Data Governance über die DSGVO hinaus für Rechtsabteilungen

Von Dr. Nadine Lilienthal, Head of Legal Expertise & Alliances DACH, DiliTrust

Seit Jahren wird die Diskussion über die Datensicherheit in Europa von einem Akronym beherrscht: DSGVO. DSGVO-Konformität war das Maß aller Dinge: Wenn personenbezogene Daten rechtmäßig verarbeitet, innerhalb der EU gespeichert und durch geeignete technische und organisatorische Maßnahmen geschützt wurden, sahen viele Unternehmen ihre Aufgabe als erfüllt an.

Diese Denkweise ist nicht mehr ausreichend. Data Governance über die DSGVO hinaus zu einer zentralen Priorität für Rechtsabteilungen. In den führenden Rechtsabteilungen von heute entwickelt sich die Datensicherheit von einem Kontrollkästchen für die Compliance zu einer vielschichtigen Governance-Disziplin. Sie reicht weit über die DSGVO hinaus und erstreckt sich auf operative Resilienz, den Schutz von Geschäftsgeheimnissen, Zugriffsarchitektur und die strategischen Implikationen von KI-generierten Inhalten.

Legal Tech ist nicht länger ein operatives Upgrade. Sondern eine strategische Säule beim Aufbau eines Governance-Rahmenwerks, das Unternehmensdaten schützt, Verantwortlichkeit stärkt und systemische Risiken mindert. Gleichzeitig kann eine ganzheitliche Datensicherheitsstrategie über Legal Tech allein hinausgehen.

Datensicherheit ist nicht nur Datenschutz

Zusätzlich zu den DSGVO-Bedenken sehen sich moderne europäische Rechtsabteilungen zunehmend mit drei weiteren Aspekten konfrontiert, die mit der Einhaltung des Datenschutzes einhergehen:

Operative Resilienz und Prävention von Datenverlusten
Schutz hochsensibler Unternehmensinformationen
Interne Zugriffssteuerung und Minderung menschlicher Risiken

Diese Dimensionen überschneiden sich. Und sie sind jetzt ein Anliegen auf Vorstandsebene.

1. Schutz vor Datenverlust: Das übersehene Risiko

Wenn Rechtsabteilungen digitale Tools bewerten, konzentrieren sie sich häufig auf die Funktionalität: Vertragsautomatisierung, Entity Management, Boardportale, Compliance-Workflows..

Doch eine der grundlegendsten Fragen wird selten als erste gestellt:

Was passiert, wenn die Daten verloren gehen?

Echte Datensicherheit erfordert zum Beispiel:

Zuverlässige und tägliche Backups des gesamten Systems
Sicherungskopien an einem separaten, sicheren zweiten Speicherort
Redundante Infrastruktur zur Sicherstellung der Servicekontinuität
Eine sekundäre Umgebung, die nach schwerwiegenden Vorfällen für die Wiederherstellung des Betriebs zur Verfügung steht

Für Rechtsabteilungen sind die Folgen von Datenverlusten existenziell. Der Verlust von Boardprotokollen, Aktionärsbeschlüssen, behördlichen Anträgen oder Vertragsarchiven ist nicht nur unangenehm, sondern kann auch die Unternehmensführung, die Verteidigung bei Rechtsstreitigkeiten und das Ansehen bei den Behörden gefährden. Legal Tech Plattformen müssen daher nicht nur nach ihren Funktionen, sondern auch nach ihrer Ausfallsicherheitsarchitektur bewertet werden. In Zeiten von Cyberangriffen und Ransomware ist die Wiederherstellungsfähigkeit ein wichtiger Aspekt der Unternehmensführung.

2. Geschäftsgeheimnisse und hochsensible Unternehmensinformationen

Nicht alle Daten sind gleich. Einige Informationskategorien wie Vorstandsbeschlüsse, interne Untersuchungen oder wichtige Geschäftsgeheimnisse müssen möglicherweise stärker geschützt werden.

Verantwortliche in Rechtsabteilungen müssen Fragen stellen, wie:

Gibt es Inhaltskategorien, die nicht in allgemeinen Cloud-Umgebungen gespeichert werden sollten?
Erfordern bestimmte Dokumente dedizierte Umgebungen oder sogar internes Hosting?
Wird Verschlüsselung sowohl im Ruhezustand als auch bei der Übertragung angewendet?

Der Schutz von Geschäftsgeheimnissen gemäß der EU-Richtlinie über Geschäftsgeheimnisse und den nationalen Umsetzungen fügt eine weitere Dimension hinzu. Nach der EU-Geschäftsgeheimnisrichtlinie und den entsprechenden nationalen Gesetzen müssen Organisationen nachweisen, dass angemessene technische und organisatorische Maßnahmen zum Schutz vertraulicher Informationen umgesetzt wurden, um in den Genuss des rechtlichen Schutzes zu kommen. In diesem Zusammenhang wird die Technologiearchitektur Teil der rechtlichen Verteidigungsfähigkeit. Die relevante Frage ist nicht mehr, ob eine Plattform lediglich bequem ist, sondern ob sie die Fähigkeit einer Organisation stärkt, eine wirksame Kontrolle, einen eingeschränkten Zugang, Rückverfolgbarkeit und Schutz ihrer sensibelsten Informationen nachzuweisen.

3. Der menschliche Faktor: Access Governance als Risikomanagement

Die Hauptursache für Datenlecks ist nicht ein Hacker. Es ist ein Mensch. Dies ist kein moralisches Urteil, sondern strukturelle Realität: Mitarbeiter leiten Dokumente weiter. Berechtigungen werden zu großzügig vergeben. Zugriffsrechte bleiben noch lange nach einem Rollenwechsel aktiv. In gemeinsam genutzten Ordnern sammeln sich unkontrollierte Kopien an. Aus Sicht der Unternehmensführung ist der einfachste Grundsatz zur Risikominderung der folgende: Wenn jemand keinen Zugang zu Daten hat, kann er sie auch nicht weitergeben. Moderne rechtliche Datensicherheit erfordert daher:

Granulare rollenbasierte Zugriffskontrolle
Klare Funktionstrennung durch konfigurierbare Berechtigungsstrukturen
Umfassende Audit Trails und Zugriffsprotokollierung
Strukturierter und kontrollierter Rahmen für die Überprüfung von Genehmigungen
Sofortiger Entzug des Zugriffs und Möglichkeit der Rollenanpassung

Die Rechtsabteilungen erkennen zunehmend, dass die Zugangsverwaltung kein IT-Detail ist. Sie ist ein Kernelement der Compliance und der internen Kontrollsysteme. Fragmentierte Tool-Landschaften erschweren dies erheblich. Integrierte Legal-Governance-Plattformen gewinnen gerade deshalb an strategischer Relevanz, weil sie eine zentrale, granulare Kontrolle über Berechtigungen, Rückverfolgbarkeit und Datentransparenz ermöglichen und so den Faktor „menschliches Leck“ eher strukturell als reaktiv reduzieren.

Zusammenfassung

Für moderne General Counsel lautet die Frage nicht nur: „Halten wir die Datenschutzgesetze ein?“ Die nächste Frage lautet: „Ist unsere Datenarchitektur im Rechtsbereich resilient, verteidigungsfähig und strategisch gesteuert?“

Dazu gehört auch die Datensicherheit:

Prävention von Datenverlusten
Schutz sensibler Geschäftsinformationen
Interne Zugriffssteuerung zur Reduzierung menschlicher Risiken

Führungskräfte in der Rechtsabteilung, die Technologie als Infrastruktur behandeln – und nicht als Sammlung isolierter Tools –, werden die Resilienz, Glaubwürdigkeit und das Vertrauen auf Vorstandsebene ihrer Organisation stärken. Die Zukunft von Rechtsabteilungen in Unternehmen wird nicht dadurch bestimmt, wie viele Tools sie nutzen. Sie wird dadurch bestimmt, wie sicher, kohärent und strategisch sie die ihnen anvertrauten Daten verwalten.

Über die DSGVO hinaus: Aufbau resilienter Data-Governance-Ökosysteme

Datensicherheit ist nicht nur Datenschutz

1. Schutz vor Datenverlust: Das übersehene Risiko

2. Geschäftsgeheimnisse und hochsensible Unternehmensinformationen

3. Der menschliche Faktor: Access Governance als Risikomanagement

Zusammenfassung

Demo vereinbaren

SUPPORT

PRODUKTE

RESSOURCEN

Datensicherheit ist nicht nur Datenschutz

1. Schutz vor Datenverlust: Das übersehene Risiko

2. Geschäftsgeheimnisse und hochsensible Unternehmensinformationen

3. Der menschliche Faktor: Access Governance als Risikomanagement

Zusammenfassung

Ähnliche Beiträge

Der vollständige Leitfaden eines Business Associate Agreements: Was Sie über die Einhaltung von BAAs wissen müssen

Legal Hold: Definition, Prozess und Best Practices für Unternehmen

Verteidigen, Nachverfolgen, Dokumentieren: Drei Prinzipien für Rechtsabteilungen in VUCA-Zeiten

Demo vereinbaren