Ausufernde Bürokratie kostet Unternehmen in Deutschland viel Zeit und Geld. caralegal entwickelte eine KI-Anwendung, die all das übernimmt. Ein Interview mit der Geschäftsführerin Kathrin Schürmann.
Wie funktioniert Ihre datenschutzrechtliche Vertrags-KI und wie kann sie den Arbeitsalltag ändern?
Kathrin Schürmann: Der zeitraubende Prozess der Überprüfung von Auftragsverarbeitungsverträgen (AVV) von durchschnittlich 2 Stunden wird dank Künstlicher Intelligenz auf wenige Minuten reduziert und damit um 90 Prozent verkürzt. cara28 ist ein Herzensprojekt, entstanden aus der engen Zusammenarbeit zwischen caralegal, unserer Plattform für digitale Datenschutzlösungen, ISiCO Datenschutz GmbH, unserer Beratung für Datenschutz und Informationssicherheit und dem Berliner KI-Innovator Merantix Momentum.
Warum brauchen Unternehmen diese Art Sicherheit überhaupt heutzutage?
Wenn es um die Verarbeitung personenbezogener Daten im Auftrag eines anderen geht, ist gemäß Artikel 28 der Datenschutzgrundverordnung (DS-GVO) ein entsprechender Vertrag abzuschließen. Das trifft fast immer dann zu, wenn zwei Unternehmen zusammenarbeiten wollen, sei es bei der Nutzung von Cloud-Diensten oder anderen Software-as-a-Service-Angeboten. Die Überprüfung dieser AVVs ist eine zeitaufwendige und ressourcenintensive Herausforderung im Datenschutzalltag.
Unsere Lösung cara28 ermöglicht es Unternehmen und deren Legal- und Datenschutzverantwortlichen, AVVs KI-gestützt äußerst effizient zu überprüfen. Die immense Zeitersparnis und die höchst präzisen Ergebnisse sprechen für sich. Hier ist vor allem die jahrelange Erfahrung in der Prüfung von AVVs der Datenschutzberatung ISiCO eingeflossen. Für mich persönlich ist cara28 nicht nur ein Tool, sondern ein Meilenstein, der zeigt, wie Technologie und menschliche Expertise Hand in Hand gehen können, um so eine neue Ära des effizienten Datenschutzmanagements einzuläuten.
Die Bürokratie in Deutschland wird oft sogar als Hemmnis für die wirtschaftliche Entwicklung gesehen. Welche Erfahrungen haben Sie in Ihrem beruflichen Alltag mit solchen Belastungen bereits gemacht?
Die Gründung von caralegal war für Simone Rosenthal und mich sowie unsere Co-Founder Dennis Kurpierz und Björn Möller die konsequente Antwort auf die Herausforderungen, vor denen Unternehmen beim Datenschutzmanagement stehen. Die Idee war, mehr als nur eine digitale Dokumentenablage zu schaffen, sondern eine sinnvolle Software, die den Alltag von Rechts- und Datenschutzexperten erleichtert, Prozesse digitalisiert und damit effizienter macht.
Wie genau funktioniert der Legal Workflow?
Der Legal Workflow ist unser Herzstück und wurde entwickelt, um Unternehmen, die von der CISCO analysierten 4 Wochen Verzögerungen aufgrund des Datenschutzes wieder zurückzugeben. Das ist für uns mehr als nur ein Versprechen, denn es ist unser Ziel, Unternehmen dabei zu unterstützen, ihre Datenschutzprozesse so zu managen, dass sie die Datenschutzkultur im eigenen Unternehmen nachhaltig verändern.
Zugleich verstehen wir aus unserer jahrelangen Praxis heraus die realen Probleme von Datenschutzverantwortlichen, die oft von bürokratischen Hürden blockiert werden. Hier agiert caralegal als Technologie-Partner, der dabei hilft, diese Hindernisse zu überwinden.
Für welche Firmen eignet sich cara28 und wie viele Kunden haben Sie schon?
Die cara28-Lösung ist im Grunde für alle Unternehmen geeignet, da fast jede Firma AVV abschließt. Besonders profitieren können Unternehmen, die eine hohe Anzahl von AVV prüfen müssen. Unsere Anwender sind einerseits interne Rechts- und Datenschutzverantwortliche in Unternehmen. Die durch cara28 gewonnene Zeit ermöglicht es ihnen, mehr Zeit in strategische Datenschutzthemen investieren zu können. Die internen Datenschutzverantwortlichen haben oft mit akutem Ressourcen- und Zeitmangel zu kämpfen, insbesondere in großen Organisationen, in denen eine Vielzahl von AVV geschlossen wird.
Die Überprüfung kann nun vereinfacht werden, was den dringend benötigten Raum schafft für strategische Projekte und Themen. Andererseits gibt es noch die externen Datenschutzbeauftragten. Diese prüfen AVV oft im Rahmen ihres Beratungskontingents oder als Dienstleistung. Die schnelle Durchführung der AVV-Prüfung stellt einen klaren Wettbewerbsvorteil dar und ist eine sinnvolle Ergänzung zu ihrer Kerntätigkeit als externe Datenschutzbeauftragte.
Welche Erfahrungen konnten Sie in Ihren Tests bislang sammeln?
Während der Beta-Phase von cara28 haben wir bereits mehrere tausend Verträge für unsere Kundinnen und Kunden geprüft, angefangen von kleinen und mittelständischen Unternehmen bis hin zu Konzernen. Aktuell setzen mehrere hundert Unternehmen wöchentlich auf unser Tool, um ihre internen Prozesse zu beschleunigen.
Wohin wollen Sie sich mit Caralegal entwickeln?
Datenschutz ist ein wesentlicher Bestandteil der EU-Datenregulierung und Unternehmen werden zunehmend datengetriebener. Daraus ergibt sich, dass Datenschutzprozesse genauso effizient gestaltet werden müssen wie Unternehmensprozesse. Ein Thema, das in diesem Kontext von zentraler Bedeutung ist, ist das Kundenvertrauen. In einer Zeit, in der das Bewusstsein für einen verantwortungsvollen Umgang mit Daten immer größer wird, spielt Datenschutz eine entscheidende Rolle. Dies gilt nicht nur im B2C- Bereich, sondern auch im B2B-Sektor, insbesondere vor dem Hintergrund von ESG (Environmental, Social, Governance).
Wenn man automatisierte KI-Verarbeitung hört, klingeln durch die Prägung in Deutschland die Datenschutzohren. Wie können Sie solche Sorgen nehmen?
In Deutschland ist eine ausgeprägte Sensibilität für Datenschutzthemen vorhanden und wir verstehen diese Bedenken vollkommen. Bei cara28 wurde das KI-Training mit anonymisierten Daten durchgeführt, und auch die hochgeladenen Verträge zur Überprüfung können vorab anonymisiert werden. Die KI benötigt keine personenbezogenen Daten, um zu erlernen, ob ein Vertrag vollständig ist und ob eine Klausel konform ist. Interessanterweise konnten wir bei cara28 sehr gut umsetzen, was wir sonst auch in unserer Beratungspraxis vermitteln: Datenminimierung durch weniger Datenattribute trainiert eine KI zielgenauer, schneller und erfolgreicher.
Wie steht es um die Gefahr von Hackerangriffen?
Was die Sicherheit gegen Hacks betrifft, ist es wichtig in Schadenspotenzial und Eintrittswahrscheinlichkeit zu unterteilen: Um das Schadenspotenzial zu minimieren, erfolgt zum Beispiel eine Anonymisierung des Kunden-Vertrages im Browsercache, wodurch wir den eigentlichen Vertrag nicht speichern und bedingt dadurch auch nicht einsehen bzw. verarbeiten.
Gibt es weitere Maßnahmen?
Des Weiteren stellen wir unseren Kunden das Resultat inklusive des anonymisierten Vertrages nach der AVV-Überprüfung als PDF für einen Zeitraum von sieben Tagen zum Download bereit. Nach dieser Frist werden sowohl der anonymisierte Vertrag als auch das Resultat gelöscht. Das heißt, das Schadenspotenzial bei einem Hackerangriff wäre sehr gering. Gegen die Eintrittswahrscheinlichkeit arbeiten unsere IT-Security- und Pentester quasi täglich.
Bereits vor dem Launch von cara28 haben wir unzählige Sicherheitstests – sogenannte Pentests – an den Systemen durchgeführt und auch alle bekannten Schwachstellen überprüft. Seit dem Launch arbeiten die verschiedensten Maßnahmen in verschiedenen „Layer of Defence” nun miteinander, um die Sicherheit der Daten zu gewährleisten. Diese und weitere Sicherheitsvorkehrungen machen cara28 zu einem äußerst robusten Tool, auch wenn natürlich niemand einen hundertprozentigen Schutz vor Hacker-Angriffen garantieren kann.
Hinweis: Die Mediengruppe Ippen, zu der auch IPPEN.MEDIA gehört, ist ebenfalls an caralegal beteiligt.
Rubriklistenbild: © caralegal