Von Wilfried Reiners
Der Einsatz von Microsoft 365 in Deutschland wurde seitens der Datenschutzkonferenz von Bund und Ländern (DSK) für rechtswidrig erklärt: Der Nachweis eines datenschutzkonformen Betriebs könne nicht geführt werden. Dass Microsoft 365 aber auch datenschutzkonform eingesetzt werden kann, weiß Rechtsanwalt Wilfried Reiners. Denn er entwickelte mit der PRW Legal Tech GmbH eine Lösung, die den datenschutzkonformen Einsatz von Microsoft 365 – auch in Kanzleien – erlaubt. Dafür erhielt die noch junge Legal Tech-Gesellschaft Ende November den jährlich von der WirtschaftsWoche ausgelobten Preis „Best of Legal“ in der Kategorie „Produkte und Services“.
Doch was ist aus datenschutzrechtlicher Sicht problematisch an der Nutzung von Microsoft 365 und wie kann eine Legal Tech-Lösung hier helfen?
Herr Reiners, was genau ist das datenschutzrechtliche Problem bei der Nutzung von Microsoft 365?
Für wen hat Microsoft M365 entwickelt? Für die ganze Welt. Es ist schlicht vermessen zu glauben, dass eine Software im Auslieferungszustand direkt und unmittelbar für die ganz Welt passend ist. Das Selbstverständnis von Softwareherstellern ist, dass der Anwender bzw. die Anwenderin dafür verantwortlich ist, dass die Software auf seine Bedürfnisse (inklusive Rechtsvorschriften) eingestellt wird. Dazu gibt es Dienstleister und Berater:innen. Bei manchen Aufsichtsbehörden scheint das Verständnis vorzuherrschen, dass die Software passend ausgeliefert werden muss. Das sehe ich nicht. Die Software enthält Komponenten, die nicht für Europa entwickelt wurden. So gibt es in Teams eine Funktion, die eine Auswertung der Mimik und Gestik von Konferenzteilnehmer:innen vornimmt und z. B. dem Präsentator später Feedback gibt, wie die Präsentation angekommen ist. Die Amerikaner finden das großartig und sagen: Endlich auch Feedback im digitalen Raum. Unsere Datenschützer:innen finden das gar nicht gut. Frage: Kann ich die Funktion für Europa abstellen? Antwort: Ja. Mit PowerShells, die wir liefern.
Noch ein Bespiel: In Teams gibt es eine Funktion „Speech to Text“. Sie zeigt das gesprochene Wort in einem Fließtext an. Angenommen, die Funktion wird über US-Server bereitgestellt und wir haben keinen Angemessenheitsbeschluss. Was sagen die Datenschützer:innen? Abstellen! Jetzt stellen wir uns weiter vor, wir hätten einen Kollegen, der aufgrund eines Arbeitsunfalls schwerhörig ist. Mit der Funktion „Speech to Text“ hätte er eine Chance im Wege der Inklusion an Besprechungen teilzunehmen. Hier muss im Einzelfall eine sachgerechte Interessenabwägung erfolgen. Das ist aus unserer Sicht derzeit kein Tech-Thema, sondern eine Legal-Aufgabe. Das Besondere ist also, das Legal und Tech zusammenarbeiten. Sozusagen: Embedded Law.
Sie haben daraufhin eine eigene Legal Tech-Lösung für dieses Problem entwickelt?
Nach dem sog. „Schrems II“ Urteil stand bei uns das Telefon nicht mehr still, weil IT-Dienstleister, die mit dem Roll-out von größeren Microsoft 365-Umgebungen befasst waren von ihren Auftraggebern mit Projektstopps konfrontiert wurden. Hintergrund waren die zum Teil verunsichernden Publikationen der deutschen Datenschutzaufsichtsbehörden. Die gleiche Situation stellte sich für unsere PRW Consulting GmbH dar, deren Kunden und Kundinnen ebenso beunruhigt waren. Wir waren also nicht ganz wahlfrei, ob wir etwas tun. Wir mussten eine Lösung finden.
Wie haben Sie diese Legal Tech-Lösung entwickelt?
In der ersten Stufe ganz klassisch. Wir haben die gesamte DSGVO (Datenschutz-Grundverordnung) und das „Schrems II“-Urteil gegen die Anwendungen (Dienste) im M365 durchsubsumiert. Wir haben geprüft, ob die Dienste datenschutzkonform einstellbar sind, bzw. wie sie eingestellt sein müssen, dass sie datenschutzkonform einsetzbar sind oder eben auch nicht. Schnell wurde klar, dass wir technische Unterstützung brauchen. Hier konnten wir mit Stephan Bail und Michael Stadtelmeyer zwei anerkannte Software-Architekten und Entwickler von unserer Idee einer gemeinsamen Software, die die Datenschutzthemen um M365 löst, begeistern.
Gemeinsam ist es unserem Team aus IT-Techniker:innenn und Jurist:innen, gelungen, eine „unbestechliche“ Compliance-Software zu entwickeln, mit dem sich in Microsoft-365-Umgebungen die gültigen Gesetze und Regularien für den Datenschutz und die Compliance überwachen lassen.
Wie funktioniert die PRW Legal Tech Lösung genau?
Mit unserer Technologie lösen wir 95 Prozent der rechtlichen Probleme, die eine M365 mit sich bringen kann. Die restlichen 5 Prozent sind organisatorisch (juristisch) zu lösen. Deswegen bieten wir ja Legal Tech. Es geht nicht ohne Legal, und es geht nicht ohne Tech.
Das PRW® Compliance Set: M365 ist eine Lösung mit niedriger Einstiegshürde. Anwender:innen können sich immer nur verbessern und Vorgaben der DSGVO lassen sich damit komfortabel umsetzen. Die Einhaltung von Datenschutz, Informationssicherheit und die Wahrung von Persönlichkeitsrechten werden automatisch überprüft. Die technische und rechtliche Analyse mit unserem Tool beinhaltet nicht nur eine Darstellung der tatsächlich genutzten IT-Umgebung. Zum Lösungspaket gehören auch detaillierte technische und juristische Handlungsempfehlungen. Im Einzelnen ist der Ablauf wie folgt gegliedert:
- Wir führen einen umfassenden ersten Scan des gesamten Microsoft 365-Mandanten samt eingesetzter Lösungen durch.
- Unsere Microsoft 365-Compliance Expert:innen führen mit den Mandant:innen eine qualifizierte Ergebnisbesprechung durch und erläutern die Handlungsempfehlungen und etwaige Risiken.
- Die Handlungsempfehlungen oder Risikobewertungen werden durch die Mandant:innen unter Zuhilfenahme eines zertifizierten IT-Dienstleisters und eines juristischen Begleiters bearbeitet. Hierfür stellen wir den Beteiligten ein abgesichertes Portal zur Verfügung, in dem sie den Arbeitsfortschritt verfolgen können.
- Es findet ein zweiter Scan statt, der die Wirksamkeit der bearbeiteten Handlungsempfehlungen (sog. „zusätzliche Maßnahmen“) dokumentiert.
- Dann wird entschieden, ob noch organisatorische Maßnahmen, wie Datenschutz-Folgenabschätzungen (DSFA) oder eine Bewertung der rechtlichen Berater:innen erstellt werden soll. In der Regel wird das zur Absicherung der Mandant:innen nachgefragt.
Für wen ist das PRW® Compliance Set M:365 gedacht?
Zunächst ist es natürlich für die Nutzenden von M365 gedacht. Sie sind ja letztlich die Verantwortlichen. In sehr vielen Fällen wenden sich die (potentiellen) Anwender:innen an ihre Berater:innen. Dazu zählen Anwaltskolleg:innen, die im Datenschutz oder IT-Recht bewandert sind, Datenschutzbeauftragte und auch IT-Dienstleister. Wir sehen unsere Rolle darin, dort Hilfestellung zu leisten, wo dies gewünscht ist. Wir arbeiten mit IT-Dienstleistern, Anwältinnen und Anwälten sowie Datenschützer:innen zusammen, um die Herausforderungen der Anwenderunternehmen zu lösen. Für Anwaltskanzleien ist die Zusammenarbeit mit uns vor allem deshalb interessant, weil die rechtliche Bewertung etwa ein Drittel des Beratungsumfangs ausmacht. Wir verstehen uns somit als Service Provider für die Anwaltskanzleien, die ihren Mandant:innen neue Lösungen aufzeigen möchten. Für einige Kanzleien bedeutet die Zusammenarbeit mit uns einen hervorragenden Einstieg in den Legal Tech-Bereich.
Planen Sie schon eine neues Legal Tech-Produkt?
Ich habe in meinem Berufsleben als Jurist ca. 1.000 Verträge zur Softwareentwicklung gemacht, aber nie Software entwickelt. Jetzt weiß ich auch, wie das geht. Ich traue unserem Team jetzt alles zu. Und ein klares Ja ist die Antwort auf Ihre Frage.
Foto: Adobe Stock/IB Photography
RA Wilfried Reiners, MBA studierte Rechts- und Wirtschaftswissenschaften in München und San Diego. Nach mehrjähriger Tätigkeit für eine internationale Unternehmensberatung gründete er 1989 die Kanzlei PRW Rechtsanwälte mit dem Beratungsschwerpunkt „Recht in der IT“. Im Jahre 2006 folgte gemeinsam mit Ralph Bösling die Gründung der PRW Consulting GmbH mit Spezialausrichtung Compliance und Datenschutz. Er war viele Jahre Lehrbeauftragter an der MUNICH BUSINESS SCHOOL für die Fächer International Economic Netlaw/E-Commerce und Compliance. Im Jahre 2022 gründete er mit Stephan Bail und Michael Stadtlmeyer die PRW Legal Tech GmbH.
