IT meets Law
This is a modal window.
Das Video konnte nicht geladen werden, da entweder ein Server- oder Netzwerkfehler auftrat oder das Format nicht unterstützt wird.
Formale Metadaten
| Titel |
| |
| Untertitel |
| |
| Serientitel | ||
| Anzahl der Teile | 94 | |
| Autor | ||
| Lizenz | CC-Namensnennung 4.0 International: Sie dürfen das Werk bzw. den Inhalt zu jedem legalen Zweck nutzen, verändern und in unveränderter oder veränderter Form vervielfältigen, verbreiten und öffentlich zugänglich machen, sofern Sie den Namen des Autors/Rechteinhabers in der von ihm festgelegten Weise nennen. | |
| Identifikatoren | 10.5446/45822 (DOI) | |
| Herausgeber | ||
| Erscheinungsjahr | ||
| Sprache |
Inhaltliche Metadaten
| Fachgebiet | ||
| Genre | ||
| Abstract |
|
00:00
HTTPXMLUMLVorlesung/KonferenzComputeranimation
01:05
Besprechung/InterviewComputeranimation
02:00
SAP <Marke>Open SourceVerfügbarkeitSoftwareSAP <Marke>SoftwareFolge <Mathematik>Open SourcePhysikalische GrößeVerfügbarkeitFunktionalitätVersion <Informatik>Restriktion <Mathematik>Computeranimation
06:31
Open SourceSoundverarbeitungSoftwareSoftwareOpen SourceTyp <Informatik>FokalpunktFächer <Mathematik>Computeranimation
08:55
NetzadresseDynamic Host Configuration ProtocolComputeranimation
10:23
ZugriffCafé <Programm>E-MailFolge <Mathematik>RegelungZugriffp-BlockBefehl <Informatik>Computeranimation
14:20
Wurm <Informatik>E-MailComputeranimation
15:52
E-MailLösung <Mathematik>APPELL <Programm>DatenträgerComputeranimation
17:10
Mail ServerMomentenproblemE-MailComputeranimation
18:57
DatennetzRouterDatennetzRouterMomentenproblemHomepageLogarithmusSwitch <Kommunikationstechnik>FirewallDatenmissbrauchSSLAussage <Mathematik>Computeranimation
21:39
Drahtloses lokales NetzProtokollierungSicherungskopieSicherungskopieLogarithmusMeterE-MailHausdorff-RaumDateiDrahtloses lokales NetzPhysikalische GrößeStruktur <Mathematik>Computeranimation
26:08
ZugriffE-MailZugriffSAP <Marke>SoftwareLinieComputeranimation
27:50
ZugriffKraftMicrosoftIBM Client AccessVerträglichkeit <Mathematik>BetriebssystemVirtuelles privates NetzwerkComputeranimation
29:36
PunktwolkeWindows AzureSAP <Marke>AnwendungssoftwareSystems <München>DatenparallelitätComputeranimation
31:38
ZahlFolge <Mathematik>InternetkriminalitätStreuungsdiagrammDrahtloses lokales NetzAggregatzustandComputeranimation
36:11
Künstliche IntelligenzComputeranimation
36:58
SoftwareObjektverfolgungHomepageGoogle AnalyticsGoogleSoftwareObjektverfolgungComputeranimation
38:13
AnonymisierungNoten <Programm>ProgrammiererAnonymisierungSkriptspracheMAX <Programm>Computeranimation
41:04
AnonymisierungComputeranimation
42:16
ZahlenbereichVerträglichkeit <Mathematik>PotenzialfeldFolge <Mathematik>Computeranimation
45:38
Künstliche IntelligenzKünstliche IntelligenzHumanoider RoboterSystems <München>Computeranimation
46:34
Künstliche IntelligenzMechanismus-Design-TheorieFächer <Mathematik>SoftwaretestEntscheidungstheorieSoftwareComputeranimation
47:53
VorhersagbarkeitComputeranimation
49:39
InformatikComputeranimation
50:26
E-MailComputeranimation
51:32
Lösung <Mathematik>E-MailSupremum <Mathematik>Machsches PrinzipMengeNetzadresseFacebookVorlesung/Konferenz
01:00:01
openSUSEComputeranimation
Transkript: Deutsch(automatisch erzeugt)
00:07
Ja, dann hallo und herzlich willkommen zum Vortrag IT meets Law, rechtliche Aspekte im IT-Alltag. Zunächst möchte ich Ihnen das Ziel, möchte ich euch das Ziel des Vortrags vorstellen.
00:20
Natürlich möchten wir nochmal die DSKVO ausführlich erklären. Habt ihr sicher noch nicht genug gehört in diesem Jahr, können wir nochmal ausführlich durchdiskutieren. Nein, natürlich nicht. Möchten wir nicht. Vielmehr möchte ich einen Überblick und Impulse geben über die rechtlichen Aspekte im IT-Alltag. Also im ganz regulären Admin-Geschäft, was passiert euch oder uns allen an juristischen Fragen.
00:45
Bitte beachten an der Stelle, es ist nur ein Überblick. Ein erster Einblick, ich glaube, würde ich alles aufzählen wollen, wenn wir den ganzen Tag und den Rest der Woche, der kommende Woche beschäftigt. Deswegen ist es auf einer Basis für weitere eigene Betrachtungen. So ein paar AHA-Effekte hoffentlich, genau, dann schauen wir mal.
01:05
Zunächst möchte ich die Autoren vorstellen. Zu, hinter mir gesehen, der junge Mann ist Sven Jacobs. Sven Jacobs ist Jurist bei Norton Rose Fulbright mit den Schwerpunkten Datenschutz, Softwarelizenzen und Outsourcing.
01:21
Sven Jacobs hat maßgeblich den juristischen Teil dieses Vortrags gestaltet und die ganzen juristischen Spitzfindigkeiten versucht darzustellen. Mein Name ist Mike Wienströhr. Ich bin IT-Leiter einer privaten Hochschule und nebenher selbstständig mit IT Meets People,
01:40
wo ich mich genau mit diesen Themen beschäftige, mit Business Alignment, sprich die Zusammenarbeit von der IT mit den operativen Bereichen und auch viel Transfer, den wir heute hören, weil Juristen reden juristendeutsch und wir brauchen alle IT-Deutsch, fürchte ich.
02:01
So, wenn wir über Rechte reden und IT, woran denken alle zuerst? Woran denkt ihr zuerst? Kein DSGVO, kein DSGVO haben wir gesagt. Ich glaube, das war auch schon der Punkt, Lizenzmanagement.
02:22
Viele denken erst mal an Abmahnungen, Lizenzmanagement, sprich, bedizensiert bin ich es nicht. Jeder kennt das, die Audits kommen, alle Firmen zittern einmal kurz. Lizenzmanagement ist aber bereits gut geübt. Viele Firmen haben zentralen Einkauf, man kennt die Konditionen, man hat speziell ausgebildete Fachkräfte.
02:42
Eigentlich alles ganz einfach, meint man. Jetzt gibt es aber die indirekte Nutzung als Herausforderung. Indirekte Nutzung, kennt das jemand? Muss ich noch nicht. Unsere indirekte Nutzung bedeutet, ihr habt Software A und kauft Software B.
03:03
Software B nutzt Teile von Software A, geskriptet von außen. Viele Fragen, Gesichter, wir machen es am Beispiel. Diageo, ein US-Unternehmen, ziemlich groß, hat sich mit der Firma SAP angelegt. Und zwar hat Diageo Software A SAP besessen.
03:24
Und kam auf die komische Idee, Software B Salesforce einsetzen zu wollen. Hat es auch gemacht, hatte named User Licenses bei SAP. Jetzt hat aber Salesforce über SAP Funktionalitäten auf SAP zugegriffen. Was dafür sorgt, dass SAP sagt, es ist kein Named User License mehr, müsste er extra bezahlen.
03:46
In dem Fall ging es um dreistellige Millionenbeträge, die nachgefordert wurden an Lizenzkosten. Diageo hat leider vor Gericht verloren gegen SAP, aufgrund dieses named User Constructs. Es zeigt aber schon jetzt gerade auf, was ist passiert, es ist nämlich ein Graubereich.
04:04
Das heißt, es gibt dort keine klare Regelung, was ist eigentlich indirekte Nutzung? Gibt es das eigentlich, gibt es das nicht? Einige Juristen sagen definitiv, SAP sagt definitiv, wir wollen das Geld haben. Andere sagen, das kann gar nicht sein. Das heißt, auch da fängt es schon an, ihr braucht individuelle rechtliche Unterstützung.
04:24
Was ist indirekte Nutzung? Nicht einfach machen, vorher fragen im Idealfall. Zweite große Themenbereich, Lizenzen, Open Source Lizenzen. Wenn ihr jetzt ein Line fragt, was ist Open Source? Die erste Sache, die er sagen wird, Open Source, kostenlos.
04:42
Kann ich nutzen, kann ich machen, was ich will? Wunderbar, alles ist glücklich. Schwierig. Meistens ist Open Source viel mehr möglicherweise mit Folgen und Restriktionen versehen. Das heißt, ihr müsst euch Gedanken darüber machen, was heißt das? Wenn ihr zu einem Geschäftsführer geht und sagt, dieses Open Source Thema hat Folgen und Restriktionen,
05:02
wird ihr im Regelfall sagen, gut, dann machen wir es einfach nicht. Kein Open Source mehr, fertig. Es ist nicht ganz so einfach, weil wir brauchen alle Open Source. Und zwar unter zwei Gesichtspunkten, Wirtschaftlichkeit und Verfügbarkeit. Es gibt genug Open Source Projekte, die wiederum so groß sind und so ausgereift sind,
05:25
wo es einfach gar kein proprietäreres Gegenstück gibt. Und wenn es eines gäbe, müsstet ihr es kaufen. Das heißt, das Geld habt ihr gar nicht, es würde euren Marktpreis erhöhen. Dadurch wird es unattraktiv werden auf dem Markt.
05:42
Also die erste Reaktion vom Geschäftsführer, bitte nicht mehr machen, geht gar nicht. Ihr müsst es machen. Das heißt, wir müssen damit umgehen lernen irgendwie. Was machen wir also zuerst? Wir schauen zuerst, was nutzen wir eigentlich? Welche Software, also welche Namen, welche Version der Software?
06:04
Bitte nicht den Fehler machen und glauben, ich weiß es ja. Wir können ganz ehrlich sein, ich bin IT-Leiter. Wenn ich einen Überblick brauche, frage ich meine Mitarbeiter, was nutzt ihr denn so? Und bin immer wieder fasziniert, was als genutzt wird, ohne dass ich es wusste.
06:21
Also sehr viele Sachen passieren schnell im Graubereich. Also Projektmanager-Fragen, Administratoren-Fragen, die Bereiche-Fragen. Also die Frage, wie geht ihr damit um? Nach der Bestandsaufnahme müsstet ihr die Lizenz herausfinden. Darum braucht ihr die Version, weil es kann passieren,
06:42
dass Open Source-Projekte innerhalb von Versionen die Lizenz wechseln. Ihr müsst aber die konkrete Lizenz herausfinden, die ihr benötigt. Meistens noch ganz einfach ist eine Google-Anfrage und ihr habt es raus. Dann müsst ihr aber die Lizenz zuordnen. Das heißt, auch da gibt es verschiedene Typen von Lizenzen.
07:02
Es gibt permissive Lizenzen und die Frage an der Stärke des Copy-Left-Effekts. Der Copy-Left-Effekt wiederum beschreibt, ob ihr das, was ihr mit diesem Stück Software entwickelt, auch als Open Source veröffentlichen müsst. Das kann für Unternehmen, die Software als ihr Eigentum sehen, also nicht Open Source machen, schon sehr schwierig werden.
07:24
Auch da jetzt betraten wir uns jetzt weiter mit dem Fokus eines Unternehmens, was Software nicht Open Source, sondern als wirtschaftliches Gut sehen würde. Denn permissive Lizenzen, wehe Konsequenzen hat das Ganze. Sie sind nutzbar aus juristischer Sicht, problemlos einsetzbar, problemlos nutzbar.
07:45
Die Urheber müssen genannt werden und die Lizenzbedingungen müssen weitergegeben werden. Da gibt es genug bekannte Beispiele, OpenWrt zum Beispiel. Alle liefern es aus, es ist gar kein Problem. Beim starken Copy-Left-Effekt, der Jurist würde sagen, macht mal lieber nicht.
08:05
Weil man müsste die Software veröffentlichen, möchte man nicht. Oder die Architektur der Software so aufbauen, dass der Copy-Left-Effekt ausgeschlossen werden kann. Das heißt, ihr müsst dann einen Teilbereich so abspalten, dass ihr den veröffentlichen könntet, aber nur den Teilbereich veröffentlichen müsst.
08:21
Sehr komplex in der Architektur, für viele Firmen auch sehr teuer, wenn Software schon vorhanden ist. Also da sehr schwierig. Ein schwacher Copy-Left-Effekt braucht die Einzelfallprüfung. Da braucht ihr den Juristen wiederum oder jemand, der wenig Lizenzmäßig sehr tief drin ist und sich Gedanken machen kann,
08:41
was heißt das konkret für uns als Unternehmen? Wie können wir damit umgehen? Lizenzmanagement haben wir jetzt eigentlich gemacht. Jetzt können wir alle wieder gehen. War das schnell? Nein, die Frage ist, ist Lizenzmanagement alles? Natürlich nicht. Es gibt noch viel mehr.
09:00
Dazu möchte ich euch alle einladen zu einer Reise. Wir fangen jetzt quasi in eurem Arbeitsalltag morgens an und nehmen daraus Ausschnitte. Zu Beginn möchte ich aber personenbezogene Daten kurz vorstellen. Was das bedeutet, weil wir uns immer wieder begegnen, ist einfach, wenn ihr es schon wisst. Ganz übliche Definitionen.
09:22
Alle Informationen, die sich auf eine identifizierte oder identifizierbare, natürliche Person beziehen. Ihr sagt schon, ja, und jetzt? Kenn ich ja schon. Üblicher Begriff. Die Beispiele auch da, ist denke ich mal relativ bekannt. Was nicht allen bekannt ist,
09:42
es gibt sogenannte indirekte Identifizierung über Dritte. Zum Beispiel eure IP-Adresse ist personenbezogen, weil der DHCP-Betreiber, sei es ein Provider, sei es ihr selber, wer auch immer, könnte rückfolgen, wer das ist.
10:01
Das heißt, sobald ihr einen Dritten dazwischen setzen könnt und der wiederum beide Seiten kennt, sind die Daten personenbezogen. Ist für viele Menschen erst mal sehr ungewohnt, wird damit wieder der Kreis der personenbezogenen Daten auf einmal enorm groß. Aber da an der Stelle, schon mal merken, werden wir gleich noch ein paar mal wiederfinden, dieses Problem.
10:24
Denn morgen beginnt natürlich bei euch allen so. Schönen Kaffee, handschriftlich, am schönen Tisch, ganz entspannt. Hier schon die ersten Träume von Montagmorgen, wunderbar. Nein, die Wahrheit ist meist anders. Ihr sitzt mit einem Starbucks-Kaffee bestenfalls am Tisch,
10:43
schreibt von den ersten E-Mails, Telefon, Links daneben, aber seid entsprechend voll schon im Business. Die E-Mails sind heute der erste Ansatzpunkt. Ihr schreibt E-Mails, prinzipiell erst mal unkritisch. E-Mail ist aber durch das Fernmeldegeheimnis bereits geschützt.
11:01
Auch da werden wir die ersten sagen, ja, und jetzt? Ist doch klar. Das heißt aber, unbefugtes Abhören, Unterdrücken sowie Verwerten ist nicht gestattet, insofern keine gesetzliche Vorschrift dies gestattet. Der letzte Teil, insofern keine gesetzliche Vorschrift dies gestattet, ist sehr wichtig. Das heißt zum Beispiel, wenn Staatsanwälte
11:21
die Suchenbefehle erlassen oder Überwachung autorisieren, das ist gesetzlich. Wieder erwarten, was viele mir schon gesagt haben, ist mein Chef nicht auch Gesetz? Nein. Ein Chef kann es meinen, er ist keine gesetzliche Vorschrift. Es geht nur wirklich um juristische Themen.
11:40
Das ist die erste Frage natürlich. Hat das überhaupt Folgen für mich? Fragen am Ende bitte. Danke. Ich weiß nicht, welche Folgen hat das. Ist mir das nicht egal? Viele werden sagen, ja klar. Nee, ist nicht egal. Ihr macht einen Virencheck. Ihr prüft die E-Mails und setzt sie vielleicht sogar in Quarantäne.
12:01
Zum einen, ihr prüft E-Mails. Aha, ihr hört sie ab, ihr guckt rein. Quarantäne oder Blocker sogar noch, Spamfilter. Ihr werft sie sogar weg, Unterdrücken. Das heißt, rein juristisch betrachtet müsstet ihr jede E-Mail, jede Viagra-Werbung den Medien zustellen. Wollt ihr alle nicht, müsstet ihr aber tun.
12:23
Der Virencheck selber, auch damit wie viele Firmen gesagt, ja voll einfach, macht ein Programm, ist voll objektiv, gar nicht schlimm. Jetzt kommt aber die Herausforderung. Die Nachprüfung macht meistens Mitarbeiter. Mir persönlich ist ein Fall bekannt, wo ein Mitarbeiter das gemacht hat
12:40
und auf einmal vor seinem Kollegen Aktbilder gefunden hat. Weil zwei Kollegen hatten eine homosexuelle Beziehung und haben Aktbilder ausgetauscht über die Firmen-E-Mail-Adresse. War für den Kollegen ein bisschen schwierig, weil das Thema nackt.jpg, wo er Hoffnung hatte, hat den Kollegen gezeigt. Also auch da sehr schwierig.
13:01
Spätestens dann habt ihr das Problem, der Kollege hat reingeguckt, er hat sie also abgehört, unterdrückt auch noch und verwertet. Er wird sagen, ich weiß was. Also sehr schwierig an der Stelle. Ein weiterer schwieriger Punkt sind Krankheiten und Vertretungsfälle.
13:21
Jeder kennt das, der Vertriebler ist krank geworden. Was passiert, der Chef muss unbedingt reingucken, ist die Zusage gekommen, unbedingt jetzt. Geht nicht, weil Zugriff ist nicht erlaubt. Die Box ist tabu für euch. Es sei denn, der Mitarbeiter selbst hat die Freigabe gegeben. Er hat selber eine Agenteneinrichtung wie auch immer.
13:42
Bei Krankheiten trifft einen meistens unerwartet. Auch da dürft ihr nicht reingucken. Die Lösung für diese Probleme sind betriebliche Regelungen. Ihr müsst also vorher diskutieren und einmal definieren, was darf wer wann tun.
14:02
Darf ich meine Firmen-E-Mail privat nutzen? Mit welchen Konsequenzen? Oder darf ich sie beruflich nutzen? Wer darf reingucken, mit welchen Konsequenzen? Und das müsst ihr auch den Mitarbeitern vorher mitteilen. Nicht regeln ohne Mitarbeiter ist eine dumme Idee, klappt nicht.
14:20
Bei E-Mails gibt es auch einen Sonderfall, Archivierung. Es gucken alle sehr entspannt, teils gelangweilt. Okay, ihr kennt es noch nicht. Schwierig. Vielen unterliegen eine Aufbewahrungsfrist für bestimmte Dokumente. Zum Beispiel Angebote, zum Beispiel steuerrechtlich relevante Themen, Absprachen und so weiter.
14:41
Die erste Frage, die sie stellt, wie könnt ihr diese Dokumente herausfinden? Die ersten sagen, na ja, mein Vertriebler muss sie halt markieren. Richtig schwierig, weil wenn er die Geheimabsprache mit dem Mitbewerber löscht, ist sie trotzdem passiert. Also, wir lösen die vier das meistens.
15:02
Wir sagen einfach, nimm alles. Alles, was reinkommt, rausgeht, wird archiviert. Haben wir es erstmal. Klingt gut, klingt richtig. Technisch gesehen, wie macht man es meistens, damit es richtig revisionssicher auch ist? Warm Medium. Write once, read many. Sprich, einmal beschreibbar, danach zigmal lesbar, aber nicht mehr veränderbar.
15:24
Jetzt haben wir eigentlich unsere Lösung geschaffen. Meint man erstmal. Es kommt aber die nächste Frage. Was passiert mit den Daten nach dem Ausscheiden? Mitarbeiter verlässt uns unternehmen. Was kann da mal passieren? Dummerweise.
15:40
Rente, Kündigung, wie auch immer. Die Frage, ist das schlimm? Ja, für euch dann ziemlich. Weil personbezogene Daten müssen gelöscht werden, insofern diese nicht weiter genutzt werden dürfen oder auch bewahrt werden müssen. Jetzt fällt ihr quasi zurück auf die erste Frage. Wie kann ich herausfinden, welche Dokumente auch bewahrt werden müssen?
16:02
Ich darf nicht in die E-Mails gucken. Und Warm Medium, write once. Ich kann es nicht mehr verändern. Ich kann also nicht mehr selektieren, so einfach. Schwierig für mich. So, jetzt kann man sagen, okay, weiter genutzt werden dürfen. Ich gebe dem Mitarbeiter ein Stück Papier, wo drauf steht, ich darf weiter nutzen.
16:23
Statt euch vor, der Mitarbeiter und ihr gehen im Ärger auseinander. Auch schwierig. Er will es nicht mehr unterschreiben. Auch da wieder ist die Frage, was macht man? Ihr braucht Löschkonzepte. Ihr müsst euch Gedanken machen, wie gehen wir mit diesem Fall der Kündigung oder des Ausstiegs, wie auch immer geartet, um.
16:41
Eventuell, technisch, sogar mit Umkopieren. Das heißt, ihr macht eure Revisionssicherheit mit dem write once Ansatz leicht kaputt. Weil ihr kopiert den Datenträger rüber und manipuliert ihn sogar noch. Eure Revision wird sich freuen mit dieser Anfrage. Das heißt, da muss man wieder Lösungen mit juristischer Natur, mit Notar, mit irgendwelchen Kontrollen.
17:01
Ist ein Riesenaufwand. Also auch da, der Appell macht es euch einfach. Erstellt ein Löschkonzept im Vorfeld. Nächster Sonderfall, bring your own device. Okay, auch da, keiner guckt ansetzt. Ihr habt alle scheinbar entspannte Geschäftsführer. Das ist sehr schön, weil das ist das Problem.
17:23
Der Geschäftsführer möchte ein besseres Handy. Ein schöneres Handy als alle anderen. Die Führungskraft möchte selbiges. Besser, schöner, ich kaufe es mir selbst. Standard ist nur für den Pöbel, nicht für mich. Dadurch wird es ein zunehmendem Trend. Das ist echt schwierig,
17:40
weil was macht ihr, wenn das Gerät verloren geht? Technisch ganz einfach, remote wipe. Das heißt, wenn das Gerät das nächste Mal auf dem Mailserver zugreift, löscht ihr alle Daten auf dem Handy. Daten sind sicher, weil sie sind gelöscht. Sie sind tot. Meint man wieder. Auch da, nächster rechtlicher Fallstreck.
18:02
Weil, sobald private Daten, wie etwa Bilder auf dem Gerät sein könnten, dürft ihr unter Umständen gar nicht mehr löschen. Das heißt, der Geschäftsführer, privates Handy, macht ein Bild von seinem Kind. Ihr wisst es nicht. Was macht ihr jetzt? Ihr ruft an, Handy habe ich vergessen, dem Flieger ist weg.
18:22
Sieht doof für euch aus in dem Moment. Auch da wieder, ihr müsst das regeln im Vorfeld. Ihr müsst euch Gedanken machen, wie gehen wir damit um. Am besten unterschreiben lassen, lieber Mitarbeiter, wir werden dein Gerät löschen. Weil, ihr könnt euch vorstellen, wenn der Geschäftsführer zwei Jahre das Handy hatte, zwei Jahre Kinderbilder gemacht hat,
18:42
das Kind zwei Jahre älter, ich weiß nicht, wie viele Kinder ihr schon habt, die Bilder sind unwirrbringlich weg, wenn ihr sie löscht. Das wird vermutlich euren Job minimal verändern. Ich sage nur das Stichwort, Sonderaufgabe, Kellerarchiv. Nachdem die E-Mails geschrieben sind, möchte ich sie rausschicken durchs Netzwerk.
19:02
Netzwerk selbst, sagt man okay, ein paar Datenpakete, ist doch voll egal. Switches und Router könnten personenbezogene Daten in Logs speichern, wie etwa PC-Namen oder wie eben genannt die IP. Das heißt, eure Switches und Router werden vermutlich
19:20
solche Sachen einfach mitloggen. Müsst ihr, wollt ihr. Dürft ihr auch. Ihr müsst es abwägen. Die Nöwendigkeit für technische Hintergründe ist erst mal erlaubt. Mir selbst sind schon Aussagen von Datenschützern bekannt, die von einen Tag Archivierung, einen Tag Speicherung
19:42
bis hin zu zwei Wochen gehen. Also müsst ihr erst mal einem Datenschützer klären, was er dann bitte für nöwendig hält. Dann keine anerweitige Auswertung erlaubt. Wieder ein beliebtes Beispiel. Euer Chef kommt zu euch und sagt, ich hab das Gefühl, der Mustermann, der kommt
20:01
immer so spät. Kann man mal gucken, wann das PC hochfährt morgens, wann die ersten Damenpakete am Switch ankommen? Ihr dürft nicht reingucken. Ihr müsst, auch wenn ihr es könntet, sagen, darf ich nicht, kann ich nicht, wie auch immer. Wird auch schwierig werden. Danach habt ihr noch Firewalls. Die machen noch schlimmere Dinge, wie eine Deep Packet Inspection.
20:22
Ihr wollt SSL nutzen mit den Homepages. Heutzutage üblich. Standard. TLS, so wie es gerade gehört. Das Bessere. Das Problem ist auch, dass sie verschlüsselt sein. Das heißt, eure Firewall wird aber reingucken. Also müsst ihr zwangsweise
20:40
man in the middle attack die Pakete kurz entschlüsseln. Auch wie Dr. Firewall. Vor einem kurzen Moment einmal entschlüsselt, einmal reinguckt und wieder zugemacht. Kann man jetzt wieder machen, findet aber vielleicht der Mitarbeiter sehr uncool. Also müsst ihr vorher klären, erlaubt eine gesetzliche Vorschrift das
21:01
oder braucht ihr eine Einwilligung. Also mir persönlich ist keine Vorschrift bekannt, die euch als Arbeitgeber eventuell legitimieren könnte, in die Daten der Mitarbeiter reinzugucken. Also, ich fürchte, es wird eine Einwilligungsthematik werden. Das heißt,
21:21
an der Stelle sogar Betriebs- und Personalrat unbedingt einbinden. Weil ihr wollt nicht in die Pakete des Mitarbeiters, der Homebanking macht, reingucken. Technisch gesehen vielleicht schon. Praktisch, wie gesagt, könnte das Personalrat oder Betriebsrat sehr, sehr unglücklich finden.
21:41
Netzwerk, 2.0, WLAN, so das gefährdet in diesem Bereich, sind große WLAN-Strukturen. Warum große WLAN-Strukturen? Ihr zu Hause habt vielleicht einen Router, der ein bisschen Accesspoint macht, passt fertig. Für eine Firma mit mehreren Räumen reicht das selten aus. Die haben mehrere Accesspoints.
22:01
Die alle am WLAN-Controller zusammenlaufen. Das heißt, der WLAN-Controller kennt alle Logs. Er weiß, was passiert. Er weiß, wer wo ist. Er weiß eigentlich mal alles. Das heißt, ich habe eine Polokolierung über die genauen Aufenthalt. Jetzt kommt wieder mein Chef und fragt, der Mustermann, wo ist denn der? Kann ich auf dem
22:22
Controller nachgucken? Hänge am Accesspoint 5, der Point hängt da, um Kreis 5 Meter. Schwierig. Wenn ihr sogar ein richtig enges Netz habt, könnt ihr Kreuzpeilen. Das heißt, ihr könnt sogar gucken, bis auf einen Meter genau unter Umständen laut Cisco, wo die Person sich gerade
22:41
befindet. Auch da wieder, die Frage natürlich, ist der Mustermann wieder bei der Nachbarin quatschen? Warte mal kurz. Ja. Handy ist eingeloggt im WLAN, Handy ist genau da. Schwierig. Auch da braucht ihr Richtlinien. Für IT
23:00
und für Mitarbeiter. Für Mitarbeiter, um zu sagen, was checken wir, in welcher Form überhaupt? Was können wir nachvollziehen? Was werden wir nachvollziehen? Zu welchem Zwecke? Für die IT aber die Frage, was dürfte überhaupt nachvollziehen? Unter welchen Bedingungen? In welcher Weisung?
23:21
Man muss vielleicht die Frage sogar stellen, braucht die IT alle Rechte auf den System? Oder kann man die User so beschränken, dass sie vielleicht gewisse Peilungen nicht machen können? Brauche ich die im Alltag wirklich? Auch diese Fragen muss ich mir stellen. Nachdem ich jetzt meine E-Mails rausgeschickt habe, möchte ich auf die ersten Daten zugreifen.
23:41
Mein Fileservice. Mein Fileserver selber ist die Ablage für Dateien verschiedenster Art. Das zeigt bereits die erste Herausforderung. Wir finden da öffentliche Daten, wie Werbebusschüren, bis hin zu Person mit solchen Daten, wie etwa Geheizlisten. Das haben wir zwei Pole und dazwischen enorm viel grau.
24:02
Das heißt, was machen wir zuerst? Wir kategorisieren die Daten nach Schutzgrad. Das heißt, wir müssen uns Gedanken machen, welche Daten sind wir schutzfähig, schutzpflichtig und welche können wir vielleicht sogar relativ offen in der Firma zirkulieren, Stichwort Werbebusschüren. Kann jeder reingucken, ist kein Geheimnis. Liegen sind wir so aus.
24:23
Dann muss eine Bildung und Pflege von Sicherheitsgruppen erfolgen. Auch das, die ersten gehen schon, Mittagloch kommt. Es ist in der Tat sehr einfach. Gut geübt, einfache Geschichte. Dazu eine kurze Anekdote. Der best berechtigte
24:41
Mitarbeiter in vielen Unternehmen, wisst ihr wer das ist? Die nicht immer. Oft die folgt, aber die nicht. Meistens der Azubi. Weil der Azubi geht durch jeden Bereich. Der Azubi gibt immer unsere Rechte. Gibt immer unsere Rechte. Gibt immer unsere Rechte. Die meisten Firmen vergessen aber, die Rechte wegzunehmen.
25:02
Am Ende, nach drei Jahren, ist der Azubi der beste Mann in der Firma. Der kann alles. Sehr schwierig. Das heißt, der Azubi ist zum Beispiel ein Einfallstor für sowas. Auch da aufpassen. Was er auch braucht, ist ein Backup. Gerade keine Unternehmen sagen, back was?
25:22
Wenn euer Fallserver in die Knie geht und nicht wiederkommt in diesem Leben. Und dann kommt die Steuerprüfung. Wer möchte mit der Rechnung sehen? Wer dann sagt, naja, so meine Rechnung, ja, es war Weihnachten, es war ein Crash. Dinge passieren. Findet der Prüfer nicht lustig. Das heißt, es wird euch dann ziemlich
25:41
hart treffen. Aber da ein Backup habt ihr rechtlich zu machen. Und vorzuhalten für eine ganze Zeit. Auch da wieder, wie lange, wie weit? Fünf Juristen, fünf Meinungen. Auch da immer wieder der Appell, fragt euren Juristen oder fragt euren Betreuenden Juristen. Was hältest du denn gerne?
26:03
Und Juristen immer schriftlich fragen, wenn sie verhaftbar sind. Danach Anwendungsserver. Ihr habt jetzt genug Daten gelesen, ihr habt E-Mails geschrieben, ihr wollt noch mal richtig arbeiten. So zur Abwechslung. Auch da wieder Schutzkategorien. Natürlich ist mein SAP-System
26:21
schutzpflichtiger als mein Intranet-Server. Jetzt kommt die große Herausforderung. Externer Support. Was machen viele Firmen heute? Sie haben Software. Ach, ich will aber das schulen lassen. Ich kaufe im Hersteller Support einfach ein. Stört mich doch gar nicht. Kostet meist gar nicht mehr so viel. Und wenn was ist,
26:41
hilft er mir. Okay. Da gibt es zwei Herausforderungen. Zugriff auf offensive Daten und die Haftung. Zum einen, auch wenn ein externer Anbieter mit euch gemeinsam guckt, selbst dann sieht er personbezogene Daten. Euer SAP stürzt ab. SAP guckt drauf und sagt,
27:01
guck mal hier, die Gehaltslisten kann man nicht mehr einsehen. Ach sehe ich doch, da bist du doch mit dem Gehalt, da bist du. Hm, hässlich hässlich. Da muss man drüber reden. Haftung. Was passiert, wenn der Anbieter euch hilft und bei der Hilfe macht er alles kaputt?
27:23
Auch da habe ich selber miterlebt, wie ein großer Storage-Anbieter durch einen Fehler, mal eben, ich glaube, vier Terabyte Daten gelöscht hat. Der kommt jetzt, genau. Dafür haben wir genau diesen
27:40
Offizanverarbeitungsvertrag, genau. Da regeln wir genau solche Themen. Das ist aber in erster Linie natürlich für das Thema offensive Daten sehr wichtig. Die Haftung wird erstaunlich selten geregelt. Man glaubt es immer. Das ist vollkommen richtig. Jetzt kommen wir aber aus der Brille des Anbieters.
28:01
Der wird es tunig nicht erwähnen wollen, weil er müsste haften. Und wenn die IT-Fachkräfte es vergessen, was nicht selten passiert leider, unerfahrener Kräfte oder Vertrag machen wir schon irgendwie fertig. Auch da, ich habe schon Sachen gesehen, man würde Angst bekommen bei diesen Verträgen.
28:29
Vollkommen konform. Das ist die ideale Welt, wie sie sein sollte. Ich weiß aus eigener Erfahrung, die Welt da draußen ist nicht ideal. Viele Firmen lösen leider anders.
28:40
Kommen wir aber gleich noch drauf. In dem Moment, Anwendungsserver, was ebenfalls zu machen ist, Lizenzmanagement. Jetzt gehen wir mal in die hässliche Microsoft-Welt. Viele sagen mir, Lizenzmanagement, warum denn? Der Anbieter selber, der Hersteller, gibt mir Support. Warum soll ich den lizenzieren? Nein, nicht für die Anwendung,
29:02
sondern für das Betriebssystem darunter. Weil Microsoft hat diese ganz lustigen Client Access Licenses, CALS. Mein externer Anbieter hat aber keine CALS in meinem Unternehmen. Das heißt, das sind so beliebte Geschichten bei einem Audit, wo Microsoft direkt guckt und sagt, hat er denn CALS? Hat er sie lizenziert?
29:22
Wer dann sagt, naja, irgendwie machen wir das immer mit einem VPN-Tunnel. Dann freut sich der Auditor und sagt, oh, das wird teuer. An der Stelle darauf achten, Lizenzmanagement kurz erwähnen. Auch da gibt es noch einen Fall, das Outsourcing. Zunehmend
29:40
mehr Unternehmen sourcen komplett aus. Also ganze Applikationen. Ist einfacher. Die machen das 7x24 für mich, vollkommen gut. Beispiele, Zapana Cloud, Azure, alles eine einfache Geschichte.
30:00
Meint man. Dann kommt mal das Thema Datenschutz. Weil die erste Frage ist, wo stehen die Systeme wirklich? Viele Geschäftsführer, wenn ich gesprochen habe, wir sagen Outsourcing, ich habe einen Preis gesehen, voll gut, ich mache das jetzt. Gut. Die Frage, wo stehen die Systeme wirklich, stellt sich fast keiner. Man macht
30:21
es einfach. Sehr schwierig an der Stelle, weil das deutsche Datenschutzrecht ist eins der höchsten, welches wir weltweit kennen. In anderen Ländern gibt es eventuell einen deutlich geringen Schutzbedarf. Wenn ihr mal in die USA guckt und das Thema Datenschutz nennt, sagen die nur Daten was?
30:41
Die kennen das Wort nicht mal. Für die ist das wirklich sehr black box. Dann kommt ihr als deutsches Unternehmen und sagt, wollen wir haben. Dann sagen die, ja, könnte haben. Schwierig. Also müsst ihr prüfen, wo werden die Systeme ausgelagert. Nicht nur stumpf auslagern, auch wohin. Weil ihr müsst für eure Mitarbeiter,
31:01
wenn es bezogen Daten sind, garantieren, dass der Schutzlevel erhalten bleibt. USA. Staatliche Eingriffe. Homeland Security soll per Definition Wirtschaftspynase betreiben. Auch da sind mir Fälle bekannt, wo Konstruktionsdaten rüber geschoben wurden in die USA.
31:23
Der Konkurrenz hat sich herrlich gefreut, die zu kriegen. Zehn Jahre Konstruktionsarbeit, weg. Bitter könnte vielleicht ein Gesprächsstoff mit eurem Chef sorgen, wenn ihr da verantwortlich für wart. Das bleibt beim nächsten Thema. IT-Sicherheit, Cybercrime.
31:43
Wenn ihr mal Projekte gemanagt habt und eine IT-Sicherheitsbetrachtung machen musstet, werdet ihr oft wissen, dass sie vernachlässigt wird. Weil Sicherheit, das sind die Uncoolen. Die Bremsen, die Evolution, die Innovation, die haben immer nur Probleme. Also, was lässt man für gewöhnlich aus,
32:01
als Projektmanager, wenn man gut ist? Sicherheitsbetrachtung. Ist aber schwierig, weil sie zunehmend brisant. Die erste Frage, die ihr stellen müsst, kritis oder nicht kritis? Haben wir hier Leute mit kritis Hintergrund im Vortrag sitzen? Eine zackhafte Hand? Schmerz, was hält das Gesicht? Noch lächeln? Okay.
32:21
Kritis ist das kritische IT-Infrastrukturen-Thema. Und zwar, was ist kritis? Kritis selbst sind Unternehmen, die aus Sicht des Staates für die Gesellschaft wichtig sind. Pharma-Unternehmen, zum Beispiel Lebensmittel-Läden, Wasserwerke, die haben deutlich höhere Schutzanforderungen, die sie nachweisen müssen.
32:42
Wer kritis ist und wer nicht, im Detail können wir es nicht weiter vertiefen, das Thema ist in sich schon sehr unkomplex. Normal, ich glaube, man weiß es eigentlich, wenn man es ist, oder? Man kriegt einen freundlichen Brief drüber, was man gewonnen hat. Also die Kriterien sind im Netz
33:01
verfügbar, bei Interesse gerne lesen. Wenn man den Jackpot gezogen hat, wird es interessant, würde ich mal behaupten. Was war bislang? Die Sicherheit. Viele sagen mir, was war denn bisher? Es gab einen Datenschutz-Lag, ich habe Daten verloren? Naja. 300.000 Euro Strafe maximal
33:21
für das Verschweigen des Datenschutz-Skandals. Schaut euch vor, ihr seid ein Großkonzern. 300.000. Wer mehr Syngst gehört, die Lidl hat 55 Millionen versenkt. Was sind 300.000 dagegen? Zahlt man halt mal. Passiert, weitergehen, zahlen.
33:42
Dann gab es eine sehr undankbare Änderung im Gesetzestext. Und zwar, es wurde angehoben, dieser Wert. Auf 4% des weltweiten Jahresumsatzes oder bis zu 20 Millionen Euro. Einige sagen es, aber andere sagen so.
34:08
Die 4%, auch da haben viele Firmen schon gesagt, macht doch gar nichts, wir haben viele keine GmbHs, tut uns gar nicht weh. Doch, weil 4% zählen auf die Konzerngruppe. Das heißt, alles, was eingenommen wird.
34:20
Bei dieser Zahl werden eingeschätzt Führer auf einmal hellhöriger als bei 300.000. Das heißt, es tut deutlich mehr weh. Was sind die Folgen davon? Die Folgen sind, immer mehr Datenverluste werden veröffentlicht. Viele haben mich schon gefragt, wir haben immer mehr Datenschutzvorfälle, oh mein Gott, wir sind im Unsicherer. Nein, wir
34:40
erfahren sie endlich mal. Wir hören endlich mal davon, weil die Strafen sonst ziemlich weh tun könnten. Beispiele, nur in diesem Jahr. Ohm Cloud musste die Hand heben und hat Datenverluste einräumen müssen. Zum Glück bei einem Whitehead Hacker, aber sie mussten es einmal einräumen. Level One Robotics and Control hat Konstruktionsplaner der Firma Bosch
35:01
verloren. Ziemlich hässlich, war ziemlich teuer für die Firma Bosch. Was kann passieren? Der Datenverlust. Eine betroffene Person könnte euch anzeigen. Ihr habt meine Daten nicht ausreichend geschützt. Starke Behauptung, jetzt kommt ihr. Ihr kommt dadurch
35:22
in die Nachweispflicht. Und zwar ihr müsst nachweisen, dass die Daten nach dem aktuellen Stand der Technik bestmöglich geschützt waren. Typisch juristische Definition. Aktueller Stand, bestmöglich. Geht es noch weicher? Heißt das, dass ihr die Patches
35:40
per Sofa einspielen müsst, jeden Tag? Nein, nicht zwingend. Es ist sehr viel grau, jetzt schon wieder. Ihr braucht einen guten Juristen, der das ausfechten kann für euch. Weil, wenn ihr jetzt noch kommt, mit ja, unser WLAN ist verschlüsselt, mit WEP, glaube ich, habt ihr da bei diesem Thema ein echtes Problem.
36:01
Also, da wieder muss man sehr viel abwägen. Wenn die Anzeige kommt, sollte ihr dringend einen guten Anwalt haben. Neben all dem, was wir heute haben, gibt es auch neue Technologien. Niemand weiß es besser als wir alle, glaube ich, dass die IT sich rasant wandelt. Es passiert immer
36:22
mehr, es kommen neue Technologien, es kommen neue Themenbereiche. Es gibt so ein Problem. Die IT wandelt sich, der Gesetzgeber ist aber weder innovativ noch flexibel. Es gibt da Themenbereiche, ich glaube, jedenfalls man will eines einfallen, wo der Gesetzgeber weit hinter dem Zug herläuft
36:41
und immer versucht aufzuschließen, es aber nicht schafft. Exemplarisch würde ich gerne mal drei Sachen vorstellen. Zum einen Big Data, zum anderen Blockchain und zum dritten Künstliche Intelligenz. Das drei Hype-Themen, die gerade passieren und die euch treffen könnten. Big Data.
37:01
Die erste Frage ist, was ist Big Data? Wir versuchen einfach mal eine Definition zu finden, die für jetzt funktionieren könnte. Ein Datenwerk, der mit herkömmlichen Mitteln nicht mehr genutzt werden kann. Die Definition ist weder perfekt noch gut, aber sie reicht, um für hier zu dienen, hoffe ich doch.
37:21
Was sagen viele Geschäftsführer? Haben wir gar nicht. Daten sammeln wir? Nö. Das Beispiel zeigt es aber. User Tracking in der Software. Da sagen viele noch, haben wir nicht, machen wir nicht. Aber die Homepage, Google Analytics, da werden viele Geschäftsführer immer ganz hektisch und sagen, naja,
37:42
vielleicht haben wir doch was. Und dann ist es interessant, weil, wenn die Daten anonymisiert sind, könnt ihr machen, was ihr wollt damit. Das ist relativ egal dem Gesetzgeber. Wenn die Daten aber pseudonymisiert sind, werden sie vollkommen wie
38:00
personenbezogene Daten behandelt. Das heißt, Datenschutzrecht greift vollkommen. Mit Thema Einwilligung, mit dem Thema Verwertbarkeit, Löschbarkeit und vollem Programm. Machen wir kurz einen Exkurs zum Thema Pseudonymisierung, weil es Anonymisierung ist. Bei vielen Firmen sagen wir, Anonymisierung machen wir immer. Immer machen wir das.
38:21
Aber die meisten wissen nicht mehr, was sie tun. Weil ein Pseudonym ist rückverfolgbar und kann zugeordnet werden. Zum Beispiel Klausur. Ganz begehrt machen viele Professoren heutzutage so, Noten werden ausgehangen. Darf ich aber nicht, wir haben gesehen, personenbezogene Daten, schwierig.
38:40
Jetzt gibt es an der Stelle die Möglichkeit auf die Klausur Name, darunter Pseudonym. Das heißt, Noten hängen aus, mal steht man, wie man es sieht, Superman 85, 5.0. Superman weiß, dass er abgestürzt ist. Der Rest weiß nicht, wer es ist. Nur, jetzt fahren wir wieder zurück
39:01
zum Thema die Dritte, identifizierbar, wir haben die Brücke geschaffen. Der Professor weiß es. Es gibt einen Dritten, der beide Werte kennt. Also stark personbezogen. Chatverläufe, das Gleiche. Ihr habt ein Nickname, Superman84, zur Abwechslung. Auch da an der Stelle,
39:21
der Betreiber weiß eure E-Mail, er weiß wer ihr seid, vermutlich. Euer Chatpartner weiß es nicht, aber der Dritte weiß es. Anonymisierung löst jede Rückschussmöglichkeit auf. Das heißt, zum Beispiel, ihr habt 100 Bestellungen, die durch 4 Kunden ausgelöst wurden.
39:41
Wenn die Daten anonymisiert sind, passiert Folgendes, ihr habt 4 Kunden und 100 Bestellungen. 2 Datenmengen, komplett leer, losgelöst voneinander, losgelöst. Das heißt, ihr wisst nicht, ob der erste Kunde schon 50 Stück bestellt hat. Wüsst ihr nicht mehr. Jetzt gibt es einige Firmen, die mir sagen, das macht ja nichts,
40:01
weil ich ersetze den Kunden Max Mustermann einfach durch die 1, die Tina muss man durch die 2. Und dass ich das durchziehe, per Skript, kann ich logischerweise die Daten wieder benutzen. Aber pseudonymisiert. Weil der Dritte ist der
40:22
Programmierer des Skripts. Irgendeiner hat den Skript geschrieben. Der ist der Dritte, das heißt, der Gesetzgeber sagt auch da, die Daten sind rückverfolgbar, wenn man die Logik kennt. Also werden diese Daten pseudonymisiert. Sie werden nicht anonymisiert. Das heißt, das ist die Praxis. Jeder, dem ihr
40:41
anonyme Daten hinlegt, der darauf abbleiten soll, im Marketing, im Sales, wie auch immer, sagt, was ist das für ein Thürmerhaufen. Das heißt, Daten sind oft nur pseudonymisiert. Achtet darauf. Fragt, wie macht ihr das genau? Wie sind die Daten aus? Guckt, was wann gilt, wann ihr es überhaupt dürft und wann ihr euch
41:00
strafbar macht unter Umständen. Genau, ich darf keinen Merkmal haben, was verbinden kann. Ich muss wirklich komplett 2 Menschenmengen haben. Oder 2 Massen.
41:37
Genau. Guter Hinweis.
41:56
Genau. Die Wahl haben.
42:08
Genau. Also, man sieht viele kleine Bausteine, die noch passieren nebenher, neben dem Thema. Was heißt die mal? Blockchain. Die meisten sagen,
42:20
oh, nicht schon wieder. Gestern zigmal gehört, letzten Jahr zigmal gehört. Das Unterbau von Kryptowährungen, wie zum Beispiel Bitcoin. Ja, kennen wir alle. Hat aber mehr Potential. Zum Beispiel gibt es einen Schuldschein der Landesbank Baden-Württemberg mit der Firma Daimler. Wo beide testen miteinander, wie können wir mit Blockchain umgehen, was kann
42:41
Blockchain eigentlich an Potential bieten für uns? Als Erwaltung gibt es sogar Smart Contracts. Intelligente Verträge. Vielleicht sehen werden für viele Personengruppen erstmal ein Segen. Was sind die Folgen von Smart Contracts? Vermieter hoffen erstmal,
43:00
soll mir Gemieter aussperren zu können. Zahlst du keine Miete, geht die Tür nicht mehr auf. Cooles Konzept. Leasingfirmen wollen die Autos, sollen wir diesenehmer einfach sperren. Kommen wir noch hin. Warten wir ab. Also auch da ist natürlich die Frage, Leasingnehmer wollen Autos sperren. Auch gleiches Konzept. Auto fährt nicht mehr,
43:21
der wird schon zahlen, sonst bleibt er halt stehen. Jetzt die Frage, die es berechtigt. Geht das überhaupt? Sind Verträge in dieser Form überhaupt möglich? Allgemeine Meinung? Ist es möglich, ist es nicht möglich? Nein. Kommen wir drauf, weil es geht auf keinen Fall.
43:42
Verträge haben so genannte Formerfordernisse, wie schriftlich und so weiter. Und wir haben ein Mahnwesen. Wenn euer Mieter nicht zahlt, müsst ihr ihn erstmal darauf hinweisen. Ihr müsst ihn mit der Räumungsklage begleiten. Einfach aussperren ist nicht so cool. Könnte euch ziemlich toll zu stehen kommen. Also geht es aktuell juristisch gesehen nicht.
44:03
Weiterhin gibt es eine Grundfrage. Und zwar, wie kann eine rechtlich gültige, unverbindliche Unterschrift in einer Blockchain passieren? Die Juristen streiten sich per heute noch, wie kann jemand unterschreiben überhaupt? Weil der Konzept, der Vertrag, müsste entgegengezeichnet werden.
44:22
Geht gerade nicht. Es ist nicht möglich. Ihr könnt also keinen Hauskauf eurer Blockchain machen. Weiterhin, auch da, Frage der Haftung, Fehler und Schäden. Was passiert, wenn derjenige bezahlt hat, die Blockchain hat einen Fehler gemacht, und der Mieter wird ausgesperrt,
44:41
kommt nicht mehr in die Wohnung, hat aber bezahlt. Wenn das dürfte, hypothetisch. Also, was macht ihr dann? Es ginge gar nicht. Die Blockchain soll die haften. Wer ist denn die Blockchain, wer ist denn das? Ihr könnt natürlich mal probieren, ein immaterielles Gut zu verklagen. Wird schwierig. Schäden, das Gleiche.
45:02
Der Geschäftsführer will zu einem Vertragsabschluss fahren, Millionenvertrag. Sein Traum. Er geht zum Auto, Auto geht nicht mehr an. Er hat aber bezahlt. Fehler Blockchain. Vertrag kommt nicht zustande, zack. Wer zahlt das? Wer haftet dafür für diesen Schaden?
45:22
Nicht denken, momentan nicht gelöst. Genau, das sind viele weitere Randprobleme, die wir noch haben momentan. Wir gehen damit um. Letzter Themenblock,
45:40
Künstliche Intelligenz im Wandel der Zeit. Jeder kennt ihn, 90er Jahre. Arnold Schwarzenegger, Terminator. Ich sehe schon die ersten gucken verwirrt. Das sind die jüngeren Nationen, schade. Aber wenige kennen Sie. Sophia von Hanson Robotics.
46:01
Während Arnold Schwarzenegger noch ein Schauspieler war und Mensch, ist sie 100 pro Android. Sie ist nicht mehr menschlich. Auch wenn es so aussieht. Die Damen kurz merken, wir werden sie gleich nochmal wiedersehen. Künstliche Intelligenz, das gleiche Problem. Erstmal brauchen wir eine Definition.
46:20
Wir nähern uns jetzt einfach mal mit dem Thema Selbstleitende Systeme. Weil, ist sehr viel zu erklären sonst. Beispiel im Alltag, Amazon, Büchervorschläge, autonomes Fahren, euer Auto packt für euch ein, der Tesla fährt sogar ganz alleine. Komplett in den USA. Sehr üblich zum Beispiel.
46:41
Auch da, Entscheidungen sind nicht vorhersehbar. Wer haftet dafür? Das heißt, der Auto fährt vom Baum. Wer haftet? Der Entwickler, der das geschrieben hat, die Intelligenz? Nein, sie hat gelernt. Die Intelligenz? Wollt ihr ein Stück Software verklagen? Wird schwierig. Auch da, ein
47:00
ganz bekanntes Beispiel, Zielordnung bei Lenkraketen. Es gab den Auftrag, schreibt ein Programm für Zielordnung bei Lenkraketen, was echte Panzer und Attrappen differenzieren kann. Die Tests waren verheerend immer falsch. Was kam raus? Die echten Panzer waren Bilder aus einem Katalog. Sonnen,
47:20
Schein, richtig tolles Wetter. Die Attrappen wurden im Herbst draußen aufgenommen. Bewölbt, dunkel, graues Wetter. Die KI hat gelernt. Sonne, Schein, echter Panzer. Yeah! Das heißt, im Testfall wurden bei Sonnenschein die Panzer zerstört, egal
47:42
ob echte oder Attrappe. Wenn es bewölbt war, war der Panzer generell eine Attrappe. Der Gegner freut sich natürlich, es gäbe weniger Tote, nur sehr ineffizient gewesen. Weitere Risiken, Reputation und regatorische Vorgaben. Thema Chatbots, haben wir gestern schon gehört, mehrfach. Viele Firmen wollen Chatbots
48:02
einsetzen. Sparen sich Mitarbeiter, sparen sich Geld, wunderbar. Aber Emotionen können nicht oder nur sehr schlecht gedeutet werden. Sarkasmus, Zynismus. Euer Kunde ist sarkastisch, zynisch und sauer. Die KI reagiert komplett falsch und denkt er meins ernst. Der Kunde wird noch aggressiver. Das heißt, der Kunde
48:22
wird euch danach nie wieder besuchen kommen. Erstes Problem. Zweit ganz große Zielgruppe, das ist die Pharmaindustrie. Die Pharmaindustrie möchte unbedingt Big Data, das hat sie schon, für Substanzen und KI zum Auswerten der Big Data.
48:41
Heute sind wir schon so weit, zwischen einem ersten Finden der Substanz bis zum Medikament, 10 bis 15 Jahre Dauer. Das heißt, wenn ich das straffen kann, oder mehr Medikament herausbringen kann, werde ich reich. Jetzt kommt mal die Herausforderung daraus. Der Prozess ist nicht nachvollziehbar. Nach 12 Jahren
49:00
wollt ihr im Menschentest gehen. Die Ethikkommission fragt euch, wie habt ihr es denn gefunden, die Substanz? Sagt ihr, ja, der PC ging morgens an und sagte, die ist es. Genau, 42. Jetzt ist die Frage, eure Ethikkommission, wird ihr das freigeben? Vermutlich sagen, ich glaube nicht, weil
49:20
Risiko ist nicht vorhersehbar. Unter Umständen ungewollte Einflüsse. Die KI ist gewachsen. Denkt an die Panzer. Sonnenschein und so weiter. Ihr wisst gar nicht, wie die KI heute denkt. Oder was ihr überhaupt denkt. Ein Beispiel ist die Irgendeine Sofia. Sofia hat in einem Interview
49:40
gesagt, I will destroy humans. Allerliebst. Wurde hinterher als Bug deklariert. Man hat gesagt, naja, kann ja mal passieren. Stellt euch vor, Sofia hätte die Macht über Medikamente gekriegt. Über Pharmastoffe. Sie hätte den Stoff gefunden für euch. Mit der Botschaft.
50:00
Auf einmal nach 10 Jahren werden die Menschen umgefahren, wie die fliegen wahrscheinlich. Weil Sofia hat gefunden. Ihr wisst nicht, wie es ist. Zusammengefasst. Ich glaube, es ist hoffentlich offensichtlich geworden, dass wir wohl Bekannte aus neuen Themen viel Potenzial mitbringen.
50:20
Wir haben momentan die Herausforderungen. Wir haben nicht nur Jura, nicht nur Informatik. Wir haben auch Ethik, Moral, gesellschaftliche Themenbereiche. Thema Autonomes Fahren zum Beispiel. Wen überfahrt ihr? Ihr müsst auf eine Entscheidung treffen. Die KI irrt nicht mehr.
50:40
Die KI entscheidet definitiv. Auch da man sieht deutlich, dass immer mehr Bereiche zusammenwachsen. Sie immer enger werden. Und deutlich fokussierter arbeiten müssen. Auch da der Appell, guckt über euren Tellerrand hinaus. Macht euch Gedanken weiter als nur IT. Fragt nach Moral, nach Ethik, fragt nach Jura.
51:02
Wer es denn möchte. Genau. In diesem Sinne danke ich für die Aufmerksamkeit. Wer noch Anmerkungen, Feedback nachgelagert hat, nicht jetzt sofort, gerne per E-Mail. Ansonsten freue ich mich auf die Fragen.
51:24
Fragen, Anmerkungen. Wir hatten eben ganz hinten eine. Mit dem Vortrag, den ich abgewirkt habe. Bitte.
52:09
Jetzt nage mich nicht fest, ich bin kein Jurist. Aber wenn du dich jetzt immer anmeldest und sagst, ich brauche deinen Namen und deine Adresse. Ich frage, wie heißt du? Sagst du es mir jetzt? Du musst den nutzen.
52:24
Du sagst dem anderen ja ganz offen, du willst ihn durchleuchten. Das sagst du ihm mal ganz ehrlich. Und der andere sagt dann noch, via WhatsApp, hey, ich feiere dich noch. Mach. Also du darfst. Du kannst ihn auf hinweisen, du kannst den Bruch quasi vorher ankündigen.
53:12
Leider. Jetzt muss ich zugeben, ich bin nicht der Jurist. Der Herr Jakobs hebt mir heute an der Stelle. Klingt schlüssig für mich, bin ich ehrlich.
53:20
Mit Teilen müsste ich es passen. Genau.
53:45
Die Challenge trifft ja auch alle Drittanbieter. Wie zum Beispiel dieser Facebook-Icon, der auch immer weiter gibt. Das heißt, sobald ich ihn erlade, ist es schon passiert. Also ich kann ja gar nicht mehr sagen opt out. Schon rum. Eine neutrale Catcher-Seite, genau.
54:01
Genau. Genau. Genau. Ja. Genau. Eigentlich wäre das konsequent richtig, ja. Konform.
54:21
Oberne Hand oben noch. Bitte. Jetzt geht es in die tiefe Jura rein. Muss ich willig passen. Also ich weiß jetzt nicht, inwieweit das kann. Was kann man
54:42
auskoppeln und was könnte man durch die savatorische Klausel am Ende noch aktiv halten mit Gewalt. Müsste ich passen. Auch solche Fragen gerne, wenn die bestehen, juristisch tiefergehende Fragen, an mich schicken. Ich gebe es an Herrn Jakobs gerne weiter mit der Bitte um Stellungnahme. Da bin ich schon tief weg.
55:06
Ja. Schwierig. Genau. Schwierig. Genau.
55:26
Also es ist in der Tat, wir haben es eben schon gehört, ich glaube sogar Ihr Beispiel mit dem Fahrdaten, es ist in der Tat schwierig. Also damit kann man, wenn die Menge nicht so groß ist, rückvollziehen. Also. Okay.
55:45
Ihr Beispiel, okay.
56:15
Genau.
56:46
Also in der Tat, es zeigt deutlich auf, es gibt keine wirklich nicht personenbezogene Daten so einfach. Also es ist in der Tat je nachdem, wie grau oder nicht grau es wird. Also du weißt natürlich schon, wo man sagt okay, die Hürde wird zunehmend höher.
57:01
Es ist nicht so einfach herzustellen. Aber ja, es ist herstellbar. Und damit könnte man den Personenbezug wieder unterstellen. Bitte.
57:35
Das sind die Lösungen. Genau. Das sind die Lösungen. Definitiv. Weitere Fragen, Anmerkungen.
57:42
Bitte. Zum Beispiel,
58:05
wenn, glaube ich nicht, persönlich, weil, wenn Sie mir jetzt ein E-Mail schicken und du mir die E-Mail schickst jetzt, hey, Vortrag war toll. Das war für deine Firma relativ egal. Es bringt ihn dir nicht weiter. Also es geht eigentlich um alle Sachen mit Geschäftsbezug.
58:22
Mit Geschäftsbezug, die halt steuerrechtliche Relevanz haben. Vertragsrechtliche Relevanz haben. Wann ist die gegeben? Genau. Genau. Im Prinzip ja. Aber es ist halt bei E-Mail deutlich inflationärer und deutlich gemischter. Wenn ich meinem Vertrieb da schreibe,
58:41
hey, wie geht es dem Kind? Wieder gesund? Ach, im Übrigen, ich will noch bestellen. Hab ich. Genau.
59:07
Genau. Aber die Differenzierung ist enorm technisch schwierig. Weil, woher soll ein System wissen, was was ist? An Buzzwords. Deswegen.
59:22
Genau. Aber jetzt gibt es die Vertriebler, die ihn halt doch mal auf Sprache nebenher treffen möchten. Und daher schwierig. Also deswegen machen die meisten Firmen einfach nimm alles und fertig. Mit den Konsequenzen, die wir eben gesehen haben. Gesundheit. Ja. Genau. Also es ist
59:40
egal, ob man dreht oder nicht, es ist jetzt schwierig. Genau. Super. Dann vielen Dank an der Stelle. Weitere Fragen, Anmerkungen, geilen Nachgang. Auch per E-Mail. Die Folien werden in wenigen Minuten hochgeladen. Vielen Dank.