Deutsch Podcast Episode #155: Rahuls Schlüsselerfolge als Legal-Tech IT Compliance Strategist seit 2010

Rahul: Ein prägnantes Beispiel war die
Implementierung eines vollintegrierten Vertragsmanagementsystems
für eine führende Site Management Organisation hier in
Deutschland. Die Herausforderung bestand darin, die
Vertragsdurchlaufzeit signifikant zu reduzieren – und das bei der
Verarbeitung hochsensibler Gesundheitsdaten nach Artikel 9 der
DSGVO.


Der Ansatz war dreigleisig: technische Integration, rechtliche
Präzision und Prozessstandardisierung. Zunächst habe ich eine
zentrale Klauselbibliothek mit DSGVO-konformen Vorlagen erstellt
– für Clinical Trial Agreements, Dienstleistungsverträge und vor
allem Datenverarbeitungsvereinbarungen, die alle essenziellen
Artikel wie 28, 32 und 33/34 abdeckten.


Der nächste Schritt war die technische Umsetzung mit Tools wie
ContractExpress für die automatische Vertragserstellung durch
eine Frage-Antwort-Logik und DocuSign CLM für die
Workflow-Steuerung und E-Signaturen. Kombiniert mit SharePoint
für die Dokumentation und Protokollierung konnten wir so
Vertragsentwürfe von mehreren Tagen auf unter eine Stunde
reduzieren und die gesamte Durchlaufzeit um 40% senken.


Bei Verhandlungen für KI-basierte Tools, etwa für eine klinische
Studienplattform, ging es oft um völlig neue Fragestellungen: Wer
besitzt die IP an KI-generierten Ergebnissen? Wer haftet für
algorithmische Fehler oder „Halluzinationen“? Meine Aufgabe war
es, hier klare vertragliche Regelungen zu schaffen – etwa hybride
Eigentümerschaftsklauseln, bei denen der Kunde die Outputs
besitzt, wir aber die Rechte am zugrunde liegenden Modell
behielten.


Noch während der EU AI Act im Entwurf war, habe ich einen Clause
Bank entwickelt, der dessen Anforderungen operationalisiert hat.
Zum Beispiel eine Klausel, die den Anbieter verpflichtet, den
Kunden innerhalb von 30 Tagen über eine Neuklassifizierung seines
KI-Modells zu informieren. Oder Module für Erklärbarkeit,
menschliche Aufsicht und Audit-Rechte. So waren wir für die
finale Verordnung vorbereitet und konnten schnell auf
Compliance-Anfragen reagieren.


Neha: Sehr weitsichtig. Neben der
Vertragsgestaltung ist ja auch das Risikomanagement ein großer
Teil deines Jobs. Wie hast du Lieferanten daraufhin überprüft, ob
sie all diese strengen Anforderungen auch einhalten können?


Rahul: Das ist der andere kritische Teil.
Bevor ein Vertrag überhaupt unterschrieben wird, führe ich eine
umfassende Lieferantenrisikobewertung durch. Das beginnt mit
einem detaillierten Due-Diligence-Fragebogen zu Themen wie
organisatorischer Sicherheit, ISO 27001 Zertifizierung,
Verschlüsselungsstandards und Notfallprozessen. Auf Basis der
Antworten bewerten wir das Risiko und fordern, wenn nötig,
zusätzliche vertragliche Garantien oder spezifische
Zertifizierungen als Auflage.


Neha: Das klingt nach einem sehr
systematischen und risikobasierten Ansatz, der ja auch vom
Gesetzgeber gefordert wird. Du hast auch eine Datenpanne
simuliert, richtig?


Rahul: Genau. Zusammen mit der
IT-Sicherheit und dem Datenschutzbeauftragten haben wir eine
komplette Simulation einer Datenschutzverletzung durchgespielt –
von der Entdeckung durch IT-Logs über die rechtliche Bewertung
und die Erstellung der Meldung an die Aufsichtsbehörde nach der
72-Stunden-Frist bis hin zur Kommunikation mit den Betroffenen.
Dieses Drill hat unsere Reaktionszeit im Ernstfall um 20%
verbessert.


Neha: Vom Vertrag über die Risikobewertung
bis zum Krisenmanagement – es ist faszinierend zu sehen, wie
diese Bereiche ineinandergreifen. Zum Abschluss: Was ist für dich
die größte Herausforderung und gleichzeitig die größte Chance in
deinem Feld?


Rahul: Die größte Herausforderung ist
definitiv die Geschwindigkeit, mit der sich sowohl die
Technologie – Stichwort Generative KI – als auch die Regulierung
weiterentwickeln. Die größte Chance ist genau dieselbe:
Unternehmen, die diese Komplexität proaktiv und strategisch
managen können, wie wir es in den Projekten getan haben, schaffen
sich einen enormen Wettbewerbsvorteil und vor allem Vertrauen bei
ihren Kunden.