Compliance

So wird RPA rechtssicher

06.11.2020
Von   , Niccolo Langenheim und  
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
RPA einzusetzen, verspricht viele Vorteile, kann Unternehmen aber ohne die Einhaltung von Gesetzesvorgaben schnell viel Geld kosten. Lesen Sie, was Sie zum Thema RPA Compliance wissen sollten.
Gesetze und rechtliche Vorgaben spielen bei RPA, wie bei anderen Digitalisierungsprozessen auch, eine wichtige Rolle. Versäumnisse können viel Geld kosten.
Gesetze und rechtliche Vorgaben spielen bei RPA, wie bei anderen Digitalisierungsprozessen auch, eine wichtige Rolle. Versäumnisse können viel Geld kosten.
Foto: Andrey Popov - shutterstock.com

"Digitalisierungsturbo" - so wird Robotic Process Automation (RPA) von Mittelstand und Großunternehmen bezeichnet. Dies ergab die Studie "Robotic Process Automation 2020" von IDG. Damit hat RPA das Potenzial, den Arbeitsalltag in vielen Unternehmen effizienter zu gestalten und nachhaltig zu verändern. Doch mit dem Effizienzversprechen steigt auch das Konfliktpotenzial: Arbeitnehmerrechte, Datenschutz und Urheberrechte können betroffen sein, wenn ein Unternehmen RPA einführen möchte.

Was bedeutet Robotic Process Automation genau?

Mit Hilfe von RPA können die Unternehmensprozesse effizienter gestaltet und umgesetzt werden. Bevor ein Unternehmen RPA einsetzt, müssen die bestehenden Prozesse zunächst erfasst und analysiert werden. Dabei werden regelmäßig digitale Abbilder (sog. Digital Twins) der Prozesse erzeugt. Man spricht vom "Process Mining". Die Analyse dieser Prozesse gibt Aufschluss darüber, welche Prozessschritte automatisiert und damit effizienter umgesetzt werden können. Die lückenhafte oder fehlende Dokumentation der eigenen Prozesse wird von den befragten Unternehmen der IDG-Studie als eine der größten Herausforderung bei der Einführung von RPA und Process Mining eingeschätzt. Ohne eine solche, kann RPA aber nicht sinnvoll umgesetzt werden.

Herausforderungen Process Mining & RPA
Herausforderungen Process Mining & RPA
Foto: Daniela Petrini / IDG Research Services

Insbesondere wiederholbare, gleichförmige Aufgaben können im Wege des RPA durch Softwareroboter (sog. Bots) übernommen werden. Der Bot führt einen vorher definierten Prozess-Workflow aus. Dies führt dazu, dass eine Reihenfolge von Prozessschritten automatisiert ausgeführt werden kann, ohne dass ein Mensch involviert sein muss. Beispiele sind unter anderem, dass Rechnungen automatisiert erfasst und abgelegt, Kundenanfragen mit Hilfe von Chatbots beantwortet, Bestellungen automatisiert prozessiert oder Daten von einem System in eine anderes System überführt werden, ohne dass eine Schnittstelle besteht. RPA kann aber auch eingesetzt werden, um ein Unternehmen dabei zu unterstützen, Gesetze und Richtlinien einzuhalten und die Compliance zu gewährleisten. Ein Beispiel sind Know-Your-Customer Prozesse im Rahmen der Geldwäscheprävention.

Lesetipp: Künstliche Intelligenz - Geldwäsche erkennen mit Machine Learning

Will ein Unternehmen RPA einführen, müssen neben den vielen Vorteilen jedoch auch rechtliche Anforderungen und Risiken beurteilt werden. Dabei sollten insbesondere die nachfolgenden Punkte berücksichtigt werden.

Arbeitsrecht trifft Process Mining

Neben RPA verbessert und optimiert das Process Mining die Unternehmensprozesse. Dies belegt die Studie von IDG. 84 Prozent der Unternehmen setzen bereits Process Mining ein. Mit Hilfe des Process Mining werden Geschäftsprozesse systematisch erfasst, analysiert und ausgewertet. Auf dieser Grundlage kann das Unternehmen seine Prozesse bewerten, korrigieren, optimieren oder neu erstellen. Nach der Studie betrifft dies nicht nur die Prozesse in der IT-Abteilung, sondern auch die des Managements, der Finanzabteilung und der Produktion.

Arbeitsrechtliche Probleme treten auf, wenn durch das Process Mining nachgewiesen werden kann, dass einzelne Mitarbeiter die definierten Prozessabläufe nicht einhalten oder - im Vergleich zum Rest der Mitarbeiter - hinsichtlich ihrer Arbeitsleistung abfallen. Wird ein Tool eingeführt, durch das eine solche Verhaltenskontrolle möglich ist, steht dem Betriebsrat ein Mitbestimmungsrecht zu. Dieses Mitbestimmungsrecht besteht bereits, wenn die technische Einrichtung, die eingeführt werden soll, überhaupt die Möglichkeit bietet, das Verhalten der Mitarbeiter zu überwachen. Unerheblich ist, ob das Unternehmen die technische Einrichtung zu diesem Zweck überhaupt einsetzen möchte - es kommt ausschließlich darauf an, dass die Möglichkeit besteht, die Mitarbeiter kontrollieren zu können.

Die Studie von IDG zeigt auch, dass der Betriebsrat vereinzelt Widerstand leistet, wenn ein Unternehmen RPA einführt. Dies geht natürlich mit der Befürchtung des Betriebsrats einher, dass Mitarbeiter abgebaut werden, wenn die Unternehmensprozesse optimiert und automatisiert werden.

Neben den Mitbestimmungsrechten des Betriebsrats sind aber auch datenschutzrechtliche Vorgaben zu beachten, wenn im Wege des Process Mining mitarbeiterscharf Informationen gesammelt werden. Die datenschutzrechtlichen Vorgaben können umgangen werden, wenn die Informationen anonymisiert erhoben werden und - auch nachträglich - die Informationen nicht mehr einem bestimmten Mitarbeiter zugeordnet werden können, z.B. in dem sich die Informationen stets auf Gruppen von Mitarbeitern beziehen. Ob und inwieweit dies möglich ist, hängt natürlich von den Unternehmensprozessen ab, die analysiert werden, und den Zielen, die damit verfolgt werden.

Lesetipp: Arbeitgeber müssen strenge Infovorschriften beachten

RPA: Wer haftet für falsches Datenmanagement?

Kommt es durch RPA zu einem Schaden, zum Beispiel weil Daten falsch zugeordnet wurden oder Kundenfragen fehlerhaft beantwortet wurden, stellt sich die Frage, wer diesen Schaden ersetzen muss. In aller Regel wird zunächst das handelnde Unternehmen den Schaden begleichen müssen, da es in einer unmittelbaren Rechtsbeziehung zum Geschädigten steht. Das Unternehmen kann aber gegebenenfalls Regress nehmen, wenn der Schaden nicht durch einen eigenen Fehler verursacht wurde. Ob und inwieweit ein Regress möglich ist, hängt davon ab, wie der zugrundeliegende Vertrag über die RPA-Software ausgestaltet ist. Insofern kommen insbesondere drei vertragliche Konstellationen in Betracht:

  • Standalone-Erwerb von RPA-Software: Das Unternehmen erwirbt die Software, implementiert und konfiguriert diese selbst.

  • Erwerb der RPA-Software und Implementierung durch einen Dienstleister: Hier definiert das Unternehmen die Anforderungen und der Dienstleister setzt diese um.

  • RPA-Outsourcing: Hierbei wird der komplette RPA-Prozess auf einen externen IT-Dienstleistern ausgelagert, welcher die RPA-Software selbst betreibt und in die Prozesse des Unternehmens einbindet.

Wird nun durch den Einsatz der RPA-Software ein Schaden verursacht, muss zunächst geklärt werden, wer den Schaden verursacht hat. Dies hängt von der Vertragskonstellation ab. In der Praxis kommt es aber entscheidend darauf an, dass der Geschädigte die Schadensursache nicht nur behauptet, sondern auch nachweisen kann. Grundsätzlich muss der Anspruchssteller beweisen, dass der Schaden durch eine Pflichtverletzung des Anspruchsgegners verursacht wurde. Damit dies möglich ist, muss beim RPA darauf geachtet werden, dass die einzelnen, automatisierten Prozessschritte, Aufgaben und Aktionen detailliert dokumentiert sind und somit nachgeprüft werden können.

Die Logfiles sollten Aufschluss darüber geben, ob Fehler aufgetreten sind oder versucht wurde, den automatisierten Prozess von außen zu manipulieren. Ebenso müssen die automatisierten Prozesse durch ein Rollen- und Berechtigungskonzept gesichert sein, damit nur Personen Änderungen vornehmen können, die dazu auch legitimiert sind. Gleichzeitig sollte protokolliert werden, wann welche Person welche Änderungen durchgeführt hat.

Lesetipp: RPA-Governance - Erfolgsfaktor "RPA-Unit"

Ungeachtet angemessener Sicherheitsvorkehrungen sollten die Prozesse, die durch RPA automatisiert sind, von geschulten Mitarbeitern überwacht und kontrolliert werden. Auch wenn nach den Studienergebnissen von IDG interne Mitarbeiter RPA eher ablehnen, werden qualifizierte Mitarbeiter gebraucht, um diese Technologie im Unternehmen einsetzen zu können.

RPA, Urheber- und Datenschutzrecht

Durch RPA können Schnittstellen ersetzt und Daten automatisiert zwischen zwei Systemen ausgetauscht werden. Ebenso ist es möglich, automatisiert bestimmte Aktionen in einer Software auszulösen. Weil das RPA-Tool und die Software zwei unterschiedliche Computerprogramme sind, stellt sich die Frage, ob für diese automatisierten Vorgänge eine Lizenz erforderlich ist. In dieser Konstellation weist die Verwendung von RPA Parallelen zur sog. "indirekten Softwarenutzung" auf.

Hat die Aufgabe, die durch das RPA Tool ersetzt wird, vormals ein Mensch durchgeführt, benötigte dieser in der Regel eine Lizenz, um die Software nutzen zu dürfen. Wird der Mensch nun durch einen Bot ersetzt, stellt sich die Frage, ob auch der Bot eine Lizenz benötigt. Zumindest der Softwareanbieter wird dies bejahen. Anderenfalls wird sein Geschäftsmodell ernsthaft in Frage gestellt. Dies wird deutlich, wenn man sich vorstellt, dass der Bot nicht nur einen Menschen - und damit eine Lizenz -, sondern eine Vielzahl von Menschen - und damit eine Vielzahl von Lizenzen - ersetzt.

Viele Softwareanbieter untersagen in ihren Lizenzbestimmungen daher dieses sog. Pooling oder Multiplexing. Auf der anderen Seite möchte das Unternehmen, das RPA einsetzt, gerade Kosten sparen. Zusätzliche Lizenzkosten oder gar ein Rechtsstreit mit den Softwareanbieter stellen ein Risiko für das Unternehmen und den Erfolg der RPA-Strategie dar.

Ob und unter welchen Voraussetzungen eine indirekte Nutzung von Software ein zusätzliches Nutzungsrecht erfordert, ist aktuell nicht geklärt. Die juristische Diskussion ist komplex. Die rechtliche Bewertung hängt dabei unter anderem davon ab, wie die eingesetzten Computerprogramme in technischer Hinsicht miteinander interagieren. Gerichtsurteile in Deutschland, die eine Tendenz vorgeben, liegen nicht vor.

Vor diesem Hintergrund sollte das betroffene Unternehmen untersuchen, ob in Hinblick auf die eingesetzte Software und das dahinterstehende Lizenzmodell überhaupt ein Risiko besteht, dass eine Diskussion über die indirekte Nutzung geführt werden muss. Hat der Lizenzgeber z.B. ausdrücklich geregelt, ob und wie eine indirekte Nutzung möglich ist, kann RPA eingeführt werden, wenn diese Voraussetzungen eingehalten und umgesetzt werden. Im Zweifelsfall sollte juristisch überprüft werden, ob hier ein Problem bestehen kann.

Lesetipp: Es kommt auf das Lizenzmodell an: Indirekte Nutzung von SAP-Systemen - das sollten Sie wissen

Das Datenschutzrecht ist dann zu beachten, wenn durch Process Mining und RPA personenbezogene Daten verarbeitet werden. Hierbei gilt, dass sich die datenschutzrechtlichen Vorgaben in aller Regel umsetzen lassen und RPA nicht im Wege steht. Probleme können auftreten, wenn, wie oben beschrieben, das Verhalten von Mitarbeitern überwacht wird oder besonders sensitive personenbezogene Daten, z.B. Gesundheitsdaten, verarbeitet werden. Sind Dienstleister in den Prozess eingebunden, muss hier in der Regel ein Auftragsverarbeitungsvertrag abgeschlossen werden.

Datenschutzrechtliche Probleme können aber auftreten, wenn durch die Prozessautomatisierung Entscheidungen getroffen werden, die unmittelbar gegenüber einem Menschen wirken, z.B. durch einen Chatbot. Nach Art. 22 DSGVO hat eine betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.

Dieses Verbot automatisierter Entscheidung kann einer Automatisierung eines Prozesses entgegenstehen. Verboten sind danach Systeme, die automatisch Verträge ablehnen, wenn bestimmte Parameter nicht erfüllt sind. Allerdings ist dieses Verbot nicht so strikt, wie es auf den ersten Blick zu sein scheint. Das Gesetz lässt hier verschiedene Möglichkeiten zu, wie dennoch ein solcher Prozess ausgestaltet werden könnte.

Robotic Process Automation: Ein Blick in die Zukunft

Durch die Verwendung von RPA - auch in Verbindung mit Process Mining - besteht großes Prozessoptimierungspotenzial für Unternehmen. Dieses Potenzial ist dabei ausweislich der Studie von IDG auch von den meisten Unternehmen erkannt worden. So erwarten sowohl große und mittelständische aber auch kleine Unternehmen, dass sich RPA bis 2025 zu einer wichtigen Technologie entwickelt.

Die aufgeführten Vorteile können dabei nicht nur dazu führen, dass redundante Aufgaben zuverlässig und schnell ausgeführt werden, um Mitarbeiter zu entlasten, sondern auch dazu, dass rechtliche Voraussetzungen zuverlässig eingehalten werden. Um dies zu gewährleisten, müssen die einschlägigen rechtlichen Voraussetzungen vorab erkannt und in den Prozess-Workflow integriert werden. Mit Blick auf die Zukunft bleibt weiterhin zu beobachten, wie sich RPA gerade unter einer möglichen KI-Implementierung und den damit einhergehenden rechtlichen Anforderungen weiterentwickelt. (bw)

Zur Studie "Robotic Process Automation 2020"