unternehmen digitales recht
Deutschland Digitalisierung Innovation

Yoda in jedem Unternehmen

09.12.2021
von Rüdiger Schmidt-Sodingen

Mit großer Macht kommt große Verantwortung. Dieser Satz gilt nicht nur in fernen Galaxien, sondern  ab sofort auch in jedem einzelnen Unternehmen, das mit immer mehr Daten Produkte und Maschinen und eben auch Menschen lenkt. Ein Leitfaden aus Hamburg behandelt die wichtigsten rechtlichen Fragen.

Digital transformieren? Ja, gerne. Aber wie ist das mit der Sicherheit, den ganzen Daten und einem umfassenden Sicherheitsverständnis aller Mitarbeitenden? Gerade die Unsicherheit bei der Sicherheit verlangsamt die Digitalisierung. In einem 44-seitigen Leitfaden hat das »Mittelstand 4.0 Kompetenzzentrum Hamburg« zusammen mit der Technischen Universität Hamburg die rechtlichen Aspekte der Digitalisierung unter die Lupe genommen. Als größte Hindernisse einer erfolgreichen Digitalisierung sehen die Autor:innen gemäß einer Studie der KfW-Bankengruppe »die Themen Security, Datenschutz und Kontrollverlust über die eigenen Daten«. Der Leitfaden macht für den Einsatz von Informationstechnologien folgerichtig das Datenschutzrecht als größte Stolperfalle aus.

Datensammlungen verstehen und absichern

Was können Unternehmen nun tun, um agil und trotzdem einigermaßen rechtssicher zu agieren? Die Zeiten der »closed shops« sind vorbei – an Kooperationen und Dienstleistungen fürs Datensammeln und den Betrieb ganzer Netze führt kein Weg vorbei. Der Hamburger Leitfaden rät deshalb dazu, offensiv mit der Datensammelwut des Internet of Things umzugehen. Unternehmen müssten die Datensammlungen erst einmal verstehen und dann absichern. Außerdem sollten sie eine Haftung für vernetzte Systeme einfordern. Ja, die Sammelwut der vernetzten Objekte hinsichtlich personenbezogener Daten kann grenzenlos sein – und sollte genau deshalb mit klaren Verträgen zu Gunsten von Anwender:innen und Arbeitnehmer:innen geregelt werden.

»Sowohl bei der Erhebung als auch bei der Übermittlung der Daten handelt es sich um rechtfertigungsbedürftige Datenverarbeitungen im Sinne der DSGVO«, heißt es dazu. »Werden die durch das cyber-physische System gesammelten Daten an eine andere Stelle übermittelt, etwa zur Aufbereitung oder Auswertung, stellt dies im Regelfall eine Auftragsverarbeitung nach Art. 28 DSGVO dar, für die der Abschluss eines Auftragsverarbeitungsvertrages in schriftlicher oder elektronischer Form erforderlich ist.«

Systeme müssen nach außen abgesichert sein

Sich nicht wegducken, sondern klar Risiken erkennen und gemeinsam mit Partnern besprechen und vertraglich regeln – das sollte der Königsweg sein, um sich einigermaßen selbstbewusst Richtung Zukunft zu bewegen. Die Hamburger raten deshalb: keine Angst vor Risikozuweisungen. Geklärte Fronten könnten später viel Zeit und Ärger sparen. Wer frühzeitig Verträge mit Anbietern von Smart Products abschließe, bekomme eine klare Haftungsregelung und Klärung bezüglich der Verfügbarkeit der Dienste, aber auch bezüglich der Datenverarbeitung und IT-Sicherheit.
Das Datensammeln ist jedoch nicht der einzige Risikofaktor. Daten müssen auch angesehen und interpretiert werden. Auch diese Datenaufbereitung bedeutet eine Herausforderung für die Vorgaben der Datenspeicherung. Tipp hier: »Der Personenbezug von Daten sollte so früh wie möglich aufgehoben werden, etwa durch die unwiderrufliche Anonymisierung und Löschung der Rohdaten.« Unternehmen sollten besser frühzeitig an eine Anonymisierung der Daten oder die rechtlich erforderliche Einholung von Einwilligungen denken.

Wolken und Unwetter

Das Auslagern ins Cloud Computing stellt ebenfalls Anforderungen ans Datenschutzrecht und den Abschluss von gesonderten Verträgen zur Auftragsverarbeitung. Und natürlich sollten Unternehmen wissen, wo die Server der Cloud eigentlich stehen, um gegebenenfalls einen Vertrag auf Grundlage der EU-Datenschutzklauseln nach Artikel 46 der DSGVO abzuschließen.

Ein weiterer Knackpunkt ist das Arbeiten auf mobilen Endgeräten. Hier rät der Leitfaden unmissverständlich: »Um die Sicherheit von Unternehmensdaten zu gewährleisten und unzulässigen Zugriff auf Mitarbeiterdaten zu verhindern, sollten Mitarbeitenden mobile Endgeräte zur ausschließlich betrieblichen Nutzung zur Verfügung gestellt oder alternativ eine ›Container-Lösung‹ verpflichtend eingeführt werden.« Abgeschottete Bereiche, sogenannte Container, speichern Unternehmensdaten und auch -anwendungen. Sie sind für andere private Bereiche des Endgeräts jedoch nicht nutzbar.

Vorsichtige Unvorsicht wagen

Da die Rechtslage genauso im Fluss ist wie die Digitalisierung selbst, hilft es nur, Datenaufkommen möglichst gut zu verstehen und einzelne Daten auch mit Schutzstufen zu versehen. Welche Daten sind besonders sensibel? Wo werden diese verarbeitet? Was ist das Konzept bei einer Datenpanne? Noch junge Daten werden schnell erwachsen und bewegen sich dann wie von selbst durch KI-Systeme oder Blockchains. Da eine umfassende Digitalisierung nicht ohne Dienstleister von außen möglich ist, sollte man frühestmöglich und regelmäßig Verträge aufsetzen, überprüfen und ergänzen. Das macht fit im Umgang mit externen Lösungen und gibt dem Unternehmen gleichzeitig ein tieferes Verständnis für die technischen Möglichkeiten und zugleich Risiken.

Wie ein Meister Yoda kann man sich so den Ängsten stellen. Wer sich im »Star Wars«-Universum auskennt, weiß, dass der alte Yoda am Ende seine Furcht besiegt und die Machtpriesterin der Gelassenheit trifft. Ein Zustand, den sich wohl jedes Unternehmen in datenbewegten, scheinbar dauernervösen Zeiten herbeisehnt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Vorheriger Artikel Wie stoppt man Cyberangriffe?
Nächster Artikel Mehr als Ideologie, Hype oder Selbstzweck: Nachhaltigkeit als Business-Case