Gläserner Mensch? Am Compliance Solutions Day 2017 analysierten Profis den Trend zu Big Data in der Compliance – und die möglichen Probleme für Ethik und Datenschutz.
So widmeten sich Spezialisten wie Jörg Fuchslueger (BIConcepts IT Consulting) und Wirtschaftsanwalt Michael M. Pachinger (SCWP Schindhelm) dem Thema Datenanalysen & Interne Untersuchungen, Datenschutz-Überlegungen und DSGVO.
Technische Möglichkeiten erlauben immer tiefergehende Analysen und können so einen aktiven Beitrag zur Abschätzung von Compliance-Risiken leisen, heißt es. Die Technik ermögliche zunehmend die permanente Überwachung von Prozessen, aber auch von Mitarbeitern, Firmen und Personen.
Vom neuen Datenraum…
IT-Spezialist Fuchslueger widmete sich dem Thema zunächst aus forensischer Sicht: Für die Rechtsprofis sei es doch angenehm, wenn sein Unternehmen (ein IBM-Partner) einen mit beschlagnahmten Notebooks, Aktenbergen, Server-Festplatten etc. gefüllten Datenraum in eine strukturierte – und automatisiert durchsuchbare – Datensammlung verwandle.
Denn darum geht es im Kern: Unstrukturierte Textinformationen, also roher Input, von E-Mail bis zu kompletten Laptop-Festplatteninhalten oder gar einem 2 Terabyte-Datenträger werden strukturiert und analysiert.
Dabei setzt Fuchslueger auf seine hausinternen Lösungen, die sich die IBM-Techologie zunutze machen: Der große Partner nennt Hightech-Anwendungen wie Watson nicht KI sondern „Augmented Reality“.
Natural language understanding, visual data recognition (Bildverarbeitung) etc. sind dabei häufig fallende Schlagworte. Die durchaus nahen Praxisbezug haben, so Fuchslueger: Kann ein Chatbot dadurch vielleicht einmal Antwort auf Compliance-Fragen der Mitarbeiter geben?
Zunächst beschreibt der Spezialist aber den Einsatz seiner Lösungen in Internal Investigations. Tausende Akten, E-Mails, Dokumente etc. kommen in einen Datenraum. Dieser ist dann nicht mehr nur sicher, sondern auch analysierbar. Die Schritte dazu sind:
- Data Preparation
- Crawling
- Parsing
- Indexing
Oder, um es auf den Punkt zu bringen: Einige hundert beschlagnahmte Notebooks gehen rein, am Ende steht eine durchsuchbare und visualisierbare Datenbank der Inhalte, die „mit einem benutzerfreundlichen Web-Interface für Juristen“ (wie Fuchslueger es ausdrückt) bequem verwendbar sein soll. Eine solche Datenbank kann abgefragt und gefiltert werden.
Ein theoretischer Beispielfall sieht so aus:
- Nach dem Verdacht auf Kartellabsprachen werden 5 Millionen E-Mails eines Unternehmens im Datenbestand gesammelt.
- 5000 E-Mails enthalten nähere Angaben oder stehen zumindest im engeren Zusammenhang mit den Preisen der Produkte, um die es den (internen) Kartelljägern geht.
- Es folgt eine „Big Data Analyse“ zu auffälligen Verbindungen. Z.B. wird nach unerwarteten Verbindungen gesucht, also Kontakten mit ungewöhnlichen Personen, mit denen die Preise diskutiert werden.
- Visualisierung dieser Verbindungen, Auffinden weiterer möglicher Kriterien, Suche nach weiteren Verbindungen.
- Verknüpfung der gefundenen Verbindungen mit externen Quellen wie Suchmaschinen, Social Media, etc. So können die Ermittler feststellen, ob Personen beispielsweise verwandt oder befreundet sind, früher Kollegen waren, im gleichen Sportklub Mitglied sind usw.
Hier wird es manchen vielleicht schon unheimlich, sagt Fuchslueger – dem es vor allem um die Schilderung des technisch bereits Möglichkeiten geht, der aber beim Compliance Solutions Day auch klare Worte zu den moralischen und rechtlichen Implikationen findet: „Das Thema Gläserner Mensch liegt auf dem Tisch.“ Er sei froh, dass dieses Faktum in der Öffentlichkeit inzwischen erkannt wurde und auch die Diskussion darum – die zu führen sei – begonnen habe.
Im Nachhinein oder permanent?
Die Diskussion wird Insbesondere dann relevant, wenn die Praxis noch einen weiteren, naheliegenden Schritt setzt, hieß es unter den Profis am Compliance Solutions Day 2017: Von der forenischen Analyse hin zur Prävention oder Echtzeit-Überwachung. Denn warum sollten Unternehmen ein solches Analysetool nicht einfach auf bestehenden Systemen implementieren, z.B. auf E-Mail- und sonstigen Unternehmensservern?
Ein solches System könnte sich beispielsweise dann automatisch melden, wenn ein Mitarbeiter eine aus Compliance-Sicht gefährliche Jagd-Einladung bekommt, und ihm mitteilen: Tu das lieber nicht, nach meinen Parametern sieht gefährlich aus! Und eine Meldung an die Compliance-Abteilung wäre dann wohl auch gleich inkludiert.
Natürlich sind die Implikationen gravierend. Schon die Grundhaltung ändert sich ja: Während es bei der forensischen Analyse um die Aufklärung (potenzieller) Straftaten geht, stellt die Echtzeit-Überwachung sozusagen jeden Kollegen unter Generalverdacht.
Und dann kommunizieren Mitarbeiter ja nicht nur untereinander: Wie sieht es beispielsweise rechtlich aus, wenn eine solche Compliance-KI künftig bei jedem E-Mail eines Lieferanten warnt, nur weil dieser in der Vergangenheit zu häufig zu Jagden eingeladen hat? Und bei einem Mail vom Bruder des Lieferanten? Von allen Mitgliedern des betreffenden Sportklubs?
An Ingredienzien für eine spannende Diskussion mangelt es also nicht. Doch IT-Experte Fuchslueger sieht dadurch auch jenseits seiner Branche viele Jobs entstehen: Das technisch Mögliche rechtskonform umzusetzen, das sind aus seiner Sicht die Jobs der Zukunft für Wirtschaftsjuristen.
Möglich und gefährlich
Wirtschaftsanwalt Michael Pachinger sieht im Trend zu Big Data insbesondere auch wegen der nahenden EU-Datenschutzverordnung DSGVO mit ihren potenziellen Strafen bis 20 Millionen Euro sowohl Möglichkeiten wie Gefahren für die Unternehmen.
Pachinger, der im Verlag LexisNexis mit dem Handbuch „Datenschutz-Audit“ praktische Problemstellungen und Lösungen durch die DSGVO schildert, bringt das Problem so auf den Punkt: „Sie müssen erklären was Sie tun.“
Ein Unternehmen darf in Sachen Datenschutz keine Black Box sein, warnten die Rechtsprofis vor Ort. Die drohenden hohen Strafen durch die DSGVO sind Realität – aber dabei auch die Privilegierungen zu beachten, so Pachinger: Wer sich an die vorgeschriebene Sorgfaltspflicht usw. hält, der hat im Fall des Falles viel geringere Strafen zu gewärtigen als Unternehmen, die sich trotz DSGVO datenschutzrechtlich im Blindflug bewegen.
Der DSGVO geht es um personenbezogene Daten: Dazu können auch pseudonymisierte Daten gehören -wenn Individuuen also anhand der über sie gesammelten Daten potenziell identifizierbar sind, auch wenn sie gar nicht unter ihrem echten Namen (Nickname statt Klarname, etc.) auftreten.
Wichtig ist die Folgenabschätzung, so Pachinger: Gerade beim Profiling geht es um die gebotene Sorgfaltspflicht und auch um Folgenabschätzung: Was könnte passieren? Je automatisierter und je persönlicher die gesammelten und ausgewerteten Daten, desto gefährlicher ist die Datenverarbeitung aus DSGVO-Sicht.
Und daher, so Pachinger, stellt sich in diesem Zusammenhang eine wichtige Frage: Verwendet ein Mensch die Tools nur als Hilfe – oder lässt man sie automatisch entscheiden?
Link: Compliance Solutions Day
