Compliant Programming

Wenn man das Glück hat, als Jurist frühzeitig in die Entwicklung eines Produkts eingebunden zu sein, hat man die Möglichkeit, Konzepte vor ihrer Implementierung in rechtskonforme Bahnen zu lenken. Kommen dazu noch die räumliche Nähe zum Team sowie das Entstehen eines KI-Systems, zieht man sogar neidische Blicke des Chief Technology Officers auf sich. Und so wird man dann ein in die Entwicklungsmannschaft eingegliederter Embedded Lawyer inmitten von Data Scientists und Software Engineers, die ein KI-System entwickeln, das Rechnungswesenprozesse automatisiert. Es sollen für ausgewählte Buchungsvorfälle auf der Basis digitaler Rechnungen und anderer geeigneter Belege Buchungsvorschläge erstellt werden. Diese werden dann im KI-System Automatisierungsservices Rechnungswesen verarbeitet.

Early Bird Consulting

Bei DATEV wird frühzeitig juristischer Sachverstand in den agilen Entwicklungsprozess eingebunden. Ein Embedded Lawyer verfügt auch über Produkt-Know-how und Kenntnisse agiler Projektorganisation. Er begleitet die agilen Teams bereits ab der ersten Produktidee bei allen sich ergebenden rechtlichen Fragestellungen. Die zentrale Problemstellung bei der Schaffung von Compliance by Design in Bezug auf agil entstehende Produktkonzepte ist der Umgang mit beweglichen Zielen, den Moving Targets. Der Sachverhalt, der rechtlich zu bewerten ist, ändert sich im Laufe der Entwicklung permanent. Immens wichtig ist deshalb der Dialog mit allen am Entwicklungsprozess Beteiligten, also Software Engineers und Business-Analysten. Nur so bekommt man die aktuellen Legal Impediments mit. Im agilen Projektmanagement wird ein Impediment als Störung verstanden, die während der Arbeit auftritt und Teams oder einzelne Teammitglieder bei der Erledigung von Tätigkeiten einschränkt. Wichtig ist auch, Verständnis für rechtliche Implikationen zu schaffen, indem man beispielsweise erklärt, was im konkreten Fall alles unter personenbezogene Daten fällt und warum einige davon besonders schutzwürdig sind. Es gilt nun, herauszufinden, welche Daten für den Bau und den Betrieb eines KI-Systems benötigt werden. Zudem muss die technische Analyseplattform durch die juristische Brille begutachtet werden. Besonders wichtig in diesem Zusammenhang ist es,

• die Akteure, ihre Vertragsbeziehungen und (datenschutz-)rechtlichen Rollen festzulegen,
• die ermittelten Informationen in Form von technischen und rechtlichen Prämissen nachhaltig zu dokumentieren und
• ein breites Commitment zu erzielen.

Sehr hilfreich ist hierbei die frühzeitige Einbindung von Vertretern der Rechtsabteilung sowie der Abteilung Datenschutz.

Data Protection by Design

Doch nun zurück ins Data-Science-Team. Für ihre Arbeit benötigen Data Scientists nach eigener Aussage erst einmal viele Daten beziehungsweise so viele Daten wie nur möglich. Diesen enormen Datenhunger gilt es, nun mit rechtskonformen Mitteln zu stillen oder entsprechend zu reduzieren. Zum Start der Beratung befand sich die Datenschutz-Grundverordnung (DS-GVO) noch im Gesetzgebungsverfahren. Erste Analysen erfolgten daher zweigleisig in Bezug auf die zum damaligen Zeitpunkt noch gültige Fassung des Bundesdatenschutzgesetzes (BDSG) sowie der neuen DS-GVO. Zu allem Überfluss existierte noch keine beziehungsweise wenig Fachliteratur, um die neuen Datenschutzregularien auszulegen, und auch Gerichtsentscheidungen waren noch nicht absehbar.

Rechtliches Legitimationskonzept

Das bedeutet, ein rechtlich absolut belastbares Legitimationskonzept muss her. In der juristischen Ausbildung wird die Herangehensweise an ähnliche Problemstellungen mit sogenannten W-Fragen gelehrt: Welcher Data Scientist benötigt wo welche Daten in welcher Phase zu welcher Datenverarbeitung? Das Fundament des rechtlichen Legitimationskonzepts bildet die Einteilung des Betriebs eines KI-Systems in folgende Phasen: Basierend auf sogenannten Proof of Concepts, etwa zur Evaluierung von Data-Science-Plattformen, werden KI-Modelle, also die technische Beschreibung der gelernten Zusammenhänge und die Anleitung zur Anwendung auf neue Daten, entwickelt. Diese Modelle müssen durch fortlaufendes Training weiterentwickelt werden. Je nach Phase ist herauszuarbeiten, welche Daten unbedingt verarbeitet werden müssen, um das Entwicklungsziel zu erreichen (Grundsatz der Datenminimierung). Danach ist zu klären, wer Verantwortlicher in datenschutzrechtlicher Hinsicht ist. Im hier dargestellten Kontext sind das die DATEV-Mitglieder. Sie wenden die Automatisierungsservices Rechnungswesen an, und DATEV hat dabei die Rolle eines Auftragnehmers. Daher sind die wertvollen Rohstoffe der Data-Scientisten als Auftragsdaten zu deklarieren. Doch müssen es unbedingt personenbezogene Daten sein? Diese Frage ist mit den Datenverarbeitern zu klären. Stellt sich heraus, dass für die Entwicklung von KI-Modellen im Bereich der Automatisierungsservices Rechnungswesen alle Informationen benötigt werden, die in den bereitgestellten Belegen der Anwender enthalten sind, führt dies zu entscheidenden rechtlichen Implikationen. Sofern die Daten nicht nur je mit den Automatisierungsservices genutztem Buchführungsbestand, sondern übergreifend analysiert werden, sind hohe Anforderungen an die Legitimation der Datenverarbeitungen zu stellen.

Unterstützung durch externe Berater

Der Embedded Lawyer hat dabei die Aufgabe, sowohl die juristischen Stabsstellen bei DATEV als auch externe Berater bei der Gestaltung einer rechtskonformen Entwicklung der KI-Anwendung zu orchestrieren sowie mit allen notwendigen Informationen zu versorgen. Bereits Mitte 2017 wurde daher Prof. Dr. Joachim Schrey von der Kanzlei Noerr mit der externen juristischen Begleitung des Projekts betraut. Denn neben dem juristischen Blick direkt aus der Entwicklung und der Perspektive aus den Stabsstellen wie der Rechtsabteilung ist auch eine neutrale Expertise unumgänglich, wenn juristisches Neuland beschritten werden soll. Basierend auf zuvor festgelegten technischen und rechtlichen Prämissen war der rechtlich zu bewertende Sachverhalt in gemeinsamen Runden soweit zu schärfen, bis alle Beteiligten ein gemeinsames Verständnis entwickelt hatten. Von zentraler Bedeutung waren dabei die datenschutzrechtlichen Analysen der technischen Systeme und Produktkonzepte. Auch so manche Sprachbarriere zwischen den technischen und rechtlichen Fachleuten musste hierbei überwunden werden. Auf der Basis dieser aufwendigen Schritte konnte eine rechtliche Legitimation erarbeitet werden, die Eingang in die Vereinbarungen mit den Kunden finden sollte, um zu einem durchgängig rechtlich belastbaren Vertragskonzept zu gelangen. Der Idealfall ist ein Rückgriff auf bereits bestehende Verträge der DATEV-Mitglieder. Alternativ müssen zusätzliche Vereinbarungen getroffen werden. Sind die Legitimationstatbestände geklärt, schließt sich eine vollständige Dokumentation der Verarbeitungsvorgänge und Datenflüsse an. Ein ausgefeiltes – nach Zonen des KI-Systems gegliedertes – Löschkonzept darf hierbei nicht fehlen. DATEV entwickelt rechtssichere Software-Lösungen, weshalb auch die wesentlichen Bestandteile einer Datenschutz-Folgenabschätzung vorbereitet werden mussten. Auch hier beschritt man als einer der ersten Software-Anbieter in Deutschland datenschutzrechtliches Neuland. Die Anwender von Automatisierungsservices Rechnungswesen werden so bei der Durchführung einer gegebenenfalls für sie im jeweiligen Kontext erforderlichen Datenschutz-Folgenabschätzung unterstützt.

Datenschutz-Folgenabschätzung

Schließlich besteht beim Einsatz der Automatisierungsservices Rechnungswesen voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen, dies insbesondere wegen der umfangreichen Verarbeitung von berufsrechtlich geschützten Daten – auch besondere Kategorien personenbezogener Daten im Sinne von Art. 9 Abs. 1 DS-GVO – sowie der Zusammenführung von Datensätzen verschiedener für die Datenverarbeitung Verantwortlicher. Bei der Vorbereitung, Durchführung sowie Umsetzung der Datenschutz-Folgenabschätzung wurden die Anforderungen der ISO/IEC 29134 wirksam umgesetzt. Neben Konsultationen interessierter Parteien wurde der Risikoprozess vollständig durchlaufen, wobei ein Verfahren eingesetzt wurde, das auf der Website des Bayerischen Landesamts für Datenschutzaufsicht beschrieben wird. Es wurde nachvollziehbar dargelegt, dass die Automatisierungsservices Rechnungswesen kein hohes Datenschutzrisiko zur Folge haben. Weiter wurde nachvollziehbar begründet, dass die bereits wirksam umgesetzten sowie regelmäßig überprüften Maßnahmen der DATEV zur Risikobehandlung als angemessen erscheinen, um ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen ausschließen zu können. Wie man sieht, nehmen datenschutzrechtliche Fragestellungen im Kontext der Entwicklung von KI-Systemen einen großen Teil des Beratungsportfolios eines Embedded Lawyers ein. Weitere Rechtsfragen werden erst einschlägig, wenn die Automatisierungsservices Rechnungswesen einen höheren Automatisierungsgrad erreichen. Die Juristen bei DATEV haben diese stets gemeinsam im Blick.

Blick über den Domänen-Tellerrand

Aus der Zusammenarbeit mit der Rechtsabteilung sowie der Datenschutzabteilung entstand bei DATEV – zunächst informell – eine DevJur-Community, die nach und nach um weitere Embedded Lawyers sowie Vertreter des Strategiebereichs erweitert wurde. DevJur beschreibt einen Ansatz zur Prozessverbesserung in der Software-Entwicklung und Rechtsberatung. DevJur ist ein Kunstwort aus den Begriffen Development (englisch für Entwicklung) und Juristen. Im Rahmen regelmäßiger Treffen der DevJur-Community mit Informationsaustausch und gemeinsamer juristischer Analyse/Bewertung etwa von Fragen aus den Entwicklungsteams wird eine effektivere und effizientere Zusammenarbeit der bei DATEV mit rechtlichen Themen befassten Bereiche ermöglicht. Bestandteil eines gemeinsamen Monitorings sind unter anderem die vielfältigen (inter)nationalen, politischen und regulatorischen Initiativen, um Vertrauen der Anwender von KISystemen zu schaffen. Doch wie bringt man nun diese rechtlichen Insights geschäftsfeld- und produktübergreifend in den Maschinenraum der Produktentwicklung. Jeder Embedded Lawyer könnte nun zurück in sein jeweiliges Geschäftsfeld und dort isoliert beraten. Das immer komplexer werdende Umfeld sowie der Change von On-Premises- hin zu Cloud-Anwendungen lässt aber die Domänengrenzen schwinden.

Legal Transformation

Im Zuge der digitalen Transformation der DATEV wurden deshalb die Embedded Lawyers aus den verschiedenen Geschäftsfeldern in einem neuen Team Rechtliche Produktunterstützung organisiert. Sie beraten – als Teil der Rechtsabteilung – gemeinsam mit den Spezialisten der bei DATEV etablierten Rechtsabteilung – teilweise in kurzfristig organisierten disziplinübergreifenden Teams – die immer komplexer werdenden Projekte und Produktentwicklungen.