unser Flaggschiff ist die Privacy Management Plattform PLANIT//PRIMA. Dieses fortschrittliche Werkzeug wird sowohl innerhalb der Kanzlei als auch bei unseren Mandanten und sogar als White-Label-Lösung verwendet. Es hilft Unternehmen und Kanzleien aller Größen dabei, ein Datenschutzmanagement schnell, rechtssicher und vor allem innovativ aufzubauen und zu betreiben.

Dieser Blog-Artikel ist eine Kurzfassung unseres Vortrags auf der Herbstakademie 2020 der deutschen Gesellschaft für Recht und Informatik, hier abrufbar: https://dsrinas.synology.me/herbstakademie/ha20/robin_schoss/