Deutsch lernen mit „Unser Leben und unsere Erinnerungen“ auf Deutsch Titelbild

Deutsch lernen mit „Unser Leben und unsere Erinnerungen“ auf Deutsch

Deutsch lernen mit „Unser Leben und unsere Erinnerungen“ auf Deutsch

Von: RAHUL SHARMA NEHA KULSHRESHTHA
Jetzt kostenlos hören, ohne Abo

Über diesen Titel

Vorbereitung für Deutsch Prüfung von B2.1 bis C2RAHUL SHARMA, NEHA KULSHRESHTHA Sprachen lernen
  • German Podcast Episode #225: Rahul's top seven skills as Legal-Tech IT Compliance Strategist
    Aug 31 2025

    Rahul: Ganz genau, Neha. Eine DSFA ist kein Selbstzweck, sondern ein proaktives Werkzeug. Laut Artikel 35 der DSGVO ist es verpflichtend, wenn eine Verarbeitung, besonders mit neuen Technologien, voraussichtlich ein hohes Risiko für die Rechte und Freiheiten von Personen zur Folge hat. Die Aufsichtsbehörden haben dazu sogar Positivlisten, etwa für die umfangreiche Nutzung von Gesundheitsdaten oder großräumige öffentliche Überwachung.

    Neha: Verstehe. Also erst die Notwendigkeit prüfen. Und wenn sie notwendig ist, wie gehst du dann vor? Ich nehme an, es geht weit über eine einfache Checkliste hinaus.

    Rahul: Absolut. Es ist ein systematischer Prozess. Zuerst beschreibe ich die Verarbeitungsvorgänge im Detail: Welche Daten, warum, wer hat Zugriff? Dann werden interne Stakeholder konsultiert – der Datenschutzbeauftragte, IT-Security, die Fachabteilung. Ein kritischer Schritt ist die Bewertung von Notwendigkeit und Verhältnismäßigkeit; sammeln wir vielleicht schon zu viele Daten ein? Der Kern ist dann die eigentliche Risikobewertung: Was könnte schiefgehen? Unbefugter Zugriff, Datenleck, Diskriminierung durch einen Algorithmus?

    Neha: Also identifiziert man die Risiken und plant dann entsprechende Gegenmaßnahmen.

    Rahul: Genau. Für jedes Risiko plane ich Maßnahmen, etwa Verschlüsselung als technische Maßnahme oder Mitarbeiterschulungen als organisatorische Maßnahme. Alles wird dokumentiert, und die DSFA ist ein lebendes Dokument. Sind die verbleibenden Risiken immer noch hoch, muss sogar die Aufsichtsbehörde vor Projektstart konsultiert werden.

    Neha: Sehr spannend. Diese risikobasierte Herangehensweise ist ja auch zentral, wenn man mit externen Dienstleistern arbeitet. Deine zweite Kernfähigkeit ist die Verhandlung und Gestaltung von IT-Verträgen, speziell für SaaS/Cloud und Auftragsverarbeitungsverträge, oder?

    Rahul: Richtig. Outsourcing der Verarbeitung bedeutet nicht Outsourcing der Verantwortung. Artikel 28 DSGVO schreibt hier einen vertraglichen Rahmen zwingend vor. Ohne einen ordnungsgemäßen AVV – auf Englisch DPA – ist die Datenweitergabe sogar illegal.

    Neha: Was sind denn die absoluten Mindestanforderungen, die so ein AVV enthalten muss? Worauf achtest du besonders?

    Rahul: Das Herzstück sind die Pflichten des Auftragsverarbeiters. Er muss nach dokumentierten Weisungen handeln, Vertraulichkeit sicherstellen, alle technischen Maßnahmen nach Artikel 32 umsetzen – also Verschlüsselung usw – und für den Einsatz von Unterauftrag Verarbeiten die ausdrückliche Zustimmung einholen. Ganz wichtig sind auch Klauseln zur Löschung nach Vertragsende und das Recht des Kunden auf Audits oder zumindest Prüfberichte, wie ISO-27001-Zertifikate.

    Neha: Das klingt, als wäre die Due Diligence vor Vertragsunterzeichnung extrem wichtig, um überhaupt einschätzen zu können, was man vertraglich fordern kann und was nicht.

    Rahul: Exakt. Das führt uns direkt zur dritten Kompetenz - der Lieferanten Risikobewertung. Begeht ein Dienstleister einen Verstoß, haftet auch der Verantwortliche. Daher muss man Partner sorgfältig auswählen und überwachen. Die Bewertung beginnt mit dem Scoping: Verarbeitet der Lieferant besonders schützenswerte Daten? Dann folgt ein detaillierter Due-Diligence-Fragebogen zu Themen wie organisatorischer, technischer und physischer Sicherheit.

    Neha: Und auf Basis der Antworten wird dann eine risikobasierte Entscheidung getroffen.

    Rahul: Ja. Jede Lücke ist ein potenzielles Risiko. Die Entscheidung kann dann sein: Genehmigung, Ablehnung bei zu hohem Risiko oder Genehmigung mit Auflagen, die wiederum vertraglich im AVV fixiert werden. Und das ist kein One-Time-Task; die Überwachung ist kontinuierlich, mit jährlichen Re-Audits.

    Neha: Sehr wichtig. Nun, die besten Verträge und Prozesse nützen wenig, wenn das eigene Team nicht mitzieht. Deine sechste Fähigkeit ist daher Schulung und Sensibili...

    ***

    Read the German and English text here:

    https://docs.google.com/document/d/1oEspwKpwMcjlN5BkId5-KTNIs7pywqDbp8g1lYnU2fg/edit?usp=sharing

    ***

    Mehr anzeigen Weniger anzeigen
    12 Min.
  • German Podcast Episode #224: Rahuls Erfahrung mit OneTrust, der Privacy-Management-Software
    Aug 19 2025

    Neha: The pleasure is all mine! Today we want to delve deeply into your practical experiences with the privacy management software OneTrust. A tool that is absolutely indispensable in today's data-driven world to ensure compliance, especially with the GDPR. Let's start right away with a core element, the Data Protection Impact Assessment, or DPIA. Rahul, how did you concretely set up a workflow for a DPIA according to Article 35 GDPR in OneTrust?

    Rahul: Exactly, the starting point is always a template tailored directly to the requirements of Article 35. I then configure a detailed questionnaire where the business units must provide information on the categories of data processed, the purposes of processing, the recipients, and any transfers to third countries. Based on these inputs, the system then automatically assesses the risk – so low, medium, or high.

    Neha: And for high-risk assessments, an automatic escalation mechanism hopefully kicks in, right? Because that's the critical point.

    Rahul: Absolutely. That's precisely why you set up an automatic escalation to the Data Protection Officer. The final report is archived and is immediately available for a potential inquiry from the supervisory authority. I carried out this entire process, for example, at my former employer, for a clinical trial platform. We were processing highly sensitive health data there, and OneTrust helped us identify the risks early on.

    Neha: That's a perfect example. What concrete measures were you able to take as a result?

    Rahul: OneTrust enabled us to act proactively. As a result, we introduced pseudonymization and enhanced 'Human Oversight', among other things. This not only fulfilled the requirements of Art. 35 GDPR but also acted in the spirit of the Google Spain case, where the ECJ emphasized the need for particularly careful balancing of interests.

    Neha: Very important. But OneTrust is more than just DPIAs. A huge topic is vendor risk management. How did you use the tool to automate third-party risk assessments and the management of Standard Contractual Clauses, the SCCs?

    Rahul: Right, that's a central use case. I configured automated questionnaires that are sent directly to the third-party vendors. These check their technical and organizational measures, the TOMs, and the data flows. The system evaluates the answers and immediately marks missing safeguards or risky data transfers outside the EU without SCCs in red. Subsequently, I integrated the SCCs according to Article 46 GDPR into the contracts and documented this process meticulously in OneTrust.

    Neha: Meticulous documentation was, especially after the Schrems II ruling by the ECJ, no longer just nice-to-have but absolutely critical.

    Rahul: Exactly. At MetLife, I oversaw over 200 such vendor assessments. After Schrems II (July 2020), it was vital for survival that we not only implemented the SCCs but also meticulously documented their implementation. To get an even more comprehensive picture, I often used TrustArc additionally to be able to comparatively evaluate international vendors against both U.S. and EU standards.

    Neha: Very prudent. Let's come to a topic where every second counts: Incident Response. The 72-hour notification duty for data breaches is a tremendous challenge. How does OneTrust support that in practice?

    Rahul: By rehearsing the processes beforehand. I configured so-called breach simulations in OneTrust. If an incident is logged, the system automatically classifies its severity and – this is crucial – a 72-hour timer starts immediately. In parallel, the software already generates drafts for the notifications to the supervisory authorities and the data subjects, as required by Articles 33 and 34 GDPR.

    Neha: It sounds like you can save valuable hours and minutes in an emergency that way.

    Rahul: Precisely. At MetLife, we practice...

    ***

    Read German text here:

    https://docs.google.com/document/d/1oEspwKpwMcjlN5BkId5-KTNIs7pywqDbp8g1lYnU2fg/edit?usp=sharing

    ***

    Mehr anzeigen Weniger anzeigen
    12 Min.
  • German Podcast Episode #223: Rahuls Schlüsselerfolge als Senior IT Counsel seit 2010
    Aug 13 2025

    Neha: Hello dear listeners! A warm welcome to a new episode of our mini-series about Rahul's key achievements as Senior IT Counsel since 2010. Today we're focusing on international AI governance – a field requiring deep cross-border expertise. Rahul, you collaborated with teams in Germany, India, and the USA to shape global AI governance. What makes this cross-border collaboration so complex?

    Rahul: The core lies in the extremely divergent legal frameworks, Neha. Compare just the EU with its strict AI approach, India's data protection laws still emerging until 2023, and the fragmented US regulatory environment. A prime example: WhatsApp's challenges in 2021 – the EU enforced privacy policy changes while Indian regulators questioned the same policy. Genuine collaboration can cushion such divergences.

    Neha: Fascinating! You mentioned sharing knowledge through company-wide GDPR implementation. How does this create a unified foundation?

    Rahul: By establishing GDPR as a global benchmark – even for India and the US. Another key issue: Data transfers post-"Schrems II". We formed task forces to manage EU-India/US transfers via Standard Contractual Clauses. That's lived legal collaboration.

    Neha: This extends beyond pure legal aspects, right? You mentioned cultural differences, like employee involvement.

    Rahul: Exactly! German works councils must be consulted for AI monitoring – not required in India. I ensured German requirements like employee notifications were respected worldwide. Similar to how Microsoft extended GDPR rights globally.

    Neha: Let's explore your practical example. At your former company with customers and stakeholders in Germany and the USA – how did you structure AI governance?

    Rahul: The Bi-national "AI Governance Council" with legal and technical experts from both regions was crucial. Together we developed a unified policy aligned with the strictest standard – GDPR plus the upcoming EU AI Act as baseline.

    Neha: What advantage did this offer regions with more lenient laws like India at that time?

    Rahul: Even the Indian office followed high privacy and transparency standards – though not locally required. This prevented fragmentation and prepared us for new laws like India's DPDP Act 2023.

    Neha: How did knowledge exchange work concretely in the council?

    Rahul: The German team shared DPIA methods for AI, and the US team shared NIST risk management practices. This ensured AI models were built to GDPR principles from inception – no retrofitting needed.

    Neha: Practical benefit during problems? Say, a bias incident in Germany.

    Rahul: Precisely! If bias was detected in Germany through an AI audit, the global team used these findings for preventive correction in all regions. This avoided potential US lawsuits or Indian regulatory proceedings – global synergy instead of silos.

    Neha: Which legal foundations support this approach?

    Rahul: No direct "collaboration law," but: GDPR became a de facto global standard. OECD AI Principles and GPAI promote international ethics consistency. We leveraged these "soft laws" to create internal policies meeting Germany's strictness while influencing India/US early.

    Neha: How do you respond to different supervisory bodies – EU Data Protection Board, India's new Data Protection Authority,or US’s FTC?

    Rahul: A unified global policy is key here! It demonstrates we apply high standards worldwide. Also regarding employee rights: We reduced disparities between German co-determination and US regulations – minimizing conflict risks.

    Neha: So fundamentally: Leadership through proactive harmonization?

    Rahul: Yes! We smoothed regulatory differences and were prepared when laws caught up in more lenient jurisdictions. This forward-looking risk management builds trust with regulators – potentially even milder sanctions if issues arise.

    ***

    Read German text here:

    https://docs.google.com/document/d/1oEspwKpwMcjlN5BkId5-KTNIs7pywqDbp8g1lYnU2fg/edit?usp=sharing

    ***

    Mehr anzeigen Weniger anzeigen
    7 Min.
Noch keine Rezensionen vorhanden