German Podcast Episode #225: Rahul's top seven skills as Legal-Tech IT Compliance Strategist

Rahul: Ganz genau, Neha. Eine DSFA ist kein
Selbstzweck, sondern ein proaktives Werkzeug. Laut Artikel 35 der
DSGVO ist es verpflichtend, wenn eine Verarbeitung, besonders mit
neuen Technologien, voraussichtlich ein hohes Risiko für die
Rechte und Freiheiten von Personen zur Folge hat. Die
Aufsichtsbehörden haben dazu sogar Positivlisten, etwa für die
umfangreiche Nutzung von Gesundheitsdaten oder großräumige
öffentliche Überwachung.


Neha: Verstehe. Also erst die Notwendigkeit
prüfen. Und wenn sie notwendig ist, wie gehst du dann vor? Ich
nehme an, es geht weit über eine einfache Checkliste hinaus.


Rahul: Absolut. Es ist ein systematischer
Prozess. Zuerst beschreibe ich die Verarbeitungsvorgänge im
Detail: Welche Daten, warum, wer hat Zugriff? Dann werden interne
Stakeholder konsultiert – der Datenschutzbeauftragte,
IT-Security, die Fachabteilung. Ein kritischer Schritt ist die
Bewertung von Notwendigkeit und Verhältnismäßigkeit; sammeln wir
vielleicht schon zu viele Daten ein? Der Kern ist dann die
eigentliche Risikobewertung: Was könnte schiefgehen? Unbefugter
Zugriff, Datenleck, Diskriminierung durch einen Algorithmus?


Neha: Also identifiziert man die Risiken und
plant dann entsprechende Gegenmaßnahmen.


Rahul: Genau. Für jedes Risiko plane ich
Maßnahmen, etwa Verschlüsselung als technische Maßnahme oder
Mitarbeiterschulungen als organisatorische Maßnahme. Alles wird
dokumentiert, und die DSFA ist ein lebendes Dokument. Sind die
verbleibenden Risiken immer noch hoch, muss sogar die
Aufsichtsbehörde vor Projektstart konsultiert werden.


Neha: Sehr spannend. Diese risikobasierte
Herangehensweise ist ja auch zentral, wenn man mit externen
Dienstleistern arbeitet. Deine zweite Kernfähigkeit ist die
Verhandlung und Gestaltung von IT-Verträgen, speziell für
SaaS/Cloud und Auftragsverarbeitungsverträge, oder?


Rahul: Richtig. Outsourcing der Verarbeitung
bedeutet nicht Outsourcing der Verantwortung. Artikel 28 DSGVO
schreibt hier einen vertraglichen Rahmen zwingend vor. Ohne einen
ordnungsgemäßen AVV – auf Englisch DPA – ist die Datenweitergabe
sogar illegal.


Neha: Was sind denn die absoluten
Mindestanforderungen, die so ein AVV enthalten muss? Worauf
achtest du besonders?


Rahul: Das Herzstück sind die Pflichten des
Auftragsverarbeiters. Er muss nach dokumentierten Weisungen
handeln, Vertraulichkeit sicherstellen, alle technischen
Maßnahmen nach Artikel 32 umsetzen – also Verschlüsselung usw –
und für den Einsatz von Unterauftrag Verarbeiten die
ausdrückliche Zustimmung einholen. Ganz wichtig sind auch
Klauseln zur Löschung nach Vertragsende und das Recht des Kunden
auf Audits oder zumindest Prüfberichte, wie
ISO-27001-Zertifikate.


Neha: Das klingt, als wäre die Due Diligence vor
Vertragsunterzeichnung extrem wichtig, um überhaupt einschätzen
zu können, was man vertraglich fordern kann und was nicht.


Rahul: Exakt. Das führt uns direkt zur dritten
Kompetenz - der Lieferanten Risikobewertung. Begeht ein
Dienstleister einen Verstoß, haftet auch der Verantwortliche.
Daher muss man Partner sorgfältig auswählen und überwachen. Die
Bewertung beginnt mit dem Scoping: Verarbeitet der Lieferant
besonders schützenswerte Daten? Dann folgt ein detaillierter
Due-Diligence-Fragebogen zu Themen wie organisatorischer,
technischer und physischer Sicherheit.


Neha: Und auf Basis der Antworten wird dann eine
risikobasierte Entscheidung getroffen.


Rahul: Ja. Jede Lücke ist ein potenzielles
Risiko. Die Entscheidung kann dann sein: Genehmigung, Ablehnung
bei zu hohem Risiko oder Genehmigung mit Auflagen, die wiederum
vertraglich im AVV fixiert werden. Und das ist kein
One-Time-Task; die Überwachung ist kontinuierlich, mit jährlichen
Re-Audits.


Neha: Sehr wichtig. Nun, die besten Verträge und
Prozesse nützen wenig, wenn das eigene Team nicht mitzieht. Deine
sechste Fähigkeit ist daher Schulung und Sensibili...


***


Read the German and English text here:


https://docs.google.com/document/d/1oEspwKpwMcjlN5BkId5-KTNIs7pywqDbp8g1lYnU2fg/edit?usp=sharing


***