Anwendung von Legal Tech im Datenschutz
Ausreden gibts nicht - packen wir die Digitalisierung an!
Violetta Weber, Senior Data Privacy Expert | TQG GmbH
Veröffenlicht in: DiALOG - DAS MAGAZIN FÜR DEN DIGITALEN WANDEL | 2021
„Es war einmal… das Märchen von Jeder, Jemand, Irgendjemand und Niemand. Es ging darum, eine wichtige Arbeit zu erledigen und Jeder war sicher, dass sich Jemand darum kümmert. Irgendjemand hätte es tun können, aber Niemand tat es. Jemand wurde wütend, weil es Jeders Arbeit war. Jeder dachte, Irgendjemand könnte es machen, aber Niemand wusste, dass Jeder es nicht tun würde. Schließlich beschuldigte Jeder Jemand, weil Niemand tat, was Irgendjemand hätte tun können.“
Kommt Ihnen das bekannt vor? So oder so ähnlich schon mal erlebt? Klingt das wie eine Schilderung aus Ihrem persönlichen Berufsalltag? Eigentlich ist ja bekannt, wer für etwas zuständig ist. Eigentlich. Da ist es, das kleine Wörtchen eigentlich. Die viel entscheidendere Frage ist daher, wie können Sie Herr dieser Lage werden? Mein Tipp: einfach weiterlesen.
Risiken einer mangelhaften Organisation
Die offensichtlichsten Risiken einer mangelhaften Organisation sind wirtschaftliche Einbußen. Welche Kapazitäten vorhanden sind und wie diese genutzt werden, hat direkte Auswirkungen auf den wirtschaftlichen Erfolg des Unternehmens.
Die (un)bewusste Nichtbeachtung wichtiger Regelungen kann auch als Risiko mangelhafter Organisation identifiziert werden: Mitarbeiter:Innen wissen nicht, wie sie handeln sollen oder müssen oder auch dass bestimmtes Verhalten einfach nicht richtig ist. Zusätzlich kann eine schwache Infrastruktur zu einer großen Zeit- und Potenzialverschwendung führen, wenn die Mitarbeiter:Innen nicht an Informationen kommen, wenn sie diese benötigen. Das Worst-Case-Szenario einer mangelhaften Organisation ist der Betriebsausfall selbst.
Was können meine Organisation und ich tun, um diesen Gefahren nicht ausgesetzt zu sein? Mein Vorschlag: Das technische Hilfsmittel Legal Tech einsetzen.
Prozesse zum Leben erwecken
Der Mensch ist sich selbst die größte Hürde, denn er:sie ist von Natur aus neugierig. Diese Neugier verleitet manchmal zu unvernünftigem Handeln. Das „Gewohnheitsrecht“, das „das haben wir schon immer so gemacht“ regiert nur allzu gerne.
Wir kennen das doch alle, in einem Gebäude ist ein Handlauf frisch gestrichen, ein Hinweisschild warnt sogar mit „Frisch gestrichen! Bitte nicht anfassen!“. Was tun wir? Auf jeden Fall mal hin fassen, um sich von der Frische der Farbe zu überzeugen. Genau gegen diese Einstellung heißt es vorzugehen.
Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech.
Und dabei ist es auf jeden Fall sinnvoll auf technische Untertstützung zurückzugreifen: Mit Legal Tech können Sie Risiken eindämmen und Ihre Organisation sicher aufstellen. Legal Tech übersetzt sozusagen rechtliche Fragestellungen in Codes. Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech.
Wenn wir also wissen und davon ausgehen dürfen, dass der Mensch unvernünftig ist, ist es doch nur legitim, wenn wir ihm Anleitungen und Hilfestellungen geben, das Richtige zu machen.
Genau hier setzen die TOMs, die technischen und organisatorischen Maßnahmen des Datenschutzes an. Im Sinne des Art. 32 DSGVO müssen Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen treffen, um die Ausführung der Vorschriften des Datenschutzes zu gewährleisten. TOMs sind zentral für die Datenschutzpraxis. Sie beschreiben Maßnahmen, die zum Schutz der verarbeiteten Daten ergriffen werden, sowohl technische, die physisch umgesetzt werden, als auch organisatorische, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden.
Die grundsätzliche Herangehensweise, um Digitalisierung anzupacken, ist immer dieselbe. Zunächst einmal wird die IST-Situation aufgenommen: Wie ist das Unternehmen momentan aufgestellt? Wie ist der Stand der aktuellen Prozesse? Im zweiten Schritt erfolgt die Definition von Potenzialen und Organisationsverbesserungen auf Basis der IST- Prozesse. Im dritten Schritt geht es um die Optimierungsmöglichkeiten, die Analyse von Risiken, Erkennung von Potenzialen mit Bewertung, Prozess- und Kostenvorschlägen, Nutzenargumentation und mögliche Lösungsansätze. Abschließend werden die Ergebnisse vorgestellt, eine Empfehlung für die Organisation unter Berücksichtigung von Kosten-/Nutzen-Argumentation präsentiert, Umsetzungsvorschläge dargestellt und die Verabschiedung von Zielen festgehalten.
Digitales Arbeiten mit BusinessApps
Eine digitale Plattform ist die webbasierte, integrative und interaktive Grundlage für abteilungsübergreifende Kommunikation und Kollaboration, eine Plattform für Unternehmen zur Optimierung und Strukturierung von Geschäftsprozessen, Verträgen, Dokumenten und Verantwortlichkeiten. Eine solche Plattform enthält idealerweise rollenbasierte, konfigurierbare Desktops, sogenannte Business Apps, mit denen der Anwender in seinem Aufgabengebiet effizient und möglichst einfach seine Aufgaben bearbeiten kann.
Die „artificial intelligence“ dieser Methodik liegt darin, die agilen Organisationsaufgaben und -prozesse nicht an einzelnen Personen, sondern an Rollen zu definieren. Damit kann auf Veränderungen, Teamorientierung und vor allem auf Individualität der Abläufe in den Abteilungen oder zwischen den Abteilungen übergreifend schnell und einfach reagiert werden. In einer digitalen Unternehmensplattform wie der TQG businessApp platform.® werden die Vorteile bewährter standardisierter Business-Lösungen/Module, als auch individuelle Ablaufprozesse mittels BPMN2.0 für jede Anwendergruppe(-rolle) in einer Applikation nutzbar. Damit wird die benutzerdefinierte, abteilungsübergreifende Organisation und deren Abläufe mittels einer Informationsdrehscheibe (Plattform) gelebte Praxis.
Die digitale Plattform und ihre Business Apps dienen dem Informations- und Wissensmanagement, denn Informationen sind innerhalb einer Organisation das A und O. Wo bekommen Mitarbeitende Informationen her? Meistens geht man den informellen Weg. Man begegnet einem:einer Kollege:in auf dem Flur und stellt ihr:ihm seine Frage. Oder man nimmt einen Hörer in die Hand und ruft jemanden an, von dem man glaubt, am ehesten die Antwort zu erhalten. Die Anfrage startet dann meistens mit „Ich habe da mal kurz eine Frage…“ Und wie gesagt, man hofft in drei Minuten eine Antwort zu bekommen. Das Problem dabei ist aber, dass das Teammitglied wahrscheinlich nicht nur einen Anruf am Tag bekommt, sondern gleich mehrere. Er:sie speichert oder dokumentiert diese Anfragen aber nicht. Das würde ja nochmal Zeit kosten. Der halbe Tag vergeht und das Teammitglied ist frustriert, weil er:sie am Ende des Tages nicht annähernd das geschafft hat, was er:sie schaffen wollte. Er:sie hat zwar gefühlt 100 Anfragen beantwortet, aber diese verpuffen im Nirvana. Dieanderen Kollegen:innen sind ihm:ihr zwar dankbar, aber dann hört es auch schon auf.
TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten.
Diese Abläufe kann man durch die TQG businessApp platform.® steuern und nachhaltig dokumentieren. So können beispielsweise Anfragen an die Rechtsabteilung über das System abgebildet werden; der im System hinterlegte Prozess fragt Adressat:in, Rubrik der Anfrage und Formulierung der Frage ab. Das Teammitglied im Büro nebenan sieht die Anfrage und kann sie beantworten. Der Fragenstellende kann am Ende diese Antwort bewerten, im Hintergrund läuft ein Prozess mit, alle sind zufrieden. Das Schöne an der technischen Lösung ist, der Vorgang ist zentral dokumentiert und jederzeit auffindbar und auswertbar. Zusätzlich ist aufgrund des hinterlegten Prozesses klar, wer verantwortlich und wer zuständig ist. Die kontrollierende Partei kann jederzeit einsehen, wo der Prozess gegebenenfalls hängt und an welcher Stelle vielleicht nachgehakt werden muss.
Ran an den Datenschutz
Nochmal zurück zu den zahlreichen, täglichen Anrufen mit einer Frage, die sich regelmäßig wiederholt. Für solche Anliegen haben Sie nun die Möglichkeit ein Informationsdashboard oder eine Mitarbeiter:innen-Informations-Plattform anzulegen. Hierüber können sich die Mitarbeitenden schnell informieren und erhalten direkt Auskunft. Beispielhaft kann man hier auf das Thema „Geschenke“ eingehen. So möchte ein:e Mitarbeiter:in wissen, ob die Einladungskarten des Kunden angenommen werden darf. Dafür klickt man einfach auf die App „Einladungen & Geschenke“ auf dem Informationsdashboard. Es öffnet sich ein Dialogfenster, er:sie kann wählen, welche Art von Zuwendung, er:sie erhalten soll und bekommt am Ende direkt die Antwort, ob er:sie die Zuwendung annehmen darf oder nicht. Sollte diese Antwort nicht ausreichend sein, hat er:sie im Abschluss die Möglichkeit eine Ansprechperson persönlich zu kontaktieren.
Klassische Fragen sind sehr gut über das System abbildbar. Alle Fragen, die im Prozess abgefragt werden, können zusätzlich auch noch ausgewertet werden. Die Zuständigkeiten und Verantwortlichkeiten sind hinterlegt und führen zu einer hohen Transparenz, denn der:die Mitarbeiter:in weiß, an wen er:sie sich wenden kann.
Fazit
Gerade im Datenschutz mit seinen umfangreichen Dokumentationspflichten ist Legal Tech besonders nützlich und kann viel leisten. TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Sie sind dokumentationspflichtig und die Implementierung stellt eine gesetzliche Anforderung dar. Legal Tech im Rahmen der TQG businessApp platform.® gewährleistet die Dokumentation aller Vorgänge, die auf einen Blick, auf einen Klick verfügbar sind.
Es begann mit einer Geschichte und endet mit einer Erfolgsgeschichte. Es waren einmal… vier Kollegen namens Herr Müller, Frau Meier, Herr Schmidt und Frau Bauer. Herr Müller kann jetzt darauf vertrauen, dass Herr Schmidt - unterstützt durch den Prozess - seine Arbeit erledigt hat. Frau Meier konnte ihre Aufgabe - per Knopfdruck - an Frau Bauer delegieren, der Wechsel in der Verantwortung ist im System dokumentiert. Herr Müller kann - in der Aktenübersicht - sehen, dass Frau Bauer in diesem Vorgang seine neue Ansprechpartnerin ist. Frau Meier kann am Ende des Tages - über eine gefilterte Ansicht - erkennen, wieviel offene Anfragen noch im System sind, an welchem Stand welcher Prozess aktuell steht und welche Aufgaben von welchem Teammitglied erledigt wurden.
Die (un)bewusste Nichtbeachtung wichtiger Regelungen kann auch als Risiko mangelhafter Organisation identifiziert werden: Mitarbeiter:Innen wissen nicht, wie sie handeln sollen oder müssen oder auch dass bestimmtes Verhalten einfach nicht richtig ist. Zusätzlich kann eine schwache Infrastruktur zu einer großen Zeit- und Potenzialverschwendung führen, wenn die Mitarbeiter:Innen nicht an Informationen kommen, wenn sie diese benötigen. Das Worst-Case-Szenario einer mangelhaften Organisation ist der Betriebsausfall selbst. Was können meine Organisation und ich tun, um diesen Gefahren nicht ausgesetzt zu sein? Mein Vorschlag: Das technische Hilfsmittel Legal Tech einsetzen.
Prozesse zum Leben erwecken Der Mensch ist sich selbst die größte Hürde, denn er:sie ist von Natur aus neugierig. Diese Neugier verleitet manchmal zu unvernünftigem Handeln. Das „Gewohnheitsrecht“, das „das haben wir schon immer so gemacht“ regiert nur allzu gerne. Wir kennen das doch alle, in einem Gebäude ist ein Handlauf frisch gestrichen, ein Hinweisschild warnt sogar mit „Frisch gestrichen! Bitte nicht anfassen!“. Was tun wir? Auf jeden Fall mal hin fassen, um sich von der Frische der Farbe zu überzeugen. Genau gegen diese Einstellung heißt es vorzugehen. Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech. Und dabei ist es auf jeden Fall sinnvoll auf technische Untertstützung zurückzugreifen: Mit Legal Tech können Sie Risiken eindämmen und Ihre Organisation sicher aufstellen. Legal Tech übersetzt sozusagen rechtliche Fragestellungen in Codes. Gerade der Datenschutz mit seinen umfassenden Dokumentationsvorschriften ist geradezu ein „natürliches“ Anwendungsfeld von Legal Tech. Wenn wir also wissen und davon ausgehen dürfen, dass der Mensch unvernünftig ist, ist es doch nur legitim, wenn wir ihm Anleitungen und Hilfestellungen geben, das Richtige zu machen. Genau hier setzen die TOMs, die technischen und organisatorischen Maßnahmen des Datenschutzes an. Im Sinne des Art. 32 DSGVO müssen Organisationen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, die technischen und organisatorischen Maßnahmen treffen, um die Ausführung der Vorschriften des Datenschutzes zu gewährleisten. TOMs sind zentral für die Datenschutzpraxis. Sie beschreiben Maßnahmen, die zum Schutz der verarbeiteten Daten ergriffen werden, sowohl technische, die physisch umgesetzt werden, als auch organisatorische, die durch Handlungsanweisung, Verfahrens- und Vorgehensweisen umgesetzt werden. Die grundsätzliche Herangehensweise, um Digitalisierung anzupacken, ist immer dieselbe. Zunächst einmal wird die IST-Situation aufgenommen: Wie ist das Unternehmen momentan aufgestellt? Wie ist der Stand der aktuellen Prozesse? Im zweiten Schritt erfolgt die Definition von Potenzialen und Organisationsverbesserungen auf Basis der IST- Prozesse. Im dritten Schritt geht es um die Optimierungsmöglichkeiten, die Analyse von Risiken, Erkennung von Potenzialen mit Bewertung, Prozess- und Kostenvorschlägen, Nutzenargumentation und mögliche Lösungsansätze. Abschließend werden die Ergebnisse vorgestellt, eine Empfehlung für die Organisation unter Berücksichtigung von Kosten-/Nutzen-Argumentation präsentiert, Umsetzungsvorschläge dargestellt und die Verabschiedung von Zielen festgehalten. Digitales Arbeiten mit BusinessApps Eine digitale Plattform ist die webbasierte, integrative und interaktive Grundlage für abteilungsübergreifende Kommunikation und Kollaboration, eine Plattform für Unternehmen zur Optimierung und Strukturierung von Geschäftsprozessen, Verträgen, Dokumenten und Verantwortlichkeiten. Eine solche Plattform enthält idealerweise rollenbasierte, konfigurierbare Desktops, sogenannte Business Apps, mit denen der Anwender in seinem Aufgabengebiet effizient und möglichst einfach seine Aufgaben bearbeiten kann. Die „artificial intelligence“ dieser Methodik liegt darin, die agilen Organisationsaufgaben und -prozesse nicht an einzelnen Personen, sondern an Rollen zu definieren. Damit kann auf Veränderungen, Teamorientierung und vor allem auf Individualität der Abläufe in den Abteilungen oder zwischen den Abteilungen übergreifend schnell und einfach reagiert werden. In einer digitalen Unternehmensplattform wie der TQG businessApp platform.® werden die Vorteile bewährter standardisierter Business-Lösungen/Module, als auch individuelle Ablaufprozesse mittels BPMN2.0 für jede Anwendergruppe(-rolle) in einer Applikation nutzbar. Damit wird die benutzerdefinierte, abteilungsübergreifende Organisation und deren Abläufe mittels einer Informationsdrehscheibe (Plattform) gelebte Praxis. Die digitale Plattform und ihre Business Apps dienen dem Informations- und Wissensmanagement, denn Informationen sind innerhalb einer Organisation das A und O. Wo bekommen Mitarbeitende Informationen her? Meistens geht man den informellen Weg. Man begegnet einem:einer Kollege:in auf dem Flur und stellt ihr:ihm seine Frage. Oder man nimmt einen Hörer in die Hand und ruft jemanden an, von dem man glaubt, am ehesten die Antwort zu erhalten. Die Anfrage startet dann meistens mit „Ich habe da mal kurz eine Frage…“ Und wie gesagt, man hofft in drei Minuten eine Antwort zu bekommen. Das Problem dabei ist aber, dass das Teammitglied wahrscheinlich nicht nur einen Anruf am Tag bekommt, sondern gleich mehrere. Er:sie speichert oder dokumentiert diese Anfragen aber nicht. Das würde ja nochmal Zeit kosten. Der halbe Tag vergeht und das Teammitglied ist frustriert, weil er:sie am Ende des Tages nicht annähernd das geschafft hat, was er:sie schaffen wollte. Er:sie hat zwar gefühlt 100 Anfragen beantwortet, aber diese verpuffen im Nirvana. Dieanderen Kollegen:innen sind ihm:ihr zwar dankbar, aber dann hört es auch schon auf. TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Diese Abläufe kann man durch die TQG businessApp platform.® steuern und nachhaltig dokumentieren. So können beispielsweise Anfragen an die Rechtsabteilung über das System abgebildet werden; der im System hinterlegte Prozess fragt Adressat:in, Rubrik der Anfrage und Formulierung der Frage ab. Das Teammitglied im Büro nebenan sieht die Anfrage und kann sie beantworten. Der Fragenstellende kann am Ende diese Antwort bewerten, im Hintergrund läuft ein Prozess mit, alle sind zufrieden. Das Schöne an der technischen Lösung ist, der Vorgang ist zentral dokumentiert und jederzeit auffindbar und auswertbar. Zusätzlich ist aufgrund des hinterlegten Prozesses klar, wer verantwortlich und wer zuständig ist. Die kontrollierende Partei kann jederzeit einsehen, wo der Prozess gegebenenfalls hängt und an welcher Stelle vielleicht nachgehakt werden muss. Ran an den Datenschutz Nochmal zurück zu den zahlreichen, täglichen Anrufen mit einer Frage, die sich regelmäßig wiederholt. Für solche Anliegen haben Sie nun die Möglichkeit ein Informationsdashboard oder eine Mitarbeiter:innen-Informations-Plattform anzulegen. Hierüber können sich die Mitarbeitenden schnell informieren und erhalten direkt Auskunft. Beispielhaft kann man hier auf das Thema „Geschenke“ eingehen. So möchte ein:e Mitarbeiter:in wissen, ob die Einladungskarten des Kunden angenommen werden darf. Dafür klickt man einfach auf die App „Einladungen & Geschenke“ auf dem Informationsdashboard. Es öffnet sich ein Dialogfenster, er:sie kann wählen, welche Art von Zuwendung, er:sie erhalten soll und bekommt am Ende direkt die Antwort, ob er:sie die Zuwendung annehmen darf oder nicht. Sollte diese Antwort nicht ausreichend sein, hat er:sie im Abschluss die Möglichkeit eine Ansprechperson persönlich zu kontaktieren. Klassische Fragen sind sehr gut über das System abbildbar. Alle Fragen, die im Prozess abgefragt werden, können zusätzlich auch noch ausgewertet werden. Die Zuständigkeiten und Verantwortlichkeiten sind hinterlegt und führen zu einer hohen Transparenz, denn der:die Mitarbeiter:in weiß, an wen er:sie sich wenden kann. Fazit Gerade im Datenschutz mit seinen umfangreichen Dokumentationspflichten ist Legal Tech besonders nützlich und kann viel leisten. TOMs umfassen alle in der Praxis getroffenen Vorkehrungen zur Gewährleistung der Sicherheit personenbezogener Daten. Sie sind dokumentationspflichtig und die Implementierung stellt eine gesetzliche Anforderung dar. Legal Tech im Rahmen der TQG businessApp platform.® gewährleistet die Dokumentation aller Vorgänge, die auf einen Blick, auf einen Klick verfügbar sind. Es begann mit einer Geschichte und endet mit einer Erfolgsgeschichte. Es waren einmal… vier Kollegen namens Herr Müller, Frau Meier, Herr Schmidt und Frau Bauer. Herr Müller kann jetzt darauf vertrauen, dass Herr Schmidt - unterstützt durch den Prozess - seine Arbeit erledigt hat. Frau Meier konnte ihre Aufgabe - per Knopfdruck - an Frau Bauer delegieren, der Wechsel in der Verantwortung ist im System dokumentiert. Herr Müller kann - in der Aktenübersicht - sehen, dass Frau Bauer in diesem Vorgang seine neue Ansprechpartnerin ist. Frau Meier kann am Ende des Tages - über eine gefilterte Ansicht - erkennen, wieviel offene Anfragen noch im System sind, an welchem Stand welcher Prozess aktuell steht und welche Aufgaben von welchem Teammitglied erledigt wurden.