Artikel aus dem Handelsblatt Journal „Cybersecurity & Datenschutz“
Fast überall auf der Welt werden gesellschaftliche Spielregeln für die Nutzung und Kommerzialisierung von Technologie festgelegt und der Markt geregelt (oder bewusst nicht geregelt). Wir haben Vorschriften zum Umgang mit personenbezogenen Daten, zur Cybersicherheit, für Künstliche Intelligenz, für Zugriff auf Daten, für große Online-Plattformen und noch mehr. Komplexe Regelwerke gibt es nicht nur in der EU, sondern z. B. auch in China, den USA oder Südamerika.
Dabei verfolgen die verschiedenen Nationen unterschiedliche Ziele. In Europa steht der Schutz der Menschen im Vordergrund, besonders bei der Verarbeitung ihrer Daten. In den USA sollen die Menschen informierte Entscheidungen treffen können, dann aber auch nahezu jede Entscheidung treffen dürfen. Mit vielen Regelungen wird versucht, Risiken aus Technologien zu begegnen. Mit Vorschriften zur Cybersicherheit soll vor allem der Schutz vor Cyberangriffen verbessert und deren Auswirkungen verringert werden. Die Regulierung von KI zielt am Ende darauf ab, dass der Mensch im Mittelpunkt
und die KI beherrschbar bleibt.
Die Bausteine sind überall ähnlich: Dokumentationspflichten, Meldepflichten, empfindliche Bußgelder sowie Behörden und Aufsichten.
Berechtigte Kritik
Die Kritik an zu viel Regulierung ist so alt wie die Regulierung selbst. Schon Tacitus wird das Zitat zugeschrieben, ein schlechter Staat habe zu viele Gesetze.
Der berechtigte Kern der Kritik ist dabei nicht die Anzahl der Regelungen, sondern dass diese nicht aufeinander abgestimmt sind. Gerade bei Gesetzen, die einen Bezug zu Daten haben, wird das immer deutlicher.
Dass die DSGVO „unberührt“ bleiben soll, ist ein gutes Beispiel aus vielen Rechtsakten der EU der letzten Zeit. Dadurch werden weder nahezu identische Ziele koordiniert noch offensichtlich kaum auflösbare Konflikte adressiert. Das bedeutet schlicht, Unternehmen müssen selbst erarbeiten, ob und wie die verschiedenen Anforderungen in Einklang zu bringen sind.
Seit über 25 Jahren braucht es im Datenschutz sog. technische und organisatorische Maßnahmen für die risikoangemessene Sicherheit der Datenverarbeitung. Dabei sind Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Das sind klassische Kernbestandteile der Informationssicherheit und seit vielen Jahren Teil der ISO 27000-Normenreihe. Ähnliches regeln auch Vorschriften zur Cybersicherheit wie DORA oder NIS-2. Ein übergreifender Mindeststandard oder gar Verweis auf eine führende Norm ist dies nicht. Auch die Chance, datenschutzrechtliche Rechtsgrundlagen für klassische Cyberabwehr gegen ungewollten oder unbefugten Abfluss von Informationen festzuschreiben, hat der Gesetzgeber verpasst.
Viele der Regelungen zu KI bilden ab, was aus anderen Regelungen schon so oder so ähnlich bekannt ist. Beispielsweise ähneln sich die Grundrechte-Folgenabschätzung für KI und die Datenschutz-Folgenabschätzung sehr. Beide verlangen eine Prüfung, wenn ein KISystem oder eine Datenverarbeitung ein hohes Risiko für Menschen haben kann. Dann sind u. a. die Risiken systematisch zu bewerten und die Maßnahmen, die diese reduzieren sollen, zu dokumentieren. Häufig wird das in der Praxis zusammenfallen. Wenn Unternehmen nicht parallel zwei Risiko-Prüfungen vorsehen wollen, müssen sie die Abläufe entsprechend verzahnen, also die Anforderung abgleichen.
Die großen datenschutzrechtlichen Herausforderungen werden wiederum gar nicht adressiert. Es gibt z. B.
keine Klarheit zum Umgang mit der sog. Zweckbindung, also dass personenbezogene Daten grundsätzlich nur zu dem Zweck verarbeitet werden dürfen, für den sie ursprünglich erhoben wurden. Die meisten der heute für KI genutzten Daten sind nicht für diesen Zweck erhoben worden, hier hätte man in der KI-Regulierung datenschutzrechtliche Weichen stellen können.
Ein Lösungsweg
Es ist zu einfach, die Abschaffung von Gesetzen zu fordern. Und es ist wenig wahrscheinlich, dass die Regulierung zumindest kurzfristig wieder abnimmt. Es lohnt sich also, für eine mögliche Lösung einen oder mehrere Schritte zurückzutreten.
Oft tendieren Unternehmen dazu, für alle Anforderungen dedizierte Prozesse, Management-Systeme, Abteilungen, Beauftragte oder Officer und Vorgaben zu erarbeiten. Dann gibt es Regeln und Zuständigkeiten für den Datenschutz, für die Cybersicherheit und für KI. In diesem vertikalen Ansatz können die regulatorischen Anforderungen zwar erfüllt werden, aber die Prozesse und Regelungen doppeln sich oft oder überschneiden sich zumindest. Es entstehen Silos.
Dazu kommen die technologie-unabhängigen Themen, die selbstverständlich auch für Datenschutz, Cybersicherheit und KI gelten. Das sind vor allem die grundlegenden Mechanismen zur Steuerung von Risiken im Unternehmen, namentlich Risikomanagement, internes Kontrollsystem und Compliance-Management. Auch dafür gibt es Regeln, Zuständigkeiten und eigene Prozesse. All das ist dann noch vom eigentlichen Unternehmer, dem „Business“, umzusetzen.
Dabei lassen sich die Anforderungen zur Umsetzung von Regulierung auf eine grundlegende Anforderung an Geschäftsführung und Vorstände aus dem Gesellschaftsrecht zurückführen: Sie haben die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Auch die in vielen Rechtsordnungen so oder so ähnlich angewandte Business Judgement Rule stellt vor allem darauf ab, dass auf Basis angemessener Informationen und zum Wohle des Unternehmens gehandelt wurde.
Was hat das mit der Regulierung von Daten und Technologie zu tun?
Geht man nun von einem vertikalen Ansatz weg und gestaltet die Prozesse im Unternehmen aus dieser Perspektive eines Geschäftsleiters, kann man auch viele der Überschneidungen in den Regeln zu Daten, Cybersicherheit und KI adressieren und die Aufwände zumindest reduzieren: Bevor das nächste Management-System mit PDCA, Regelwerk, Rollen und Verantwortlichkeiten im Unternehmen etabliert, geschult und geprüft wird, schaut man als erstes, welche bestehenden Prozesse genutzt werden können und ggf. nur angepasst werden müssen.
Das beginnt mit einfachen Dingen wie einer Schulung zu „Digital Basics“ anstelle einer Datenschutz-Schulung, einer für KI, einer für Cybersicherheit usw. Das setzt sich fort mit der Nutzung des gleichen Risiko-Frameworks zu Bewertung und Umgang mit Daten- oder Cyber-Risiken, das bereits für anderen Risiken im Unternehmen genutzt wird. Rollen und Verantwortlichkeiten themenübergreifend zu definieren, bündelt Aufgaben an den richtigen Stellen und bricht damit, dass jemand für den geschäftlichen Erfolg verantwortlich ist, die Verantwortung für Sicherheit und Compliance aber woanders liegt. Im Beispiel oben legt man einen Mindeststandard fest, der Cybersicherheit und Datenschutz gerecht wird. Den Prozess gestaltet man flexibel genug, dass man abweichen kann. Für die meisten Alltagsvorgänge ist der Mindeststandard aber eine sehr gute Balance zwischen Aufwand und Ergebnis.
All das ist mit Arbeit verbunden, eine Anschubfinanzierung, wenn man so will. Die verschiedensten Regelungen müssen aufeinander gemappt werden und die Prozesse flexibilisiert. Wenn das gelingt, ergibt sich deutliches Synergie-Potenzial, kulturelle Widerstände („noch eine zentrale Vorgabe“) und Zuständigkeitskonflikte lassen sich reduzieren und last but not least rückt Governance wieder näher an das Geschäft. In jedem Fall muss man bereit sein, den eigenen Silo zu verlassen und zu hinterfragen, ob die eigenen Prozesse und Anforderungen wirklich so speziell sind oder ob nicht jemand anders einen Teil der eigenen Anforderungen besser und passender lösen kann. Dafür braucht es etwas Mut. Das ist die größte Herausforderung.
Deshalb ist meine Empfehlung an uns alle, die wir uns mit Datenschutz, Cybersecurity, KI und all deren Varianten beschäftigen: Brecht die Silos auf. Fangt mit den eigenen an. Es lohnt sich.
„Cybersecurity & Datenschutz“ erschienen. Das vollständige Journal können Sie sich hier kostenlos herunterladen: