Juristen 1.0 – Datenschutzverantwortliche und Rechtsabteilungen als Hemmschuh der Digitalisierung ?!

Überall liest man von den Möglichkeiten der Digitalen Transformation, Industrie 4.0 und Big Data bzw. den Herausforderungen, die die Digitalisierung an die Unternehmen stellen. Zugleich lassen sich in Deutschland bei den großen Konzernen, gerade aber auch beim Mittelstand erhebliche Defizite bzw. anhaltende Zurückhaltung feststellen (vgl „Bitkom fordert schnellere Digitalisierung“ bei Spiegel Online).

Tatsächlich erfordern die vorgenannten Entwicklungen erhebliche Veränderungen in den Unternehmen. Dabei erschöpft sich die digitale Transformation nicht allein darin, seitens der Unternehmen Onlineshops, mobile Apps oder elektronische Vertragsabschlüsse anzubieten. Immer mehr Unternehmen erkennen, dass sich die Digitalisierung auf fast jeder Stufe der Wertschöpfungskette auswirkt (oder auswirken kann). Unzählige Beispiele aus dem Startupbereich zeigen, wie digitalisierte Geschäftsmodelle oder –prozesse in kürzester Zeit etablierte Märkte verändern bzw. eine frühzeitige Umstellung den Unternehmen erhebliche Chancen eröffnen kann.

In zahlreichen Beiträgen wird richtigerweise darauf hingewiesen, dass es bei Mitarbeitern wie auch der Führungsebene mehr Digitalkompetenz, aber auch Innovationsfähigkeit und -bereitschaft braucht. Nicht ganz zufällig werden von Unternehmen unterschiedlichster Branchen vermehrt Digitalisierungsprojekte gestartet (siehe den aktuellen Bericht des Handelsblattes über die geplante, 750 Millionen Euro teure Digitalfabrik der Deutschen Bank) und – langsam aber sicher – auch immer öfter Chief Digital Officer (CDO) oder andere Digitalverantwortliche gesucht und eingestellt.

A. Jurist 1.0 – Die Datenschutzverantwortliche und Rechtsabteilungen als Hemmschuh der Digitalisierung ?!

Neben den vorgenannten Voraussetzungen, die für die Digitale Transformation als erforderlich angesehen werden dürften, wird ein Aspekt, der sich nach meiner Erfahrung nicht selten als weiterer wesentlicher „Hemmschuh“ herausstellt, in der Diskussion vernachlässigt.

In zahlreichen Projekten stellen sich (interne oder externe) Juristen oder Datenschutzverantwortliche als wesentliches „Innovationshindernis“ heraus. Dies liegt bisweilen daran, dass dem konkreten Projekt tatsächlich (datenschutz-)rechtliche Vorgaben entgegenstehen.

Ganz oft wird die Rechtsabteilung aber deshalb als „Problem“ angesehen, weil sie sich auf eine Bewertung „Zulässig oder Unzulässig“ beschränkt und wenig dienstleistungs- und zielorientiert nicht bereit ist, konkrete Handlungsempfehlungen zu suchen und/oder zu geben, wie ein etwaiges rechtliche Risiko konkret beseitigt oder zumindest reduziert werden kann. Häufig vermisse ich in Stellungnahmen auch eine konkrete Abschätzung der rechtlichen Risiken, sprich

1. wie wahrscheinlich ist der Eintritt des rechtlichen Risikos und
2. wie ist das Risiko wirtschaftlich einzuschätzen.

Zu oft lese ich Stellungnahmen, in denen von den Datenschutzverantwortlichen mitgeteilt wird, dass bei Datenschutzverstößen ein Bußgeld von bis zu 300.000 € droht. Tatsächlich sieht § 43 BDSG diese Rechtsfolge (theoretisch) vor. Der erfahrene Praktiker weiß aber, dass ein solches Bußgeld in den allermeisten Fällen nicht einmal annähernd realistisch ist und so – nach meinem Kenntnisstand – auch bei schwersten Datenschutzverstößen noch nie ausgesprochen worden ist. Letzteres ist eine wesentliche Information, um der Geschäftsführung eine informierte unternehmerische Entscheidung zu ermöglichen.

Kürzlich habe ich mich mit einem Rechtsabteilungsleiter über seine (sehr restriktive) Interpretation einiger Rechtsfragen im Zusammenhang mit Facebook unterhalten. Auf meine Frage, ob er den einen eigenen Facebook Account habe bzw. Facebook auch einmal „von innen“ angesehen habe, verneinte er. Da stellt sich unmittelbar die Frage, wie man das eigene Unternehmen mit diesem begrenzten Kenntnisstand verantwortungsvoll und proaktiv beraten will.

Tatsächlich ist es menschlich durchaus nachvollziehbar, dass man als Verantwortlicher in der Datenschutz- oder Rechtsabteilung einen Sachverhalt kritischer bewertet, wenn man sich mit dem jeweiligen Medium (hier Facebook) oder der jeweiligen Technologie nicht so wirklich auskennt. Dieser eher zurückhaltende Ansatz, der ohnehin nicht für ihre Innovationsfreude bekannten Juristen, führt nicht selten dazu, dass digitale Projekte oder Innovationen verhindert oder erheblich verzögert werden.

Solche – von mir scherzhaft auch als Juristen 1.0 – bezeichnete Rechtsabteilungs- oder Datenschutzverantwortliche, die nicht bereit sind, „digitale Rechtsfragen“ proaktiv, mit einer gewissen Innovationsoffenheit und einer zwingenden Dienstleistungsbereitschaft zu prüfen, sind neben einigen weiteren wichtigen Faktoren derzeit ein wesentlicher „Hemmschuh“ für die durch Digitalisierung dringend notwendigen Veränderungs- und Entwicklungsprozesse.

B. Elementare rechtliche Themen der Digitalen Transformation

Selbstverständlich sind im Rahmen der Digitalen Transformation die gesetzlichen Rahmenbedingungen zu beachten. Aufgrund der Geschwindigkeit der digitalen Entwicklungen hält „das Recht“ aber oft nicht Schritt oder regelt gänzlich neue Rechtsfragen nicht ganz eindeutig. Häufig lassen sich gerade in datenschutzrechtlichen Rechtsfragen mit gleichwertiger Argumentation unterschiedliche Auffassungen vertreten.

Wer hier stets die konservativste Interpretation wählt oder abwarten möchte, bis eine durch entsprechende (höchstrichterliche) Gerichtsurteile abgesicherte Rechtslage besteht, wird auf zahlreiche Innovationschancen verzichten müssen.

Die bisherige Entwicklungen im Bereich der Digitalisierung zeigen, dass der „Jurist 2.0“ vor allem in den nachfolgenden Themengebieten fundiertes Know-How und Praxiserfahrung benötigt:

• IP-Rechte in der digitalen Welt
• Recht an Daten
• Know-how-Schutz
• Datenschutz (z.B. bei Mobile und Social Media oder Big Data)
• Daten- und IT-Sicherheit
• Open Innovation und andere Kollaborationsmodelle
• Vertragsgestaltung und Haftungsfragen (z.B. bei Big Data oder Industrie 4.0)
• Telekommunikations- und Telemedienrecht
• Branchenspezifische Fragen (z.B. in den Bereichen Gesundheitswirtschaft oder Fintech)

Der durch die Digitalisierung notwendige Veränderungsprozess lässt es zudem notwendig erscheinen, dass interdisziplinäre Ansätze und Teams gebildet werden, die nicht nur das Recht, sondern – je nach Projekt – die Verantwortlichen aus den Bereichen Technik oder IT, Marketing oder Kommunikation beteiligen.

Schließlich hört man immer wieder von sehr (zu) langen Prüfungs- und Freigabeprozessen in den Rechts- und Datenschutzabteilungen, die den Projektfortschritt oft erheblich verzögern. Lean Startup Methoden und schnellere Innovationszyklen erfordern jedoch bisweilen auch schnellere Stellungnahmen und Entscheidungen der Rechtsabteilungen. Hier müssen Unternehmen also für mehr Ressourcen oder ausreichende Praxiserfahrung sorgen, um auch einmal eine „schnelle erste Einschätzung“ zu bekommen.

C. Digitalkompetenz und Beratungsansätze für die Digitale Transformation

Zusammenfassend lässt sich zunächst feststellen, dass für ein Gelingen digitaler Innovationen und Projekte auch in den Rechts- und Datenschutzabteilungen zumindest eine gewisse Digitalkompetenz und Innovationsbereitschaft oder sogar –freude notwendig erscheint.

Regelungsansätze und Prüfungsaufträge müssen davon geleitet sein, digitale Innovationen möglichst zuzulassen und nicht zu hemmen.

Dabei haben die Verantwortlichen selbstverständlich zuvorderst dafür Sorge zu tragen, möglichst rechtlich zulässige Lösungen zu gestalten bzw. dass die Unternehmen keine unvertretbaren rechtlichen Risiken eingehen.

In Projekten, in denen mangels hinreichend klarer rechtlicher Vorgaben oder eindeutiger Rechtsprechung rechtliche Risiken nicht gänzlich ausgeschlossen werden, kann ein „Smart Risk“ Ansatz sinnvoll sein.

Dieser erfordert:

1. eine (ggfls mit der Fachabteilung angefertigte) Aufstellung der Bedeutung und Chancen des Projektes
2. eine rechtliche Bewertung der Zulässigkeit des jeweiligen Projektes
3. eine Prüfung, welche konkreten Maßnahmen die rechtlichen Risiken des jeweiligen Projekts möglichst weitgehend reduzieren können
4. eine konkrete und praxisorientierte Identifikation der verbleibenden rechtlichen Risiken
5. eine (grobe) Einschätzung der „Eintrittswahrscheinlichkeit“ der jeweiligen Risiken (wenn möglich)
6. eine (grobe) Einschätzung des potentiellen wirtschaftlichen Risikos (wenn möglich)

Ein diesen Vorgaben entsprechendes Rechtsgutachten versetzt die entscheidende Fachabteilung oder die Geschäftsabteilung deutlich besser in die Lage eine unternehmerische Entscheidung über die Durchführung von Innovationsprojekten zu machen als die bloße Auskunft „Projekt so unzulässig und mit potentiellem Bussgeldrisiko von 300.000 € belastet“.

Zur Klarstellung und Ehrenrettung sei gesagt, dass es natürlich auch zahlreiche sehr sachkompetente Kollegen gibt, die auch im Rahmen der Zusammenarbeit sehr proaktiv prüfen und die jeweiligen Unternehmen damit lösungsorientiert unterstützen. Tatsächlich tragen solche Juristen und Datenschutzbeauftragte stark zu einem konstruktiven Projektverlauf bei.

In jedem Fall benötigen interne wie externe Juristen und Datenschutzverantwortliche nicht mehr nur die rechtlichen Grundlagen in den vorbenannten Themen, sondern eben auch die Bereitschaft sich mit digitalen Projekte und Innovationen proaktiv auseinanderzusetzen und diese – nötigenfalls unter klarer Identifikation der tatsächlichen rechtlichen Risiken – möglich zu machen.

Andernfalls werden viele Unternehmen im Rahmen der „Digitalen Transformation“ auch weiterhin immer wieder einmal von den „Juristen 1.0“ gehemmt werden…