Viele Schulen, insbesondere die dort beschäftigten Lehrer/innen, beschäftigen sich in der derzeitigen Situation rund um die Corona-Krise (COVID-19) mit Fragen des digitalen Schulbetriebes. Trotz erster Schulöffnungen läuft ein wesentlicher Teil des Unterrichts noch immer im Rahmen des sog. „Home-Schoolings“ ab. In diesem Zusammenhang stellen sich Fragen des Datenschutzes, auch in den Medien werden diese Fragen aufgeworfen. Der folgende Beitrag soll einen Überblick über die für den Datenschutz im Schulbetrieb relevanten Fragen.
Datenverarbeitung im Schulbetrieb
Während des Schulbetriebes werden verschiedene, personenbezogene Daten verarbeitet. Darunter fallen z.B. die Schulakten, die die Schulen führen müssen, aber auch klassenbezogene Telefonlisten. Dabei werden häufig nicht nur die Daten der Schüler/innen, sondern auch die Daten ihrer Eltern verarbeitet.
Im Zeitalter des Home-Schoolings und des „digitalen Lernens“ kommen noch weitere Daten zusätzlich hinzu. Je nach genutztem Medium ist das die E-Mail-Adresse, aber auch (bei Nutzung von Tools für Videokonferenzen) technische Daten wie die IP-Adresse oder der von den Schüler/innen angegebene Nutzername.
Ebenfalls werden Daten auf schuleigenen Plattformen, wie moodle, verarbeitet.
All diese Daten führen zu einer Verantwortlichkeit im Sinne des Datenschutzrechts für die Schulen, sodass sich auch im Schulbetrieb datenschutzrechtliche Anforderungen ergeben, die erfüllt werden müssen.
Zulässigkeit der Datenverarbeitung: Wann ist eine Einwilligung notwendig?
Schulen als öffentliche Stellen im Sinne des Datenschutzes haben – neben der Einwilligung – eine mögliche Rechtsgrundlage für die Datenverarbeitung.
So dürfen Daten durch Schulen verarbeitet werden, wenn die Verarbeitung „zur Erfüllung der in der Zuständigkeit des Verantwortlichen liegenden Aufgabe oder in Ausübung öffentlicher Gewalt, die dem Verantwortlichen übertragen wurde, erforderlich ist“ (§ 3 BDSG).
Diese sehr weite und auch schwammige Regelung besagt zunächst einmal nichts anderes, als dass jede Datenverarbeitung, die im konkreten Aufgabenbereich der Schule liegt, zulässig ist. Das betrifft z.B. das Führen der Schülerakten. Diese sind (oft in den Landesschulgesetzen) verpflichtend geregelt, sodass eine Schule nicht um die Datenverarbeitung herumkommt.
Aber auch Datenverarbeitungen, die für die Aufrechterhaltung des Schulbetriebes, insbesondere den Unterricht betreffend durchgeführt werden, sind zulässig. Darunter fällt auch das zur Dokumentation genutzte Klassenbuch. Auch die klassische Telefonliste ist ohne Einwilligung zulässig, da im Zweifel Notfallkontakte benötigt werden.
Im Ergebnis lässt sich also festhalten, dass vieles, was im alltäglichen Schulbetrieb an Daten verarbeitet wird, auch in zulässiger Weise geschieht. Anders wäre es auch nicht praktikabel. Müsste eine Schule zunächst die (wirksame) Einwilligung für die Schüler/innen und auch für ihre Eltern besorgen, wäre der Schulbetrieb lahmgelegt.
Home-Schooling & Co.: Datenschutz und Digitalisierung der Schulen
Doch wie verhält es sich mit digitalen Lehrformen, insbesondere in Zeiten, in denen der normale Schulbetrieb nicht stattfinden kann?
Zunächst einmal gelten auch hier die gleichen Grundsätze: Eine Datenverarbeitung ist dann zulässig, wenn sie in den konkreten Aufgabenbereich einer Schule fällt. Das gilt auch für die digitale Welt. Das bedeutet, dass der Unterricht (wenn auch in eingeschränkten Form) weitergehen muss. Unkritisch ist die Verarbeitung von E-Mail-Adressen, um z.B. Aufgabenblätter zu versenden. Spannend wird es beim Einsatz von Tools für das Abhalten digitaler Schulstunden, da hier noch weitere (Meta-)Daten verarbeitet werden.
Viele Lehrkräfte stellen sich nun die Frage, ob sie diese Tools nutzen dürfen. Auch hier gibt es unterscheidungswürdige Kategorien.
Alle von der Schule selbst angebotenen und betriebenen Anwendungen dürfen von Lehrkräften auch ohne Einwilligung genutzt werden. Darunter fallen Lernplattformen wie moodle. Hat eine Schule auch Tools für Videokonferenzen im eigenen Betrieb implementiert, ist auch diese Nutzung (auch mit privaten Endgeräten) wohl zulässig und bedarf keiner Einwilligung.
Schwieriger wird es, wenn die Schule keinerlei solcher Anwendungen nutzt und den Lehrkräften zur Verfügung stellt. Einige der Lehrkräfte nutzen dann private Accounts. Das ist vor dem Hinblick des Lehrauftrages sicherlich nicht falsch, birgt jedoch auch Risiken aus Sicht des Datenschutzes. Das hat nichts mit einer anderen Datenverarbeitung zu tun (Zoom verarbeitet dieselben Daten, unabhängig davon, wer den Account betreibt), sondern eher mit der Kontrolle durch den Verantwortlichen. Wenn die Schule als Verantwortliche für die Datenverarbeitung einsteht, muss sie auch Kontrolle darüber haben, in welcher Art und Weise Daten verarbeitet werden. Nutzt nun eine Lehrkraft ausschließlich Tools mittels privater Accounts, kann die Schule ihre Aufgabe als Verantwortliche nicht mehr konform ausüben.
Der Lehrkraft bleibt dann nichts anderes übrig, als sich eine wirksame Einwilligung für die Verwendung dieser Tools einzuholen. Eine Zulässigkeit über den Aufgabenbereich der Schule wird sich ansonsten kaum konstruieren lassen.
Außerdem muss, je nach verwendetem Tool, eine Risikoabwägung durchgeführt werden (eine sog. „Datenschutzfolgeabschätzung“). Nutzt die Schule oder eine Lehrkraft ein Tool, dessen Datensicherheit nicht hoch ist, besteht für die Schüler/innen ein erhebliches Risiko, weshalb die (vorherige) Risikoabwägung unumgänglich ist.
Digitale Schule: Unsere Empfehlungen
Die aufgeworfenen Fragen und Punkte muss eine Schule nicht alleine lösen. Hier hilft der von der Schule verpflichtend zu bestellende Datenschutzbeauftragte weiter. Er steht beratend zur Seite und konzipiert Lösungen für den analogen und digitalen Schulbetrieb. Um die (datenschutzrechtlich) sensiblen Fragen rund um das Home-Schooling zu klären, empfehlen wir Ihnen – neben der Benennung eines qualifizierten Datenschutzbeauftragten – folgende Punkte:
Nutzen Sie – sofern vorhanden – die in der Schule bereits verwendeten, digitalen Möglichkeiten. Wenn Ihre Schule also bereits ein Tool für Videokonferenzen nutzt, nutzen auch Sie dieses.
Sofern kein Angebot in der Schule vorhanden ist: Sprechen Sie Ihr Vorhaben, ein Tool verwenden zu wollen, vorher ab. Idealerweise nutzen auch weitere Kolleg/innen dasselbe Tool. Die Schule kann Ihnen dann auch schriftlich die Nutzung eines bestimmten Tools bestätigen. So kann die Schule der Aufgabe als Verantwortliche für die Datenverarbeitung nachkommen.
Wenn keiner der beiden Punkte realisierbar ist: Verzichten Sie nicht zwingend auf digitale Lehrformen. Achten Sie auf die Datensicherheit der verwendeten Tools (wohin werden Daten übermittelt; erfolgt eine Verschlüsselung; ist das eigene Endgerät auf dem neusten Software-Stand etc.) und holen Sie sich die Einwilligung der Datenverarbeitung vorher ab. Bei minderjährigen Schüler/innen müssen Sie hierfür auch die Eltern ins Boot holen.
Unser Fazit lautet demnach: Die Datenverarbeitung an Schulen ist in den meisten Fällen gesetzlich abgesichert und ohne Einwilligung zulässig. Auch neue, digitale Lehrformate können datenschutzkonform durchgeführt werden, wenn ein paar wichtige Punkte beachtet werden, insbesondere die Gewährleistung der Datensicherheit der verwendeten Anwendungen. Mit Unterstützung der Schule (und idealerweise auch des jeweiligen Bundeslandes, wobei das eher politische Fragen aufwirft) können digitale Lehrformate eingeführt und auch nach Überstehen der jetzigen Ausnahmesituation fortgeführt werden. Den Schüler/innen ist damit sicherlich geholfen.
Seit dem 25. Mai 2018 gilt europaweit die EU-Datenschutzgrundverordnung (DSGVO). Im Rahmen der europäischen Strategie für einen digitalen Binnenmarkt (sog. DBM-Strategie) sollte am gleichen Datum auch die Verordnung über die Achtung des Privatlebens und den Schutz personenbezogener Daten in der elektronischen Kommunikation und zur Aufhebung der Richtlinie 2002/58/EG (ePrivacy-Verordnung) in Kraft treten. Das Gesetzgebungsverfahren verzögert sich jedoch auf Grund einiger, strittiger Punkte.
Der folgende Beitrag stellt den aktuellen Stand und einen Ausblick auf relevante Regelungen und das weitere Gesetzgebungsverfahren dar. (Dieser Beitrag ist um die aktuelle Entwicklung rund um die ePrivacy-Verordnung aktualisiert worden)
Der BGH hat in seiner jüngsten Entscheidung die datenschutzrechtlichen Zulässigkeit von Cookies beurteilt. Wir haben erklären, was dieses Urteil bedeutet.
Das Ergebnis in Kürze
Das Setzen von technisch nicht erforderlichen Cookies erfordert eine aktive, transparente und freiwillige Einwilligung des Nutzers. Dies bedeutet, der Nutzer muss mit einer aktiven Handlung, also dem selbständigen Ankreuzen des Einwilligungskästchens in die Verarbeitung zu Werbe- und Analysezwecken einwilligen (Opt-In). Bei technisch notwendigen Cookies, wie z.B. Session Cookies ist weiterhin davon auszugehen, dass keine Einwilligung notwendig ist, da hier u.a. die Rechtsgrundlage in Art. 6 b) DSGVO als Datenverarbeitung im Rahmen der Vertragsanbahnung in Frage kommt, oder eine Verarbeitung durch Art. 6 f) im Rahmen einer Interessenabwägung zulässig ist.
Hintergrund
Der Bundesverband der Verbraucherzentralen hat das Unternehmen Planet 49 u.a. wegen des Setzens eines Cookies zu Werbezwecken verklagt, in dem wie bei Cookies üblich, lediglich die Bestätigung durch einen Klick auf den Cookie Banner erfolgt.
Nach dem Gang durch die Instanzen wurde der Fall dem BGH vorgelegt, welcher das Verfahren ausgesetzt hat, um den EuGH die Frage vorzulegen, ob die Praxis der Einwilligung über ein vorausgefülltes Ankreuzkästchen mit dem Unionsrecht vereinbar ist. Im Urteil vom 1. Oktober 2019 hat der EuGH diese Frage entscheiden (C‑673/17). Hier argumentiert der EuGH: „…deutet das Erfordernis einer „Willensbekundung“ der betroffenen Person klar auf ein aktives und nicht passives Verhalten hin. Eine Einwilligung, die durch ein voreingestelltes Ankreuzkästchen erteilt wird, impliziert aber kein aktives Verhalten des Nutzers einer Website.“ Und kommt somit zu dem Schluss, dass die Möglichkeit des Abwählens (Opt-Out) für eine wirksame Einwilligung nicht ausreicht und daher ein Opt-In (aktives Ankreuzen des Kästchens) notwendig ist.
Hierbei ist anzumerken, dass der EuGH mit dem o.g. Urteil keinen neuen Grundsatz aufgestellt hat, sondern im Grunde nur bestätigt hat, was u.a. durch die EU Richtlinie 2002/58 (sog. „Cookie-Richtlinie“) bereits länger festgeschrieben ist, nämlich dass nach herrschender juristischer Meinung ein Opt-In notwendig ist.
Was ist mit dem Urteil des BGH neu?
Deutschland hat bisher einen Sonderweg bestritten und die Anforderungen aus der EU-Richtlinie 2002/58 und der DSGVO dahingehend nicht umgesetzt, da der Werbeindustrie in § 15 Abs. 3 S.1 TMG ein Zugeständnis gemacht wurde und das Opt-Out (Widerspruchslösung) zugelassen wurde. „Der Diensteanbieter darf für Zwecke der Werbung, der Marktforschung oder zur bedarfsgerechten Gestaltung der Telemedien Nutzungsprofile bei Verwendung von Pseudonymen erstellen, sofern der Nutzer dem nicht widerspricht.“
Aus diesem Grund war in Deutschland bisher das Opt-Out bei Cookies das Mittel der Wahl, da es durch den Gesetzgeber legitimiert war, auch wenn diese Legitimierung schon länger offen im Widerspruch zum EU-Recht stand.
Der BGH hat in seiner Pressemitteilung vom 28.05.2020 zum noch nicht veröffentlichten Urteil jetzt im Grunde zwei maßgebliche Sachen verkündet.
Der BGH hat entschieden bzw. sich der Meinung des EuGHs angeschlossen, dass ein voreingestelltes, ausgefülltes Einwilligungsfeld (Opt-Out) nicht zulässig ist.
Dr BGH hat festgestellt, dass die deutsche Umsetzung des EU-Rechts im Rahmen des § 15 Abs. 3 S.1 TMG bis zum 24.05.2018 mit dem Unionsrecht unvereinbar war.
Dann macht der BGH etwas, was, nennen wir es mal innovativ ist, und sagt, dass der Gesetzgeber mit der Einführung des DSGVO das Telemediengesetz an dem Punkt nicht angepasst hat, und daher davon auszugehen ist, dass Gesetzgeber den § 15 Abs. 3 TMG wohl mit dem Unionsrecht für vereinbar hält. Dies nimmt das BGH zum Anlass zu sagen, dass der § 15 Abs 3 TMG dann wohl richtlinienkonform auszulegen ist. Laut BGH ist der genannte Paragraph demnach nicht unzulässig.
Sinn macht dies nicht, weil der Gesetzgeber eine Anpassung des § 15 Abs. 3 TMG bisher nicht durchgeführt hat, weil er mit einer Anpassung auf mittlerweile (halb) tote e-Privacy Verordnung warten wollte und andererseits den Konflikt mit dem Unionsrecht zum Schutz der heimischen Werbewirtschaft akzeptiert hat.
Was ist ein Cookie?
Cookies sind im Grunde nicht viel mehr als kleine Textdateien mit technischen oder personenbezogenen Daten, die ein Webseitenanbieter im Browser des Nutzers speichert. Dies wird im Rahmen von Session Cookies zum einen gemacht, um u.a. Warenkörbe bei nicht angemeldeten Nutzern speichern zu können oder zu Marketingzwecken um Nutzerverhalten zu analysieren und personenbezogene Daten für Retargeting und personalisierte Werbung zu sammeln.
In der jetzigen Zeit, in der wir gemeinsam die Corona-Krise (COVID-19) durchstehen, wandert das Arbeiten mit Videokonferenzen zunehmend in das Homeoffice.
Eine Form ist das Abhalten von Videokonferenzen, sowohl im privaten als auch im beruflichen. Was vorher gedacht war, um große Entfernungen zu überbrücken (z.B. das virtuelle Meeting zweier Zweigstellen zwischen Frankfurt und Berlin), wird nun genutzt, um auch mit dem Nachbarn in Verbindung zu bleiben.
Ob Zoom, GoTo-Meeting, Skype, Teams, Jitsy oder die Video-Anwendung in Slack: Es sind viele Tools im Einsatz, um Meetings oder auch bilaterale Telefonate über Video abzuhalten. Sie alle haben Vor- und Nachteile, sei es in ihrer Usability oder den Kosten. Doch alle eint die Frage nach dem Datenschutz. Insbesondere seit der Diskussion rund um Zoom, die auch in den Medien Niederschlag fand, fragen sich immer mehr Menschen, welchem Tool sie vertrauen können oder welches Tool sie nutzen dürfen, um z.B. mit ihren Kund/innen oder Mitarbeiter/innen im Home-Office zu kommunizieren.
Der folgende Beitrag gibt einen Einblick in die Nutzbarkeit von Tools für Videokonferenzen.
Datenverarbeitung bei Videokonferenzen
Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann […]“ (Art. 4 Nr. 1 DSGVO). Hierunter sind auch die Daten zu verstehen, die bei der Nutzung von Tools für Videokonferenzen, verarbeitet werden.
Bei Nutzung dieser Tools sind das in der Regel die von den Teilnehmer/innen gewählten Nutzernamen, die E-Mail-Adressen (bzw. die Kontaktadresse, an die die Einladung versendet wird), die Videoübertragung an sich und auch technische Daten, die vom Dienst verarbeitet werden. Entsprechend werden auch bei allen Anwendungen personenbezogene Daten verarbeitet, welche die Erfüllung der datenschutzrechtlichen Anforderungen erforderlich macht.
Zulässigkeit von Videokonferenzen
Wie bei jeder Datenverarbeitung auch, muss auch die Datenverarbeitung im Rahmen von Videokonferenzen legitimiert sein. Grundsätzlich lässt sich festhalten, dass bei den genannten (und damit den in der Praxis üblicherweise genutzten Tools für Videokonferenzen) eine datenschutzrechtliche Zulässigkeit gegeben ist.
In Frage kommt eine Zulässigkeit u.a. aufgrund der Erfüllung (vor-)vertraglicher Verpflichtungen (Art. 6 Abs. 1 Buchstabe b DSGVO). Dies ist dann der Fall, wenn Sie z.B. Vertragsverhandlungen mit potenziellen Kunden führen und dies aufgrund der aktuellen Situation nur remote über eine Videokonferenz funktioniert. Bittet Sie der Kunde dann das Gespräch mittels Videokonferenz zu führen, wird diese Datenverarbeitung gerechtfertigt sein.
Weiterhin in Betracht kommt die Wahrung Ihres berechtigten Interesses (Art. 6 Abs. 1 Buchstabe f DSGVO). Dies ist z.B. der Fall, wenn Sie den Kontakt zu Ihren Mitarbeiter/innen halten möchten. Das tägliche Meeting als Videokonferenz, indem Sie z.B. die anstehenden Aufgaben besprechen, dient dem Erhalt des Geschäftsbetriebes und ist datenschutzrechtlich legitimiert. Im Gegenzug ist das Einholen einer Einwilligung nicht zu empfehlen. Die Anforderung an eine wirksame Einwilligung mögen in manchen Konstellationen erfüllbar sein, der Aufwand steht jedoch in negativem Verhältnis zum Nutzen. Außerdem stellen sich bei einer Einwilligung aufgrund ihrer Widerrufbarkeit Fragen zur Nachbehandlung im Falle eines Widerrufs (z.B. wie mit einer Person umgegangen werden soll, die ihre Einwilligung nicht erteilt oder widerrufen hat und der Geschäftsbetrieb jedoch in der Zeit des Home-Offices wesentlich vom gemeinsamen Austausch lebt).
Risiken gibt es überall
Beginnen wir mit der wohl ernüchternden und doch etwas banalen Erkenntnis: Risiken werden Sie nicht vermeiden können. Alle genannten und sonstigen am Markt bestehenden Tools für Videokonferenzen haben Risiken inne, die sich entweder aus ihrer Programmierung selbst oder aufgrund der Hersteller ergeben. Anwendungen wie Zoom oder Slack, aber auch Anwendungen von Microsoft oder Google, behalten sich (als Anwendung von US-amerikanischen Herstellern) z.B. die Übermittlung von Daten in Drittländer (z.B. die USA) vor. Außerdem haben bei den meisten dieser Tools die Gastgeber (Host) eines Meetings weitreichende Möglichkeiten der Datenverarbeitungen. Sie können die Videokonferenzen u.a. Aufzeichnen und Abspeichern, wobei das Speichern auch auf die Cloudspeicher der Dienste geschieht. Viele dieser Tools (u.a. Zoom, GoTo oder auch Jitsy) funktionieren, indem Links an die Teilnehmer/innen versendet werden. Schützt der Host das – im Zweifel vertrauliche – Meeting nicht mittels Zugangsbeschränkungen wie einem Passwort, ist es für unberechtigte Dritte durchaus möglich, sich in diese Videokonferenzen einzuwählen. Besitzen diese Videokonferenzen eine Vielzahl an Teilnehmer/innen kann dies unbemerkt bleiben.
Nicht zu unterschätzen sind die Möglichkeiten, Plugins von Drittanbietern in die Dienste zu implementieren. Zoom stand z.B. lange in der Kritik, weil über das implementierte Facebook-Plugin ohne Aktivierung Daten an Facebook übermittelt wurden.
Diese genannten Risiken klingen nun erst einmal kritisch. Sie sind allerdings in Relation zu den verbliebenen Möglichkeiten zu betrachten. In Zeiten der remote-Arbeit während der Corona-Krise (und als Modell der Zukunft wahrscheinlich noch lange darüber hinaus) ist die Videokonferenz als Werkzeug der Zusammenarbeit nicht mehr wegzudenken. Zwar kann auch das beste Tool die persönliche Begegnung nicht ersetzen, allerdings wird ein einfaches Telefonat, vielleicht sogar mit mehreren Teilnehmer/innen, nicht persönlicher sein. Zudem sind die bestehenden Funktionen bei reinen Telefonkonferenzen im Vergleich zu den in der Praxis eingesetzten Tools für Videokonferenzen begrenzt. Die Organisation einer Videokonferenz ist erheblich einfacher (oftmals reicht das Versenden eines Links). Zusätzlich ist die Bedeutung von Mimik und Gestik während eines Gesprächs hinreichend belegt und sollte ebenfalls nicht außer Acht gelassen werden (wohl wissend, dass nicht jede/r Teilnehmer/innen die Kamerafunktion bei einer Videokonferenz nutzen möchte). Kurzum: In der Praxis werden Sie zum einen kaum um die Nutzung dieser Dienste kommen und zum anderen lässt sich festhalten, dass zwar Risiken bestehen, diese jedoch händelbar sind.
Ganz grundsätzlich bedeutet dies, dass Sie gängige Tools wie Zoom, GoToMeeting, Teams, Meet etc. nutzen können. Sie sollten, um die genannten Risiken zu minimieren, die folgenden Punkte beachten:
Informieren Sie die Teilnehmer/innen vor dem Einsatz des Tools (z.B. in der Einladungsmail), welches Tool Sie nutzen. Möchte ein Teilnehmer dies nicht, geben Sie so die Möglichkeit des Widerspruchs bzw. auf ein anderes Tool auszuweichen.
Beachten Sie den Grundsatz der Datenminimierung und setzen Sie, sofern möglich, auf Freiwilligkeit. Möchte z.B. eine Kundin oder ein Mitarbeiter die Kamera nicht einschalten, werden Sie die Person hierzu kaum zwingen können.
Trotz Verschlüsselung – bedenken Sie die Datenübermittlung in Drittstaaten, die durch die meisten Tools bzw. deren Anbieter durchgeführt wird. Vermeiden Sie es daher, zu sensible Daten über Videokonferenzen zu teilen. Gesellschafterversammlungen sind für Videokonferenzen nicht geeignet. Weichen Sie hier lieber auf eine telefonische Besprechung aus.
Nutzen Sie nur eingeschränkt die Marketingangebote des Anbieters bzw. Herstellers und fokussieren Sie sich auf den Einsatz des Tools für Videokonferenzen. So vermeiden Sie unnötiges Tracking.
Wenn Sie als Gastgeber eine Videokonferenz speichern möchten informieren Sie die Teilnehmer/innen in jedem Fall vorab darüber. Wenn einer oder mehrere Teilnehmer widersprechen, ist eine Aufzeichnung nicht zulässig. Wählen Sie als Speicherort einen Ort, den Sie kontrollieren können (im Zweifel also nicht die Cloud des jeweiligen Anbieters, z.B. die Zoom-Cloud)
Wir stehen am Anfang einer Entwicklung, deren Auswirkungen,
Möglichkeiten aber auch Gefahren wir erst anfangen zu verstehen. Schon immer
war das Recht eng mit dem Papier verbunden, auf dem es gedruckt wurde und der
Einfluss, den der Buchdruck auf den modernen Rechtsstaat hatte, lässt sich gar
nicht überschätzen. In diesem Rahmen muss auch die Digitalisierung des Rechts
betrachtet werden. Das Spannende an der Digitalisierung des Rechts ist nicht,
dass die Gesetze und das gedruckte Wort nun auf Datenträgern gespeichert werden
und im Internet frei verfügbar sind. Die Revolution findet dort statt, wo
bisher passives Wissen mit Algorithmen aktiv ausgeführt werden kann.
Diese Situation ist nicht neu, bei der
Geschwindigkeitsüberwachung bspw. ist der Blitzer bereits seit Jahrzehnten ein
anerkannter Helfer. Weitere Digitalisierungsbemühungen sind, wenn auch nur
zögerlich, bei der Digitalisierung der Verwaltung zu beobachten. Zu den
Vorreitern gehört die Finanzverwaltung, welche die Steuererklärung für
Unternehmen und Privatpersonen bereits vollständig elektronisch ermöglicht.
Für Unternehmen ist diese grundsätzliche Entwicklung überaus
relevant Eine zunehmend digitale Verwaltung, vereinfacht die Zusammenarbeit mit
dieser und andererseits gilt auch für Unternehmen, dass diese ihre eigene
Verwaltung durch digitale Assistenzsysteme stärken können. Governance kann in
den Code, die Infrastruktur geschrieben und fest verankert werden.
Doch nicht nur in der Unternehmensinfrastruktur kann Code Regeln vorgeben. In Produkten gilt die Maxime, dass die Regeln im Code geschrieben sind umso mehr. Die besten Beispiele hierfür sind Facebook und Google. Während ersteres mit Tochtergesellschaften wie Whatsapp und Twitter unser Privatleben durchdringt, ist Google aus dem geschäftlichen Leben nicht mehr wegzudenken Alle diese Produkte bestimmen unseren Umgang mit ihnen durch den zugrunde liegenden Algorithmus. Gleichzeitig bestimmen primär die Produkte, was wir mittels ihrer Nutzung sehen oder nicht sehen können. Sowohl die Suchmaschine von Google als auch Google Analytics haben einen Marktanteil von über 80%.
Bisher wurde die Entscheidung ob deutsches Recht im
Wohnzimmer deutscher Nutzer ankommt, daher zu oft im Silicon Valley
entschieden. Ein Trend der sich erst langsam und zögerlich mit der Einführung
der DSGVO ändert und der damit verbundenen Durchsetzung europäischen Rechts für
Produkte dieses Marktes.
DSGVO als Standard für digitale Gesetze und
Rechtsprozesse
Umso mehr muss man an dieser Stelle den Wert der DSGVO
hervorheben. Durch die zunehmende Digitalisierung und die Eigenschaft digitaler
Produkte und des Internets nicht an Landesgrenzen oder Zollbestimmungen
gebunden zu sein, ist die Digitalisierung dem nationalen Recht längst
entwachsen, wodurch supranationale Gesetzgebung wie die
Datenschutzgrundverordnung (DSGVO) unerlässlich ist.
Mit der Einführung der DSGVO wurden drei fundamentale
Bedingungen geändert.
Mit dem Art. 25 DSGVO „Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen“ wurde der Grundsatz des privacy-by-Design als Mindeststandard für digitale Produkte und (fast) alle IT-Systeme gesetzt.
Durch das Anheben der Bußgelder auf 2 bzw. 4 Prozent des Jahresumsatzes kann dieser Mindeststandard nicht ignoriert werden.
Das in der DSGVO verankerte Marktortprinzip, sorgt dafür, dass auch außerhalb der EU, jeder der auf dem zweitgrößten Binnenmarkt der Welt Geschäfte machen will, sich an diesen technischen Standard halten muss.
Das dieser technische Standard auch durchgesetzt wird, wird in den folgenden Fällen demonstriert.
Maßgeblich dafür, wie in
Zukunft in Unternehmen die Rechtabteilung aufgestellt ist, ist der
Schulterschluss zwischen Technik und Recht, um den aktuellen Anforderungen
genügen zu können und die Entwicklung aktiv zu gestalten.
Legal as a Service
Die meisten Unternehmen sind bereits digital, dieser Trend wird sich durch die Corona-Krise und Konzepte wie Business as a Service, welche das in- und outsourcing von Prozessen mittels digitaler Lösungen nach dem Baukastenprinzip erlaubt, weiter beschleunigen.
Im Amazon Marketplace lassen sich nach diesem Prinzip
bereits über 8000 Software-Produkte einkaufen. Vom Betriebssystem bis zum Machine-Learning
Anwendung lässt sich vieles mit wenigen Klicks als Infrastruktur für das
Unternehmen bereitstellen.
„Die Infrastruktur des 21. Jh. – das Internet – ermöglicht wie keine andere, Prozessschritte global outzusourcen, inzusourcen, Komponenten neu zusammenzusetzen.“ – Bendig, Evers et. al. 2013, S.69
Dieser Trend weitet sich auch auf Rechtsdienstleistungen
aus, sodass auch hier immer mehr Leistungen und Services standardisiert und
automatisiert werden können. So gehen im Fall der Wahrung von Fluggastrechten
bereits jetzt viele Mandate an Flightright.de.
Flightright (Plattform für Fluggastrechte) ist eine Online-Plattform über die geschädigte Fluggäste automatisiert, anhand der Eingabe Ihrer Flugdaten, Forderungen gegenüber Fluggesellschaften aus Verspätungen und Flugausfällen geltend machen können. Die Prüfung erfolgt anhand von Fragen, die den Kunden über das Webinterface gestellt werden (Flugnummer, Art des Schadens, Grund etc.). Der Kunden erhält nach Abschluss des Fragebogens eine Information darüber, ob die Geltendmachung von Ansprüchen eine Chance auf Erfolg hat oder nicht. Fällt die Prüfung positiv aus, bietet Flightright an, diese Ansprüche für die Betroffenen durchzusetzen. Siehe Webseite von Flightright (https://www.flightright.de/)
Plattformen und Lösungen wie diese ermöglichen vermehrt die standardisierte
Prüfung und Bewertung von Einzelfällen und somit deren maschinelle Abarbeitung.
Arbeit wird uns zunehmend von Maschinen abgenommen und das ist gut so. Die Wenigsten der hier Lesenden werden sich darüber beschweren können, dass die Arbeit immer weniger wird. Vielmehr verdichtet sich die Arbeit zunehmend, ein Trend der vom Fachkräftemangel, Sparzwängen und dem Eintritt der Babyboomer in die Rente nur verstärkt wird. In der Automatisierung juristischer Prozesse liegt die Chance wieder Zeit für das Wesentliche zu erlangen, in dem das aufwendige Administrative von dem gemacht wird, der dafür ehesten geeignet ist: die Maschine.
Einsatz von Legal Tech und Services
Legal-Tech, soviel muss gesagt werden, ist mehr als ein Buzzword Es ist ein Sammelbegriff für Technologien, die juristische Prozesse mit Technologie unterstützen bzw. abbilden können. Legal-Tech ist letztendlich die praktische Umsetzung der Rechtsinformatik, welche selbst für interessante Diskussionen sorgt, aber auch dass ein oder andere Problem hat. Das Hauptproblem von Legal-Tech und der Rechtsinformatik ist, dass die Juristen diese Disziplin ein Stück aus der Hand geben und verstärkt interdisziplinär, insbesondere mit den Informatikern zusammenarbeiten.
Dabei sind die Möglichkeiten der Rechtsinformatik und von
Legal-Tech letztendlich immens. Bei ink unterscheiden wir hier zwischen Legal-Tech
Basic Produkten, dies sind Produkte die bereits als Standardlösungen
existieren und eingesetzt werden können und Legal-Tech Advanced, welches
rechtliche Prozesse durch Automatisierung auf ein neues Level hebt und deren
Skalierung ermöglicht. Dies können z.B. automatisierte Vertragsdatenbanken
sein, die – einmal auf die jeweiligen Unternehmensbedürfnisse eingestellt –
nicht mehr manuell befüllt werden müssen.
Legal Tech Basic beschreibt weitgehend Standardlösungen, die juristische Prozesse unterstützen. Ein einfaches Beispiel hierfür sind Datenbanken wie Beck Online oder juris.de. Während Jura-Studenten für die Erstellung von Hausarbeiten vor zehn Jahren sich noch in der Bibliothek einquartiert haben, ist die Recherche und die Erstellung von Hausarbeiten und Gutachten mittlerweile von der Couch aus möglich. Darüber hinaus gibt es bereits eine Reihe von Standardlösungen welche Unternehmen in Ihren Arbeitsabläufe unterstützen.
Digitalisierung der Ausgangs- und Eingangspost: Der Brief lässt sich schon heute mit wenig Aufwand vollständig oder teilweise digitalisieren, wodurch sich leicht Portokosten und auch Zeit bei Mitarbeitern sparen lässt. Dies geht auch ohne Einbußen bei der Rechtssicherheit. Im Gegenteil gibt es einen Zugewinn an Rechtssicherheit. Die Zeiten, an denen Briefe zugehen oder versandt werden, werden automatisiert dokumentiert und können archiviert werden. Der Versand von Einschreiben ist unproblematisch. Durch den digitalen Footprint, den der digitale Brief hinterlässt, erhält dieser eine höhere Rechtssicherheit als der analoge Bruder.
Dokumentenmanagement: Nichts ist dem Juristen so lieb, wie das gedruckte Wort. Letztendlich können Dokumentenmanagementsysteme (DMS), die von der Stange gekauft werden, allerdings jeden Aktenschrank in die Arbeitslosigkeit schicken. Moderne Dokumentenmanagementsysteme können die gesamten Dokumenteninhalte auslesen und über Such- und Recherchefunktionen auffindbar machen. Auch klassische Aktenstrukturen lassen sich abbilden, sodass die Auffindbarkeit von Informationen erheblich vereinfacht wird und sich Wissen leichter teilen lässt. Moderne DMS werden auch sehr gerne in Finanzabteilungen eingesetzt, wo sich durch Workflows (Beim Kauf von der Stange inklusive) zahlreiche Prozesse wie die Rechnungserfassung und -auswertung sowie Freigabeprozesse einfach abbilden lassen. Ganz zu schweigen davon, dass es nicht erst seit der DSGVO ein No-Go ist, sensible Unterlagen auf offenen Gruppenlaufwerken herumzureichen.
Vertragsmanagement: Jeder braucht Es, kaum jemand macht Es. Aus langjähriger Erfahrung sowohl mit kleinen Unternehmen als auch Groß-Konzernen, ist deutlich geworden, dass das Thema immer noch zu stiefmütterlich behandelt wird und Unternehmen hierdurch viel Geld liegen lassen. Dies liegt unter anderem daran, dass Verträge sobald diese geschlossen sind, in der untersten Schublade verschwinden und selten aktives Vertragsmanagement betrieben wird. Entsprechende Software nimmt hier viele Aufgaben wie die Überwachung von Fristen oder das Lizenzmanagement ab.
Datenschutzmanagement: Gute Datenschützer wissen, dass der Datenschutz eine sehr dokumentationslastige Angelegenheit ist.Damit der allgemeinen Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO mit angemessenen Aufwand entsprochen werden kann, bietet sich der Einsatz von Datenschutzmanagementsystemen an, welche die zugehörigen Prozesse automatisieren und strukturieren können.
Die hier genannten Lösungen sind nur einige von vielen
Möglichkeiten, die Rechtsabteilung mit etablierten Lösungen fit für die Zukunft
zu machen.
Legal-Tech Advanced
In der zweiten Stufe von Legal-Tech werden Tätigkeiten zunehmend
automatisiert. Beispielhaft hierfür stehen Plattformen wie flightright.de und
wenigermiete.de.
Spannend innerhalb dieser Stufe der Komplexität ist, dass
sich die Perspektive wie Recht angewandt wird, gleich in mehreren Faktoren
ändert. Von der Einzelfallbetrachtung hin zur Standardisierung und von
abrechenbaren Stunden hin zu Softwarelizenzmodellen.
So ermöglicht https://www.smartlaw.de/
die einfache Erstellung von Vertragsmustern. Parallel findet hier auch eine
Revolution im Finanzbereich und bei den Kollegen der Steuerberatung statt. Mit
Robotic Process Automation werden bereits zahlreiche Prozesse in
Finanzabteilungen automatisiert und gleichzeitig SAP Legacy Probleme gelöst.
Ganz konkrete Lösungen in dem Bereich von Legal-Tech 2.0
sind Lösungen wie RPA, Smart Contracts und vor allem die aufstrebende
e-Discovery. Oft befinden wir uns hier im Unternehmenskontext aber in einem
Bereich, in dem Individuelle Lösungen entwickelt in die Prozesse der jeweiligen
Unternehmen integriert werden.
Legal Process Automation mit RPA: Robotic Process Automation ist eine Brückentechnologie die überwiegend zur Automatisierung repetitiver, administrativer Aufgaben verwendet wird. Dies funktioniert, indem Bots (Roboter) angelernt werden, um bestimmte Aufgaben zu übernehmen wie das Ablegen oder Verschieben von Dokumenten. Die Einführung dieser Lösungen ist in der Regel mit Consulting-Projekten verbunden, da es notwendig ist, die dahinterliegenden Prozesse im Detail zu verstehen. Hauptsächlich wird die Technologie in Finanzbereichen angewandt, eignet sich aber auch hervorragend für die Automatisierung von administrativen Aufgaben, die in Rechtsabteilungen anfallen, z.B. im Zusammenhang mit Dokumentenverwaltung oder Fristüberwachung.
e-Discovery und Forensics: Beschreibt die Fähigkeit eines Unternehmens prozessrelevante Informationen mit Blick auf deren Beweiskraft aufzubewahren, aufzufinden und zu verwerten. In großen Organisationen sind Information und Wissen häufig auf dutzende bis hunderte Systeme verteilt und im Fall von Rechtsstreitigkeiten häufig schwer aufzufinden oder haben vor Gericht nur eine schwache Beweiskraft. Als Teil eines modernen Wissensmanagement können im Rahmen des e-Discovery Prozesse und Systeme etabliert werden, welche die Compliance und rechtliche Resilienz eines Unternehmens stärken.
Smart Contracts: Sind auf Blockchain Technologie basierende Produkte mit denen sowohl der Abschluss als auch die Durchführung eines Vertrages automatisiert werden kann, sodass die Erfüllung von Vertragskonditionen automatisch überwacht werden kann. Beispielhaft hierfür steht, dass ein Auto beim Car-Sharing erst freigeschaltet wird, sobald der Mitgliedbeitrag überwiesen wurde.Die Technologie besitzt einen noch geringen Reifegrad, und hat sich am Markt bisher nicht durchsetzen können.
Decision Automation: Decision Automation beschreibt Systeme mit denen Workflows mittels BPMN abgebildet werden und Entscheidungen durch das Erfüllen von definierten Tatbeständen oder Konditionen automatisiert werden können. Ein Anbieter für diese Art von Lösungen ist https://bryter.io/product/ aber State-of-the-Art Dokumentenmanagementsysteme oder Vertragsmanagementsysteme bringen bereits Tools mit, um Workflows zu automatisieren.
Individuallösungen: Grundsätzlich lassen sich viele Business-Cases und Prozesse auch durch HTML Seiten oder Individualentwicklungen abbilden.
Die Pflichten aus der DSGVO treffen jeden Verantwortlichen, der personenbezogene Daten verarbeitet. Somit sind auch die Informationspflichten zu erfüllen, deren Inhalte sich aus den Artikeln 13 und 14 DSGVO ergeben.
Diese Website verwendet Cookies, damit wir dir die bestmögliche Benutzererfahrung bieten können. Cookie-Informationen werden in deinem Browser gespeichert und führen Funktionen aus, wie das Wiedererkennen von dir, wenn du auf unsere Website zurückkehrst, und hilft unserem Team zu verstehen, welche Abschnitte der Website für dich am interessantesten und nützlichsten sind.
Unbedingt notwendige Cookies
Unbedingt notwendige Cookies sollten jederzeit aktiviert sein, damit wir deine Einstellungen für die Cookie-Einstellungen speichern können.
Wenn du diesen Cookie deaktivierst, können wir die Einstellungen nicht speichern. Dies bedeutet, dass du jedes Mal, wenn du diese Website besuchst, die Cookies erneut aktivieren oder deaktivieren musst.
