KI und Datenschutzcompliance: Ein Gespräch mit Dr. Natalie Ségur-Cabanac
Dr. Natalie Ségur-Cabanac ist Datenschutzbeauftragte bei Magenta. Wir sprechen darüber, wie durch KI-Anwendungen ganz neue Herausforderungen auf das Datenschutz-Management zukommen und warum man dennoch die allzumenschlichen Fehler nicht außer Acht lassen darf.
Business Circle: Sehr geehrte Frau Dr. Ségur-Cabanac, eingangs etwas Persönliches: Sie sind im Vorstand der ISPA, der Internet Service Providers Austria, wenn Sie uns kurz beschreiben möchten, was die Aufgaben des Verbandes sind?
Natalie Ségur-Cabanac: Ich bin als Datenschutzbeauftragte der T Mobile Austria (Magenta), einem der größten Österreichischen Telekommunikationsunternehmen tätig.
Seit einigen Jahren engagiere ich mich als Vorständin in der ISPA. Die ISPA ist ein freiwilliger Interessensverband der österreichischen Internetbranche. Wir haben mehr als 200 Mitglieder aus allen Bereichen des Internets (Internetserviceprovider, Contentanbieter, Plattformen, Hersteller etc). Wir stellen unseren Mitgliedern Expertise und Know-how - auch in rechtlichen Belangen - zur Verfügung, erarbeiten in Arbeitsgruppen beispielsweise Stellungnahmen zu relevanten Gesetzesentwürfen oder Mustervorlagen für Allgemeine Geschäftsbedingungen oder Sicherheitskonzepte und bieten unseren Mitgliedern kostenlose Weiterbildung im Rahmen der ISPA Academy an. Wir beobachten und beteiligen uns uns an nationalen und europäischen Entwicklungen rund um das Internet, insbesondere rund um Telekommunikationsregulierungsagenden und verwandten Regularien. Unserer gesellschaftspolitischen Verantwortung kommen wir beispielsweise mit der von uns gegründeten Stopline (Meldestelle gegen sexuelle Missbrauchsdarstellungen Minderjähriger und nationalsozialistische Wiederbetätigung im Internet) oder durch gratis Informationsmaterial zur Förderung der Online-Medienkompetenz vor allem für Kinder und Jugendliche nach
BC: In unserem letzten Interview ging es mit der Lieferkettenrichtlinie eher um ein ESG-Thema. Wie können KI-gestützte Systeme dazu beitragen, ESG-Ziele im Unternehmen besser zu verwirklichen?
Ségur-Cabanac: Der Bereich ESG ist sicher einer der Bereiche, wo KI am ehesten eingesetzt wird. Ich gehe davon aus, dass gerade in diesem Bereich sehr viel in die Forschung in KI investiert werden wird. KI kann helfen, den Klimawandel besser zu verstehen, soziale Ungleichheiten zu erkennen und in der Lieferkettenregulierung unterstützend eingesetzt werden.
BC: Wie gestaltet man im Fall eines Data Breach das Schnittstellenmanagement zwischen Datenschutz, Compliance, Rechtsabteilung und PR, also der Kommunikation nach außen und zu den Stakeholdern? Welche Rolle sollte das Management Board dabei einnehmen?
Ségur-Cabanac: Zunächst ist es sehr wichtig, dass alle beteiligten Personen einen Vorfall als Data Breach einordnen und erkennen können. Dafür sind Schulungs- und Awarenestrainingmaßnahmen essentiell. Im Fall eines tatsächlichen Data Breaches ist es wichtig, dass rasch die notwendigen Informationen aufbereitet werden. Rasch deshalb, weil es sehr enge Fristen für die Meldungen an die Datenschutzbehörde gibt. Im Telekommunikationssektor gelten hier sogar nur 24 Stunden für eine Erstmeldung (gem DSGVO gelten 72 Stunden).Es ist also wichtig, dass der Sachverhalt klar ist, damit eine Meldung erstattet werden kann. Im Konzern der Deutschen Telekom, zu dem Magenta Österreich gehört, ist es Aufgabe der Datenschutzbeauftragten, die Meldung zu übermitteln. Datenschutz hat viel mit Vertrauen zu tun. Passiert etwas mit den Daten, passiert auch etwas mit dem Vertrauen. Dieses Vertrauen kann massiv erschüttert werden und das wiederum kann eine Auswirkung auf die Reputation eines Unternehmens haben. Es ist daher wichtig, den Fall Data Breach und deren Auswirkungen in die allgemeine Krisenkommunikationsvorbereitung mit aufzunehmen und konkrete Kommunikationsvorschläge bereits vorab zu erarbeiten, auf die dann zurückgegriffen werden kann. Aus meiner Erfahrung ist es wichtig, gegenüber den Betroffenen, aber auch gegenüber anderen Stakeholdern (wie Aktionären, Eigentümern, Öffentlichkeit) ehrlich und transparent zu kommunizieren. Bei einem Data Breach ist also ein interdisziplinäres Krisenmanagement notwendig, bei dem neben Datenschutzbeauftragten, Rechtsabteilung und Kommunikation auch das Management involviert sein sollten. Letztlich trägt das Management die Verantwortung und sollte auch im driving seat sitzen, wenn es um das Krisenmanagement geht.
BC: Was wird Ihrer Meinung nach in den nächsten Jahren die größte Herausforderung im Bereich Datenschutz und KI im Telekommunikationssektor sein?
Ségur-Cabanac: Wir haben im Telekommunikationssektor neben der DSGVO auch noch ein sektorspezifisches Datenschutzrecht, das auf der ePrivacy Richtlinie beruht, die aus dem Jahr 2002 stammt. Verhandlungen zu einer neuen ePrivacy Verordnung sind bis dato auf europäischer Ebene gescheitert. Es wäre hilfreich, wenn wir bereits jetzt eine neue ePrivacy hätten, die sich an die DSGVO und nicht an die vorherige Datenschutzrichtlinie anlehnt. Wenn nun KI Anwendungen im TK Sektor rechtlich zu beurteilen sind, wird die Spannung zwischen DSGVO und Telekommunikationsdatenschutzrecht für Anwender noch größer. Daneben beruhen Telekommunikationsnetze auf weltweiten Standards, die sicher stellen, dass Netzwerke nach den jeweiligen Vorgaben aufgebaut und operiert werden und auch über die Netzgrenzen hinweg funktionieren können. Es wird notwendig sein, dass die entsprechenden Gremien (zB 3GPP, ETSI, GSMA) Künstliche Intelligenz in die Standards mit aufnehmen und auch wie bisher die Interoperabilität von solchen neuen Anwendungen sicher stellen. Wie andere Branchen auch, müssen sich Telekommuniaktionsanbieter mit dem Thema KI intensiv auf strategischer Ebene beschäftigen und überlegen, inwiefern KI das eigene Business innovativer, effizienter machen kann und wo sie am Besten eingesetzt werden kann.
„Schulen, schulen, schulen!“
BC: Dem Pareto-Prinzip folgend: Was sind die wichtigsten Aufgaben, die jeder Datenschutzbeauftragte im zuerst erledigen sollte, um die größten Risiken abzudecken?
Ségur-Cabanac: Zunächst einmal ist es mir wichtig, zu sagen, dass die Rolle eines/r Datenschutzbeauftragten von der DSGVO in Art 37 ff klar definiert ist und die Verantwortung für die Einhaltung des Datenschutzes gerade nicht bei/m Datenschutzbeauftragten liegt. Das Risiko der Compliance mit dem Datenschutzrecht liegt beim Verantwortlichen, das sind das Unternehmen, das Management und letztlich bei allen, die dort arbeiten und mitwirken.
Wenn es um die Frage nach „Abdeckung des Risikos“ geht, so verstehe ich die Frage also dahingehend, dass die/der Datenschutzbeauftragte im Unternehmen zunächst für das Wissen rund um Datenschutz und die konkreten Anforderungen daraus sorgen muss. Das geht am Besten durch schulen, schulen, schulen. Datenschutzbeauftragte sind gut beraten, sich mit der Arbeitsweise im Unternehmen vertraut zu machen und sich diese Arbeitsweise auch für die Umsetzung eines Datenschutzmanagementsystems zu eigen zu machen. Arbeitet zum Beispiel ein Unternehmen mit agilen Methoden, so sollte auch die Datenschutzorganisation entsprechend agil agieren. Ich erstelle für Themen, die immer wieder gefragt werden oder die ich selbst immer parat haben möchte, Checklisten und zentrale Informations- und Wissensspeicher, auf die alle jederzeit zugreifen können. So reduziere ich meinen Aufwand und ermögliche meinen Kolleginnen und Kollegen, selbst viele Aspekte selbst und eigenverantwortlich wahrzunehmen und umzusetzen. So arbeitet auch die Awareness für das Thema Datenschutz quasi von selbst.
BC: Welche Maßnahmen haben Sie ergriffen, im Themenkomplex Datenschutz und KI das Team des ganzen Unternehmens mit ins Boot zu holen und die entsprechende Awareness zu schaffen?
Ségur-Cabanac: Ich werde aktuell zu eigenen Schulungen eingeladen, in denen Kolleginnen und Kollegen für die Nutzung von KI Tools vorbereitet und eingeführt werden sollen. Daneben informiere ich transparent über Intranet und andere Collaboration Tools über die Themen an der Schnittstelle KI und Datenschutz und lerne selbst mit den Teams jeden Tag dazu. Ich bin überzeugt davon, dass in dieser Zeit von massivem Umbruch und Wandel eine gemeinsame Herangehensweise und Arbeit im interdisziplinären Team ein Schlüssel liegt, um alle die Themen, die zu berücksichtigen sind, zu erfassen und in der Praxis die besten und rechtssicheren Lösungen für das Unternehmen zu finden.
BC: Nachdem wir über Datenschutz in Zeiten künstliche Intelligenz gesprochen haben, möchte ich zum Schluss noch die Frage stellen, wie man als Datenschutzleiterin mit menschlicher (Nicht-)Intelligenz umgeht, wenn zum Beispiel gedruckte Unterlagen mit sensiblem Daten aus Bequemlichkeit nicht im Reißwolf, sondern im normalen Altpapier landen oder Emails vertraulichen Inhalts aus Versehen fehlgeitet werden?
Ségur-Cabanac: Ich bin schon einige Jahre als Datenschutzbeauftragte tätig und habe auch schon einige von den angesprochenen Themen gesehen und erlebt. Mir ist bewußt, dass, wo Menschen arbeiten, auch Fehler passieren können. Dennoch erwarte ich schon eine gewisse grundsätzliche Sorgfalt mit dem Umgang von personenbezogenen und sonstigen heiklen Informationen. Das hat oft mehr mit Hausverstand als mit Rechtsverstand zu tun. Wenn etwas passiert, ist es wichtig, rasch zu verstehen, was wem passiert ist, ob Meldepflichten bestehen und wie mit dem Vorfall umgegangen werden muss. Eine Bewertung des Verhaltens oder der Person, der etwas passiert ist, liegt mir persönlich fern, das steht mir als Datenschutzbeauftragte meines Erachtens nicht zu. Wenn Leute Bewertung erleben oder fürchten, dann führt das dazu, dass solche Vorfälle eher nicht kommuniziert werden, eigene Lösungen zu Kompensation eines Fehlers versucht werden und damit eigentlich alles noch komplizierter wird. Ich denke, es ist wichtig, dass die Leute offen und transparent einen Vorfall, selbst wenn es ein eigener Fehler war, kommunizieren können, ohne persönliche Konsequenzen befürchten zu müssen. Ab und zu braucht es schon eine Nachschulung oder sogar eine Ermahnung (insbesondere in besonders schlampigen Fällen), aber meist verstehen die Leute das auch. Sollte ein Data Breach mit Vorsatz begangen worden sein, sind natürlich schon andere Konsequenzen wegen Verletzung des Datengeheimnisses zu erwarten, die aber außerhalb meines Bereichs liegen.
BC: Liebe Frau Dr. Ségur-Cabanac, wir danken Ihnen für dieses Gespräch und freuen uns, Sie wieder bei uns zu begrüßen!
Dr. Natalie Ségur-Cabanac ist Datenschutzbeauftragte bei Magenta. Sie hat 20 Jahre Erfahrung als Juristin und Expertin für Datenschutz, Regulierung und Compliance im Telekommunikationssektor. Sie ist Vorständin der ISPA. Im Rahmen der PriSec ist sie am 14. Oktober 2024 Gastgeberin eines Workshops zum Thema „KI und Auswirkungen auf Datenschutzcompliance im Unternehmensalltag“