Datenschutz organisiert durch Legal Tech

Der Datenschutzrecht hat sich in den letzten Jahren – vor allem durch die Einführung der DSGVO – gewandelt. Neben den rechtlichen Neuheiten kamen in diesem Bereich auch immer mehr Legal Tech Tools hinzu. Stefan Panic, Rechtsanwalt bei DLA Piper, beschreibt anhand des Tools DLA Notify wie Legal Tech Tools im Datenschutzrecht angewandt werden können.

Werden Sie jetzt Membership PRO Mitglied um den vollständigen Beitrag zu lesen und viele weitere Vorteile zu genießen!

Jetzt PRO Mitglied werden

Erleichterung der rechtlichen Prüfungen – DLA Notify Tool

Aber auch die rechtliche Beurteilung kann durch die Technik unterstützt werden. So hilft etwa das DLA Piper Notify Tool bei der Einschätzung, ob eine Verletzung des Schutzes personenbezogener Daten (sog. „Data Breach“) melde- oder mitteilungspflichtig ist.

In seinem Kern ist dieses Tool ein Fragebogen mit Berechnungsformeln im Hintergrund, welches auf Basis von Fragebeantwortungen ein Risikoscore berechnet. Die Fragen decken verschiedene Kriterien für die Beurteilung der Schwere eines Vorfalls sowie seiner rechtlichen Folgen ab, und reichen von einfacheren Fragen, wie etwa was für ein Vorfall stattgefunden hat (Verletzung der Sicherheit, Integrität, Verfügbarkeit usw), bis zu komplizierten Detailfragen über den Umfang und Qualität der betroffenen Daten hin.

Dabei bietet das Tool mehrere Vorteile im Vergleich zu einer einfachen Einschätzung. Das Tool fasst in den Fragen, die für ein Ergebnis beantwortet werden müssen, nicht

nur die Kriterien aus der DSGVO, sondern auch Kriterien aus verschiedenen publizierten Richtlinien, wie etwa denen der ENISA oder Art-29-Arbeitsgruppe, zusammen, sodass eine Beurteilung unter Anwendung aller relevanten Grundlagen und Leitlinien möglich wird.

Weiters erleichtert die Berechnungsformel im Tool, sachliche und objektive(re) Entscheidungen zu treffen. Jedem relevanten Umstand eines Data Breaches wird im Hintergrund eine Gewichtung zugeordnet, wobei dieselben Umstände grundsätzlich immer dieselbe Gewichtung haben. Dadurch wird vermieden, dass eine willkürliche Gewichtung erfolgt.

Ganz ohne Jurist*innen geht es noch nicht

Das Tool ersetzt dabei nicht vollständig eine Beurteilung durch eine*n Jurist*in. Die Qualität der Ergebnisse hängt maßgeblich von den Informationen ab, die in das Tool eingegeben werden, dh davon, dass die Fragen so genau und ausführlich wie möglich beantwortet werden. Auf dieser Ebene ist der*die Jurist*in vor allem auch im Zusammenhang mit verschiedenen Einstufungen und Einschätzungen gefragt: wie groß ist die Menge der betroffenen Daten, wie wahrscheinlich ist die Identifizierung der Betroffenen usw. Bei komplizierteren Data Breaches können dabei selbst die einfacheren Fragen zur Herausforderung werden, etwa wenn Folge-Breaches auch mitberücksichtigt werden müssen: betrifft etwa der Verlust eines Passworts für ein Email-Account jegliche Daten, die in diesem Account gespeichert sind? Hier sind dem Tool natürliche Grenzen gesetzt, und der*die Jurist*in muss die Wahrscheinlichkeit von Folgeverletzungen abwägen.

Nachdem alle Umstände des Falles in das Tool eingegeben werden, berechnet das Tool, wie schwerwiegend der Vorfall ist, und schlägt vor, welche Handlungen mit welcher Dringlichkeit vorgenommen werden sollten: z. B.: Meldung an die Behörde sei unbedingt notwendig, Information an die Betroffenen wohl nicht notwendig, aber ratsam usw. Dabei spricht das Tool lediglich Empfehlungen aus. Schließlich ist jeder Vorfall ein Einzelfall für sich, und in manchen Fällen kann ein Abgehen von der letztlich nur mechanischen Beurteilung des Tools angebracht sein. Auch in diesem Fall bringt aber die Nutzung des Tools dem*der Jurist*in einen Mehrwert, weil eine gegen eine Empfehlung des Tools getroffene Entscheidung besonders gut überlegt und begründet sein soll.

Schließlich dient das Tool in jedem Fall auch als Dokumentationsmittel. Dadurch, dass die Umstände des Falles in den Fragebogen des Tools eingegeben werden, werden sie dokumentiert und können gespeichert und exportiert werden.

Gerade am Beispiel des Notify-Tools lässt sich gut der Wert und die Zukunft von Legal Tech beurteilen: die Technik wird einen gelernten Juristen schwer ersetzen, ergänzt jedoch seine Fähigkeiten. Somit wird eine optimale Rechtsberatung durch Symbiose von menschlichen und maschinellen Fähigkeiten angestrebt.