Herzlich willkommen zu einer neuen Episode irgendwas mit Recht. Heute spreche ich aus mehr oder weniger bekannten Räumen zu euch. Ich bin nämlich bei FPS in Frankfurt und wir schließen sozusagen an, an Folge 144 von IMR.

Damals habe ich mit Frau Rosenkötter zum Thema Vergaberecht gesprochen und heute habe ich das große Vergnügen mit Jonas Puchl zu reden. Hallo Jonas.

Hi Marc, grüß dich.

Du machst kein Vergaberecht, du machst?

Ich mache IT-Recht und Datenschutz.

Wie bist denn dazu gekommen?

Mehr oder weniger durch Zufall, würde ich fast sagen. Ich habe in Gießen studiert und hatte während meines Studiums als Schwerpunkt Wirtschaftsrecht, habe dort vor allem Gesellschaftsrecht und Organisationsrechts im Konzern gemacht. Da habe ich mir immer gedacht, ich gehe irgendwann mal in die M&A-Beratung oder ins Gesellschaftsrecht und habe dann in einer mittelständischen, kleineren Kanzlei mit 20 Berufsträgern angefangen und der Partner, dem ich damals zugeordnet war, war auf der einen Seite Notar und auf der anderen Seite Fachanwalt für Gesellschaftsrecht, aber auch für IT-Recht.

Und er war so ein bisschen die, ich sag mal, treibende Kraft dahinter, in einer IT- und Datenschutztruppe in der Kanzlei auszubauen. Er sagte immer, IT-Recht, das ist die Zukunft, brauchen wir, müssen wir machen, müssen wir bedienen. Und ich war sozusagen, ja, sein junger Associate und dann derjenige, der die IT-rechtlichen Themen abgekriegt hat, weil er viel mit seinem Notariat und seinem Notariatsgeschäft natürlich eingebunden war.

Wie bist du denn da hingekommen in diese Kanzlei? Wenn du sagst, also heute bist du bei FPS. FPS ist eine mittlere bis etwas größere Einheit. Und diese kleinere bis mittelständische Kanzlei damals, die hatte wie viele Berufsträger?

Circa 20 waren wir.

Warum hast du dich damals dafür entschieden?

Das war eigentlich eine relativ einfache Entscheidung. Ich war dort während meines Referendariats und habe da schon mitgearbeitet in verschiedenen Dezernaten und hatte deshalb einen sehr guten, ich sage mal, Eindruck, persönlichen Eindruck als auch fachlichen Eindruck und kannte die Kollegen, habe mich mit denen gut verstanden und das hat sich dann so ergeben.

Sie suchten einen jungen Associate, ich sozusagen suchte den Einstieg und das war ein guter Fit. Und jetzt in der Nachschau, ich würde diese Zeit und auch diese Erfahrung überhaupt nicht missen wollen. Ich fand das total super als Einstieg, weil du in einer Kanzlei mit diesem Zuschnitt sehr früh...

Ein dickes Fell dir anlegen kannst, weil du, ich sag mal, als der Jüngste machst du relativ schnell viel Litigation, zivil, Prozessrecht, Zivilrecht, allgemeines Zivilrecht. Du berätst auch jetzt nicht spezialisiert nur in einem Bereich, sondern du hast halt einen breiteren, ich sag mal, Kosmos, breiteren Fächer.

Und ich hab in den ersten Jahren tatsächlich viel Rechtsstreite gemacht. Ich bin durch ganz Deutschland getingelt und hab da, ich sag mal, alles so commercial rauf und runter, würde man das heutzutage nennen, gemacht. Und das war eine sehr tolle Zeit, sehr prägende, sehr lehrreiche Zeit und für mich ein super Einstieg damals.

Und wie bist du auf FPS aufmerksam geworden?

Das ist eine ganz lustige Geschichte. Ich war auf einer Karrieremesse für meinen damaligen Arbeitgeber und wir haben dort insbesondere Praktikanten und Referendare. Das war an der Universität, da wollten wir insbesondere Praktikanten und Referendare aufgabeln.

Und nachdem ich also da meinen Standdienst durch hatte und mit verschiedenen potenziellen Bewerbern gesprochen habe, bin ich dann über die Messe gelaufen und habe da dann den Stand von FPS gesehen und wurde dort auch direkt angesprochen von einer jungen Dame, die mich wahrscheinlich vorher an dem anderen Stand gesehen hatte. Und die sagte dann gleich, wir suchen übrigens einen Anwalt für IT-Recht.

Und so hat sich das dann ergeben. Ich war dann in Frankfurt, habe mit meinen zwei jetzigen Chefs gesprochen. Das hat sehr gut gepasst. Wir haben sehr schnell gemerkt, dass das ein guter Fit ist.

Und ja, so hat sich dann nach dreieinhalb Jahren ca. Mein Weg nochmal nach Frankfurt geändert.

Da muss man ja fast sagen, seid vorsichtig, wen ihr zu Karrieremessen schickt.

Könnte man so sagen, ja.

Du wohnst aber nicht in Frankfurt, sondern in Mittelhessen, ne?

Ich wohne immer noch in Mittelhessen, genau. und bin jetzt heute morgen... Ca. 50 Minuten hergefahren.

Das heißt, das machst du wahrscheinlich nicht jeden Tag?

Ich mache das nicht jeden Tag. Ich arbeite in Antal Remote und bin da auch sehr dankbar, dass das funktioniert. Das ist bei mir aber auch so, das muss man dazu sagen, ich habe größtenteils meine eigenen Mandate und weil ich im IT-Recht tätig bin, ist das natürlich auch so.

Die Branche ist gut durchdigitalisiert. Meine Mandanten sitzen auf der ganzen Welt. Termine finden eigentlich kaum noch, also in meinen Mandaten kaum noch, in Präsenz statt. Ich wüsste nicht, wann ich das letzte Mal mit einem Mandanten so gegenüber gesessen habe, wie wir beide das jetzt gerade tun, sondern meistens findet das alles per Teams oder anderen Videokonferenz-Tools statt.

Und dementsprechend ist das bei mir dann auch gut möglich, sozusagen von überall auf der Welt zu arbeiten, beziehungsweise halt aus Mittelhessen zu arbeiten.

Das heißt, du bist jetzt auch deutlich weniger vor Gericht als noch früher.

Ja, deutlich weniger. Also meine Arbeitsrealität hat sich da komplett geändert. Ich war früher, würde ich sagen, waren so 60 Prozent meiner Tätigkeit war vor Gericht. Mittlerweile ist es wahrscheinlich unter fünf. Also mittlerweile weit überwiegend Beratungsmandate.

Wir haben ja einen ganz interessanten Blick auf die Rechtsbranche von Nichtjuristen, stelle ich immer wieder fest, die denken wir würden den ganzen Tag uns nur streiten, wären nur bei Gericht und übersehen diesen ganzen riesengroßen Beratungsteil, der wahrscheinlich auf die Branche gesehen sogar der größere Teil ist als die Litigation Sparte oder auch Alternative Disputes, klar, der jetzt mal mit einbezogen, übersehen diesen Teil häufig.

Aber dennoch, lass uns das mal ein bisschen ausfächern, ein bisschen ausbreiten, was umfasst denn das IT-Recht alles so?

Ja, also letztlich ist es Querschnittsmaterie. Du hast, und das macht den Job auch so wahnsinnig spannend, du hast mit ganz vielen verschiedenen Rechtsbereichen zu tun. Vielleicht einen Schritt zurück, was mache ich im IT-Recht? Dafür kann ich es dir nämlich am ehesten berichten.

Also im Prinzip meine Tätigkeit besteht aus, wenn du so willst, zwei Säulen. Das eine ist wirklich das IT-Projektgeschäft und das ist, ich würde mal sagen, eine ganz, ganz vielschichtige Tätigkeit. Also stell dir vor, du hast ein Unternehmen, das möchte eine Software einführen zum Kundenbeziehungsmanagement, das nennt sich CRM auf Englisch.

Und ganz einfach gesprochen, in einer einfachen Ausgestaltung würde diese Software also loggen und speichern für das Unternehmen, wer hat wann was bestellt, was sind die Ansprechpartner, vielleicht auch was sind deren Vorlieben, wann haben die Geburtstag, sodass man denen im Prinzip was zuschicken kann. Ein Unternehmen geht ja nicht in den Laden und kauft diese Software einfach, so wie wir eine Software kaufen würden, sondern diese Software muss im Prinzip auf die Bedürfnisse des Unternehmens angepasst werden.

Wir nennen das Customizing. Die Software muss implementiert werden, also in die IT-Infrastruktur des Unternehmens angeflanscht werden und gegebenenfalls muss sie auch betrieben werden, also Updates, Upgrades, Fehlerbeseitigung etc. Da komme ich ins Spiel.

Also im Prinzip die vertragliche Ausgestaltung von solchen Projekten ist eine große Säule von dem, was ich tue. Und da hast du natürlich mit ganz vielen. Rechtsbereichen zu tun.

Du hast allgemeines Vertragsrecht, Zivilrecht. Wir reden über Werkverträge, wir reden über Dienstverträge. Du hast teilweise ganz viel Urheberrecht, Software-Urheberrecht. Gerade wenn du im Open-Source-Bereich bist, immer ein Riesenthema.

Du hast Wettbewerbsrecht, du hast Aufsichtsrecht teilweise, Regulatorik und das leitet vielleicht so ein bisschen über in den zweiten Standbein meiner Tätigkeit. Also neben dem IT-Projektgeschäft habe ich ganz viel, ich sage mal Umsetzung von IT-rechtlichen Compliance-Vorgaben in Unternehmen.

Und das können auch ganz unterschiedliche Dinge sein, zum Beispiel ein Spezialbericht bei mir ist so ein bisschen Compliance-Umsetzung in der Finanzindustrie oder Finanzbranche. Das kommt daher, dass ich verschiedene Mandanten habe aus dem Finanzsektor. Und das kannst du dir so vorstellen, Banken sind reguliert.

Und ich fasse das jetzt mal alle Finanzdienstleister als Banken zusammen. Also Banken sind reguliert. Das heißt, die müssen sicherstellen und das haben wir aus vergangenen Krisen gelernt, dass sozusagen die Funktionsfähigkeit der Bank immer sichergestellt ist.

Und das führt natürlich dazu, dass sie auch gegenüber IT-Dienstleistern, die sie einsetzen, sicherstellen müssen, dass sozusagen in bestimmten Fällen das immer noch alles so funktioniert, wie sie es wollen.

Fälle sind irgendwo einfach Serverausfall oder wie muss man sich das vorstellen?

Zum Beispiel Serverausfall oder gehackt werden oder Einflüsse, andere Einflüsse von außen. Letztlich Finanzregulatorik, kann man sich so vorstellen, deckt verschiedene Bereiche ab. Zum einen die Cyber Security, also das klassische Gegenangriffe von außen schützen.

Aber auch zum Beispiel Auditrechte ist immer ein Riesenthema, die wir in der Finanzregulatorik haben. Also die Bank muss sozusagen den Dienstleister auditieren können, sich vor Ort anschauen können, wie der seine Prozesse umsetzt, wie es bei dem, ich sag mal platt gesagt aussieht und ob das sozusagen ein vertrauenswürdiger Dienstleister ist.

Also das ist so ein bisschen die ganze Compliance Seite und ich meine, wir haben ja momentan eine richtige Regelungswut des EU Gesetzgebers, wenn du so willst, im Bereich IT und Cyber. Also wir bekommen jetzt in den nächsten Jahren oder zum Teil sind die Gesetze schon in Kraft und sind jetzt in der Umsetzungsphase verschiedene Gesetze einmal zur, nennen wir es mal Cyber Resilienz als Antwort auf, ich sag mal steigende Relevanz von Cyber Angriffen.

Man beachte die Anführungszeichen, die du gerade mit deinen Fingern gemacht hast, die ich jetzt mal sozusagen hier gerade übersetze. Ja, genau.

Also Cyber-Resilienz, zugehöriges Stichwort ist zum Beispiel DORA, also der Digital Operation Resilience Act, ausgeschrieben. Ein Riesenthema momentan auch wieder für die Finanzindustrie, aber auch, ich sag mal, Unternehmen, die nicht in der Finanzindustrie tätig sind, haben in Zukunft da einiges vor sich bei der Umsetzung von solchen Compliance-Vorgaben.

Und natürlich Riesenthema momentan KI-Regulierung momentan im Trilogverfahren, also sozusagen zwischen Kommission und Parlament wird das Ganze abgestimmt. Vermutlich werden wir im nächsten Jahr dann die sogenannte KI-Verordnung bekommen, die flankiert wird von zwei Richtlinien, die die Haftung adressieren sollen für KI-Systeme und das wird noch mal ein Riesen.

Ein riesen Klopper für viele oder für eigentlich alle Unternehmen sein, weil wir gehen eigentlich fest davon aus, dass in den nächsten 10 bis 20 Jahren so gut wie jedes Unternehmen KI einsetzen wird.

Dann lass uns da mal ein kleines bisschen tiefer einsteigen. Vielleicht erstmal so grundlegend, wenn wir jetzt von KI sprechen, dann meinen wir wahrscheinlich größtenteils, weil es ja gerade auch so sehr in der Presse ist, Large Language Models, davon das bekannteste Chat-GPT. Wie wird sich das deiner Ansicht nach auf die Businesswelt auswirken?

Also ich glaube im Wesentlichen, wir haben ja momentan in der, ich sag mal, medialen Wahrnehmung, liest du immer wieder dieses, so nach dem Motto, werden wir jetzt alle ersetzt und wann ist der Moment der technologischen Singularität, wenn also die KI schlauer ist als wir. Ich glaube, dass wir in der nahen Zukunft vor allem erst mal unterstützt werden, anstatt ersetzt zu werden und dass die KI natürlich unser aller Berufsalltag ganz stark verändern wird, weil KI ermöglichen wird, dass viele der oder viel Routinetätigkeit, die wir heutzutage machen oder jetzt bei Juristen konkret Research-Tätigkeit ersetzen wird oder für uns umsetzen wird und uns so unterstützen wird und so uns mehr Freiraum geben wird, ich sag mal komplexere Aufgaben umzusetzen.

Umzusetzen. Das ist so ein bisschen meine Sicht der Dinge. Also ich glaube noch nicht, dass wir ersetzt werden, sondern eher, dass wir unterstützt werden.

Glaube ich auch. Ich glaube, es geht vielleicht noch sogar einen Tacken weiter, dass man sagt, schau mal. Und die Auswirkungen dessen muss man bei einem gesonderten Podcast nochmal in Länge diskutieren. Aber sowas wie, schau mal, wir haben jetzt hier gerade unsere Vorlage eines IT-Vertrags im Bereich so und so.

Hier ist das aufgezeichnete MP3 meines Gesprächs mit dem Mandanten, transkribier das mal und zieh dann da schon mal die wichtigsten Infos raus und mach mir einen Entwurf dieser Vorlage. Das ist jetzt ja nicht ausgedacht, das ist ein ganz konkreter Anwendungsfall, den Microsoft vorgestellt hat, der eigentlich wahrscheinlich noch 2023, vielleicht Anfang 2024 schon kommen Säule.

Ja, Microsoft ist ja da, ich sag mal, relativ weit vorne dabei, also gerade Language Model. Die setzen ja jetzt auch das Language Model von OpenAI in, wie heißt es, Microsoft Copilot, glaube ich, dann ein. Das heißt, die sind da schon, haben auch massiv investiert in OpenAI.

Also die sind da schon vorne mit dabei und ja, ich stimme dir zu, das wird kommen.

Ist Datenschutz in dem Zusammenhang eigentlich ein Argument derer, die technologiekritisch sind? Also es ist wichtig, klar, aber mein Eindruck ist manchmal, dass man versucht, mit diesem Datenschutzargument manches tot zu machen, was einem vielleicht etwas unlieb ist.

Manche versuchen das, um es kurz zu machen, aus meiner Sicht ist eine pragmatische Anwendung von Datenschutz aber durchaus oder erlaubt eine pragmatische Anwendung von Datenschutz durchaus auch technologischen Fortschritt und auch KI. KI.

Aber es ist natürlich ein Riesenthema. Klar, so ein bisschen jetzt gerade im Hinblick auf US-Anbieter wird das natürlich entschärft, dadurch, dass wir jetzt einen quasi Angemessenheitsbeschluss für die USA bekommen haben. Das heißt, Datentransfers in die USA sind nicht mehr rechtlich so kritisch, wie es quasi bis dato war nach dem James-2-Urteil.

Aber nichtsdestotrotz ist natürlich das Thema Drittland jetzt und USA weggedacht. Das Thema Drittland bleibt. Klar, Drittlandübermittlung im Datenschutz und Datenschutz ist auch im Bereich KI ein Riesenthema. Überleg mal, wie trainierst du einen Algorithmus, in dem du wahnsinnige Mengen an Daten einspeist.

Und in dem Moment, wo du für das Training eines Algorithmus personenbezogene Daten einspeist, stößt du natürlich eine Tür auf ins Datenschutzrecht und dann musst du dich mit allen datenschutzrechtlichen Aspekten auseinandersetzen.

Die Konsequenz dessen ist aber ja nicht notwendigerweise, dass es nicht geht, sondern dass wenn man es machen will, man einige Vorgaben zu beachten hat.

Und wie eingangs zum Thema gesagt, also meines Erachtens, wenn man Datenschutzrecht jetzt nicht übervorsichtig, sondern einigermaßen pragmatisch lebt, dann ist das auch durchaus, denke ich, rechtssicher möglich.

Gut, dann lass uns von dieser teilweise jedenfalls Zukunftsmusik ein kleines bisschen zurück in die Gegenwart gehen. Mich würde doch mal interessieren, so ganz handfest, was du hier so machst. Hast du mal so ein, zwei Beispiele dessen, wo man dich ruft? Wir haben gerade schon das Thema Datenschutz angesprochen.

Ich vermute mal hier und da bei so einem Data Breach, oder?

Ja, das kommt immer mal wieder vor. Das sind dann meistens die hitzigeren Mandate. Also im Prinzip, ganz konkret, ich kriege Montag morgens einen Anruf von dem Geschäftsführer meiner Mandantin. Du Jonas, wir haben hier ein Riesenthema, du musst vorbeikommen.

Dann saßen wir zusammen, es stellte sich dann raus, die Mandantin erstellt und betreibt Webseiten für ihre Kunden und hostet diese Webseiten über einen dritten Provider.

Weil diese selber natürlich nicht massiv viele Server irgendwo in Keller stellen. Genau.

Ist auch, ich sag mal, das übliche Geschäftsmodell. Also, dass es große Web-Poster gibt, die also jetzt sowas machen. Und einer dieser Web-Poster war Opfer eines Cyber-Angriffes und die Angreifer konnten da tatsächlich Daten abziehen.

Und jetzt saßen wir also bei der Mandantin dann zusammen, das ist schon ein bisschen her, das war so kurz nach Anfangsphase der DSGVO und da war das natürlich noch alles ganz kritisch. Und dann saßen wir da zusammen, kann ich mich noch daran erinnern, und der Web-Poster selber, der also angegriffen wurde, der hatte so einen Live-Ticker und alle 10 Minuten erschien dann Im Prinzip eine Neuigkeit, was sie jetzt also über den Angriff gerade herausgefunden haben.

Und wir saßen quasi in großer Runde da zusammen und haben uns dann also überlegt, insbesondere Thema Datenschutz, Datenmeldung. Es ist ja im Datenschutz so, dass ich Datenschutzverletzungen habe, dann muss ich die innerhalb von 72 Stunden an die Aufsichtsbehörde melden. Und ich muss mir, wenn ein besonderes Risiko für natürliche Personen besteht, muss ich diese betroffenen Personen auch informieren.

Das kennt man ja so ein bisschen. Der ein oder andere hat vielleicht schon mal so eine E-Mail bekommen. Hallo, Sie haben ein Kundenkonto bei uns. Wir können nicht ausschließen, dass Daten von Ihnen irgendwie gerade an Dritte gelangt sind.

Hier ist das, was Sie noch tun können. Ändern Sie vielleicht mal sicherheitshalber Ihr Passwort oder wir haben Ihr Passwort gerade zurückgesetzt. Legen Sie sich mal ein neues an. Irgendwie sowas.

Das ist total interessant. Manchmal, wenn man diese Betroffene-Meldung sieht oder mitkriegt, ich habe da mal mit einer Mandantin zusammengearbeitet, da mussten wir die Kunden informieren, weil tatsächlich Bankdaten der Kunden abhandengekommen sind und das kann dann dazu führen, dass im Prinzip Lastschriften mit diesen Bankdaten ausgestellt werden und deshalb sozusagen informiert man die Kunden dann lieber mal darüber und die hatten sich damals eine Krisenkommunikationsagentur an Bord geholt, die also dieses Betroffenenschreiben dann schreiben sollte und ich kriegte dann das Schreiben, was diese Krisenkommunikationsagentur Agentur vorbereitet hatte und sollte mir angucken, ob das also auch rechtlich passt, weil es ist so, dass der Artikel 34 DSGVO, das ist der zugehörige Rechtsgrundlage, dass der sehr genau vorgibt, was ich also in diesem Schreiben den Betroffenen mitteilen muss.

Und ich kriegte dieses Schreiben und das las ich dann so. Mir wurden gehackt, was sie daraus lernen können, so nach dem Motto. Und ihr habt dann gesagt, Leute, so können wir das nicht machen.

Wir müssen da schon irgendwie so Pflichtinformationen ein bisschen reinpacken und du sollst das eigentlich in objektiver Sprache ganz trocken sagen, so nach dem Motto. Und dann haben wir aber, glaube ich, einen ganz guten Mittelweg damals dann gefunden, dass es noch Krisenkommunikationsagentur fest war, aber trotzdem auch rechtlich das umgesetzt hat, was man umsetzen sollte.

Weil über dem Ganzen das Damoklesschwert einer entsprechenden Geldbuße droht, wenn man dem nicht nachkommt, ne?

Richtig. Also Datenschutzrecht ist im Prinzip, es gibt Aufsichtsbehörden im Datenschutzrecht und wenn ich also nicht rechtzeitig informiere oder nicht vollständig informiere, dann drohen da Sanktionen, genau.

Mal den Fall des 33 DSGVO. Wir haben keine persönlichen Daten, die abhandengekommen sind, sodass die Kunden direkt informiert werden müssen. Das ist dann der 33, dann sind wir nicht im 34, ne?

Nicht ganz. Also persönliche Daten können trotzdem abhandengekommen sein, aber es ist eine Risikoanalyse. Also den 34er muss ich nur ziehen, wenn ich ein besonderes Risiko für die Rechte und Freiheiten natürlicher Personen befürchte. Und wenn das also nicht ist, Also ich quasi ein, nennen wir es mal.

Normalen unkritischen Daten Breach, sofern man das überhaupt sagen kann, dann muss ich nur die Aufsichtsbehörde, nur bei der Aufsichtsbehörde melden.

Okay, und dann sind wir im 33. Und da muss man dann unverzüglich melden, oder?

72 Stunden.

72 Stunden?

72 Stunden.

Okay.

Wobei man dazu sagen muss, es gibt eine Abstufung. Also ich muss natürlich nur das mitteilen, was ich bis dahin weiß.

Wie soll es auch anders sein?

Und dann alles, was ich später quasi erfahre, unverzüglich nachreichen. So ist die Idee.

Gibt es da strategische Überlegungen, ob man jetzt nach vier Stunden oder nach 60 Stunden meldet?

Meistens versucht man in dem Moment vor allem den Sachverhalt aufzuklären. Also nach vier Stunden meldet meistens keiner, weil das ist eine Frist, die man in der Regel eigentlich versucht auszureizen, weil man sich erstmal überhaupt Gedanken machen muss, ist es meldepflichtig oder ist es nicht meldepflichtig und glaub mir eins, 72 Stunden können in so einer Extremsituation schnell umgehen.

Zumal du ja gar nicht weißt, bleiben wir bei dem Beispiel von eben, dass der Host da irgendwo einen Breach hat, du selber erstmal Kunde von dem bist und du weißt ja noch gar nicht, ob du als Kunde da mit deinen eigenen Kundendaten dann auch überhaupt betroffen bist.

Das ist ganz häufig so. Also machen wir noch einen einfacheren Fall. Du hast einen Online-Shop als Unternehmen und verkaufst da Sachen drüber, dann ist es in der Regel auch nicht so, dass du den selbst betreibst, sondern du hast irgendeinen Dritten, der den für dich betreibt.

So Shopify und Co oder was auch immer. Und du weißt ja meistens, wenn der jetzt einen Angriff meldet, weißt du ja gar nicht, was da technisch passiert ist. Und das alles musst du in diesen 72 Stunden irgendwie zusammenkriegen.

Du musst die Informationen zusammenkriegen. Du musst dir Gedanken machen, ist das jetzt meldepflichtig oder nicht? Und dann musst du das absetzen. Also da hast du viel zu tun.

Das ist eigentlich auch ein ganz spannendes Problem, wenn man mal überlegt. Bleiben wir mal bei dem Beispiel von gerade. Du hast einen Online-Shop per Shopify. Ich denke mir was aus.

Ist jetzt kein Mandat von dir, wie immer hier im Podcast. Ich nehme einfach irgendwas, was ich kenne und was vielleicht auch die Zuhörenden kennen. Die haben einen Data-Breach, sagen wir mal, in diesem hypothetischen Beispiel.

Dann müssen die ja eventuell Dutzende, Hunderte ihrer Kunden informieren. Hoffentlich nicht alle, weil das ist schwer irgendwie vorstellbar, rein logistisch auch. Und dann ist es von denen ein gewisser Prozentsatz wirklich betroffen.

Aber erst mal müssen ja eigentlich alle irgendwo mal ihren Anwalt anrufen.

Naja, also du kannst es zum Beispiel in so einem großen Breach kannst du es schon abgestuft machen. Also wir hatten das zum Beispiel auch mal in einem Mandat, gab es einen Cyberangriff, und zwar an Kundendaten betroffen. Aber es waren halt nur von manchen Kunden sensible Daten, wie zum Beispiel Bankdaten betroffen und von anderen war es nur irgendwie der Name oder sowas.

Und dann kannst du das schon abgestuft fahren, dass du im Prinzip, also Aufsichtsbehörde meldest du, klar, und dann bei den Betroffeneninformationen machst du dir Gedanken, muss ich jetzt alle informieren und logistisches Thema, logistisches Problem, was du gerade angesprochen hast, informiere ich sie alle über ein Schreiben, was die persönlich kriegen oder wie auch immer? Oder kann ich es vielleicht sogar für die, die jetzt nicht so stark betroffen sind, machen, dass ich wie ein FAQ auf der Webseite veröffentliche.

Und so haben wir es dann damals in Abstimmung mit der Datenschutzaufsicht gemacht.

Das ist ja eigentlich ganz gut, dass es da auch so praxisnahe Möglichkeiten gibt, das dann halt entsprechend irgendwie umzusetzen.

Ja, kann man vielleicht grundsätzlich auch dazu noch sagen. Also meine Wahrnehmung, ganz häufig hast du ja im Datenschutzrecht immer die böse Aufsichtsbehörde und so weiter. Meine Wahrnehmung ist eigentlich, wenn die sehen, dass du jetzt nicht völlig blank bist.

Also wenn du jetzt in 23 nach fünf Jahren DSGVO sozusagen ankommst und hast nicht mal ein Verarbeitungsverzeichnis, dann kannst du dich auf wenig entgegenkommende Behörde verlassen.

Was ist ein Verarbeitungsverzeichnis für die Nichtdatenschutzrechtler?

Im Prinzip eine Aufstellung aller Datenverarbeitungen und Datenflüsse im Unternehmen. Stell es dir vor wie eine Excel-Tabelle, wo dann im Prinzip kategorisiert drinsteht für, was weiß ich, Abrechnung von unseren Löhnen, haben wir folgende Daten, die gehen da und dahin und so weiter. Also völlige Basics.

Was ich damit meine ist, wenn du jetzt schon bei Basics blank bist, dann hast du ein Problem. Aber wenn das nicht so ist und wenn du mal ein Thema hast, dann erlebe ich die Datenschutzaufsichtsbehörden meistens als sehr kooperativ, verstehen sich dann auch eher als beratend, unterstützend und nicht so sehr als, wir lassen die mal machen und hauen dann drauf.

Gut, dann ein anderes Feld, in dem du mit der öffentlichen Hand zusammenarbeitest und so oder für die öffentliche Hand vielleicht auch mittelbar war zumindest tätig. Und so schließt sich auch der Kreis zum Beginn unseres Podcasts ist zum Beispiel bei solchen Vergabeverfahren, wenn du mit deinen vergaberechtlichen KollegInnen zusammen wirkst.

Du hast mir im Vorgespräch erzählt, ja ist doch klar, die Verwaltung digitalisiert allerorts. Da geht es dann ja auch um Vertragsgestaltung im IT-Bereich. Wie muss man sich das konkret vorstellen?

Ja, also im Prinzip ist es so, wie du es schon beschrieben hast. Unsere Vergaberechler betreuen für verschiedene öffentliche Auftraggeber Vergabeverfahren. Jetzt sagt der öffentliche Auftraggeber, ich möchte gerne, was weiß ich, eine Softwarelösung beschaffen für XY oder ich möchte vielleicht auch ein ganzes System beschaffen, bestehend aus Hardware und Software und dann betreuen unsere Vergaberechler die vergaberechtlichen Aspekte.

Also wie muss ich das Verfahren aufsetzen, Bieterfragen beantworten und so weiter. Und ich werde hinzugezogen, um die vertragsrechtlichen Aspekte zu bewerten und auszuarbeiten mit der Mandantin. Das läuft dann meistens so, dass ich im Prinzip erstmal so eine Art Aufnahme der fachlichen Requirements mit der Mandantin mache.

Also ich setze mich mit denjenigen zusammen, die fachlich Ahnung haben von dem, was sie beschaffen wollen und gehe mit denen durch. Wie soll das denn überhaupt aussehen? Soll es eine Software sein? Soll es eine Hardware sein? Ein Gesamtsystem sein, was miteinander funktionieren muss.

Wollen wir, dass der Dienstleister, den wir beauftragen, für dieses Gesamtsystem auch die Verantwortung übernimmt, dass das zum Schluss funktioniert? Das ist dann immer eine kommerzielle Frage. Wollt ihr die Software mieten? Wollt ihr sie kaufen? Wollt ihr sie im Wege eines Software-as-a-Services beziehen? Und so stecken wir im Prinzip die fachlichen Requirements der Mandanten ab und diese gieße ich dann sozusagen in Vertragsform bei öffentlichen Auftraggebern.

Ist es so, dass die quasi anhand der sogenannten EVB-IT-Verträge ausschreiben. Das sind letztlich Standardverträge für die Beschaffung von IT-Leistungen der öffentlichen Hand. Und da gibt es verschiedene Vertragsformen.

Also du kannst es dir im Prinzip so vorstellen, es gibt einen EVB-IT-Vertrag für Dienstleistungen, für Softwarebezug, für Hardwarebezug. Also wählen wir zunächst mal aus, was ist die richtige Vertragsart. Dann bauen wir sozusagen den fachlichen Input der Mandantin in den Vertrag ein und stellen sicher, dass also die Leistungsbeschreibung, die die Mandantin dann gemeinsam mit uns erstellt, auch zu der vertraglichen Realität passt.

Ich war ein bisschen frech gefragt, warum macht denn das die Verwaltung nicht selbst? Haben die da keine Josten?

Weil es häufig, ich sag mal gerade in der IT-Beschaffung, so viele Besonderheiten gibt, dass die das intern nicht abgedeckt kriegen, weil die Expertise fehlt oder weil die Kapazität fehlt. Das ist schon so.

Und weil Verwaltungen ja auch sehr unterschiedlich groß sind. Es ist ja nicht immer die Stadt Frankfurt, die dann damit schafft.

Also meistens ist es wirklich so, dass die da einfach Unterstützung brauchen. Und ich habe auch ganz häufig die Situation, dass ich, manchmal gibt es schon irgendwie eine Leistungsbeschreibung, die die Fachkollegen der Mandanten zusammengestellt haben. Aber trotzdem, wenn man sich die dann anschaut, dann stellt man ganz häufig fest, habt ihr euch jetzt mal Gedanken gemacht, ob das jetzt in der Cloud laufen soll oder on premise bei euch oder wie auch immer.

Und dann kommen so ganz viele Folgefragen. Ja, okay, müssen wir mal drüber nachdenken. Haben wir bisher nicht gemacht.

Da höre ich so ein bisschen raus, dass es dann auch schon mal so am technischen Verständnis hier und da ein bisschen Aufschlauung braucht oder dass da einfach sozusagen ein paar Punkte sind, die noch nicht bedacht wurden.

Ja, im Prinzip technisches Verständnis haben ja die Fachleute meistens mehr als ich das habe. Aber es ist so ein bisschen, was ist überhaupt regelungsbedürftig? Und dafür fehlt dann ganz natürlich, das sind ja keine Juristen. Meistens mit denen ich da zusammensitze, fehlt die Awareness.

Also Schnittstellenthematik am Ende des Tages? Ja genau.

Soll das bei euch implementiert werden? Wenn ja, wie sieht eure Infrastruktur aus, in die das implementiert werden soll? Wollt ihr auch einen Betrieb? Wollt ihr, dass der Dienstleister euch Fehler beseitigt, eine Hotline bereitstellt, euch Updates liefert? All solche Themen werden manchmal angedacht, aber dann nicht quasi einsortiert in das ist jetzt juristisch regelungsbedürftig. Und an dieser Schnittstelle sozusagen, wenn du so willst, das ist ein großer Teil meines Jobs, die Schnittstelle zwischen Technik und Juristerei sozusagen.

Und da so ein bisschen den Vermittler spielen.

Das wäre ein schönes Schlusswort, wenn ich nicht noch zwei Folgefragen für dich hätte. Die erste ist, wie immer, ich habe das jetzt gerade gehört, finde es vielleicht spannend, ihr sucht ja auch die ganze Zeit Referendarinnen und Referendare, Da interessiert mich, wenn man mit dir zusammenarbeiten möchte, weil man dich sympathisch fand hier im Podcast.

Was ist dir wichtig beim Nachwuchs? Worauf achtest du?

Also zunächst mal, was ich voran sagen möchte, ist, weil die Frage kriege ich relativ häufig, muss ich IT-Recht können? Nein. Also ich habe auch während meiner Ausbildung nie IT-Recht gemacht, weil es das einfach damals auch überhaupt noch nicht gab.

Das wurde an den Unis nicht angeboten, das war kein Thema. Mittlerweile ist das ein bisschen besser, aber eigentlich immer noch nicht so richtig. Also nein, muss man nicht.

Was aber total wichtig ist, ist eine technische Affinität und Bock darauf haben, sich mit technischen Themen auseinanderzusetzen. Das ist, glaube ich, die Grundprämisse. Wenn das nicht da ist, wenn man so jemand ist, der sagt, Technik mag ich eigentlich nicht, dann sollte man natürlich nicht im IT-Recht arbeiten.

Aber das ist, glaube ich, ganz klar. Und ansonsten, ich bin eigentlich niemand, der jetzt irgendwelche Requirements hat von wegen, der muss an der Uni gewesen sein oder im Ausland gewesen sein oder sonst was, sondern das kommt dann bei mir total auch auf die, was ist das für jemand? Kann ich mit dem persönlich, ist das jemand, der fit ist, der Lust hat, sich weiterzuentwickeln, was zu lernen? Das ist, glaube ich, der wichtigste Punkt für mich.

Und dann zurückgehend auf eine nette Zuschauerinnen-Zuschrift von neulich noch folgende Abschlussfrage. Ich wurde gefragt, sag mal, sind die Leute eigentlich immer so abgeklärt, wie die im Podcast rüberkommen? Und naja, wir versuchen hier natürlich auch immer einen Gesprächzustand zu kriegen, was flüssig ist und deswegen, wenn sich jetzt jemand mal total verhaspelt, kann man ja auch mal sozusagen sagen, aber wisst ihr ja auch, die, die das hier länger hört, dann nehmen wir das natürlich raus, damit es angenehm zu hören ist.

Aber dennoch die Frage, was hat sich in deinem Berufsalltag vielleicht als anders herausgestellt, als du früher dachtest? Also wenn du an dein Referendariat zurückdenkst, wo wurdest du mal überrascht in den letzten Jahren?

Ich glaube, das Positive, was man jedem mitgeben kann, ist, dass es eigentlich nur besser wird, als das, was bis zum zweiten Staatsexamen passiert. Also der Beruf ist viel vielfältiger, interessanter, spannender als das, was, also zumindest war es für mich so.

Es mag auch Leute geben, die finden Lehre und Universität und lernen total toll. Bei mir war das so. Ich war dann froh, als es fertig war. Was mich überrascht hat, ist, wie wenig...

Ich heutzutage eigentlich so pur juristisch arbeite, wie wir das früher mal gelernt haben. Also ich gucke sehr selten beispielsweise, aber das liegt jetzt auch an meinem konkreten Tätigkeitsfeld. Ich habe sehr selten, dass ich wirklich Stunden damit verbringe, irgendwas zu recherchieren oder in Beck online nachzulesen, was auch immer.

Sondern bei mir ist es gerade im Projektgeschäft häufiger so, dass es wirklich konkret Vertragsarbeit ist, dass es Dinge über die Bühne bringen ist und das ist was, was ich früher nicht gedacht hätte. Also dieses ganz klassische juristische Arbeiten, was ich früher gelernt habe, ist wichtig, ist Handwerkszeug, aber ist heute gar nicht mehr so sehr ein Großteil meines Berufsalltags.

Aber das mag, also ich kenne ganz viele Kollegen, ich mache auch zusammen mit einem Kollegen Vorlesungen an der Technischen Hochschule Mittelhessen und er arbeitet in der Lehre und bei ihm ist es ganz anders. Also wir sind beides Juristen, aber das ist auch das Tolle an unserem Job, an unserem Berufsfeld, wir sind beide Juristen, aber jeder von uns hat einen komplett anderen Arbeitsalltag.

Er wirklich so Lehre, er arbeitet noch nebenbei in der Kanzlei, macht da im Prinzip vor allem, wenn es mal wirklich in Recherchetätigkeit geht und ich bin im Prinzip das komplette Gegenteil dazu. Das ist schon spannend.

Dann muss ich diese Steifvorlage nutzen und einfach nochmal auf die Folgenübersicht auf irgendwas mit Recht.de hinweisen, wo ihr euch ja noch hunderte, muss man mittlerweile sagen, andere Perspektiven zu Gemüte führen beziehungsweise anhören könnt. Jonas, vielen herzlichen Dank, dass du diesen Katalog um eine weitere, wie ich finde, sehr spannende Perspektive bereichert hast. Vielen Dank.

Tschüss. Ciao.