Compliance trifft Datenschutz - Interview mit Dr. Christoph Ritzer

00:00:00: Die dreihundertste Ausgabe des Criminal Compliance Podcasts, Rosinus

00:00:05: on Air.

00:00:06: Herzlich willkommen zum Criminal Complance Podcast!

00:00:09: Mein Name ist Christian Rosinos und das heutige Thema ist Verstöße gegen Tierschutzrecht als Wirtschaftskriminalität.

00:00:14: Und unser heutiges Thema ist ein außerordentlich spannendes sehr stark wahrgenommenes Thema.

00:00:18: ich habe mir dafür Herrn Professor Björn Gerke eingeladen.

00:00:21: Welcome to the Criminal Compliance Podcast!

00:00:24: Today we have a very interesting international topic again.

00:00:27: We will talk about white colour crime in Chile und heute geht es um die Haftung von Gesellschaftsorganen, insbesondere Geschäftsführerinnen und Vorständen bei Caterpfechbüssen.

00:00:37: Und ich habe heute wieder einen ganz tollen Gast beziehungsweise eine ganz tolle Gäste, nämlich Frau Recht an besten Antiklötzer Asion.

00:00:44: Hallo Christian

00:00:46: Herzlich Willkommen zum Criminal Compliance Podcast und heute freuen wir uns, die dreihundertste Folge des Criminal Complance Podcasts aufzunehmen.

00:00:55: Wir haben also eine Jubiläumsfolge und ich freue mich ganz besonders ein Gast begrüßen zu dürfen der schon ganz am Anfang das Podcast dabei war nämlich unseren ersten Gast, den wir jemals im Criminal Compliance Podcast hatten.

00:01:07: Rechtermal Dr.

00:01:08: Christoph Ritzer.

00:01:09: herzlich willkommen lieber Christoph!

00:01:12: Ja vielen Dank lieber Christian für die Einladung Und es ist wie immer schön, bei dir zu sein und gemeinsam mit dem Podcast Publikum.

00:01:21: Ja das ist ja ein Traum.

00:01:22: also ich muss sagen unser erstes Volk die wir gemeinsam aufgenommen haben war die Folge zwei des Kriminelle Compliance Podcasts.

00:01:28: Damals waren noch Covid sechs Jahre her kann sich keiner mehr dran erinnern aber unser Thema war Datenschutz in den Zeiten von Corona und Covid-IX interessant.

00:01:39: Da gab's natürlich viele Themen die wir besprechen mussten und da hat sich natürlich die Welt auch ganz schön weitergeprägt.

00:01:44: seitdem Kastet mir das schon so lange machen mit dem Podcast und schön, dass du wieder dabei bist.

00:01:50: Aber unsere Hörerinnen und Hörern verliegen natürlich die Shows in denen du mitgesagt hast, dann schauen wir uns nochmal.

00:01:56: aber für die, die es noch nicht mitbekommen haben vielleicht kannst du dich ganz kurz mal vorstellen wer bist du?

00:02:01: was tust

00:02:02: du?

00:02:03: warum beschäftigst du dich ausgerechnet mit Garnenschutz?

00:02:06: Ja ich bin... vielleicht das Alten-Tagen, dass das erklärt.

00:02:10: zum ersten so ein Computer Nerd.

00:02:13: So einen Jugendlich hat er schon vor in der Zwischenzeit über dreißig Jahren gerne mit Technik gespielt und wie ich irgendwann mal Rechtsanwalt wurde und überlegt hatte wo kann man sich denn da oder wie kann man es sich spazitisieren war einfach so ein Feld das sich angeboten hat nach ein paar Jahren an der Uni, dass man ins Technologie-Richt geht.

00:02:31: Wir sind seit guten achtzehn Jahren zugelassen als Rechtsanwalt, war sechs Jahre bei Denkletters dort mit Datenschutz angefangen und ehrlicherweise das Thema am Anfang gehasst weil das ist ein ziemlich sperriges Thema für den Juristen reinzukommen wenn wir da nicht so einen bisschen Zugang hatte insbesondere nach dem alten Bundesdatenschutzgesetz.

00:02:52: jetzt ist es ein bisschen einfacher Und dann hat sich das Nebentechnologie recht weiterentwickelt, dann kam die DSGVO und dann kam Cyberincidence.

00:03:00: So dass ich jetzt mit dem was ich schon im Öffenderjahr gemacht habe fast zwanzig Jahre Datenschutzmach und ja in der Zwischenzeit Partner bei Nordenlose leite hier den Bereich bei uns Datenschutzeiberispons und schön da zu sein und die Erfahrung zu teilen.

00:03:15: Ja es ist super vor allem du bist ja wirklich ein der Experten Deutschlands für dieses Thema.

00:03:20: deswegen freu mich auch auf jetzt einen ganz kompetenten Vortrag sozusagen.

00:03:25: und wir haben uns ein Thema rausgesucht, was uns beiden immer wieder begegnet im Rahmen von Compliance oder Cyberincidence oder DSGVO-Strafen oder was auch immer.

00:03:35: Nämlich Datenschutz im Konzern – das ist natürlich schon etwas, was wahnsinnig relevant ist vor den meisten Unternehmen sind ja auch als Konzernen organisiert und haben immer das Gefühl es ist ein Echtsträge, aber in Wahrheit ist das natürlich anders.

00:03:50: Und da ist das Datenschutzrecht natürlich sehr präzise auch und deswegen wäre es toll gut glaube ich dass wir das mal beleuchten weil es auch ein praktisches Problem ist was viele Datenschutze beauftragte und Unternehmenslenker Geschäftsführer Vorstände auch auf dem Schirm haben müssen.

00:04:06: Vielleicht magst du mal ganz kurz erklären wie sieht das Verhältnis zwischen Compliance-Datenschutz im Konzern aus?

00:04:13: Also was gibt's da für Spannungsfelder?

00:04:15: Wie kann ich das untereinander abgrenzen?

00:04:19: Sehr gut.

00:04:20: Ne, ich glaube transparent wird das Thema wenn man auf ein Organi-Garamm schaut eines Konzerns und überlegt wo hängen die Kolleginnen und Kollegen in der Haus den Datenschutz betreuen?

00:04:32: Hängen sie beim Compliance also eher im Bereich Christian wo ihr als Compliance-Schwizidisten immer beratet oder in der Rechtsabteilung oder bei Legel oder hängen di noch an einer dritten Stelle?

00:04:42: Problem ist nämlich dass natürlich Datenschutze als ein Rechtsthema ein allgemeines Compliance Thema ist und so wie Compliance dem die Einhaltung von verschiedenen rechtlichen Regimen beleuchtet, da gehört natürlich Datenschutz ganz genau dazu.

00:04:57: Da haben wir aber diese Rolle des Startschutzbeauftragten der intern extern sein kann, der eine gewisse Unabhängigkeit hat und auch auf dem gesetzlichen Regime sowas wie ein kleiner Vertreter einer kleinen Behörde innerhalb des Unternehmens ist und in dieser Unabhängigkeit nur an die Geschäftsführung berichtet.

00:05:16: Dann haben wir zum dritten eine ganze Menge an Recht- und Vertragsthemen, die im Datenschutz hochkommen.

00:05:22: Was dann klassischerweise in die Rechtsabteilung gehört.

00:05:26: Auftragsverarbeitungsverträgen und viele andere Dokumente einfremd Duing abgearbeitet werden müssen was so ein gewisses Spannungsverhältnis betrifft.

00:05:34: Das Hauptproblem sehe ich eigentlich ein ganz anderes Nämlich.

00:05:37: die Frage ist Kann man Risiko basiert bewarten?

00:05:40: Weil der Datenschutzbeauftragter an sich oder der Compliance-Verantwortliche wird in der Regel immer die wahre Lehre predigen.

00:05:47: Immer sagen, das ist das was ich empfehle.

00:05:51: so soll Datenschutzzmöglichst ideal aufgestellt werden.

00:05:54: Häufig ist es aber kompliziert kostet viel Geld funktioniert in einer Situation gerade in Krisen nicht so hundertprozentig sodass eigentlich dann eher jemand kommen müsste, was häufig wieder als externe Anwälte oder ihr macht.

00:06:08: Die dann so eine Risiko-basierten Ansatz sagen und sagen da ist zwar nur Risiko aber wir machen es trotzdem.

00:06:14: Das kann aber ein Datenschutzbrauchtakt werden.

00:06:16: So dass die Frage ist, wie ist es ein bisschen lang ausgeholt?

00:06:19: Wie strukturiert und organisiert man das am besten?

00:06:22: Genau, ich meine, es gibt Energien des Sachs zu Recht.

00:06:24: Ego-Datenschutz ist Teil von Compliance in irgendeiner Formen.

00:06:27: Es hat strukturell ein bisschen ausgelagert häufig natürlich beides Wenn du es am unteren Strich siehst, eigentlich geht's ja um Risikominimierung.

00:06:35: Also sowohl bei Compliance als auch bei Datenschutz gehts um Risiko Minimierung und natürlich hat das auch was mit Ethics zu tun also wirklich mit Grundrechtspositionung usw.

00:06:44: Das hat schon auch eine gewisse Ähnlichkeit.

00:06:46: aber wir alle wissen dass Datenschutze häufig auch bestimmte Compliance Prozesse verhindert weil internen Untersuchungen zum Beispiel oder bei Ordits und so was.

00:06:56: Und da gibt es einfach ein Spannungsfeld das immer wieder auftritt Und dass man irgendwie pragmatisch lösen kann und muss häufig.

00:07:05: Und jetzt kommen natürlich noch weitere Themen dazu, die auch superrelevant sind.

00:07:09: AI, Klassische Intelligenz, Digitalisierung, das spielt ja das Datenschutzrecht überall auch eine Rolle?

00:07:14: Absolut!

00:07:15: Vielleicht springe ich mal direkt an Christian und sage mal was aus meiner Sicht die beste Struktur ist oder die Lösung, die man bauen kann um das im Konzern umzusetzen.

00:07:25: Da ist die Lösung ein bisschen davon abhängig wie Chorus ein... Konzern ein Unternehmen ist.

00:07:31: Schauen wir auf multinationale Weltkonzerne, die in vielen Ländern aktiv sind mit sehr vielen Gesellschaften findet man in der Regel heutzutage.

00:07:40: häufig nennen das immer die duale Struktur.

00:07:43: also die Juristinnen und Juristen, die sich auf den Datenschutz spezialisieren sind zum einen in einer neutralen eher compliance zugeordneten Überwachungsfunktion Und zum Zweiten, ein zweiter Teil an Juristinnen und Juristen oder auch Techniker sein.

00:08:00: Wettzelisten die sich den Datenschutz ausstellen können vielleicht auch im Liegelbereich wo dann die beiden bewusst nebeneinander gestellt werden.

00:08:09: Die einen die eben in einer zentralen Compliance Funktion ähnlich wie dem die Einhaltung von anderen wesentlichen Regimen und Ethikregeln betrifft ihr reine Lehre vertreten können eine klare Empfehlung an die Geschäftsführung aussprechen können und sagen, in diesem Fall empfehlen Sie das goldplatinierte Sondermodell.

00:08:30: Und auf der anderen Seite in der Rechtsabteilung Juristen, die weißungsgebunden und das Unternehmen Interesse insgesamt im Blick haben und dann auch sagen können ja, die goldplatinierte Platinum Umgebung ist hier halt viel zu teuer, können wir uns nicht leisten?

00:08:46: Das Risiko ist überschaubar!

00:08:48: Also machen wir nur die Behause oder Silber-Lösung statt dem ganz Ertollen.

00:08:54: Das lässt sich im kleineren und mittelständischen Konzern in der Regel nicht mehr umsetzen, weil einfach die Ressourcen und die Doppelungen von Kompetenzen nicht möglich ist?

00:09:04: Da muss man sich überlegen ob man den Datenschutz entweder unter Compliance oder Unterliegel hängt.

00:09:08: Meistens hängt er unter Liegel und wenn wir noch einen Einfluss darauf haben würden wir sagen zu mir dass es den Datenschaftsbeauftragten intern oder extern nicht unter Liegel in die Linie zu hängen, sondern unter Compliance.

00:09:21: Aber das ist vielleicht so.

00:09:22: das einfachte Bild wie man es tun könnte?

00:09:26: Bin ich sehr nachvollziehbar und kennt man ja auch aus vielen Organisationen.

00:09:29: Was sind denn so Schlüsselrollen, die besetzt sein müssen jetzt mal unabhängig oder abhängig von der Unternehmensgröße?

00:09:35: welche Positionen müssen mit welchen Funktionalitäten existieren und auch ausgestattet seien?

00:09:42: Und wie bricht sich das dann auch vielleicht runter im Rahmen des Uncompliance-Menschmentsystems?

00:09:47: Also, die eine hat man schon genannt.

00:09:49: Jeder kennt den Begriff wie in Deutschland haben sie erfunden, den Datenschutzbeauftragten der ja in der DSG UVO in der Zwischenzeit etabliertes unabhängige Instanz intern extern mit direkte Bericht an den Geschäftsführungen unabhängig einschließlich Kündigungsschutz.

00:10:05: daher ne ganz starke Position Den hatte ich schon gesagt eher bei Compliance außerhalb von Liege ansetzen Dann haben wir in der Tegel an Compliance Manager.

00:10:17: Das ist immer die Schwierigkeit an wen berichtet der Datenschutzbeauftragte in der Linie.

00:10:22: In der Regel ist das ein Chief Compliance Officer oder ein Compliance verantwortlicher Linienmanager, da muss man aber halt darauf achten dass die Linie was die Unabhängigkeit betrifft nicht gefährdet ist sondern so eine Dotted Line wie man es so schön sagt den Organigramm direkt zum Vorstand ist.

00:10:39: Wir haben erhebliche Themen aus meiner Sicht bei ganz anderen Stakeholders, IT-Sicherheit, Personalabteilungen, Rechteteilung und wie sie alle sind.

00:10:48: Und aus meiner sich da die zumindest eine Kompetenz schaffen, die die Tagesgeschäft bewarten kann unabhängig von dem neutralen überschaubarenden Datenschutzbeauftragten.

00:10:59: Aber auch innerhalb von IT Rechtsabteilung oder zum Beispiel auch Marketing ist aus meiner Sicht sehr wichtig, dass man eine institutionalisierte Kompetenz schafft.

00:11:09: Die Inderabteilungen im Tagesgeschäft die Reglingeinhalten, Strivacy Champions oder andere und da ist dann wieder interessant wie sie mit den verschiedenen Funktionen in Konzern hängen.

00:11:23: Häufig haben diese Privacy Champions oder Datenschutzspezialisten, die dann in Personalabteilung für die beschäftigten Daten.

00:11:31: Oder in der IT-Abteilung oder im Marketing für alle möglichen Marketinglisten und Bösenverarbeitungen.

00:11:37: Dann zusätzlich auch eine Berichtslinie oder irgendeine Zusammenarbeitslinie in die Compliance-Datenschutzabteilungen weniger nach Liege.

00:11:46: Und wenn man das Ganze jetzt noch global sieht könnte man das jetzt noch in einer Matrixstücke vor jeweils mit Landesverantwortlichen kombinieren.

00:11:53: Nur

00:11:53: mal eine Frage zum Thema IT sozusagen, ich erlebe das auch oft dass Zentraldatenschutzfunktionen in der IT angesiedelt sind

00:12:01: ja

00:12:02: gerade auch von nicht ausgebildeten Juristinnen und Juristen oder sondern sehr stark aus dem IT Kontext kommend wie würdest du sowas einordnen?

00:12:13: Also gibt es Zwei Aspekte.

00:12:16: Der eine ist der, der Datenschutzbeauftragte muss nach DSGV U-Labhängig sein und darf auch deswegen keine Interessenkonflikte unterlegen.

00:12:25: Das heißt jemand, das Business eine Funktion verantwortet die entscheidet wie Daten verarbeitet kann nicht gleichzeitig sich selber beaufsichtigen.

00:12:33: Deswegen fällt der Leiter IT in der Regel raus Die leiteren Personal fällt auch aus und vieles andere so dass da nicht hängt aber durchaus möglich und gerade im Mittelstand üblich, dass ich sage jetzt mal die Nummer zwei oder die Nummer drei in der Hierarchie eine IT-Abteilung das hat.

00:12:51: Wir haben in Deutschland auch ein Spezifikum historisch gewachsen, da sehr viele Datenschutzbeauftragte aus der Technik kommen.

00:12:59: Ich finde es immer spannend, wenn man beim BVD oder bei anderen deutschen Organisationen wo ich hin und wieder mal vortragen darf und zu Konferenzen.

00:13:06: Denn das ist Gefühl zweitrittel Techniker.

00:13:09: Geht man zur IAPP nach Washington DC und spricht mit den Datenschutzbeantwortlichen von US internationalen Großunternehmen haben wir irgendwie gefühlt mindestens zwei Drittel Juristenquote.

00:13:22: also spannend ist dass sich da so eine Compliance Kultur, um mal deine Spare zu nehmen entwickelt hat.

00:13:28: Wo Datenschutz ein Tatduch aus technisch verstandenes Thema war wo sich die Technikerinnen und Techniker eben nach Zusatz qualifiziert haben und das dazugelernt haben und häufig ganz hervorragend auch im echtlichen Sinn.

00:13:41: Und im Ausland sind es eher Juristen was uns naturgemäß ein bisschen leichter spielt.

00:13:46: aber so eine ganz andere denke ist ich finde diese gar dieses deutsche Herangehen eigentlich ein ganz schönes.

00:13:52: Und man muss übrigens auch an das Beispiel, man muss nur die Behörden schauen.

00:13:55: Ich hatte vor kurzem die Freude in Wiesbaden bei der Behörde zu sein.

00:13:59: Die haben die Abteilung drei mit Technikern und ich glaube in jeder deutschen Datenschutzbehörde gibt es eine der großen Hauptabteilungen aus Technikspezialisten so dass auf der Regulatorseite der technischen Aspekte ganz wichtig ist.

00:14:13: Was würdest du denn jetzt sagen was is best practice?

00:14:15: Also wenn du es malen darfst.

00:14:17: Also

00:14:17: Best Practice heißt tatsächlich ne zwei Kompetenzzentren schaffen Im Konzern.

00:14:23: das eine ist die täglichen Doing-Arbeiter, die die Verträge machen.

00:14:27: Die den Vorstand bei einer Frage wie bauen wir unser ERP System möglichst effizient so dass man die Daten gut arbeiten kann in Konzernen bewahrten Risiko basiert eventuell mit extern anwälten und ein zweites Kompetenz Center im Compliance aufhängen die die wahre Lehre predigen können und von dem Zweifel eine kritische Stellungnahme abgeben können.

00:14:50: So dass der gute Unternehmensführer, die gute Vorstände am Ende des Tages vielleicht sogar zwei Papiere auf den Tisch hat wenn es in Entscheidungen trifft nämlich das Risiko passierte der Rechtsabteilung und die wahrelähre Entscheidung von der Datenschutzbeauftragten wo man dann sehen kann so wäre es hundertprozentig richtig.

00:15:10: Legal empfiehlt uns, dass wir Risiko basierte A und B machen.

00:15:14: Und so ist eine Entscheidungsträgerin dann mit dem vollen Bild ausgestattet.

00:15:20: Das spart vor allem den armen Menschen, mit denen wir arbeiten diesen internen Loyalitätskonflikt.

00:15:26: Dass man einerseits immer... das wahre und gute prädigen muss.

00:15:30: Und wie es richtig ist, aber andererseits genau weiß man gewinnt keinen Popularitätsvokal innerhalb des Unternehmens weil man immer nur der Boomer Nein sage.

00:15:38: und wenn die zwei Rollen gibt es eben relativ klar wer was hat dann gibt's eben die reine Lehre aber die halten halt den Betrieb auch nicht auf.

00:15:45: über die kann man sich dann auch als Geschäftsführung vielleicht hinwegsetzen und begründe der abweichende Entscheidungen treffen.

00:15:51: weil das Hauptproblem ist ja du kennst genauso Zwei Drittel der Datenschutzbeauftragten in große Unternehmen werden als Bremser und Verhinderer wahrgenommen, die man dann möglichst spät in Prozesse involviert.

00:16:03: Da war man denkt – und dann ist es gerade im Datenschatz besonders schwer – weil wir dann technische Strukturen häufig gar nicht mehr ändern können und das schöner machen.

00:16:11: Und dann kann man meistens nur einen sagen!

00:16:13: Mit dieser dualistischen Struktur glaube ich kam er an diesen Konflikt aber das ist ja nichts anderes Christian wie das was ihr im Compliance jeden Tag habt.

00:16:23: dass eine gute Compliance Abteilung natürlich geschäftliche Prozesse hinterfragt und sich dann damit auseinanderzusetzen, kostet Zeit und Geld.

00:16:33: Und ist manchmal schmerzhaft.

00:16:35: Ja es ist natürlich häufig so die richtig guten Abteilungen Schaffen ist dann diese Wahrnehmung auch zu drehen.

00:16:42: Das hängt aber sehr stark von der Rolle des Managementteams ab, wenn das Management Team dahinter steht und es supportet.

00:16:49: Dann kommt es häufig auch zu einer ganz herausgehangen guten Wahrnehnung.

00:16:53: Aber man fängt sozusagen häufig genau da an was du gerade beschrieben hast.

00:16:58: Und dann bedarf es eben meiner guten Kommunikation und vielleicht auch mal eines Sachverhalts, der nicht so optimal gelaufen ist um nachvollziehen können was der Mehrwert ist.

00:17:08: Kannst du vielleicht mal ein Beispiel geben, was passiert wenn die Struktur nicht ganz optimiert ist?

00:17:13: Was da sozusagen für negative Folgen auch passieren können.

00:17:17: Tja wie gesagt das sind Konflikte die aufkommen beziehungsweise mein negatives Beispielen ist.

00:17:24: aber das wisst bei euch im Komplex wahrscheinlich genau dass gleiche im Allgemeinen unerfahrenere und unsichere beauftragte, weil Nein sagen ist immer am einfachsten.

00:17:38: Zu sagen das geht nicht, es darf und macht aber nicht, ist immer das Einfachste.

00:17:44: Und sich mit Fachleuten zusammensetzen und kreativ nach einer Lösung zu suchen bedarf eine Ohnmaß an Erfahrung und persönlicher Weife dann auch mit anderen Führungskräften, mit Fachfreunden auseinanderzusetzen so dass tatsächlich eine Ding die ich häufig sehe Oh, der Müller die Maya irgendjemand der da im Unternehmen umläuft.

00:18:07: Ich brauche jetzt jemanden den ich als Beauftragten belehnen kann und man nimmt jemanden der offensichtlich gar nicht viel Erfahrung hat Und dann geht das in der Regel ganz schön gepfaltig nach hinten los, weil dann wird so jemand zu einem Fortbildung eine Woche geschickt und gerne noch in ein, ich sage jetzt mal Datenschutz-Bootcamp wo mit dem Flammen den Schwert der Bürgerrechte unterrichtet wird.

00:18:30: Und dann kommt so jemand zurück ins Unternehmen und kollidiert ganz erheblich mit dem Tagesgeschäft und den Interessen von WIT oder Personal und Marketing ihr Geschäft halt betreiben.

00:18:41: Die Herausforderung ist natürlich, dass es leider im Datenschutzrecht unter das Böse meint.

00:18:45: Das Datenschussrecht spielt sich immer ein bisschen auf.

00:18:48: Habe ich manchmal das Gefühl als wichtigstes und zentrales Element unseres Rechtes zu sehen?

00:18:52: Ist es auch Christian!

00:18:53: Ja, und das ist teilweise jetzt mal aus der Compliance an oder als Perspektive wirklich mühsam weil es manche des Datenschutzes häufig so Verhinderungsmechanismen auftreten die eigentlich gar nicht... wenn man das rechtlich prüft auch gar nicht sozusagen zutreffend dann sind.

00:19:11: Das ist eine Herausforderung, die gibt es einfach und das liegt maßgeblich glaube ich da können die Datenschutzbeauftragten Personen glaube ich gar nichts dazu.

00:19:19: Ich glaube das liegt massgeblich auch daran dass die Schulungen teilweise doch sehr ideologisiert sind.

00:19:26: Absolut!

00:19:27: Und ich gebe dir ein Beispiel.

00:19:29: Aber

00:19:30: du absolut das ist und da musst du auch gar nicht nur auf die Schulung schauen da kannst du auch in die Bereite der Aufsichtsbehörden schauen.

00:19:38: die Kommentierungen manche der Behörden, sich als unabhängige Kämpfer für die gute Sache verstehen und weniger als Vollzugsbehörden wie ein Recht anwenden.

00:19:51: Gewachsinstrukturen aus vielen Dingen.

00:19:53: aber du hattest noch einen konkreten Beispiel gefragt was nicht schlecht laufen kann?

00:19:57: Und jetzt mal eins benannt aus dem wo wir immer mal auch die Freude haben zusammenarbeiten dürfen gesetzt den Fall ein Unternehmensführer Leiterin bekommt mit, dass es da potenziell preisabsparen im Unternehmen mit einem der großen Wettbewerber gab.

00:20:14: Und es denkt sich, ups!

00:20:16: Da müssen wir jetzt schnell ermitteln, aufklären genug zusammennehmen das wir zum Bundeskartellamt als die ersten, die hier rauslaufen können und eine Selbstanzeige vorbereiten.

00:20:26: Dazu muss man erheblich Dokumentationen auf den Tisch legen und zwar so viel, dass man die Wettbetwerber in Kartell direkt ordentlich belasten kann.

00:20:34: Um das zusammenzutagen, muss man heutzutage bei einem E-Mail in Boxen schauen und vieles andere.

00:20:39: Und wir hatten, ich glaube, fünfzehn Jahre lang oder länger zwanzig Jahre lang, dass unsägliche Thema gilt, dass Telekommunikationsgeheimnis im Arbeitnehmer-, Arbeitgeberverhältnis...

00:20:49: So ein Warn.

00:20:50: ...und wenn das Unternehmen das nicht zeitgeregelt hatte was gefühlt mindestens drei Viertel der Unternehmen da draußen nicht zeit geregelt hatten?

00:20:58: würde das dazu, dass jemand gesagt hat, du darfst diese E-Mail gar nicht einschauen.

00:21:01: Weil wenn da eine einzige Privatität ist, versäucht die das gesamte E-mailprostfach und du magst dich strafbar?

00:21:07: Das Dilemma erkennen?

00:21:09: haben die Datenschutzbehörden ja vor ungefähr einem Jahr ihre Meinung geändert und haben eine formelle neue Regelung des Telekommunikationsgeheimn – es ist jetzt nicht mehr im Achtundachtzig-Telekomunikationgesetz sondern in dem TDDSG, in dem Digitale Dienstedatenschutzgesetz durch Wechsel der Normierung gesagt, das ist eine große Rechtsänderung.

00:21:32: Es war eigentlich keine.

00:21:33: Aber damit daraus kommen ... Das war unheimlich schmerzhaft in solchen Dingen zu bewarten als Daten- und geheimnisches Schutzrechtler weil man quasi keine wirkliche Lösung hatte.

00:21:45: wir haben dann irgendwelche gebaut die es irgendwie gingen Aber jeder schüttelte immer nur den Kopf und sagt, wir wollen hier doch das Gute.

00:21:52: Wir wollen eine Selbstentzeige.

00:21:54: Wir wollten das Kartell offenlegen, das beenden.

00:21:56: Und dazu brauchen wir halt nun mal diese E-Mails wo man sich irgendwie abgestimmt hat mit dem Wettbewerber oder potenzielle Treffen vereinbart hat.

00:22:04: Das war tatsächlich

00:22:05: schwierig.

00:22:06: Die praktische Situation war ja das Thema ist ja bei allen Internal Investigations gewesen.

00:22:11: Praktische Situationen waren zwar Contra der Rechtsprechung der Arbeitsgerichte Christoph Starr-Contra Es war auch Kontra der Praxis der Staatsarbeitschaften.

00:22:19: Ich hatte mehrere Fälle, wo ich ohne die Gegenstände eine intern besogen war, einfach mal Strafanzeige gemacht habe wegen dieses Themas und jede einzelne Strafanzange ist noch unter seventy zwei eingestellt werden weil auch kein vernünftiger Staatsanwalt oder Staatsarbeit so ein Gepatsch auf Deutsch zu sagen ernst nehmen konnte.

00:22:39: aber die datenschutzrechtliche Literatur hat dennoch monstranzartig vor sich hergetragen.

00:22:48: Aber das ist so ein Thema gewesen.

00:22:50: Da bin ich sehr froh, dass es jetzt beendet ist an der Stelle.

00:22:57: Wir haben

00:22:58: nicht mehr so viel Spaß zusammen, Christian nach Lösungen zu suchen?

00:23:01: Wir haben anderen Spaß um andere Lösungen in Twin Investigations zu finden.

00:23:06: Es gibt immer noch ein paar

00:23:07: Auswahlungen.

00:23:10: Das ist ein ganz wichtiges Thema in Twin investigations.

00:23:13: Datenschutzrecht hat aber auch im Unternehmensalltag mit Compliance andere Herausforderungen und Themen.

00:23:22: Ich habe vorhin das Stichwort KI in den Raum geworfen, was siehst du da sozusagen für Themen die da auf uns zu kommen?

00:23:30: Das trägt die Komplexität nochmal eine Stufe höher weil was wir tatsächlich zunehmend im Großkonzern sehen ist der Chief AI Officer.

00:23:40: Tatsächlich neben der Compliance und neben der anderen Struktur noch mal auch Leitungs-Ebene, jemand der sich um das Thema KI kümmert.

00:23:49: Warum ist das so?

00:23:50: Die rechtliche Regulierung ist herausfordernd komplex und schwierig auf der einen Seite.

00:23:56: Auf die anderen Seite ist es aber das Innovationsthema im Unternehmen.

00:24:01: Man braucht eine sehr, sehr austarierte Herangehensweise dahingehend.

00:24:06: Dass man natürlich global als Unternehmen die Vorteile und alle die Opportunitäten, die sich bieten durch den Einsatz von KI nutzen möchte und deswegen die Regulierung des Themas vor allem in Europa nicht als Bremsklotz verstehen will gleichfertig aber im Komplein sein.

00:24:23: Dann ist es so komplex dass es Diegel- und Datenschutz alleine gar nicht behandeln kann.

00:24:28: Man braucht die Techniker ganz erheblich Auch Spezialisten, die verstehen wie die großen Sprachmodelle und andere Dinge funktionieren.

00:24:37: So dass diese KI-Officerrolle oder die Leitung von solchen strategischen Init-Stellen in der Regel gar keine Juristen sind sondern in der regel KI-Spezialisten Die eher aus der Informatik oder aus der Anwendung kommen Und dann eben im gemischten Team von Compliance, von Datenschutz, von Legal unterstützt werden was diese Prozesse gibt und man eine mehrstufige Governance baut.

00:25:04: Das Ganze in dem Spannungsfeld, das wir in der ersten Hälfte jetzt unseres Gesprächs hatten.

00:25:09: heute überdeckt das ganze nochmal mit einer hohen Komplexität.

00:25:13: Und auch da stellt man übrigens fest dass die seit auch große Mittelständler von den Komplexitäten fast überfordert sind.

00:25:21: Man muss auch sehen, dass der Regulierer an dieser Stelle die Regulierung schon Fast ein Ticken soweit getrieben hat.

00:25:27: Stichwort

00:25:29: EUKI-Verordnung oder alle die Digitalisierungsrechtstexte, die aus der von der Line I Kommission kamen?

00:25:37: Es war eben auch noch eine andere Zeit es war vom Ukrainekonflikt das war vor vielen anderen wo man mit den großen US Anbietern das Spielfeld ein ebnen wollte und Wettbewerbsgleichheit schaffen wollte auf dem europäischen Markt mit US Anbittern Und vielleicht auch mehr konfliktfähig war den USA gegenüber, wo wir jetzt heute die Konfliktfähigkeit vielleicht auch politisch nicht mehr in dem Maße leisten wollen und wirtschaftlich uns das vielleicht auch nicht mehr leisten können.

00:26:04: Man merkt ist meine Lesart es geht eher ein bisschen in die andere Richtung und die Regulierung wird eher etwas pragmatisiert.

00:26:12: was ja auch vielleicht nicht schlechtes ist.

00:26:14: Ja ist auch beim Thema ESG Das war ja ein ganz großes Thema Ich finde teilweise auch ein bisschen bedauerlich extrem hintergrundgerückt.

00:26:23: Auf der anderen Seite, es gibt halt globalpolitische Herausforderungen, die sind halt anders als vor ein paar Jahren

00:26:27: und das Gute wäre vielleicht ein goldener Mittelweg zwischen beiden Erwesen.

00:26:31: Zwischendem vielleicht etwas zu gut gemeinten und damit aber übertriebene Regulierungsansichtssatz in Europa und jetzt dem eifenden Widerstand der ideologisch aufgeladen oder an anderen Stellen dagegen kommt.

00:26:45: Weder noch ist es wahrscheinlich richtig, sondern eine sinnvolle Zwischenlösung.

00:26:50: was aber dann wieder zurück zum Ausgangsthema die Regulierung von Daten, die Regulation von KI insgesamt betrifft wo man ich glaube die großen schwierigen Probleme definitiv regulieren sollte aber vielleicht nicht jedes einzelne kleine Tool irgendwie einer Regulierungen unterziehen muss was man so im Alltag irgendwie einkauft Und mit einem Klick von Microsoft oder von dem anderen Anbieter einfach mit auf seine Rechnerbildgespielt bekommt.

00:27:14: Genau, also das ist aber eine Herausforderung wird auch wahrscheinlich sich jetzt nicht so einfach lösen lassen in der nächsten Zeit.

00:27:21: Wir zumindestens heute nicht mehr, glaube ich.

00:27:25: Vielleicht kommen wir auch mal langsam zum Ende.

00:27:27: Wir haben ja schon ein ganz schön paar Vorfrieden wieder veranstaltet heute.

00:27:32: Was lässt sich denn für dich als Takeaway mitnehmen aus dieser Situation?

00:27:37: Das Takeaway ist, glaube ich, kenne deiner Rolle und sprich mit deinen Verantwortlichen im Unternehmen in der Unternehmensleitung wie man die Rolle am besten aufstellt.

00:27:49: Keinem ist mit einem immer Neinsager geholfen, der immer in einem Loyalitätskonflikt zwischen seiner Aufgabe auf der einen Seite und die Ernst zu nehmen ist gleichzeitig immer als Bremser-und-Neinsager wahrgenommen wird.

00:28:02: Damit wird weder dem Unternehmen noch der Person, die so eine Rolle ausführt, gerecht.

00:28:07: Wie wir zwei wollen schaffen?

00:28:08: Wo auf der einen Seite jemand klar sagen kann, so ist die ideale Lösung, so empfehle ich das und sich nicht verbiegen muss.

00:28:15: Und auf der anderen Seite jemand steht Personen, die dann sagen können, dass es ein risikobassierter Ansatz ist, dass jetzt vielleicht abgeschwächt von dem was, was Person haben möchte aber etwas, was zu uns zu unserer Größe und zum Geschäftsmodell passt wo wer unser Geschäft maximal gut entwickeln können, aber trotzdem auf die wichtigen Aspekte eingehen können.

00:28:35: Dass man als Compliance und Leitungsfunktion im Unternehmen diesen internen Kampf sieht von Strukturenschaft der diesen Kampf auflöst und in einer guten Struktur wieder spielt.

00:28:47: Aber wichtig ist ja dass man seinen internen Strukturen dann auch mal dahingehend überprüft.

00:28:51: vielleicht das ist sehr sicher Absolut.

00:28:53: Und vielleicht fünftausend

00:28:55: Euro oder zehntausend Euro mehr Jahresgehalt für den guten Erfahnen an der Stelle ausgeben und keinen unerfahrenen, nur damit man den Job schnell irgendwie besetzt bekommt einstellt?

00:29:05: Weil das rechtzig, weil Unerfahrenheit und fehlende Standing ums mal sozusagen im Unternehmen für so eine Compliance Verantwortung in Datenschutz leicht nach hinten losgehen kann, weil Nein sagen ist immer das einfachste.

00:29:20: Das ist ein schönes Schlusswort.

00:29:21: Fällt dir noch irgendwas ein, was wir noch nicht besprochen haben?

00:29:24: Ganz viel.

00:29:26: Ich glaube zur Folge Vierhundert oder zur Folge Fünfhundertezehn.

00:29:31: Auf Wiedersehen!

00:29:32: Bis dahin sammeln wir noch ein paar Themen.

00:29:35: Die und dein Podcast weiter.

00:29:36: alles Gute.

00:29:37: Ich freue mich auch auf die Gäste der nächsten Folgen an die Hörberinnen und Hörer.

00:29:42: Alles Gute und dann sprechen wir uns in hundert oder zweihundert Folgen vielleicht wieder auf dieser Linie

00:29:49: Sehr gerne.

00:29:50: Also dann dir auch noch mal herzlichen Dank über Christoph für den Einblick und deine Bereitschaft hier mitzuwirken, das ist wirklich toll!

00:29:57: Und auch immer wieder interessant zu verstehen wie es funktioniert im Datenschutzrechts wenn Sie die Behörerinnen höhere Fragen oder Anmerken haben können sich jederzeit gerne an Christopher Ritzer werden.

00:30:09: Die Kontaktdetail ist verlinklich in den Show Notes.

00:30:12: wenn Sie Fragen an uns haben, jederzeit auch gerne unter www.infotosinos-on-rsr.com.

00:30:17: Bis zum nächsten Mal,

00:30:18: freue mich auf Sie!

00:30:36: www.rosinus-on-r.com oder unter

00:30:41: www.rozinus-partner.com.