Application of legal tech in data protection
There are no excuses - let's tackle digitalization!
Violetta Weber, Senior Data Privacy Expert | TQG GmbH
Published in: DiALOG - THE MAGAZINE FOR DIGITAL CHANGE | 2021
"Once upon a time... the fairy tale of Everybody, Somebody, Somebody and Nobody. It was about getting an important job done and Everybody was sure that Somebody would take care of it. Somebody could have done it, but Nobody did it. Somebody got angry because it was Everybody's job. Everyone thought Someone could do it, but No One knew that Everyone would not do it. Finally, Everybody blamed Somebody because Nobody did what Somebody could have done."
Does this sound familiar? Have you ever experienced something like this before? Does this sound like an account from your personal everyday working life? Actually, you know who is responsible for what. Actually. There it is, the little word "actually". The much more crucial question is therefore, how can you become master of this situation? My tip: just read on.
Risks of a poor organization
The most obvious risks of a poor organization are economic losses. What capacities are available and how they are used has a direct impact on the economic success of the company.The (un)conscious non-observance of important regulations can also be identified as a risk of poor organization: Employees:inside do not know how they should or must act, or even that certain behavior is simply not right. In addition, a weak infrastructure can lead to a great waste of time and potential if employees cannot access information when they need it. The worst case scenario of a poor organization is the business failure itself. What can my organization and I do to avoid being exposed to these dangers? My suggestion: Use the technical tool Legal Tech.
Bringing processes to life
Man is his own biggest hurdle, because he:she is curious by nature. This curiosity sometimes leads to unreasonable actions. The "common law", the "we have always done it that way" rules all too readily. We are all familiar with this, a handrail in a building has been freshly painted, a sign even warns with "Freshly painted! Please do not touch!". What do we do? By all means touch it to convince ourselves of the freshness of the paint. It is precisely this attitude that needs to be countered. Data protection in particular, with its comprehensive documentation requirements, is a "natural" field of application for legal tech.
And in doing so, it definitely makes sense to resort to technical support: Legal tech can help you mitigate risks and keep your organization secure. Legal tech translates legal issues into codes, so to speak. Data protection in particular, with its comprehensive documentation requirements, is virtually a "natural" field of application for legal tech.
So if we know and can assume that people are unreasonable, it is only legitimate to provide them with instructions and assistance in doing the right thing. This is precisely where the TOMs, the technical and organizational measures of data protection, come in. In terms of Art. 32 GDPR, organizations that collect, process or use personal data themselves or on behalf of others must take the technical and organizational measures to ensure the execution of data protection regulations. TOMs are central to data protection practice. They describe measures taken to protect the data processed, both technical, which are implemented physically, and organizational, which are implemented through instructions for action, procedures and practices.
The basic approach to tackling digitization is always the same. First of all, the ACTUAL situation is recorded: How is the company currently positioned? What is the status of the current processes? The second step is to define potential and organizational improvements on the basis of the current processes. The third step is about the optimization possibilities, the analysis of risks, identification of potentials with evaluation, process and cost proposals, benefit argumentation and possible solution approaches. Finally, the results are presented, a recommendation for the organization is presented taking into account cost/benefit argumentation, implementation proposals are presented and the adoption of goals is recorded.
Digital work with BusinessApps
A digital platform is the web-based, integrative and interactive basis for cross-departmental communication and collaboration, a platform for companies to optimize and structure business processes, contracts, documents and responsibilities. Such a platform ideally contains role-based, configurable desktops, so-called business apps, with which users can efficiently and as easily as possible process their tasks in their area of responsibility.The "artificial intelligence" of this methodology lies in defining agile organizational tasks and processes in terms of roles rather than individuals. This makes it possible to respond quickly and easily to changes, team orientation and, above all, individuality of processes in departments or between departments across the board. In a digital enterprise platform such as the TQG businessApp platform.®, the advantages of proven standardized business solutions/modules as well as individual workflow processes using BPMN2.0 can be used for each user group (role) in one application. This makes the user-defined, cross-departmental organization and its processes by means of an information hub (platform) a lived practice.
The digital platform and its business apps serve information and knowledge management, because information is the be-all and end-all within an organization. Where do employees get information? Most of the time, they go the informal route. You meet a colleague in the hallway and ask him or her a question. Or you pick up the phone and call someone from whom you think you are most likely to get the answer. The inquiry then usually starts with "I have a quick question..." And as I said, you hope to get an answer in three minutes. But the problem is that the team member probably doesn't get just one call a day, but several. But he:she does not save or document these requests. That would take up more time. Half the day goes by and the team member is frustrated because at the end of the day he:she didn't get anywhere near what he:she wanted to get done. He:she has answered what feels like 100 requests, but they fizzle out into nirvana. The other colleagues are grateful to him:her, but then it stops.
TOMs comprise all precautions taken in practice to ensure the security of personal data.
These processes can be controlled and sustainably documented by the TQG businessApp platform.®. For example, inquiries to the legal department can be mapped via the system; the process stored in the system queries addressee:in, heading of the inquiry and wording of the question. The team member in the office next door sees the inquiry and can answer it. The person asking the question can evaluate this answer at the end, a process runs in the background, and everyone is satisfied. The beauty of the technical solution is that the process is centrally documented and can be found and evaluated at any time. In addition, due to the stored process, it is clear who is responsible and who is in charge. The controlling party can see at any time where the process may be hanging and at which point it may need to be followed up.
Get to grips with data protection
Let's get back to those numerous, daily calls with a question that recurs on a regular basis. For such concerns, you now have the option of creating an information dashboard or an employee information platform. Employees can use this to obtain information quickly and receive it directly. An example of this is the topic of "gifts". For example, an employee would like to know whether the customer's invitation cards can be accepted. To do this, simply click on the "Invitations & Gifts" app on the information dashboard. A dialog box opens, he:she can choose what kind of gift he:she should receive and at the end gets the answer directly whether he:she is allowed to accept the gift or not. If this answer is not sufficient, he:she has the possibility to contact a contact person personally.Classic questions can be mapped very well via the system. All questions that are asked in the process can also be evaluated. The responsibilities and accountabilities are stored and lead to a high level of transparency, because the employee knows who to contact.
Conclusion
Legal tech is particularly useful in data protection, with its extensive documentation requirements, and can accomplish a great deal. TOMs include all precautions taken in practice to ensure the security of personal data. They are subject to documentation and implementation is a legal requirement. Legal Tech within the TQG businessApp platform.® ensures documentation of all procedures available at a glance, at a click.It started with a story and ends with a success story. Once upon a time... there were four colleagues named Mr. Müller, Ms. Meier, Mr. Schmidt and Ms. Bauer. Mr. Müller can now trust Mr. Schmidt - supported by the process - to get his job done. Ms. Meier was able to delegate her task - at the push of a button - to Ms. Bauer, and the change in responsibility is documented in the system. Mr. Müller can see - in the file overview - that Ms. Bauer is his new contact person in this process. At the end of the day, Ms. Meier can see - via a filtered view - how many open inquiries are still in the system, at which status which process currently stands and which tasks were completed by which team member.
Die (un)bewusste Nichtbeachtung wichtiger Regelungen kann auch als Risiko mangelhafter Organisation identifiziert werden: Mitarbeiter:Innen wissen nicht, wie sie handeln sollen oder müssen oder auch dass bestimmtes Verhalten einfach nicht richtig ist. Zusätzlich kann eine schwache Infrastruktur zu einer großen Zeit- und Potenzialverschwendung führen, wenn die Mitarbeiter:Innen nicht an Informationen kommen, wenn sie diese benötigen. Das Worst-Case-Szenario einer mangelhaften Organisation ist der Betriebsausfall selbst. Was können meine Organisation und ich tun, um diesen Gefahren nicht ausgesetzt zu sein? Mein Vorschlag: Das technische Hilfsmittel Legal Tech einsetzen.
Prozesse zum Leben erwecken Der Mensch ist sich selbst die größte Hürde, denn er:sie ist von Natur aus neugierig. Diese Neugier verleitet manchmal zu unvernünftigem Handeln. Das „Gewohnheitsrecht“, das „das haben wir schon immer so gemacht“ regiert nur allzu gerne. Wir kennen das doch alle, in einem Gebäude ist ein Handlauf frisch gestrichen, ein Hinweisschild warnt sogar mit „Frisch gestrichen! Bitte nicht anfassen!“. Was tun wir? Auf jeden Fall mal hin fassen, um sich von der Frische der Farbe zu überzeugen. Genau gegen diese Einstellung heißt es vorzugehen. Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech. Und dabei ist es auf jeden Fall sinnvoll auf technische Untertstützung zurückzugreifen: Mit Legal Tech können Sie Risiken eindämmen und Ihre Organisation sicher aufstellen. Legal Tech übersetzt sozusagen rechtliche Fragestellungen in Codes. Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech. Wenn wir also wissen und davon ausgehen dürfen, dass der Mensch unvernünftig ist, ist es doch nur legitim, wenn wir ihm Anleitungen und Hilfestellungen geben, das Richtige zu machen. Genau hier setzen die TOMs, die technischen und organisatorischen Maßnahmen des Datenschutzes an. Im Sinne des Art. 32 DSGVO müssen Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen treffen, um die Ausführung der Vorschriften des Datenschutzes zu gewährleisten. TOMs sind zentral für die Datenschutzpraxis. Sie beschreiben Maßnahmen, die zum Schutz der verarbeiteten Daten ergriffen werden, sowohl technische, die physisch umgesetzt werden, als auch organisatorische, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Die grundsätzliche Herangehensweise, um Digitalisierung anzupacken, ist immer dieselbe. Zunächst einmal wird die IST-Situation aufgenommen: Wie ist das Unternehmen momentan aufgestellt? Wie ist der Stand der aktuellen Prozesse? Im zweiten Schritt erfolgt die Definition von Potenzialen und Organisationsverbesserungen auf Basis der IST- Prozesse. Im dritten Schritt geht es um die Optimierungsmöglichkeiten, die Analyse von Risiken, Erkennung von Potenzialen mit Bewertung, Prozess- und Kostenvorschlägen, Nutzenargumentation und mögliche Lösungsansätze. Abschließend werden die Ergebnisse vorgestellt, eine Empfehlung für die Organisation unter Berücksichtigung von Kosten-/Nutzen-Argumentation präsentiert, Umsetzungsvorschläge dargestellt und die Verabschiedung von Zielen festgehalten. Digitales Arbeiten mit BusinessApps Eine digitale Plattform ist die webbasierte, integrative und interaktive Grundlage für abteilungsübergreifende Kommunikation und Kollaboration, eine Plattform für Unternehmen zur Optimierung und Strukturierung von Geschäftsprozessen, Verträgen, Dokumenten und Verantwortlichkeiten. Eine solche Plattform enthält idealerweise rollenbasierte, konfigurierbare Desktops, sogenannte Business Apps, mit denen der Anwender in seinem Aufgabengebiet effizient und möglichst einfach seine Aufgaben bearbeiten kann. Die „artificial intelligence“ dieser Methodik liegt darin, die agilen Organisationsaufgaben und -prozesse nicht an einzelnen Personen, sondern an Rollen zu definieren. Damit kann auf Veränderungen, Teamorientierung und vor allem auf Individualität der Abläufe in den Abteilungen oder zwischen den Abteilungen übergreifend schnell und einfach reagiert werden. In einer digitalen Unternehmensplattform wie der TQG businessApp platform.® werden die Vorteile bewährter standardisierter Business-Lösungen/Module, als auch individuelle Ablaufprozesse mittels BPMN2.0 für jede Anwendergruppe(-rolle) in einer Applikation nutzbar. Damit wird die benutzerdefinierte, abteilungsübergreifende Organisation und deren Abläufe mittels einer Informationsdrehscheibe (Plattform) gelebte Praxis. Die digitale Plattform und ihre Business Apps dienen dem Informations- und Wissensmanagement, denn Informationen sind innerhalb einer Organisation das A und O. Wo bekommen Mitarbeitende Informationen her? Meistens geht man den informellen Weg. Man begegnet einem:einer Kollege:in auf dem Flur und stellt ihr:ihm seine Frage. Oder man nimmt einen Hörer in die Hand und ruft jemanden an, von dem man glaubt, am ehesten die Antwort zu erhalten. Die Anfrage startet dann meistens mit „Ich habe da mal kurz eine Frage…“ Und wie gesagt, man hofft in drei Minuten eine Antwort zu bekommen. Das Problem dabei ist aber, dass das Teammitglied wahrscheinlich nicht nur einen Anruf am Tag bekommt, sondern gleich mehrere. Er:sie speichert oder dokumentiert diese Anfragen aber nicht. Das würde ja nochmal Zeit kosten. Der halbe Tag vergeht und das Teammitglied ist frustriert, weil er:sie am Ende des Tages nicht annähernd das geschafft hat, was er:sie schaffen wollte. Er:sie hat zwar gefühlt 100 Anfragen beantwortet, aber diese verpuffen im Nirvana. Dieanderen Kollegen:innen sind ihm:ihr zwar dankbar, aber dann hört es auch schon auf. TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Diese Abläufe kann man durch die TQG businessApp platform.® steuern und nachhaltig dokumentieren. So können beispielsweise Anfragen an die Rechtsabteilung über das System abgebildet werden; der im System hinterlegte Prozess fragt Adressat:in, Rubrik der Anfrage und Formulierung der Frage ab. Das Teammitglied im Büro nebenan sieht die Anfrage und kann sie beantworten. Der Fragenstellende kann am Ende diese Antwort bewerten, im Hintergrund läuft ein Prozess mit, alle sind zufrieden. Das Schöne an der technischen Lösung ist, der Vorgang ist zentral dokumentiert und jederzeit auffindbar und auswertbar. Zusätzlich ist aufgrund des hinterlegten Prozesses klar, wer verantwortlich und wer zuständig ist. Die kontrollierende Partei kann jederzeit einsehen, wo der Prozess gegebenenfalls hängt und an welcher Stelle vielleicht nachgehakt werden muss. Ran an den Datenschutz Nochmal zurück zu den zahlreichen, täglichen Anrufen mit einer Frage, die sich regelmäßig wiederholt. Für solche Anliegen haben Sie nun die Möglichkeit ein Informationsdashboard oder eine Mitarbeiter:innen-Informations-Plattform anzulegen. Hierüber können sich die Mitarbeitenden schnell informieren und erhalten direkt Auskunft. Beispielhaft kann man hier auf das Thema „Geschenke“ eingehen. So möchte ein:e Mitarbeiter:in wissen, ob die Einladungskarten des Kunden angenommen werden darf. Dafür klickt man einfach auf die App „Einladungen & Geschenke“ auf dem Informationsdashboard. Es öffnet sich ein Dialogfenster, er:sie kann wählen, welche Art von Zuwendung, er:sie erhalten soll und bekommt am Ende direkt die Antwort, ob er:sie die Zuwendung annehmen darf oder nicht. Sollte diese Antwort nicht ausreichend sein, hat er:sie im Abschluss die Möglichkeit eine Ansprechperson persönlich zu kontaktieren. Klassische Fragen sind sehr gut über das System abbildbar. Alle Fragen, die im Prozess abgefragt werden, können zusätzlich auch noch ausgewertet werden. Die Zuständigkeiten und Verantwortlichkeiten sind hinterlegt und führen zu einer hohen Transparenz, denn der:die Mitarbeiter:in weiß, an wen er:sie sich wenden kann. Fazit Gerade im Datenschutz mit seinen umfangreichen Dokumentationspflichten ist Legal Tech besonders nützlich und kann viel leisten. TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Sie sind dokumentationspflichtig und die Implementierung stellt eine gesetzliche Anforderung dar. Legal Tech im Rahmen der TQG businessApp platform.® gewährleistet die Dokumentation aller Vorgänge, die auf einen Blick, auf einen Klick verfügbar sind. Es begann mit einer Geschichte und endet mit einer Erfolgsgeschichte. Es waren einmal… vier Kollegen namens Herr Müller, Frau Meier, Herr Schmidt und Frau Bauer. Herr Müller kann jetzt darauf vertrauen, dass Herr Schmidt - unterstützt durch den Prozess - seine Arbeit erledigt hat. Frau Meier konnte ihre Aufgabe - per Knopfdruck - an Frau Bauer delegieren, der Wechsel in der Verantwortung ist im System dokumentiert. Herr Müller kann - in der Aktenübersicht - sehen, dass Frau Bauer in diesem Vorgang seine neue Ansprechpartnerin ist. Frau Meier kann am Ende des Tages - über eine gefilterte Ansicht - erkennen, wieviel offene Anfragen noch im System sind, an welchem Stand welcher Prozess aktuell steht und welche Aufgaben von welchem Teammitglied erledigt wurden.