Stolperfalle DSGVO – das gilt es zu beachten

Wie gelingt die Digitalisierung? Wie werden aus Krisen Chancen? Und wie können Unternehmen in digitale Innovationen investieren? Kompetente Antworten, Inspiration und Expertenwissen gibt es bei Zukunft:digital – einem Podcast der KfW-Bankengruppe.

HT Diese Folge Zukunft:digital dreht sich ganz um das Thema Datenschutz. Für viele kleine und mittlere Unternehmen ist Datenschutz ein wunder Punkt – ich will daher heute mit zwei Expertinnen aus den Bereichen Recht sowie IT-Sicherheit und Datenschutz klären: Was kann und darf ich in meinem Unternehmen mit Daten machen? Wann müssen sie gelöscht werden? Und wie setze ich Datenschutz rechtlich und technisch am besten um? Herzlich willkommen, sagt Holger Thurm.

HT Hallo, Frau Prof. Dr. Ina Schiering von der Ostfalia Hochschule für angewandte Wissenschaften. Sie sind stellvertretende Leiterin des Instituts für Information Engineering und Expertin für IT-Sicherheit und Datenschutz in den Bereichen mHealth, also Mobile Health, Internet of Things und Cloud Computing. Grüße Sie!

IS Ja, guten Tag, Herr Thurm!

HT Und dann begrüße ich Alisha Andert. Sie ist Juristin und Vorstandsvorsitzende des Legal Tech Verbands Deutschland, außerdem Head of Legal Innovation bei einer großen Anwaltskanzlei. Sie haben eine Beratungsfirma mitgegründet, die technische Innovation im juristischen Bereich fördern will.

AA Hallo!

HT Wir reden über Datenschutz im Kontext von Digitalisierung. Die DSGVO, also die Datenschutzgrundverordnung, gibt’s nun schon seit mehr als zweieinhalb Jahren. Für Unternehmen heißt das, sie müssen umfangreich dokumentieren, wie sie personenbezogene Daten verarbeiten und speichern: Kundendaten, Cookies, Daten, die bei Dienstleistern und Lieferanten gespeichert werden. Unternehmen müssen beweisen, dass diese Speicherung und Verarbeitung DSGVO-konform ist, und sie müssen die datenschutzmäßigen Risiken regelmäßig abschätzen. Bei Datenschutzverletzungen müssen sie innerhalb von 72 Stunden die zuständige Aufsichtsbehörde benachrichtigen. Verstöße werden mit hohen Bußgeldern geahndet. Zusammengefasst: Es gibt eine Transparenzpflicht und Informationspflicht für Unternehmen, und Kunden haben ein Recht auf Auskunft. Also für mich klingt das sehr aufwendig, und vielleicht ist das auch ohne digitales Arbeiten oder Automatisierung von Prozessen gar nicht mehr machbar. Und vielleicht hängen deswegen auch viele Unternehmen noch bei der Umsetzung der Bestimmungen hinterher. Es gibt eine Umfrage des Digitalverbands Bitkom vom September 2020. Da hat gerade mal ein Fünftel der Unternehmen die DSGVO bislang vollständig umgesetzt, und immerhin 37 Prozent größtenteils. Vielleicht sollten wir vorab abgrenzen, weil es oft zusammengeworfen wird: Was ist denn Datenschutz in Abgrenzung zu IT-Sicherheit? Vielleicht fangen Sie an, Frau Prof. Schiering?

IS Ja, das kann ich gerne machen. Aus meiner Sicht ist der wichtige Unterschied zwischen Datenschutz und IT-Sicherheit, welche Sichtweise ich einnehme. Beim Thema Datenschutz muss ich mich eher hineinversetzen in die betroffene Person. Das heißt, ich muss sehen, wenn Daten entsprechend nicht mehr verfügbar sind oder Daten extern bekannt werden: Welche Risiken sind damit für die Person verbunden? Wenn ich dagegen aufseiten der IT-Sicherheit schaue, dann erlebe ich, dass ich die Organisation schütze. Das heißt, ich schaue, wie würde ein bestimmter Vorfall, wie würde ein bestimmtes Ereignis die Organisation potenziell gefährden? Und deswegen fällt es Unternehmen so schwer, Datenschutzanforderungen umzusetzen, weil sie natürlich aus Sicht der Organisation schauen und jetzt auf einmal gucken müssen: Was sagen ihre Kunden dazu? Was sagen im medizinischen Bereich Patienten? Was sagen in vielen Fällen Angehörige, Leute, die vorbeigehen? Was sind die Risiken für diese Personen? Und das ist schwer für Unternehmen.

HT Wollen Sie das noch aus ihrer Sicht ergänzen, Frau Andert?

AA Vielleicht noch ein bisschen ergänzend: Was ich immer ganz interessant finde – die Frage, warum es überhaupt Datenschutz gibt. Der Datenschutz existiert, um ein ganz wichtiges Recht von Personen zu schützen, und zwar die informationelle Selbstbestimmung. Und das bedeutet also, ich soll als Person immer darüber verfügen dürfen, was mit Informationen über mich passiert. Da dies eben auch negative Auswirkungen haben kann und weil ich einfach in gewisser Weise ein Anrecht über Daten von mir selber habe. Und deswegen geht es beim Datenschutz immer wirklich darum: Dürfen diese Daten überhaupt erhoben werden? Wie lange dürfen sie gespeichert werden? Und gar nicht in erster Linie darum, wie ich sie konkret sichere.

HT Jetzt zur DSGVO. Ich habe ja gerade ein paar Zahlen erwähnt. Was sind denn die Haupthindernisse für Unternehmen, insbesondere für kleine und mittlere Unternehmen, die DSGVO vollständig umzusetzen?

AA Sie haben jetzt gerade schon sehr schön die ganze Komplexität gezeigt. Und ein wesentliches Hindernis, was sich natürlich zeigt, ist einfach eine allgemeine Unkenntnis und mangelnde Expertise darüber. Sogar die Mitarbeiter, die mit Daten zu tun haben, kennen sich oftmals nicht aus, sind auch nicht unbedingt geschult oder wissen darüber Bescheid. Man spricht immer von Awareness, also, weiß ich überhaupt, dass hier ein Problem besteht. Generelle juristische Expertise, die ich mir im Zweifel reinholen muss – denn es reicht auch nicht unbedingt, jemanden auszubilden, das ist in der Regel nicht genug, um den Datenschutz-Grundsätzen gerecht zu werden. Und dann kommen wir gleich zu einem nächsten Thema, nämlich dem Thema Budget. Das Ganze gibt es in der Regel nicht umsonst: Datenschutzmanagement erfordert Ressourcen, erfordert oftmals eben externe Expertise. Die kostet Geld. Und wenn ich mir dann die Prioritäten von Unternehmen anschaue, dann ist vielleicht Datenschutz-Compliance nicht automatisch ganz weit oben. Da fällt dann womöglich auch mal etwas hintenüber. Dann haben wir noch als dritten wesentlichen Punkt, den ich sehen würde, eine mangelnde Transparenz auch der eigenen Prozesse: Viele Unternehmen sind sich gar nicht darüber bewusst, was sie wo eigentlich genau machen. Die Prozesse sind oftmals gar nicht sichtbar. Und man kann eigentlich eine richtige Datenschutz-Compliance nur dann hinkriegen, wenn man sich über diese Prozesse auch tatsächlich bewusst ist. Also: Was machen wir wo mit welchen Daten? Welche Dienstleister sind an welcher Stelle eingebunden? Und wo sind hier die Risiken?

IS Genau das kann ich an der Stelle nur bestätigen und würde nur etwas ergänzen. Sie haben schon erwähnt, dass die meisten Unternehmen, besonders auch KMU, gar keine Übersicht über die eigenen Prozesse haben. Und was gerade bei kleinen Unternehmen dazukommt, ist auch die mangelnde technische Kompetenz. Denn Prozesse sind ja inzwischen eigentlich vollständig IT-gestützt. Und wenn ich wenig IT-Kompetenz habe, dann kaufe ich viel ein. Dann ist die Frage: Ist überhaupt der Dienstleister oder der Cloud-Service, den ich nutze, oder die Software, die ich eingekauft habe, erlaubt die mir überhaupt, feingranular solche Sachen zu bestimmen? Oder ist die überhaupt transparent? Das heißt, erfahre ich überhaupt, wo Daten gespeichert, verarbeitet werden, wer darauf Zugriff hat?

HT Also, es gibt eine rechtliche und auch eine technische Komponente, wenn ich Sie da jetzt beide richtig verstanden habe. Beim Thema Recht noch mal nachgefragt: Da ist ja auch eine gewisse Rechtsunsicherheit. Sie sagten, man müsste sich eventuell Expertise extern einkaufen. Es wird auch innerhalb der EU – die DSGVO gilt ja auch EU-weit – offensichtlich unterschiedlich ausgelegt. Das ist wahrscheinlich noch eine zusätzliche rechtliche Hürde.

AA Ja, wir haben eben neben der DSGVO, die als Verordnung in allen EU-Staaten gilt, trotzdem auch noch nationale Gesetze, die das ein bisschen konkretisieren. Also, wir haben auch das Bundesdatenschutzgesetz. Und in den anderen Ländern gibt es natürlich auch noch mal Datenschutzgesetze, die neben der DSGVO gelten. Aber ich würde sagen, dass das größte Problem nicht unbedingt darin liegt, dass die Unternehmen grenzüberschreitend Kontakte haben, sondern das ist schon innerhalb von Deutschland, wo es für Deutschland klare Regelungen gibt, trotzdem eine wahnsinnig große Rechtsunsicherheit. Denn ehrlicherweise ist das Thema einfach bis vor zweieinhalb Jahren bei niemandem wirklich richtig auf der Agenda gewesen.

IS Und auf der anderen Seite macht die DSGVO auch einen wichtigen Paradigmenwechsel. Bis dahin waren viele eher technische Aspekte so abgehandelt wie eine Art Checkliste. Und die DSGVO hat ganz klar gesagt: Es reicht nicht, eine Checkliste abzuhandeln, sondern man muss die Risiken für die Betroffenen in den Mittelpunkt stellen, die analysieren und angemessen reagieren. Das ist auch ein Punkt, mit dem sich viele Anwenderinnen und Anwender einfach sehr schwertun.

HT Sie sagen, das ist bis zur Einführung der DSGVO selten irgendwo weit oben auf der Agenda gewesen. Ich gehe noch einmal zurück auf diese Umfrage des Digitalverbands Bitkom. 90 Prozent halten die Bestimmungen in der Praxis gar nicht mal für durchsetzbar, voll umsetzbar. Ist diese DSGVO in ihrer jetzigen Form aus Ihrer Sicht ein Segen für kleine und mittlere Unternehmen oder ein Fluch?

IS Ich würde ein bisschen anders anfangen. Was ich erlebe, ist, dass zum einen, wenn ich gerade mit KMU ins Gespräch komme und die dann auf konkrete Problemstellungen hinweisen, die sie gerade besonders kompliziert finden oder bei denen sie keine Lösung finden, dann habe ich oft im Einzelfall erlebt, dass es eigentlich um Dinge ging, die im bundesdeutschen Gesetz früher auch schon so waren. Nur es gab keinen Strafen. Also hat man es ignoriert. Es stand ganz weit unten auf der Agenda. Das ist der eine Punkt. Und der andere Punkt ist die Digitalisierung. Viele Unternehmen haben sich nur halbherzig auf die Digitalisierung eingelassen und haben keine eigenen Kompetenzen aufgebaut, sondern die Verantwortung einfach abgegeben an Dienstleister. Und gerade das Management hat zu wenig Technikkompetenz und hat darum an der Stelle viel Blackboxes im Unternehmen geschaffen, bei denen sie eigentlich gar keine Transparenz mehr haben, was im Unternehmen passiert.

AA Ich glaube, ich würde auf jeden Fall total mitgehen, was den Teil der Digitalisierung angeht, wo einfach zu viel aus der Hand gegeben wird oder das einfach der Weg ist, den wir vor allem in Deutschland zu gehen scheinen. Dass wir uns auf externe Kompetenzen verlassen und viel zu wenig tatsächlich aufbauen. Und umso schwieriger ist es natürlich, dann auch Datenschutzbestimmungen umzusetzen. Da man das eben nicht mehr durch datenschutzfreundliche Prozesse und datenschutzfreundliche Systeme machen kann, sondern man muss dann gucken: Sind die Vereinbarungen, die da getroffen sind, sauber? Was passiert da eigentlich? Ich gebe relativ viel aus der Hand. Deswegen ist es tatsächlich ein bisschen fies zu fragen: Ist das jetzt Segen oder Fluch? Weil man dann direkt denkt: Na ja, die armen KMU, die müssen das jetzt umsetzen. Und das ist auch tatsächlich schwierig. Also aus Innovationssicht kann ich das total verstehen, dass einen das behindert, dass man auf einmal diese Datenschutzbestimmungen mitdenken muss und dass das erst mal Ideen ausbremst oder ihnen zumindest eine Schranke davorstellt. Und dennoch muss man sagen: Das ist etwas, was nicht mehr weggeht. Dann können wir uns jetzt besser mal schön schnell daran gewöhnen, dass das eben immer Teil ist und immer mitgedacht werden muss, genauso wie auch andere Schranken immer mitgedacht werden müssen. Also ja, ich kann auch im Grunde genommen darüber, dass ich die DSGVO ordentlich umsetze, mich auch nach außen als besonders seriös, vertrauenswürdig und compliant zeigen und damit auch für mich selber wieder einen Mehrwert für Kunden schaffen. Also, es ist nicht alles schlecht, was mit der DSGVO gekommen ist.

IS Und man muss auch dazusagen, dass die DSGVO ein riesiger Exportschlager ist. Es gibt inzwischen einige Länder, die sehr stark vergleichbare Regelwerke umgesetzt haben.

HT Weil wir eingangs ja über Daten und Datenschutz sprachen: Manche KMU haben vielleicht auch noch nicht in dem Maße den Nutzen von Daten für sich erkannt. Also, wo sehen Sie für KMU die größten Potenziale für die Nutzung von Daten? Und vielleicht können wir da auch plastisch werden und ein paar Beispiele nennen. Vielleicht noch mal Sie, Frau Prof. Schiering?

IS Genau. Da fange ich gerne an. Ich selber gestalte in interdisziplinären Forschungsprojekten zurzeit sehr viel mHealth-Anwendungen gemeinsam mit einer Kollegin. Wir orientieren uns da am Bereich Neuropsychologie und da bieten zunächst mal Digitalisierungen ein unglaubliches Innovationspotenzial. Gleichzeitig geht es um besonders schützenswerte Daten, um Gesundheitsdaten. Und das heißt, insgesamt kann ich da für die Patientinnen und Patienten, weil ich sie so im Alltag abholen kann, Trainings in den Alltag tragen, aber in anderen Bereichen auch ermöglichen, bessere medizinische Studien zu machen. Durch Daten habe ich einfach ein wahnsinniges Potenzial. Aber zurzeit ist es so, dass vieles dort eine Blackbox ist. Die Leuterechnen damit, dass ihre Daten praktisch verkauft werden an jeden, der Geld bezahlt. Das heißt, die Leute sind sehr zurückhaltend. Dabei hilft „Datenschutz by Design”, also Datenschutz durch sichere Voreinstellungen als Grundprinzipien der DSGVO sehr. Denn wenn die Leute bei einem deutschen oder europäischen Anbieter kaufen, erwarten sie, dass diese Grundsätze umgesetzt sind.

HT Erklären wir vielleicht kurz „Datenschutz by Design”. Vielleicht gehen Sie darauf noch mal mit einem Satz ein?

IS »Datenschutz by Design« bedeutet, dass, wenn ich anfange, über ein neues Konzept, über eine neue Verarbeitung von Daten nachzudenken, ich sofort mit überlege, welche Risiken könnten damit verbunden sein? Wie kann ich das Ganze möglichst datenschutzfreundlich gestalten? Das heißt zum Beispiel als einfachste Maßnahme Datenminimierung. Brauche ich bestimmte Daten überhaupt? Und wenn ich sie brauche, brauche ich sie wirklich in voller Genauigkeit? Oder reicht es, wenn ich sie gleich aggregiert speichere?

HT Okay, also, weniger Daten ist gleich mehr Datenschutz. Wo sehen Sie noch Angriffsflächen, Frau Andert?

AA Also, ganz gefährlicher Punkt für ein Unternehmen ist immer der Kundensupport, der direkt mit Leuten nach außen Kontakt und möglicherweise auf Datenbanken Zugriff hat. Dort könnte ganz schnell ein Leck entstehen. Wenn ich das eben verhindere, indem zum Beispiel der Support gar nicht auf alle Daten Zugriff hat, dann ist das etwas, was ich direkt in den Prozess mit eingebunden habe. Und nicht, indem ich dem Support sage: Pass mal auf, dem und dem Kunden darfst du nur das und das sagen und da darfst du nur das und das machen. Also nicht durch Regulation, sondern durch Design.

HT Welche grundsätzlichen rechtlichen Herausforderungen habe ich denn als kleines oder mittelständisches Unternehmen, wenn ich jetzt mit Daten arbeiten will?

AA So einige gibt es da. Wir haben vorhin schon einmal über generelle Pflichten und Betroffenenrechte gesprochen. Die Dokumentationspflichten, die ich habe, wo sicherlich Prof. Schiering noch einmal mehr dazu sagen kann, zum Verarbeitungsverzeichnis und auch zu den technischen und organisatorischen Maßnahmen, die man angreifen muss. Darüber hinaus habe ich aber vor allem erst mal das Thema, dass ich eine Erlaubnis brauche, um personenbezogene Daten überhaupt zu erheben. Was wir kennen: Natürlich ist die Einwilligung ein ganz wichtiges Mittel, wie ich eben dann auch personenbezogene Daten erheben darf. Oder ein zweiter wichtiger Fall, wenn ich es zur Vertragserfüllung benötige, also wenn ich irgendwo etwas hinschicken will, dann brauche ich die Adresse. Und da ist es natürlich in Ordnung. Dann haben wir noch wesentliche andere Pflichten. Was wir auch schon mal hatten, den Datenschutzbeauftragten, den ich gegebenenfalls hinzuziehen muss, intern oder extern. Und ich bin auch in gewisser Weise indirekt dazu verpflichtet, meine Mitarbeiter konstant zu schulen. Das steht jetzt so nicht explizit da drin. Aber wenn es drauf ankommt und es eben zu einer Panne kommt, dann ist es schon relevant, ob ich meine Mitarbeiter weiterhin geschult habe oder nicht. Und womit ich eben auch umgehen können muss, sind die auch schon angesprochenen Betroffenenrechte. Das ist aus meiner Sicht auch ein ganz wesentlicher Punkt für KMU – ein großes Risiko, wenn ich das nämlich nicht ordentlich mache. Ich muss einen ganzen Katalog an Informationen abarbeiten und den Betroffenen zur Verfügung stellen: Was ich mit den Daten mache, welche ich erhoben habe zu welchem Zweck, wer der Empfänger war, wie lange ich die gespeichert habe und so weiter. Das ist wirklich ein ganzer Katalog. Und da ist man gut beraten, wenn man sich auch wirklich Vorlagen als Unternehmen zurechtstellt und das auch noch einmal juristisch prüfen lässt, damit man abgesichert ist. Das Gleiche gilt auch für die Löschungsrechte von Betroffenen. Das reicht dann auch nicht aus, dass ich zum Beispiel den Datenträger irgendwie wegwerfe. Wenn ich das wieder aus der Tonne fischen kann, dann ist das nicht ordentlich gemacht. Und da ist wirklich ein ganz, ganz großes Risiko für Unternehmen. Da sollte man unbedingt abgesichert sein.

HT Frau Prof. Schiering, was sind da auf technischer Seite die typischen Dinge?

IS Das Wichtigste ist, dass man im Unternehmen ein strukturiertes Rollen- und Rechtekonzept hat und das auch durch Tools umsetzt. Wenn Sie so ein Unternehmen haben, wo zum Beispiel auf Arbeitsplatzrechnern direkt Daten gespeichert sind und zum Beispiel alle Mitarbeiterinnen und Mitarbeiter eines KMU mit demselben Benutzer auf diese Daten zugreifen können und an jeden Arbeitsplatzrechner gehen können, dann haben Sie keine Kontrolle, wer auf welche Daten zugreift. Das ist zum Beispiel ein wichtiges Modell. Dann ein weiterer wichtiger Punkt ist, dass Sie Zugriffe protokollieren. Das heißt, dass gespeichert wird: Wer hat wann auf welche Daten zugegriffen? Dann ein weiteres wichtiges Mittel ist natürlich eine Absicherung durch Kryptografie, kryptografische Methoden. Das bedeutet zum Beispiel, wenn Sie mit Menschen kommunizieren oder Daten transportieren, dass die verschlüsselt sind, indem Sie entweder die Netzwerkverbindung absichern oder wenn Sie Daten so als Datei versenden oder als Datei bei einem Cloud-Dienst speichern, dass Sie die vorher verschlüsseln.

HT Ich denke mir aber dennoch, dass viele Unternehmen sich fragen: Okay, das kann ich nicht alleine. Was kann ich selber tun? Aber wo brauche ich dann sowohl technisch als auch rechtlich gesehen Hilfe und wo kann ich mir die holen?

IS Zunächst mal sollten Unternehmen ab einer gewissen Größe einen Datenschutzbeauftragten haben. Bei kleinen und mittelständischen Unternehmen ist das oft jemand Externes. Und die Datenschutzbeauftragten, die ich kennengelernt habe, die gerade mit KMU zusammenarbeiten, die haben häufig eine größere Agenda im Kopf. Und die verschaffen sich erst einmal einen Überblick über das Unternehmen und fangen dann an, Stück für Stück jedes Jahr immer wieder ein bisschen Themen zu adressieren und einzelne Bereiche umfassend zu bearbeiten, sodass dann nach einigen Jahren die wichtigsten Dinge einfach abgearbeitet sind.

HT Gibt’s da Fristen? Also, hat man noch Zeit? Denn die DSGVO gilt ja schon eine Weile.

IS Eigentlich hat man die Zeit nicht. Aber je kleiner ein Unternehmen ist und wenn im ersten Schritt sofort die wirklich kritischen Punkte abgestellt sind und auch die Aufsichtsbehörden merken, man hat sich auf den Weg gemacht und man meint es ernst, dann ist man in einer ganz anderen Lage, als wenn festgestellt wird, da hat ein Unternehmen den Kopf in den Sand gesteckt.

AA Ich denke auch: Wenn man jetzt wirklich noch gar nicht angefangen hat, dann führt wirklich kein Weg dran vorbei. Man muss jetzt anfangen. Ich glaube, die Aufsichtsbehörden sind noch relativ fair gewesen. Und zeigen sich eben auch wirklich kooperativ, wenn man selber auch zeigt, dass man sich Mühe gibt und das nicht ignoriert. Da kann man sich natürlich schon Hilfe holen. Ist auch sicherlich sinnvoll, besser jemanden Externes früher einzubinden, als am Ende zu versuchen, die Versäumnisse wieder aufzukehren. Also lieber einmal dieses Audit am Anfang ordentlich machen und dann wirklich verstehen, wo überall Risiken sind, und dann vor allem die Sachen, die ich vorhin schon einmal beschrieben habe, diese Lecks nach außen, die als allererstes stopfen. Also, erst mal Transparenz schaffen, Datenschutzerklärung auf der eigenen Website und so was. Das muss sauber sein.

IS Und ein ganz wichtiger Punkt aus technischer Sicht ist es, dazu erst mal eine Übersicht zu gewinnen: Welche personenbezogenen Daten verarbeite ich eigentlich? Denn es sind ja nicht nur Namen, Adressdaten, Kontonummern, sondern dazu gehören auch andere Dinge. Wenn ich zum Beispiel als Unternehmen in irgendeiner Form GPS-Daten über meine Kunden gewinne oder GPS-Daten über die Wege meiner Mitarbeiterinnen und Mitarbeiter gewinne, all das sind personenbezogene Daten – gerade im Zuge der Digitalisierung. Oder ich nutze Sprachdienste, zeichne dabei Sprache auf, ich setze Kameras ein, zeichne dort Videobilder auf – all das sind personenbezogene Daten.

HT Jetzt hatten wir vorhin schon das Stichwort Tools, also Hilfsmittel Software oder Cloud-Lösungen. Woran erkennen denn kleine und mittlere Unternehmen, ob zum Beispiel eine Software, die ich mir einkaufe, ein Tool für Videokonferenzen, weil Sie das gerade erwähnten, oder eine Cloud-Lösung wirklich DSGVO-konform ist? Manche der Anbieter unterliegen ja nicht unbedingt der DSGVO. Können kleine und mittlere Unternehmen diese Angebote auch guten Gewissens nutzen, ohne gegen die DSGVO zu verstoßen? Oder müssen sie wirklich alles selbst entwickeln?

IS Also, alles selbst entwickeln sollten sie bitte auf keinen Fall – außer sie sind sehr spezialisiert. Denn an der Stelle ist es sehr hilfreich, wenn man kompetente Dienstleister hat, die sich mit Themen wie IT-Sicherheit und Datenschutz gut auskennen und dort entsprechend Systeme entwickeln, Services entwickeln, die bereits compliant sind. Das ist eine wichtige Hilfestellung für kleine und mittelständische Unternehmen. Und was man dazusagen muss: Es entwickeln sich langsam die ersten Gütesiegel. Das ist, denke ich, eine wichtige Hilfestellung. Was allgemein leider kritisch ist, sind Systeme, die von Unternehmen kommen, mit ausländischen Unternehmensbestandteilen, vor allen Dingen ausländischen Mutterunternehmen. Dazu, Frau Andert, nehmen Sie am besten Stellung.

AA Ja, ich hatte es vorhin auch schon einmal angesprochen. Gerade bei bestimmten sehr beliebten Systemen aus den USA darf man natürlich nicht per se davon ausgehen, dass das DSGVO-konform ist. Ich muss sagen, ich habe bis jetzt noch kein verlässliches Gütesiegel gefunden. Möglicherweise entwickeln sich da gerade welche. Das ist sehr erfreulich, dass einem dann das vielleicht auch etwas leichter gemacht wird. Ich persönlich habe aber kein Patentrezept dafür.

IS Das kann ich leider nur bestätigen. Aber ich denke, der Markt der Gütesiegel wird sich zunehmend entwickeln. Das wäre dann Datenschutz als Verkaufsargument.

HT Kommen wir vielleicht doch mal auch zu Ihrem Bereich, Frau Andert, nämlich dem rechtlichen Bereich. Auch da kommen Lösungen zum Einsatz, die die Bearbeitung von Standardfällen oder Risikoprüfungen automatisieren oder zumindest vereinfachen. Stichwort: Legal Tech. Sie sind auch im Legal Tech Verband Vorsitzende. Was verbirgt sich hinter diesem Stichwort Legal Tech?

AA Der Begriff Legal Tech wird immer sehr vielseitig verwendet. Deswegen würde ich auch eine relativ breite Definition wählen. Also im Groben meint es die Digitalisierung des Rechtsmarktes. Und was damit konkret gemeint ist, sind eigentlich zwei Dinge: einmal digitale Tools, also so etwas, wie Sie es gerade angesprochen haben. Digitale Tools, die einem bei der Erbringung einer juristischen Tätigkeit helfen können. Das wären zum Beispiel Dokumentenautomatisierungen, die von Rechtsanwälten und Rechtsanwältinnen selber genutzt werden. Das wäre so ein typisches Legal Tech Tool. Auf der anderen Seite versteht man aber unter Legal Tech auch, dass ganze Rechtsdienstleistungen digital angeboten werden. Im Mietbereich haben wir das auch oder für Bußgeldbescheide, also ganz viele typische Verbraucheransprüche. Und das entwickelt sich jetzt auch in weitere Richtungen, ist auch für Unternehmen interessant. Ganz konkret aus dem Datenschutz gibt es auch Legal-Tech-Beispiele, allerdings nicht ganz so advanced, wie Sie sich gerade vorstellen, glaube ich. Sie stellen sich natürlich vor, dass man jetzt auf irgendeinen Knopf drückt und dann irgendwelche Löschungsansprüche umgesetzt werden oder Auskunft erteilt wird. Das ist alles möglich und alles denkbar, würde aber auch eine sehr komplexe IT-Infrastruktur erfordern. Dennoch gibt es aber im Legal Tech interessante Dienstleistungen im Datenschutz, die eher so wie „Software as a Service” oder manchmal sagen sie auch „Datenschutz as a Service” quasi Dienstleistungen anbieten, zum Beispiel als erstmal digitaler Datenschutzexperte. Viele Unternehmer haben einen externen Datenschutzexperten. Und der Unterschied hier ist eben, dass der digital ist. Also, das sind natürlich Datenschutzexperten, Anwälte und Juristen mit Datenschutzexpertise. Die kommen aber nicht ins Unternehmen physisch rein, sondern agieren eben von einer Plattform aus. Und ich habe die Möglichkeit, als Unternehmen über eine webbasierte Softwarelösung zum Beispiel mein Verarbeitungsverzeichnis anzulegen. Ich habe dann eben Checklisten, habe so eine Art Ampelsystem, was mir schon eine gewisse Risikoanalyse anzeigt, und das Ganze ist einfach sehr nutzerfreundlich gestaltet als Software, sodass jemand, der sich eben jetzt auch nicht schon zwei Jahre mit Datenschutz befasst hat, das auch umsetzen kann – eigenständig.

HT Und, ich meine, umgekehrt wäre es ja auch ein Argument, diese Anschaffung zu tätigen, wenn ich dafür auf der anderen Seite Zeit spare, Aufwand spare und also bares Geld spare. Also, mit Legal Tech kann ich auch Geld sparen?

AA Das definitiv! Wenn ich das ganze Thema Datenschutz nicht komplett ignorieren möchte, das wäre ja auch eine Entscheidung, dass ich sozusagen das Risiko in Kauf nehme: Ich mache hier gar nichts, dann gebe ich natürlich auch erst mal nichts aus. Wenn ich das aber so nicht angehe, weil mir das Risiko doch ein bisschen zu groß ist und ich mich als Unternehmen durchaus als Datenschutz-compliant-Unternehmen positionieren möchte, dann kostet es definitiv Geld. Und das ist mit einer Legal-Tech-Lösung definitiv günstiger.

HT Vielleicht noch mal zum Abschluss die Frage: Verändert Datenschutz Prozesse zum Positiven? Also, welche Auswirkungen hat Datenschutz auf die Organisation von KMU?

IS Es ist zurzeit hart für KMU, zugegebenermaßen. Viele tun sich schwer damit. Auf lange Sicht führt es aber dazu, dass diese häufig etwas blinde Digitalisierung, die durchgeführt wurde, ohne sich genau Gedanken zu machen, was man tut, im Nachhinein transparent und bewusst gestaltet wird.

AA Ja, ich glaube, ich kann mich da nur anschließen. Ich möchte natürlich auch das Positive sehen am Datenschutz, was es eben auch für uns in der Digitalisierung bedeutet. Und was ich durchaus sehe als etwas Positives, ist, dass wir uns natürlich überhaupt erst mal der Daten bewusst geworden sind. Aber nicht nur der Risiken, womit einhergeht, was wir unbedingt tun müssen. Aber aus Unternehmenssicht ermöglicht das eben auch, dass man mal sieht, was man mit Daten alles machen kann. Daten sind auch ein ganz großer Befähiger. Also, viele Dinge werden klarer, werden besser. Meine Dienstleistung kann ich massiv verbessern, indem ich Daten verwende. Und dieses Bewusstsein ist jetzt geschaffen worden. Und ich hoffe, dass wir das dann auch in Zukunft nutzen, um die eigenen Dienstleistungen besser zu machen.

IS Eine Sache würde ich da gern noch ergänzen: Die Welt, in der wir leben, hat sich seit dem Bundesdatenschutzgesetz der 90er-Jahre einfach massiv geändert. Wir sind inzwischen praktisch den gesamten Tag durch eine Vielzahl von Sensorik umgeben. Wir haben keine Sekunde des Lebens mehr, ohne dass wir in unserer gesamten Persönlichkeit durch Sensorik aufgenommen werden, wahrgenommen werden. Und deswegen ist Datenschutz im weitesten Sinne auch Grundrechtsschutz inzwischen.

HT Vielen Dank, das waren Frau Prof. Ina Schiering von der Ostfalia Hochschule für angewandte Wissenschaften. Und danke auch an Alisha Andert, Vorstandsvorsitzende des Legal Tech Verbands, dass wir heute über Datenschutz für KMU und die Umsetzung der Datenschutzgrundverordnung sprechen konnten.

AA Danke Ihnen!

IS Danke, Herr Thurm!

HT Digitalisierung schafft Innovation. Daten ermöglichen ganz neue Geschäftsmodelle. Digitale Fertigungsprozesse sorgen für bessere Produkte. Für kleine und mittlere Unternehmen ist Digitalisierung immer noch ein Wagnis – aber eines, das sich lohnt. Das zeigen zwei sehr unterschiedliche Unternehmen, die digitale Innovation umgesetzt haben und die wir in der kommenden Folge vorstellen. Zum einen ein Fertigungsspezialist, der mit 3D-Druck alle möglichen industriellen Anwendungen von Automobil bis Medizinprodukte herstellt. Und zum andern eine Bäckerei, die dank digital gesteuerter Prozesse wieder ganz traditionell und dennoch erfolgreich backen kann.

Das war Zukunft:digital – ein Podcast der KfW-Bankengruppe. Wollen auch Sie Digitalisierung und Innovation in Ihrem Unternehmen vorantreiben? Die KfW unterstützt Sie dabei – mit attraktiven Krediten und Förderzuschüssen. Erfahren Sie mehr auf kfw.de/digitalisieren.