Nichts gegen künstliche Intelligenz. Doch es gibt Probleme, denen man am besten mit der natürlichen zuleibe rückt. Zum Beispiel die immer weiter ansteigende Flut an Informationen, die Tag für Tag auf Rechtsabteilungen zurollt und den klaren Durchblick zu verstellen droht. Hier ist vor der Technik die menschliche Intelligenz gefragt. Ohne eine von allen Seiten durchdachte Strategie kann das Datenhandling über Nacht zu einem enormen Einfallstor für Risiken werden. Allein schon deshalb muss die Data Governance ein zentraler Bestandteil der unternehmerischen Compliance-Strategie sein – ganz zu schweigen von den Vorgaben der Datenschutz-Grundverordnung (DSGVO), der Direktive NIS2, des EU Data Acts und des KI Acts, die sich die Rechtsabteilungen besonders gründlich anschauen. Wenn es um Daten geht, spielen die DSGVO und der EU-Data Act die Hauptrollen in der europäischen IT-Regulatorik. Der Data Act ist die Komplementärverordnung der DSGVO. Während die Datenschutz-Grundverordnung die Rechte von Personen und Unternehmen im Umgang mit personenbezogenen Daten regelt, bestimmt der Data Act die Handhabung von nicht personenbezogenen Daten, die bei der Nutzung von Produkten und Dienstleistungen anfallen. Das kann von Land zu Land variieren. Deshalb muss ein Data Governance Framework auch nationale Standards berücksichtigen, um Compliance und Effizienz zu gewährleisten und den Rechtsabteilungen eine strukturierte Basis für die Optimierung des Datenmanagements zu bieten. Nach dem Lehrbuch umfasst das Strategiepapier die Vision, die Rollen, Prozesse und Standards zur Erfassung, Nutzung, Verwaltung und Speicherung von Daten. Bereits hier arbeiten die Unternehmensanwälte mit. Doch sie haben eigene Aufgaben, denn was im Großen für das gesamte Unternehmen formuliert wird, muss parallel für das Legal Office mitgeplant und umgesetzt werden. Bei den Berliner Verkehrsbetrieben (BVG) ist man augenblicklich dabei. Als Verbindungsmann zu den Fachabteilungen und kommissarischer Leiter des Fachgebiets Vorstand, Recht, Innovation, Digitalisierung, Datenschutz und Forschungsmanagement steckt Rechtsanwalt Kilian Spuck seit acht Jahren ganz tief drin im IT- und Datenschutzrecht. „Wir sind gerade dabei, eine modifizierte Data Governance für Legal aufzubauen“, erzählt Business Partner Spuck. „Natürlich haben wir ein Data Framework für das gesamte Unternehmen. Aber weil wir unter NIS2 fallen, haben wir strenge IT-Sicherheitsvorgaben, und jetzt legen wir das Data Framework eine Ebene tiefer für die Rechtsabteilung.“ Bei vielen Anwendungen greifen die Juristen auf Daten zu, die nur für den Bereich Recht von Interesse sind. Der Zugriff darauf, die Modalitäten der Verarbeitung und der Datenspeicherung werden seit jeher in eigener Regie überwacht. Mit dem Data Act freilich sind neue Regeln für den Zugang, die Nutzung und die Weitergabe von Daten zu beachten. Bei den Anwälten des Berliner Nahverkehrsbetreibers dürfte das nicht nur Freude ausgelöst haben, denn Veränderungen der gewohnten Arbeitsweise sind nicht jedermanns Ding. „Wenn wir unser System jetzt mit dem bestehenden Data Framework der BVG vereinen, darf es nicht zu viel Aufwand für die Rechtsanwälte bedeuten“, stimmt Spuck zu. Schließlich sei Data Governance nur ein Nebenprodukt der Arbeit im Legal Office. Im Grunde, so schwebt dem Datenrahmenbauer als Idealzustand vor, sollten seine Kolleginnen und Kollegen gar nicht mitbekommen, dass und wie Daten erfasst und gelagert werden. „Als Jurist will ich mir nur mein Dashboard anschauen und sehen, wie dort die Daten innerhalb der Key Performance Indicators dargestellt werden. That’s it.“
Als Jurist will ich mir nur mein Dashboard anschauen und sehen, wie dort die Daten innerhalb der Key Performance Indicators dargestellt werden. That’s it.
Kilian Spuck,
Rechtsanwalt, Business Partner,
Berliner Verkehrsbetriebe (BVG)
Strategischer Ansatz
Das sollte es sein. Bis die Aufgabe allerdings abgehakt werden kann, ist etliches zu überlegen und auf den Weg zu bringen. Jedes Management von Daten beginnt mit einer Charter, die Ziele und Verantwortliche definiert, und es endet mit kontinuierlicher Überwachung, Datenanalyse sowie im Idealfall mit daten- und KI-gestützter Prognoseanalytik. Auf diese Weise stellt es Standards für Verfügbarkeit, Qualität, Datenschutz und Compliance sicher, insbesondere unter DSGVO und Data Act. Daten werden klassifiziert, nach Personenbezug, nach Sensibilität, nach Risikopotenzial, und kartiert in Form von Flüssen von Erhebung bis Löschung. Am Anfang steht also Kopfarbeit. Oder gibt es hierfür schon Tools? Aber ja, versichert Kilian Spuck. Nur möge man damit klug umgehen: „Wenn die Organisation keine klaren Prozesse kennt, kann sie von Tools schwerlich gut abgebildet werden.“ Die BVG-Anwälte selbst haben ihre internen Abläufe untersucht, hin und her geschoben, schließlich an die richtigen Stellen gerückt und sich dabei von elektronischen Werkzeugen nur helfen lassen. Bereits in vielen Rechtsabteilungen als hilfreich erwiesen haben sich automatisierte Checks auf DSGVO- und Data-Act-Klauseln durch Legal-Tech-Tools, potenziell zukunftsweisende Werkzeuge für Legal Analytics. „Selbstverständlich arbeiten wir mit Tools“, sagt Spuck, „aber uns ist viel wichtiger, dass die Funktionen, die damit abgebildet werden sollen, definiert sind.“ Das sei der richtige Weg, bestätigt Rechtsanwalt Sebastian Schüßler von Rödl aus dem Büro Eschborn bei Frankfurt. Als Vordenker der KI-Implementierung in der weltweit tätigen Kanzlei ist er bestens vertraut mit der Materie. „Mit der technischen Lösung steht und fällt alles bei großen Datenmengen“, sagt Schüßler. „Aber eine rein technische Lösung stellt noch nicht die Datenqualität sicher.“ Die hänge auch davon ab, wie in Unternehmen mit den Daten umgegangen werde. Hacker, das weiß heute jede und jeder Zwölfjährige, halten stets Ausschau nach menschlichen Versäumnissen. „Viele klassische Angriffe auf die IT beginnen vor dem Bildschirm“, warnt Schüßler. „Wenn da Lücken bestehen, sind Angriffsvektoren offen.“
Mit der technischen Lösung steht und fällt alles bei großen Datenmengen. Aber eine rein technische Lösung stellt noch nicht die Datenqualität sicher.
Sebastian Schüßler,
Rechtsanwalt,
Rödl
Das fordert der Data Governance Act
Wie die zu schließen sind, steht ebenfalls im Lehrbuch. Definierte Rollen wie Dateneigentümer (Rechtsabteilung, Business Units), Datenverwalter (IT) und Governance (Compliance) sollen für zuordenbare Verantwortlichkeiten sorgen – wenn man so will, eine Datenföderation für sicheren Zugriff ohne Kopien und klare Policies gegen Missbrauch. „Die Rechtsabteilung braucht eine blitzsaubere Architektur“, sagt Sebastian Schüßler. Ob die in die Unternehmens-IT eingebunden sein oder auf einem eigenen IT-System laufen sollte, käme darauf an – ein Juristenklassiker. Die Antwort hänge von den Anforderungen an die IT-Governance des Unternehmens ab und von der Branche. Eine Legal Frontdoor – eine zentrale, digitale Einstiegsplattform, über die Mitarbeitende einer Organisation alle Anfragen an die interne Rechtsabteilung stellen und nachverfolgen können – könne allerdings sehr hilfreich sein. Nichts anderes fordert der Data Governance Act: eine klare Datenvermittlung, die durch Registrierung und Meldepflichten umgesetzt werden kann. Die rollenbasierte Zugriffskontrolle (RBAC) ist eine probate Methode, um zu steuern, was jeder einzelne Benutzer in den IT-Systemen des Unternehmens tun darf, worauf er zugreifen, was sie bearbeiten und ablegen darf. Selbstverständlich werden sensible Daten verschlüsselt. Die Prozesse sind beschrieben, werden regelmäßige auditiert und umfassen auch Datenschutz-Folgenabschätzungen (Data Protection Impact Assessment, DPIA), um Datenschutzrisiken bei neuen, hochriskanten Verarbeitungsprojekten zu identifizieren und zu minimieren. Wobei das Datenmanagement in der Rechtsabteilung noch ein großes Stück weit sorgfältiger als in den Fachabteilungen zu behandeln ist, denn im Legal Office werden hoch sensible Daten wie Verträge, Streitsachen und Compliance-Dokumente in dedizierten Systemen mit Zero-Trust-Architektur verarbeitet. „Wir sind als Kanzlei besonders gefordert“, sagt Sebastian Schüßler. „Die Dokumente in unseren Mandaten unterliegen immer einem besonderen Schutz. So dürfen wir nicht jede Cloudlösung einsetzen, und es gibt strenge Compliance-Vorschriften für das Datenhandling.“ All das erfordert eine Umstellung der Arbeitsweise, um ein stimmiges Data-Governance-Konzept Realität werden zu lassen. Dort hin komme man nur mit hoher intrinsischer Motivation, und genau die konstatiert Schüßler seinen Kollegen: „Unsere Anwältinnen und Anwälte wollen Mehrwert für die Mandanten schaffen und gleichzeitig zum eigenen Unternehmenserfolg beitragen.“ Weil ihnen ein modernes Trainingskonzept inklusive Mentoren und Coaches zur Seite stünden, sei die Sensibilisierung für Daten und deren Handling jetzt erreicht. Große Rechtabteilungen mit einem funktionierenden Data Management mögen dabei ein Vorbild gewesen sein. Im Legal Office der Berliner Verkehrsbetriebe arbeiten derzeit knapp 50 Mitarbeiterinnen und Mitarbeiter, gut die Hälfte davon sind Rechtsanwälte, der Rest Datenschützer, Forderungsmanager und Fachkräfte in der Administration. Um den Umstellungsaufwand für die Nutzer so gering wie möglich zu halten, sei es wichtig, die Kollegen frühzeitig in die Umstellung einzubinden, empfiehlt Kilian Spuck, und schon ganz am Anfang etwaige Probleme ernst- und aufzunehmen. Deshalb seien die Juristen beim Kick-off und bei der Bildung von Use Cases dabei, natürlich auch deshalb, „damit sie so schnell wie möglich mit den Tools arbeiten können.“ Parallel zur Umstellung laufen Schulungen zu DSGVO und die Integration von Datenschutz-by-Design in die Abläufe auf Hochtouren. BVG-Anwalt Kilian Spuck sagt: „Erst wenn das steht, sollte man so viel wie möglich automatisieren.“ Wieder exakt by the books. Im Hintergrund laufen Risikoanalysen vor Datenfreigaben, die Zusammenarbeit mit Compliance und IT ist mit monatlichen Governance-Meetings festzuzurren. Angesichts solcher Großbaustellen halte niemand mehr Change Management für optional, sagt Sebastian Schüßler: „In gut geführten Rechtsabteilungen ist das kein Modethema mehr. „Das ist angekommen und gehört zum eisernen Bestand.“
Einsatz von KI steht noch am Anfang
Nachdem man mit einem Data Governance Framework das Haus rundherum abgesichert hat, kann man einen Schritt weitergehen. Ambitionierte Rechtsabteilungen beginnen damit schon während der Umbauarbeiten. So sind Legal Analytics und KI-Anwendungen für die BVG-Anwälte ein, sagen wir: mittelalter Hut. „Wir haben neben einer Reihe von Tests schon eine Vielzahl an KI-Use Cases und Audio Predictive Maintenance erarbeitet“, sagt Spuck. Bitte: Wie? „Wir analysieren jeden Use Case und bewerten zunächst unsere Rolle. Wenn wir Anwender sind, dann prüfen wir nach dem KI-Act die Risikoklassen und entwickeln klare Prozesse, um die Sache beherrschbar zu machen.“ Man gehe pragmatisch vor, sagt Spuck, und nutze Analytics vor allem als ein Steuerungswerkzeug für die eigenen Prozesse. „Fristentreue, Risikoprofile und die datengetriebene Steuerung unserer Abläufe. Da sind wir gut drin. Das gilt nicht nur rechtsabteilungsspezifisch.“ Als öffentliches Unternehmen im Nahverkehr gehören die BVG allerdings zur kritischen Infrastruktur. Da müssen zum Beispiel schärfere Kontrollmechanismen greifen als anderswo. Das stellt auch das Datenmanagement vor besondere Herausforderungen. Bleibt die, von der im Moment alle reden: KI. „Nach meiner Wahrnehmung sind wir noch sehr am Anfang“, sagt Sebastian Schüßler und fügt, Eingeweihte dürften jetzt eifrig nicken, hinzu: „Wenn man es mit dem Datenschutz ernst nimmt, hat man bei vielen Anbietern noch Einschränkungen.“ Bis zum echten, sinnvollen und weitreichenden Einsatz von KI werde noch einige Zeit ins Land gehen. Wenn sie sich etwas on top wünschen könnten, hätten General Counsel gern ein Data Framework mit zentralem, KI-gestütztem Datenkatalog, der automatisch Klassifizierung, Linienhaftung und Anomalien erkennt – voll integriert mit Blockchain für Audit-Trails. Im Hintergrund klare, unternehmensweite Rollen dank einer RACI-Matrix und einem Projektmanagement-Tool zur Definition und Visualisierung von Zuständigkeiten, das Rollen (y-Achse) und Aktivitäten (x-Achse) zuordnet und ausweist, wer über Aufgaben entscheidet, ausführt oder informiert wird. On top Contract Analytics, Workflow-Optimierung, Ressourcenplanung, Prozess-Ausgangsanalyse, Privacy-by-Design als Default und jährliche Simulationsaudits zur Prophylaxe gegen Cyberbedrohungen. Allen gemeinsam ist der Wunsch, Rechtsrisiken signifikant zu reduzieren. Vielleicht könnte das mal einer den KI-Entwicklern sagen?
■ Christine Demmer
