Im September 2020 hat der Europäische Gerichtshof das Datenschutz-Abkommen Privacy Shield gekippt, eine Vereinbarung die den Datenaustausch zwischen den USA und der EU regeln sollte. Erneut hat das oberste Gericht damit die fundamentalen und scheinbar unüberbrückbaren Unterschiede zwischen der europäischen und US-amerikanischen Betrachtungsweise des Themas „Datenschutz“ bestärkt. Während die EU Persönlichkeitsrechte großschreibt, erlauben die USA durch den CLOUD Act staatlichen Behörden nahezu uneingeschränkten Zugriff auf Benutzerdaten, die von US-Unternehmen gespeichert werden.
Seit dem Privacy-Shield-Urteil herrscht vielerorts große Unsicherheit: „Ein Arbeiten ohne US-Firmen scheint unmöglich, doch solange sich die beiden Seiten nicht annähern, sind Folgeabkommen nur kurzlebige Pflaster“, erklärt Markus Schreinert, Datenschutzbeauftragter der DAHAG. „Nur wer frühzeitig und umfassend vorsorgt, behält langfristig die Oberhand in Sachen Datenschutz.“
Warum uns Datenschutz wichtig ist?
Markus Schreinert ist bereits seit 9 Jahren Datenschutzbeauftragter der DAHAG. „Im Gegensatz zu vielen anderen Unternehmen mussten wir uns schon frühzeitig umfangreiche Datenschutz-Konzepte überlegen. Immerhin nehmen wir eine Mittlerposition zwischen Rechtsschutz und Anwaltschaft ein und beide Seiten haben ein besonderes Interesse am Schutz der personenbezogenen Daten ihrer Versicherten und Mandanten. Die Kooperationsanwälte und –anwältinnen der DAHAG sind Berufsgeheimnisträger und können nur dann mit uns als Erfüllungsgehilfen arbeiten, wenn sie sich auf eine sichere Dateninfrastruktur verlassen können. Auf der anderen Seite ist natürlich auch Rechtsschutz daran interessiert, dass wir die sensiblen Daten, die uns die Versicherungen anvertrauen, zu jeder Zeit schützen.“
Die Sonderrolle, die dem Rechtsmarkt zukommt, lässt sich Markus Schreinert zufolge einfach veranschaulichen: „Kommt es bei Sony zu einem Datenleak, denken sich die Kunden: Uncool, aber ich will trotzdem Playstation spielen. Als Rechtsdienstleister könnten wir uns so etwas nicht leisten.“
Konzepte und Maßnahmen: DAHAG-Datenschutz in der Praxis
Unterstützt wird Markus bei seiner täglichen Arbeit von Funktionsträgern aus zahlreichen anderen Abteilungen, allen voran aus der IT. Stephan Tautz, Abteilungsleiter von IT-Operations, erklärt, warum die Datenschutzgrundpfeiler der DAHAG so solide sind: „Externe Cloudlösungen lehnen wir entschieden ab – und das gilt sowohl für Hardware als auch für Software. Stattdessen setzen wir schon immer auf unsere eigenen Server, die in Hochsicherheitszentren an 3 deutschen Standorten untergebracht sind. Dadurch haben wir jederzeit die Hoheit über die Daten.“
Auch was die Software betrifft, setzt die DAHAG auf die eigenen Kompetenzen: „Im Kerngeschäft nutzen wir ausschließlich eigens entwickelte Programme. Das hat von Grund auf zwei Vorteile, die sich gegenseitig bedingen: Zum einen liegen alle Daten bei uns im Haus und zum anderen werfen uns rechtliche Entscheidungen – wie das Privacy-Shield-Urteil – nicht so leicht aus der Bahn. Wir sind nicht gezwungen, uns spontane Alternativen zu überlegen und zusätzlich müssen wir uns nicht auf die Aussagen Dritter verlassen. Das erlaubt es uns, immer schnell zu reagieren.“
Selbst bei der internen Kommunikation und im Endkundengeschäft, wo der DAHAG nicht Rechtsschutz als Auftraggeber über die Schulter schaut, wird diese Schiene weiter verfolgt. „Wir setzen dabei viel auf Open Source Software, die wir selbst hosten können“, erklärt Stephan Tautz. „So nutzen wir beispielsweise Wekan statt Trello oder Jira, RocketChat und Jitsi statt MS-Teams oder ZOOM und unsere Mails liegen auf einem hauseigenen Exchange-Server. Sollten wir doch einmal auf einen externen Dienstleister angewiesen sein, dann sind die absoluten Mindestanforderungen ein Serverstandort in der EU und DSGVO-Konformität. Da lässt sich dann meistens schon etwas finden: Interne Umfragen laufen zum Beispiel über nuudle statt doodle. Klingt fast genauso – und funktioniert im Grunde auch genauso.“
„Insgesamt hebt uns das deutlich von vielen klassischen Start-ups und jungen Legal Techs ab“, fasst Markus Schreinert zusammen. „Dort muss es meist schnell gehen und oft bleibt eben der Datenschutz auf der Strecke: Die Mitarbeiter müssen über ihr Geschäftshandy immer erreichbar sein, gehen mit ihrem Macbook zum Arbeiten ins nächste Café und setzen auf Synchronisation über Cloud-Lösungen. Ziel ist, dass das eigene Konto von überall zugänglich ist. Das Thema Datenschutz ploppt meist plötzlich auf – und zwar dann, wenn der erste Auftraggeber mal direkt nachfragt.“
Hürden und Herausforderungen
Im Umkehrschluss muss man sich allerdings fragen: Wenn junge Legal Techs dank moderner Cloud-Lösungen schnell und effizient arbeiten können, trifft dann auf die DAHAG das Gegenteil zu? „Ja, Datenschutz entschleunigt uns schon“, gestehen Markus Schreinert und Stephan Tautz gleichermaßen ein. Doch Markus Schreinert gibt zu bedenken: „Würden wir keinen Wert auf Datenschutz legen, könnten wir vermutlich schneller arbeiten und vielleicht würden wir auch mehr Geld verdienen – aber eben nur kurzfristig. Und dabei würden uns nach einiger Zeit nicht nur hohe Bußgelder und Sanktionen schaden: Der Rufschaden wäre so enorm, dass weder Rechtsschutz noch die Anwaltschaft an einer Kooperation interessiert wäre. Besser ist es daher, die Datenschutz- und Datensicherheit-Infrastruktur von Grund auf so aufzubauen, dass allzeit eine Balance zwischen ausreichendem Datenschutz und größtmöglicher Produktivität gewahrt werden kann.“
Datenschutz: Wie geht es weiter?
Das Datenschutz-Fundament der DAHAG ist stabil, doch Verbesserungspotenzial gibt es immer. „Coronabedingt kam die erste Homeoffice-Phase so plötzlich, dass wir teils das eine oder andere Auge zudrücken mussten“, gesteht Stephan Tautz. „Aus dieser Situation haben wir aber gelernt: Inzwischen haben alle Mitarbeiter die Möglichkeit DSGVO-konform im Homeoffice zu arbeiten.“
Auch die Kommunikation von Datenschutz-Themen ist nicht immer einfach, weiß Markus Schreinert: „Wir haben hier in der DAHAG zwar keine echten „Datenschutzgegner“, doch stoßen einige Maßnahmen schon auf leichtes Unverständnis – auch weil sie die tägliche Arbeit mitunter behindern. Daher versuchen wir aktuell, verstärkt Akzeptanz für das Thema zu schaffen und alle Entscheidungen ausführlich zu begründen. Mein Tipp hierfür: Viele kleine, persönliche Gespräche und Dialoge an der Kaffeemaschine führen eher zum Ziel als eine firmenweite Schulung.“