0 00:00:00,000 --> 00:00:30,000 Lieber Zuschauer, dieser Untertitel wurde automatisch generiert von Trint und dementsprechend (sehr) fehlerhaft. Wenn du kannst, hilf uns bitte gute Untertitel zu erstellen: https://c3subtitles.de/talk/1375 Danke! 1 00:00:20,430 --> 00:00:22,769 Ja, lieber Chaos Computer Congress, 2 00:00:22,770 --> 00:00:25,109 es ist mir eine Freude und Ehre 3 00:00:25,110 --> 00:00:26,729 heute hier. 4 00:00:26,730 --> 00:00:29,369 Oliver Wettermann vorstellen 5 00:00:29,370 --> 00:00:31,859 zu dürfen und auf die Bühne zu 6 00:00:31,860 --> 00:00:34,019 rufen, Ruhe rufen zu 7 00:00:34,020 --> 00:00:36,389 dürfen. Mit Risk Business. 8 00:00:36,390 --> 00:00:39,029 Rechte und Pflichten von IT 9 00:00:39,030 --> 00:00:41,229 Sicherheitsforscher. 10 00:00:41,230 --> 00:00:43,659 Bitte gebt ihm einen warmen Applaus 11 00:00:43,660 --> 00:00:45,879 und lauscht seinen spannenden Worten 12 00:00:45,880 --> 00:00:47,530 über ein Thema, was uns alle betrifft. 13 00:00:49,530 --> 00:00:50,530 Danke! 14 00:00:53,530 --> 00:00:55,779 Die Slides kommen sehr schön. 15 00:00:55,780 --> 00:00:57,909 Ja, ich weiß gar nicht recht, wie 16 00:00:57,910 --> 00:00:59,319 ich anfangen soll. 17 00:00:59,320 --> 00:01:01,389 Weil die Geschichte ist 18 00:01:01,390 --> 00:01:02,390 eigentlich die. 19 00:01:03,400 --> 00:01:05,079 Ich bin Oliver. Das wurde ja schon so ein 20 00:01:05,080 --> 00:01:06,459 bisschen angerissen. 21 00:01:06,460 --> 00:01:08,439 Aber um zum Punkt zu kommen, würde ich 22 00:01:08,440 --> 00:01:10,029 erst mal einleiten. Warum? 23 00:01:10,030 --> 00:01:11,409 Warum halte ich diesen Vortrag? 24 00:01:11,410 --> 00:01:13,599 Warum nenne ich das ganze Risk Business 25 00:01:13,600 --> 00:01:15,699 und oder stellt zumindest die Frage 26 00:01:15,700 --> 00:01:17,469 auf Warum ist es irgendwie manchmal ein 27 00:01:17,470 --> 00:01:19,119 bisschen schwierig, einen Fonds in der 28 00:01:19,120 --> 00:01:21,219 Forschung irgendwie zu erklären? 29 00:01:21,220 --> 00:01:23,829 Wann darf man was, wann nicht? 30 00:01:23,830 --> 00:01:26,079 Und welchen Weg ich da gegangen 31 00:01:26,080 --> 00:01:27,519 bin in den letzten drei Jahren, würde ich 32 00:01:27,520 --> 00:01:28,569 sagen. 33 00:01:28,570 --> 00:01:31,389 Denn um das Ganze so ein bisschen 34 00:01:31,390 --> 00:01:33,219 zu untermauern ich mache jetzt keine 35 00:01:33,220 --> 00:01:35,199 große Vita oder sowas auf. 36 00:01:35,200 --> 00:01:37,749 Aber ich bin letzten Endes in 37 00:01:37,750 --> 00:01:40,129 zwei, auf zwei Seiten Deutschland 38 00:01:40,130 --> 00:01:41,499 so ein bisschen beheimatet, einmal in 39 00:01:41,500 --> 00:01:43,299 Leipzig und einmal in Karlsruhe. 40 00:01:43,300 --> 00:01:45,399 Und in Leipzig mache ich eher die Lehre. 41 00:01:45,400 --> 00:01:47,469 Da sitzen viele kleine Studierende da 42 00:01:47,470 --> 00:01:48,789 und dann muss man ein bisschen ein paar 43 00:01:48,790 --> 00:01:50,919 Sachen erklären und die dann einführen im 44 00:01:50,920 --> 00:01:52,089 ersten Semester. 45 00:01:52,090 --> 00:01:53,409 Das ist so das, was ich da mache. 46 00:01:53,410 --> 00:01:54,999 Und in Karlsruhe ist eigentlich dann so 47 00:01:55,000 --> 00:01:56,189 die Forschung. 48 00:01:56,190 --> 00:01:58,959 Also damit gleichzeitig drei Jahre schon 49 00:01:58,960 --> 00:02:00,579 Forschungsprojekte im Bereich der 50 00:02:00,580 --> 00:02:02,859 IT-Sicherheit und dem Datenschutz, 51 00:02:02,860 --> 00:02:04,929 so im rechtlichen Bereich. 52 00:02:04,930 --> 00:02:06,729 Also da geht es vor allem darum, was darf 53 00:02:06,730 --> 00:02:07,809 man, was darf man nicht. 54 00:02:07,810 --> 00:02:10,059 Und vor allem auch dabei, wenn dann Dinge 55 00:02:10,060 --> 00:02:12,189 entwickelt werden, wie implementiert man 56 00:02:12,190 --> 00:02:14,529 am besten irgendwelche Schutzmaßnahmen? 57 00:02:14,530 --> 00:02:17,289 Und bei diesem ganzen 58 00:02:17,290 --> 00:02:19,119 Prozedere und vor allen Dingen das hab 59 00:02:19,120 --> 00:02:20,319 ich dann die letzten drei Jahre gemacht 60 00:02:20,320 --> 00:02:21,320 das Forschungsprojekt. 61 00:02:22,690 --> 00:02:24,879 Da krabbelt was für die 62 00:02:24,880 --> 00:02:26,619 effektive Information bei digitalem 63 00:02:26,620 --> 00:02:28,539 Identitätsdiebstahl. 64 00:02:28,540 --> 00:02:31,359 Also ist das so ein bisschen 65 00:02:31,360 --> 00:02:33,549 skizziert, dass wir 66 00:02:33,550 --> 00:02:35,289 da vor allem die Problematik hatten, 67 00:02:35,290 --> 00:02:36,879 irgendwelche Informationspflichten 68 00:02:36,880 --> 00:02:38,109 untereinander einzuhalten im 69 00:02:38,110 --> 00:02:39,579 Datenschutzrecht. 70 00:02:39,580 --> 00:02:42,069 Und was da oft diskutiert 71 00:02:42,070 --> 00:02:44,229 wurde, waren dann auch so Sachen wie 72 00:02:44,230 --> 00:02:45,129 Wann implementiert? 73 00:02:45,130 --> 00:02:47,739 Ist irgendwas richtig, wann nicht? 74 00:02:47,740 --> 00:02:49,659 Wie sieht sowas im Code aus? 75 00:02:49,660 --> 00:02:52,089 Ich habe mir dann zumindest gelegentlich 76 00:02:52,090 --> 00:02:53,779 auch sehr oberflächlich, leider. 77 00:02:53,780 --> 00:02:54,939 Aber das lernen ich dann in den nächsten 78 00:02:54,940 --> 00:02:56,889 Jahren ein bisschen, wenn ich Zeit habe, 79 00:02:56,890 --> 00:02:58,899 den Source Code angeguckt und das eine 80 00:02:58,900 --> 00:03:00,699 oder andere dann noch mal nachgefragt vor 81 00:03:00,700 --> 00:03:02,919 allem und das minutiös erklären 82 00:03:02,920 --> 00:03:04,899 lassen, um dann zu sagen das Ja, das Nein 83 00:03:04,900 --> 00:03:06,969 und wie und dann gefragt was könnt 84 00:03:06,970 --> 00:03:08,349 ihr noch? Und dann noch ein bisschen 85 00:03:08,350 --> 00:03:10,089 nachjustiert, also sehr eng 86 00:03:10,090 --> 00:03:11,649 zusammengearbeitet, um vielleicht solche 87 00:03:11,650 --> 00:03:13,059 Konfusion nicht zu vermeiden. 88 00:03:13,060 --> 00:03:15,159 Und wenn es dann doch mal passiert, 89 00:03:15,160 --> 00:03:17,319 dann gab es schon sehr hitzige 90 00:03:17,320 --> 00:03:19,269 Diskussionen, wann oder wie groß denn 91 00:03:19,270 --> 00:03:21,849 klar ist, wenn es um Anonymität geht 92 00:03:21,850 --> 00:03:24,129 und ähm, um das 93 00:03:24,130 --> 00:03:25,389 dann ein bisschen zusammenzufassen. 94 00:03:25,390 --> 00:03:27,009 Das waren so hitzige Diskussionen, dass 95 00:03:27,010 --> 00:03:28,419 die Leute dann nach einer Weile verlangen 96 00:03:28,420 --> 00:03:30,039 müssen, miteinander geredet haben. 97 00:03:30,040 --> 00:03:32,289 Also das war dann schon so, 98 00:03:32,290 --> 00:03:34,449 dass das am Rande war, dass 99 00:03:34,450 --> 00:03:36,549 man sagt, so wie kommuniziert man 100 00:03:36,550 --> 00:03:38,169 das gut miteinander. 101 00:03:38,170 --> 00:03:39,699 Das erhitzt sich dann nun mal auf, weil 102 00:03:39,700 --> 00:03:41,619 der Jurist nicht sagen kann, wie groß K. 103 00:03:41,620 --> 00:03:43,719 ist. Es ist immer, es kommt drauf an. 104 00:03:43,720 --> 00:03:45,249 Das ist die STANDARD Ausrede oder die 105 00:03:45,250 --> 00:03:47,259 STANDARD Floskel, die der Jurist dann 106 00:03:47,260 --> 00:03:48,339 bringt. 107 00:03:48,340 --> 00:03:50,679 Und der Informatiker will aber so 108 00:03:50,680 --> 00:03:52,329 sage ich mal mehr oder weniger binär dann 109 00:03:52,330 --> 00:03:53,829 sagen Wie groß ist das? 110 00:03:53,830 --> 00:03:55,809 K? Es muss doch ein Urteil geben, oder 111 00:03:55,810 --> 00:03:57,909 so, dass der sagt gibt es aber nicht. 112 00:03:57,910 --> 00:04:00,009 Und da komme ich dann noch mal zu, 113 00:04:00,010 --> 00:04:01,839 wie man das in etwa, ich sage mal nicht 114 00:04:01,840 --> 00:04:03,339 bestimmen kann. Aber wie man so ein 115 00:04:03,340 --> 00:04:05,139 bisschen Gefühl dafür kriegen kann, wann 116 00:04:05,140 --> 00:04:07,299 man das macht. Aber um erst mal dazu 117 00:04:07,300 --> 00:04:09,339 zu kommen Was ist überhaupt eigentlich 118 00:04:09,340 --> 00:04:10,269 Sicherheitsforschung? 119 00:04:10,270 --> 00:04:11,469 Was gucken wir uns da an? 120 00:04:11,470 --> 00:04:13,539 Oder wie betrachte ich 121 00:04:13,540 --> 00:04:15,519 das Ganze in den letzten drei Jahren? 122 00:04:15,520 --> 00:04:17,349 Sag ich es mal mehr oder minder und wie 123 00:04:17,350 --> 00:04:18,939 ich das wahrgenommen? 124 00:04:18,940 --> 00:04:20,949 Ja, also um das so ein bisschen 125 00:04:20,950 --> 00:04:23,319 zusammenzufassen, ist, 126 00:04:23,320 --> 00:04:24,849 wenn man das auf einer rechtlichen Seite 127 00:04:24,850 --> 00:04:26,889 erstmal grob unterbricht, die Forschung 128 00:04:26,890 --> 00:04:28,609 jede wissenschaftliche Tätigkeit. 129 00:04:28,610 --> 00:04:30,369 Also das ist ein Zitat aus dem 130 00:04:30,370 --> 00:04:32,259 Bundesverfassungsgericht Urteil. 131 00:04:32,260 --> 00:04:34,299 Das ist so sehr, sehr allgemein gehalten, 132 00:04:34,300 --> 00:04:35,859 wie man ganz gut erkennen kann. 133 00:04:35,860 --> 00:04:37,689 Und was man auch erkennen kann, ist in 134 00:04:37,690 --> 00:04:39,429 diesem letzten Drittel, in dieser unteren 135 00:04:39,430 --> 00:04:41,049 Zeile, dass es vor allen Dingen darum 136 00:04:41,050 --> 00:04:42,789 geht, einen ernsthaften und planmäßigen 137 00:04:42,790 --> 00:04:44,019 Versuch zu unternehmen. 138 00:04:44,020 --> 00:04:45,399 Das heißt, es muss nicht irgendwie 139 00:04:45,400 --> 00:04:46,879 ausprobiert. Man war es und steckt das 140 00:04:46,880 --> 00:04:49,029 Narayen, sondern es sollte 141 00:04:49,030 --> 00:04:50,919 das also sehr formalistisch, sollte es 142 00:04:50,920 --> 00:04:52,359 doch nicht sein, dass jetzt irgendwie 143 00:04:52,360 --> 00:04:54,159 noch Tabellenführung oder so, aber es 144 00:04:54,160 --> 00:04:56,079 sollte sozusagen eine Frage aufgestellt 145 00:04:56,080 --> 00:04:56,979 werden. Das ist ja in den 146 00:04:56,980 --> 00:04:58,509 naturwissenschaftlichen Disziplinen ja 147 00:04:58,510 --> 00:05:00,369 meistens bei einem Paper, also so eine 148 00:05:00,370 --> 00:05:01,269 Frage aufgestellt. 149 00:05:01,270 --> 00:05:03,429 Dann wird eine Studie gemacht und am Ende 150 00:05:03,430 --> 00:05:05,499 wird rausbekommen, wie das Ergebnis 151 00:05:05,500 --> 00:05:06,819 der Studie ist. Und das ist so ein 152 00:05:06,820 --> 00:05:08,619 bisschen auch das, was diese Definition 153 00:05:08,620 --> 00:05:09,620 auffängt. 154 00:05:10,480 --> 00:05:12,669 Also von der restlichen grundlegenden 155 00:05:12,670 --> 00:05:14,169 Seite gibt es da erstmal nichts, was man 156 00:05:14,170 --> 00:05:15,909 sagen kann. Die Sicherheitsforschung ist 157 00:05:15,910 --> 00:05:17,649 da jetzt irgendwas ganz Besonderes. 158 00:05:17,650 --> 00:05:19,239 Das zählt ganz normal auch zu dieser 159 00:05:19,240 --> 00:05:20,619 Forschung. 160 00:05:20,620 --> 00:05:22,599 Wenn wir das dann aber tatsächlich mal so 161 00:05:22,600 --> 00:05:24,819 ein bisschen skizzieren, dann haben 162 00:05:24,820 --> 00:05:26,559 wir auf der Informatik oder die 163 00:05:26,560 --> 00:05:28,869 sicherheitstechnischen Seite, 164 00:05:28,870 --> 00:05:31,719 sage ich mal diese drei Schutzzölle, 165 00:05:31,720 --> 00:05:33,039 die in der IT-Sicherheit immer so ein 166 00:05:33,040 --> 00:05:34,159 bisschen sehr heilig sind. 167 00:05:34,160 --> 00:05:35,649 Also man könnte da auch sagen, wir haben 168 00:05:35,650 --> 00:05:37,179 so ein bisschen so eine heilige Dreifaltigkeit, 169 00:05:38,560 --> 00:05:39,759 dass wir in der Verfügbarkeit 170 00:05:39,760 --> 00:05:41,439 Vertraulichkeit und Unversehrtheit haben, 171 00:05:41,440 --> 00:05:42,609 die alle irgendwie miteinander 172 00:05:42,610 --> 00:05:43,809 zusammenhängen. Also wenn ich eins 173 00:05:43,810 --> 00:05:45,399 wegnehme, wirkt sich das vielleicht unter 174 00:05:45,400 --> 00:05:47,979 Umständen, je nachdem, was man da macht, 175 00:05:47,980 --> 00:05:50,889 auch auf diese anderen Punkte aus. 176 00:05:50,890 --> 00:05:52,209 Das ist dann immer nicht so ganz einfach. 177 00:05:52,210 --> 00:05:54,339 Das. Zu bestimmen, wenn man das dann 178 00:05:54,340 --> 00:05:55,749 auf der rechtswissenschaftlichen Seite 179 00:05:55,750 --> 00:05:57,249 macht und da wieder mal das 180 00:05:57,250 --> 00:06:00,069 Bundesverfassungsgericht hinzuzieht, 181 00:06:00,070 --> 00:06:02,199 dann gibt es da kein Urteil, das direkt 182 00:06:02,200 --> 00:06:03,639 sagt Das ist IT-Sicherheit. 183 00:06:03,640 --> 00:06:05,499 Aber wenn ich mal das Hardware nächste 184 00:06:05,500 --> 00:06:08,109 nehme, was dann das sogenannte Grundrecht 185 00:06:08,110 --> 00:06:10,449 auf Vertraulichkeit und Integrität 186 00:06:10,450 --> 00:06:12,579 informationstechnischer Systeme ist. 187 00:06:12,580 --> 00:06:14,889 Wenn ich das nehme, dann 188 00:06:14,890 --> 00:06:16,599 ist das definiert als das Interesse des 189 00:06:16,600 --> 00:06:18,999 Nutzers, das die von einem Schutzbereich 190 00:06:19,000 --> 00:06:20,889 erfassten informationstechnischen System 191 00:06:20,890 --> 00:06:22,869 erzeugten Verarbeiten und gespeicherten 192 00:06:22,870 --> 00:06:23,870 Daten vertraulich bleiben. 193 00:06:25,570 --> 00:06:27,189 Das klingt schon sehr nach Kauderwelsch, 194 00:06:27,190 --> 00:06:28,459 meint aber letzten Endes, dass wir in 195 00:06:28,460 --> 00:06:30,760 informationstechnischer System haben, das 196 00:06:31,780 --> 00:06:33,729 nicht selbst darunter fällt, sondern man 197 00:06:33,730 --> 00:06:35,169 sieht es oben ganz gut. Das ist nur das 198 00:06:35,170 --> 00:06:37,059 Interesse des Nutzers daran. 199 00:06:37,060 --> 00:06:39,369 Und es geht vor allen Dingen um 200 00:06:39,370 --> 00:06:41,469 die Daten oder um Systeme, 201 00:06:41,470 --> 00:06:43,119 die Daten verarbeiten. 202 00:06:43,120 --> 00:06:45,189 Also man könnte jetzt einerseits 203 00:06:45,190 --> 00:06:46,899 sagen Klar, jedes System verarbeitet 204 00:06:46,900 --> 00:06:48,999 Daten, aber dieses Urteil hat 205 00:06:49,000 --> 00:06:52,209 das sogenannte, hat dieses Grundrecht 206 00:06:52,210 --> 00:06:53,839 dann eher in so einem persönlichkeits 207 00:06:53,840 --> 00:06:55,449 rechtlichen Charakter eingebettet. 208 00:06:55,450 --> 00:06:57,849 Das heißt, diese Systeme sind vorwiegend 209 00:06:57,850 --> 00:07:01,119 Systeme, die irgendwie personenbezogene 210 00:07:01,120 --> 00:07:03,189 haben oder personenbezogene Daten 211 00:07:03,190 --> 00:07:05,079 verarbeiten, auch wenn es nicht 212 00:07:05,080 --> 00:07:06,849 vorwiegend Datenschutzrecht ist in diesem 213 00:07:06,850 --> 00:07:08,319 Grundrecht. Das ist ja dann eher dieses 214 00:07:08,320 --> 00:07:09,519 Grundrecht auf informationelle 215 00:07:09,520 --> 00:07:11,469 Selbstbestimmung, sondern bei denen geht 216 00:07:11,470 --> 00:07:13,719 es eher darum, sozusagen die Hülle um 217 00:07:13,720 --> 00:07:15,939 dieses System, um diese Daten in Form 218 00:07:15,940 --> 00:07:16,959 des Systems zu schützen. 219 00:07:18,040 --> 00:07:20,139 Und wenn man dann das verzweigt, so ein 220 00:07:20,140 --> 00:07:22,359 bisschen in diese einfach gesetzliche 221 00:07:22,360 --> 00:07:24,069 Schiene, also Datenschutzrecht und 222 00:07:24,070 --> 00:07:26,199 tatsächlich IT-Sicherheit, dann 223 00:07:26,200 --> 00:07:27,849 fehlt da relativ viel. 224 00:07:27,850 --> 00:07:29,949 Also im Datenschutzrecht gibt es 225 00:07:29,950 --> 00:07:31,419 dann tatsächlich nur sozusagen 226 00:07:31,420 --> 00:07:33,729 IT-Sicherheit als Mittel, um 227 00:07:33,730 --> 00:07:35,349 entsprechend die Informationen zu 228 00:07:35,350 --> 00:07:37,629 schützen, also sozusagen 229 00:07:37,630 --> 00:07:38,889 als Maßnahme. 230 00:07:38,890 --> 00:07:41,199 Und wir haben IT-Sicherheit recht. 231 00:07:41,200 --> 00:07:43,389 Das Problem, dass man da 232 00:07:43,390 --> 00:07:44,949 nur kritische Infrastrukturen und 233 00:07:44,950 --> 00:07:47,109 sogenannte digitale Dienste, zum 234 00:07:47,110 --> 00:07:49,269 Beispiel Online-Shops sind da genannt, 235 00:07:50,320 --> 00:07:52,419 direkt verpflichtet, aber alles andere 236 00:07:52,420 --> 00:07:53,979 ist sehr mittelbar. 237 00:07:53,980 --> 00:07:56,169 Das heißt, wenn man das versucht 238 00:07:56,170 --> 00:07:57,579 in Einklang zu bringen, hat man auf der 239 00:07:57,580 --> 00:07:58,899 einen Seite eine Möglichkeit, auch 240 00:07:58,900 --> 00:08:01,719 Zertifizierungen zu machen und Audit, 241 00:08:01,720 --> 00:08:03,759 also eine wiederholte Überprüfung mit 242 00:08:03,760 --> 00:08:06,459 entsprechender Auszeichnung einzuholen. 243 00:08:06,460 --> 00:08:07,779 Aber das ist dann auch so ein bisschen 244 00:08:07,780 --> 00:08:09,069 schwierig, weil daraus schon mal keine 245 00:08:09,070 --> 00:08:10,169 Pflichten folgen können. 246 00:08:10,170 --> 00:08:11,679 Also es gibt keine Pflicht, diese Audits 247 00:08:11,680 --> 00:08:13,059 zu tun. Das ist natürlich ein 248 00:08:13,060 --> 00:08:14,769 gesellschaftlicher Druck, da, dass man 249 00:08:14,770 --> 00:08:16,509 sagen kann Cool, wir haben das, unser 250 00:08:16,510 --> 00:08:18,129 Produkt hat das. Das wirkt besonders 251 00:08:18,130 --> 00:08:19,059 toll. 252 00:08:19,060 --> 00:08:21,189 Aber das Problem ist 253 00:08:21,190 --> 00:08:22,419 dann, wenn das nicht alle machen und 254 00:08:22,420 --> 00:08:24,099 keiner mitzieht, dann passiert halt 255 00:08:24,100 --> 00:08:25,869 nichts. Also fällt das schon mal weg. 256 00:08:25,870 --> 00:08:28,419 Wenn wir dann weitergehen, tatsächlich 257 00:08:28,420 --> 00:08:29,829 so ein bisschen in die Hardware Richtung 258 00:08:29,830 --> 00:08:31,879 oder wie soll ich sagen in diese 259 00:08:31,880 --> 00:08:34,029 Schutzmassnahmen, dann gibt es da 260 00:08:34,030 --> 00:08:35,829 schon auf der einen Seite eine 261 00:08:35,830 --> 00:08:36,759 Verpflichtung, wenn man 262 00:08:36,760 --> 00:08:39,099 datenschutzrechtliche oder Datenschutz 263 00:08:39,100 --> 00:08:41,408 relevante Systeme 264 00:08:41,409 --> 00:08:42,969 irgendwie bearbeitet beziehungsweise 265 00:08:42,970 --> 00:08:45,519 dafür IT-Sicherheit irgendwie einbinden 266 00:08:45,520 --> 00:08:47,319 soll oder entwirft. 267 00:08:47,320 --> 00:08:49,569 Das heißt, da gibt 268 00:08:49,570 --> 00:08:52,059 es so ein bisschen eine Verpflichtung, 269 00:08:52,060 --> 00:08:54,129 aber die genaue Ausgestaltung ist 270 00:08:54,130 --> 00:08:55,599 da auch wieder jedem selbst überlassen, 271 00:08:55,600 --> 00:08:57,159 weil das steht dann häufig da. 272 00:08:57,160 --> 00:08:59,409 Stand der Technik und Stand der Technik 273 00:08:59,410 --> 00:09:01,569 ist dann das, was bei Juristen 274 00:09:01,570 --> 00:09:03,129 manchmal als Gummiball Paragraphen 275 00:09:03,130 --> 00:09:04,449 bezeichnet wird. Das heißt, es ist sehr 276 00:09:04,450 --> 00:09:05,379 weit dehnbar. 277 00:09:05,380 --> 00:09:06,879 Das heißt, man orientiert sich dann 278 00:09:06,880 --> 00:09:08,379 daran, was so ein bisschen best practice 279 00:09:08,380 --> 00:09:10,479 ist, was gut funktioniert, was 280 00:09:10,480 --> 00:09:11,649 sich bewährt hat. 281 00:09:11,650 --> 00:09:14,109 Und das kann zu positiven 282 00:09:14,110 --> 00:09:15,459 Wirkungen führen. Es muss aber nicht 283 00:09:15,460 --> 00:09:17,229 zwangsläufig, wenn sich irgendwas, was 284 00:09:17,230 --> 00:09:19,659 nicht relevant, nicht relevant ist, 285 00:09:19,660 --> 00:09:22,089 sondern was nicht gut schützt, sozusagen 286 00:09:22,090 --> 00:09:24,189 trotzdem als Stand der Technik etabliert 287 00:09:24,190 --> 00:09:26,319 hat und die anderen 288 00:09:26,320 --> 00:09:27,579 gut schützenden Sachen sich nicht 289 00:09:27,580 --> 00:09:29,769 durchsetzen, dann ist das Ganze 290 00:09:29,770 --> 00:09:31,299 eben auch nicht als Verpflichtung zu 291 00:09:31,300 --> 00:09:33,009 sehen, sondern man kann da nur das 292 00:09:33,010 --> 00:09:34,629 nehmen, was am besten und am einfachsten 293 00:09:34,630 --> 00:09:36,039 funktioniert und vielleicht für den 294 00:09:36,040 --> 00:09:38,259 Anwender wenig Probleme bereitet. 295 00:09:38,260 --> 00:09:39,909 Also auch da keine unmittelbare 296 00:09:39,910 --> 00:09:41,289 rechtliche Verpflichtung. 297 00:09:41,290 --> 00:09:43,359 Und zu guter Letzt 298 00:09:43,360 --> 00:09:46,239 mit dem Herren oder dem Wesen 299 00:09:46,240 --> 00:09:48,879 mit Monokel skizziert das BSI, 300 00:09:48,880 --> 00:09:50,559 das dann letzten Endes eher eine Art 301 00:09:50,560 --> 00:09:53,139 Aufsicht hat für 302 00:09:53,140 --> 00:09:55,509 Hardwarehersteller innen oder 303 00:09:55,510 --> 00:09:56,889 Anwender innen und Ähnliches. 304 00:09:56,890 --> 00:09:59,169 Das hilft sozusagen. 305 00:09:59,170 --> 00:10:01,329 Aber es hat auch wenig oder es gibt 306 00:10:01,330 --> 00:10:02,919 wenig unmittelbare Verpflichtung. 307 00:10:02,920 --> 00:10:04,599 Auch das BSI Gesetz enthält da nichts 308 00:10:04,600 --> 00:10:06,519 abgesehen, hatte ich ja gesagt von diesen 309 00:10:06,520 --> 00:10:08,829 kritischen Infrastrukturen, außer 310 00:10:08,830 --> 00:10:11,409 es gibt da noch die eine kleine Ausnahme, 311 00:10:11,410 --> 00:10:13,059 aber die ist halt auch keine richtige 312 00:10:13,060 --> 00:10:14,829 Verpflichtung, wenn dann das BSI kommt 313 00:10:14,830 --> 00:10:16,749 und bestimmte Produkte überprüft. 314 00:10:16,750 --> 00:10:19,029 Das heißt, sich die genauer anschaut 315 00:10:19,030 --> 00:10:20,859 auf entsprechende Schutzzölle, die ich 316 00:10:20,860 --> 00:10:22,269 eben vorhin genannt hatte, die nimmt auch 317 00:10:22,270 --> 00:10:24,009 das BSI Gesetz, also Vertraulichkeit, 318 00:10:24,010 --> 00:10:26,289 Integrität und Unversehrtheit. 319 00:10:26,290 --> 00:10:29,529 Das war doppelte Vertraulichkeit, 320 00:10:29,530 --> 00:10:30,819 auf jeden Fall auch die Unversehrtheit. 321 00:10:30,820 --> 00:10:32,080 Aber nichtsdestotrotz 322 00:10:33,790 --> 00:10:35,109 nimmt es diese drei Schutz Ziele, 323 00:10:35,110 --> 00:10:37,209 überprüft, ob die eingehalten werden 324 00:10:37,210 --> 00:10:38,709 und hilft dann entsprechend 325 00:10:38,710 --> 00:10:39,879 nachzujustieren. 326 00:10:39,880 --> 00:10:41,589 Aber es gibt keine Pflicht zum BSI zu 327 00:10:41,590 --> 00:10:43,269 gehen und zu sagen hier überprüft unser 328 00:10:43,270 --> 00:10:44,679 tolles Programm, weil dann hätte auch das 329 00:10:44,680 --> 00:10:46,879 BSI irgendwann so viel zu tun. 330 00:10:46,880 --> 00:10:47,880 Ich glaube das explodiert. 331 00:10:49,000 --> 00:10:51,220 Und auf der anderen Seite. 332 00:10:52,470 --> 00:10:54,239 Schlichtung das überprüfen zu lassen, 333 00:10:54,240 --> 00:10:56,549 besteht dann sozusagen höchstens 334 00:10:56,550 --> 00:10:58,739 mittelbar. Also auch das fällt mehr 335 00:10:58,740 --> 00:11:00,209 oder weniger weg und man kann sich dann 336 00:11:00,210 --> 00:11:02,069 fragen, mal abgesehen vom Zivilrecht, wo 337 00:11:02,070 --> 00:11:03,419 dann auch nichts ist. Deswegen habe ich 338 00:11:03,420 --> 00:11:04,799 es nicht erwähnt. 339 00:11:04,800 --> 00:11:06,209 Man wird eigentlich wahnsinnig. 340 00:11:06,210 --> 00:11:08,399 Man weiß nicht, wo man anfangen soll, was 341 00:11:08,400 --> 00:11:09,929 das angeht, weil alles irgendwie nur 342 00:11:09,930 --> 00:11:11,459 mittelbar ist. Und man kann dann nur 343 00:11:11,460 --> 00:11:13,049 sagen implementiert das irgendwie 344 00:11:13,050 --> 00:11:14,249 bestmöglich. 345 00:11:14,250 --> 00:11:16,409 Aber so richtig ist 346 00:11:16,410 --> 00:11:18,179 das. Drin steht das und das ist der 347 00:11:18,180 --> 00:11:19,919 Mindeststandard und alles was drüber 348 00:11:19,920 --> 00:11:20,939 liegt, ist irgendwie schön. 349 00:11:20,940 --> 00:11:22,379 Aber das müsst ihr selber gucken. 350 00:11:22,380 --> 00:11:24,449 So was gibt es nicht. 351 00:11:24,450 --> 00:11:25,889 Zumindest hat sich das meiner Kenntnis 352 00:11:25,890 --> 00:11:27,119 entzogen. 353 00:11:27,120 --> 00:11:29,199 In der Vorbereitung gut. 354 00:11:29,200 --> 00:11:31,259 Ähm. Deswegen justiert sich 355 00:11:31,260 --> 00:11:32,729 dieser gesamte Vortrag jetzt so ein 356 00:11:32,730 --> 00:11:34,619 bisschen viel ins Datenschutzrecht, weil 357 00:11:34,620 --> 00:11:36,749 das das nächste oder das meiste ist, 358 00:11:36,750 --> 00:11:39,299 was irgendwelche Verpflichtungen vorgibt 359 00:11:39,300 --> 00:11:41,729 oder zumindest relativ viele Anleihen 360 00:11:41,730 --> 00:11:42,719 gibt. Und wo wir dann ein bisschen 361 00:11:42,720 --> 00:11:44,129 gucken, wie setzt sich das zusammen und 362 00:11:44,130 --> 00:11:45,629 wann fällt man da drunter? 363 00:11:45,630 --> 00:11:46,979 Deswegen erstmal so ein bisschen die 364 00:11:46,980 --> 00:11:49,079 Grundlagen, wenn man jetzt ich hoffe, 365 00:11:49,080 --> 00:11:50,879 man kann es einigermaßen gut lesen, ich 366 00:11:50,880 --> 00:11:51,929 glaube, die letzten Reihen 367 00:11:53,490 --> 00:11:54,479 werden wir Probleme haben. 368 00:11:54,480 --> 00:11:56,549 Deswegen paraphrasieren ist 369 00:11:56,550 --> 00:11:57,599 das jetzt so ein bisschen. 370 00:11:57,600 --> 00:11:59,789 Wir haben den Paragraphen 1 des 371 00:11:59,790 --> 00:12:01,049 Bundesdatenschutzgesetz, das mal so ein 372 00:12:01,050 --> 00:12:03,029 bisschen, da das auch seht. 373 00:12:03,030 --> 00:12:04,709 Wie ich dann anfange zu arbeiten im 374 00:12:04,710 --> 00:12:06,749 Paragraphen oder im Artikel 1 eines 375 00:12:06,750 --> 00:12:07,769 Gesetzes steht meistens der 376 00:12:07,770 --> 00:12:08,879 Anwendungsbereich. 377 00:12:08,880 --> 00:12:10,169 Das heißt, da könnt ihr gucken. 378 00:12:10,170 --> 00:12:11,759 Ist das überhaupt für mich relevant? 379 00:12:13,020 --> 00:12:14,429 Wenn wir uns das jetzt für Sonderfälle 380 00:12:14,430 --> 00:12:16,199 angucken, können wir erst mal anschauen, 381 00:12:16,200 --> 00:12:17,909 dass wenn wir davon ausgehen, wir haben 382 00:12:17,910 --> 00:12:19,529 Systeme, die irgendwie mit 383 00:12:19,530 --> 00:12:21,209 personenbezogenen Daten zu tun haben, 384 00:12:21,210 --> 00:12:22,559 dass wir das als Richtschnur nehmen 385 00:12:22,560 --> 00:12:24,629 können. Dann fallen 386 00:12:24,630 --> 00:12:26,819 wir erst runter, wenn wir 387 00:12:26,820 --> 00:12:28,319 irgendwie zu einer öffentlichen Stelle 388 00:12:28,320 --> 00:12:30,959 des Bundes gehören und im Ausnahmefall 389 00:12:30,960 --> 00:12:32,829 des Landes, wenn usw. 390 00:12:32,830 --> 00:12:34,889 Das ist dieser tolle Nachsatz da dran 391 00:12:34,890 --> 00:12:37,499 das Land nicht selber geregelt hat. 392 00:12:37,500 --> 00:12:39,179 Und das kommt dann dazu. 393 00:12:39,180 --> 00:12:41,339 Private Stellen fallen immer unter 394 00:12:41,340 --> 00:12:42,809 dieses Gesetz. Das heißt, wenn ihr 395 00:12:42,810 --> 00:12:45,029 unabhängige IT Sicherheitsforscher 396 00:12:45,030 --> 00:12:47,159 seid, dann ist 397 00:12:47,160 --> 00:12:49,419 es Bundesdatenschutzgesetz und 398 00:12:49,420 --> 00:12:50,699 Datenschutzgrundverordnung. 399 00:12:50,700 --> 00:12:51,869 Die tummeln sich ja immer ein bisschen 400 00:12:51,870 --> 00:12:54,299 zusammen, dann sind die eure 401 00:12:54,300 --> 00:12:56,159 Richtschnur. Und wenn ihr zu den Ländern 402 00:12:56,160 --> 00:12:57,149 gehört, zum Beispiel zu einer 403 00:12:57,150 --> 00:12:59,639 Universität, dann ist es tatsächlich, 404 00:12:59,640 --> 00:13:02,189 dass wenn es existiert, 405 00:13:02,190 --> 00:13:04,319 wovon der Großteil der 406 00:13:04,320 --> 00:13:06,659 Länder natürlich auszugehen ist, 407 00:13:06,660 --> 00:13:07,559 dann nimmt er das Landes 408 00:13:07,560 --> 00:13:09,359 Datenschutzgesetz und dann die 409 00:13:09,360 --> 00:13:10,289 Datenschutzgrundverordnung. 410 00:13:10,290 --> 00:13:12,629 Also beides zusammen geht ein bisschen 411 00:13:12,630 --> 00:13:13,589 ineinander. 412 00:13:13,590 --> 00:13:14,699 Aber das ist natürlich ein bisschen 413 00:13:14,700 --> 00:13:16,469 schwierig, weil ihr habt da in der Regel 414 00:13:16,470 --> 00:13:17,859 Juristen, für die ihr fragen könnt, wenn 415 00:13:17,860 --> 00:13:18,899 ihr etwas nicht versteht. 416 00:13:18,900 --> 00:13:21,019 Also nicht, dass ich jetzt denke, 417 00:13:21,020 --> 00:13:22,229 ich verstehe das nicht. 418 00:13:22,230 --> 00:13:24,299 Aber das ist 419 00:13:24,300 --> 00:13:26,369 so die Herangehensweise, wie 420 00:13:26,370 --> 00:13:28,169 ihr versuchen könnt, das ganze Dickicht 421 00:13:28,170 --> 00:13:30,029 erst mal zu durchdringen. 422 00:13:30,030 --> 00:13:32,219 Gut, wenn wir das wissen, dann müssen 423 00:13:32,220 --> 00:13:34,319 wir natürlich aber immer auch eine 424 00:13:34,320 --> 00:13:36,479 entsprechende Verarbeitungs 425 00:13:36,480 --> 00:13:37,739 Grundlage mitbringen. Wir können nicht 426 00:13:37,740 --> 00:13:39,269 einfach irgendwelche Daten nehmen oder 427 00:13:39,270 --> 00:13:40,709 zumindest Systeme bauen, die 428 00:13:40,710 --> 00:13:42,419 entsprechende Daten verarbeiten und dann 429 00:13:42,420 --> 00:13:44,339 sagen es ist mir egal, 430 00:13:45,480 --> 00:13:46,649 wird schon irgendwie passen. 431 00:13:46,650 --> 00:13:48,299 Berechtigtes Interesse sieht man da 432 00:13:48,300 --> 00:13:50,459 schon. Als drittes kann man 433 00:13:50,460 --> 00:13:52,529 immer gut vorbringen, könnte aber 434 00:13:52,530 --> 00:13:53,530 interessant werden. 435 00:13:54,720 --> 00:13:55,979 Und ich habe jetzt mal drei. 436 00:13:55,980 --> 00:13:57,659 Also es sind mehrere mehr als drei. 437 00:13:57,660 --> 00:13:58,979 Auf jeden Fall eine Datenschutzgrundverordnung. 438 00:13:58,980 --> 00:14:00,059 Ich hab mir jetzt aber mal die drei 439 00:14:00,060 --> 00:14:02,609 herausgegriffen, die so die Top 3 sind 440 00:14:02,610 --> 00:14:04,439 oder zumindest die, die sich am besten 441 00:14:04,440 --> 00:14:06,119 für Forschung eignen. 442 00:14:06,120 --> 00:14:07,289 Wenn uns jetzt die Einwilligungen 443 00:14:07,290 --> 00:14:09,419 anschauen, die ist erstmal relativ 444 00:14:09,420 --> 00:14:10,859 simpel. Man braucht schon irgendwie in 445 00:14:10,860 --> 00:14:13,439 bestätigenden Willensakt, der muss aber 446 00:14:13,440 --> 00:14:15,959 entsprechend freiwillig 447 00:14:15,960 --> 00:14:17,759 sein. Er muss entsprechend auch in 448 00:14:17,760 --> 00:14:18,749 Kenntnis sein. 449 00:14:18,750 --> 00:14:20,999 Daher auf das Gehirn sollte natürlich 450 00:14:21,000 --> 00:14:22,619 ein entsprechender Gehirnschmalz da sein, 451 00:14:22,620 --> 00:14:23,939 der mit den Informationen gefüllt ist, 452 00:14:23,940 --> 00:14:26,279 worin ist einwilligte und warum, weshalb, 453 00:14:26,280 --> 00:14:27,959 wieso und wozu das Ganze überhaupt 454 00:14:27,960 --> 00:14:29,279 verarbeitet wird. 455 00:14:29,280 --> 00:14:31,559 Wenn wir dann weitergehen 456 00:14:31,560 --> 00:14:32,999 zu der Verarbeitung, zur Wahrnehmung 457 00:14:33,000 --> 00:14:34,349 einer öffentlichen Aufgabe oder im 458 00:14:34,350 --> 00:14:36,659 öffentlichen Interesse, dann ist das eher 459 00:14:36,660 --> 00:14:38,879 die Rechtfertigung, Möglichkeit oder 460 00:14:38,880 --> 00:14:41,009 die Verarbeitungs Möglichkeit, die 461 00:14:41,010 --> 00:14:43,079 staatlichen Institutionen sozusagen 462 00:14:43,080 --> 00:14:44,699 zugethan ist. Das ist dann vor allen 463 00:14:44,700 --> 00:14:46,679 Dingen für akademische Mitarbeiterinnen 464 00:14:46,680 --> 00:14:48,449 der Fall, für Leute wie mich, wenn ich 465 00:14:48,450 --> 00:14:51,029 das im Forschungsauftrag der Uni 466 00:14:51,030 --> 00:14:53,009 oder eines Forschungsinstituts mache, das 467 00:14:53,010 --> 00:14:55,409 entsprechend es als solches 468 00:14:55,410 --> 00:14:56,410 zu qualifizieren ist. 469 00:14:57,390 --> 00:14:59,909 Ähm, und wenn ich dann tatsächlich 470 00:14:59,910 --> 00:15:02,189 das außerhalb mache, also frei 471 00:15:02,190 --> 00:15:04,529 für mich, dann könnte ich tatsächlich 472 00:15:04,530 --> 00:15:05,999 dann dieses berechtigte Interesse 473 00:15:06,000 --> 00:15:07,229 bringen. 474 00:15:07,230 --> 00:15:08,969 Also da sind dann tatsächlich diese 475 00:15:08,970 --> 00:15:11,069 Unabhängigen, die Sicherheitsforscher 476 00:15:11,070 --> 00:15:13,259 zu finden oder unter Umständen 477 00:15:13,260 --> 00:15:15,359 auch abseits von öffentlichen 478 00:15:15,360 --> 00:15:17,459 Aufgaben finanzierte 479 00:15:17,460 --> 00:15:18,779 Forschung. 480 00:15:18,780 --> 00:15:21,029 Also also sage ich meine nicht staatlich 481 00:15:21,030 --> 00:15:22,919 gebundene oder in der Mehrheit des 482 00:15:22,920 --> 00:15:25,889 Staates liegende Institute. 483 00:15:25,890 --> 00:15:27,359 Was man davon aber trennen muss, ist 484 00:15:27,360 --> 00:15:29,459 tatsächlich diese große Forschung, 485 00:15:29,460 --> 00:15:31,169 die nur betriebs bezogen ist. 486 00:15:31,170 --> 00:15:32,429 Das heißt, wenn ich jetzt irgendwie ein 487 00:15:32,430 --> 00:15:34,259 großes Pharmaunternehmen bin und 488 00:15:34,260 --> 00:15:35,819 irgendwas tolles mit KI machen will, dann 489 00:15:35,820 --> 00:15:37,559 mache ich das nur, um meine Produkte 490 00:15:37,560 --> 00:15:39,449 irgendwie toll herauszubringen oder 491 00:15:39,450 --> 00:15:41,739 ähnliches, dann passt das nicht so ganz. 492 00:15:41,740 --> 00:15:44,309 Also dass diese Forschung ist dann nicht 493 00:15:44,310 --> 00:15:46,469 Forschung. Das kann unter Umständen im 494 00:15:46,470 --> 00:15:47,849 berechtigten Interesse liegen, aber ist 495 00:15:47,850 --> 00:15:50,009 dann zumindest kein Forschungsinteresse, 496 00:15:50,010 --> 00:15:52,329 sondern könnte dann Betriebswirtschaft. 497 00:15:52,330 --> 00:15:55,119 Ehrliches Interesse sein, aber je nachdem 498 00:15:55,120 --> 00:15:56,889 diese ganzen Abwägungen Geschichten und 499 00:15:56,890 --> 00:15:58,209 da kommen wir dann später noch zu das 500 00:15:58,210 --> 00:16:00,369 Wort. Das kann zumindest haarig 501 00:16:00,370 --> 00:16:01,370 werden. 502 00:16:01,870 --> 00:16:03,819 Nun aber erst mal zur Einwilligungen. 503 00:16:03,820 --> 00:16:06,009 Gibt es da irgendwie Besonderheiten, 504 00:16:06,010 --> 00:16:08,199 die man für die Forschung beachten muss? 505 00:16:08,200 --> 00:16:10,479 Wenn wir uns das na, 506 00:16:10,480 --> 00:16:13,329 wenn wir uns dann das Ganze mal 507 00:16:13,330 --> 00:16:15,579 von der Form, von den Voraussetzungen her 508 00:16:15,580 --> 00:16:17,079 anschauen, dann müssen wir erst mal 509 00:16:17,080 --> 00:16:18,219 darauf achten. Das hatte ich ja schon 510 00:16:18,220 --> 00:16:19,539 gesagt, dass das Ganze freiwillig 511 00:16:19,540 --> 00:16:21,669 geschieht. Das heißt, entsprechend muss 512 00:16:21,670 --> 00:16:23,139 geguckt werden, dass derjenige nicht 513 00:16:23,140 --> 00:16:24,729 unter oder diejenigen nicht unter Druck 514 00:16:24,730 --> 00:16:26,799 gesetzt wird und vor allem ein 515 00:16:26,800 --> 00:16:28,129 Widerruf eingerichtet wird. 516 00:16:28,130 --> 00:16:30,909 Das heißt nach Möglichkeit zumindest, 517 00:16:30,910 --> 00:16:33,369 dass der oder diejenige 518 00:16:33,370 --> 00:16:35,079 die Einwilligung auch wieder zurückziehen 519 00:16:35,080 --> 00:16:36,819 kann. Weil wenn ich das nicht kann, wird 520 00:16:36,820 --> 00:16:38,209 auch eine besondere Drucksituation 521 00:16:38,210 --> 00:16:40,479 aufgebaut und das macht ja keinen Sinn, 522 00:16:40,480 --> 00:16:41,559 weil die Einwilligung der 523 00:16:41,560 --> 00:16:43,449 informationellen Selbstbestimmung dient. 524 00:16:43,450 --> 00:16:45,669 Also man selber bestimmen 525 00:16:45,670 --> 00:16:47,769 kann, was, wann, wie, wo und noch ganz 526 00:16:47,770 --> 00:16:49,939 viele andere Worte entsprechen, 527 00:16:49,940 --> 00:16:51,040 mit den Daten passieren, 528 00:16:52,420 --> 00:16:53,919 dann kommt natürlich dazu, das hatte ich 529 00:16:53,920 --> 00:16:56,049 auch schon erwähnt, dass wir eine 530 00:16:56,050 --> 00:16:57,849 Informiertheit gewährleisten müssen, das 531 00:16:57,850 --> 00:16:59,979 heißt die Personen immer 532 00:16:59,980 --> 00:17:01,689 wissen sollte oder zumindest Zugriff 533 00:17:01,690 --> 00:17:03,099 darauf haben sollte und vor allen Dingen, 534 00:17:03,100 --> 00:17:05,199 wenn sie einwilligt, auch das wissen 535 00:17:05,200 --> 00:17:07,719 sollte, was wann wie passiert 536 00:17:09,310 --> 00:17:11,409 und das Ganze auch entsprechend begrenzt 537 00:17:11,410 --> 00:17:13,149 ist vom Zweck. Das heißt, man kann jetzt 538 00:17:13,150 --> 00:17:15,219 nicht einmal alle Daten nehmen und 539 00:17:15,220 --> 00:17:16,659 dann damit machen, was man will, sondern 540 00:17:16,660 --> 00:17:18,249 man muss vorher auch immer den Zweck 541 00:17:18,250 --> 00:17:19,159 angeben. 542 00:17:19,160 --> 00:17:21,189 Und natürlich, warum man das Ganze macht 543 00:17:21,190 --> 00:17:22,719 und was dabei möglichst auch rauskommen 544 00:17:22,720 --> 00:17:25,719 soll. Also möglichst transparent. 545 00:17:25,720 --> 00:17:26,949 Zur Form gibt es eigentlich nicht so viel 546 00:17:26,950 --> 00:17:28,029 zu sagen. 547 00:17:28,030 --> 00:17:29,679 Die ist Form. Frei ist auch keine 548 00:17:29,680 --> 00:17:30,789 richtige Voraussetzung. 549 00:17:30,790 --> 00:17:32,739 Aber was wichtig ist, ist, dass wenn Ihr 550 00:17:32,740 --> 00:17:34,329 Sicherheitsforschung auf Grundlage von 551 00:17:34,330 --> 00:17:36,609 Einwilligung betreibt, dann dokumentiert 552 00:17:36,610 --> 00:17:37,819 das Ganze immer brav. 553 00:17:37,820 --> 00:17:39,699 Denn wenn dann doch mal wer anklopft von 554 00:17:39,700 --> 00:17:41,859 der zuständigen Datenschutzbehörde, 555 00:17:41,860 --> 00:17:43,869 dann sollte das Ganze auch nachweisbar 556 00:17:43,870 --> 00:17:44,889 sein. 557 00:17:44,890 --> 00:17:45,999 Also ihr habt dann die Pflicht 558 00:17:46,000 --> 00:17:48,489 Rechenschaft ablegen zu können 559 00:17:48,490 --> 00:17:50,709 bzw. zu müssen und 560 00:17:50,710 --> 00:17:52,329 deswegen das immer noch im Hinterkopf 561 00:17:52,330 --> 00:17:54,819 behalten. Aber was passiert eigentlich, 562 00:17:54,820 --> 00:17:56,529 wenn die Forschung dazu kommt? 563 00:17:56,530 --> 00:17:57,459 Die Forschung? 564 00:17:57,460 --> 00:17:58,509 Es funktioniert hier immer so ein 565 00:17:58,510 --> 00:17:59,469 bisschen wie so ein Edin. 566 00:17:59,470 --> 00:18:00,549 Das heißt, das, was wir uns jetzt 567 00:18:00,550 --> 00:18:01,869 angeguckt haben in den Voraussetzungen 568 00:18:01,870 --> 00:18:03,849 ist so der Grundstock die Basis. 569 00:18:03,850 --> 00:18:04,959 Und dann gibt es so kleinere 570 00:18:04,960 --> 00:18:06,819 Modifizierungen, die entsprechend an den 571 00:18:06,820 --> 00:18:08,649 Stellschrauben drehen. 572 00:18:08,650 --> 00:18:10,629 Bei der Freiwilligkeit ist das zum 573 00:18:10,630 --> 00:18:13,239 Beispiel, dass wir den Widerruf 574 00:18:13,240 --> 00:18:15,309 dann nicht gewähren müssen, 575 00:18:15,310 --> 00:18:17,469 wenn der Forschungszwecke, also den, den 576 00:18:17,470 --> 00:18:19,299 wir unter Dritten zum Beispiel 577 00:18:19,300 --> 00:18:20,919 herausgestellt haben, wenn er gefährdet 578 00:18:20,920 --> 00:18:23,109 ist. Das heißt, wenn das Forschungs Ziel 579 00:18:23,110 --> 00:18:24,249 schon nicht mehr erreicht werden kann, 580 00:18:24,250 --> 00:18:25,929 bei hinterher dann plötzlich alle 581 00:18:25,930 --> 00:18:27,969 feststellen, ob die Einwilligung die ist. 582 00:18:27,970 --> 00:18:30,219 Aber doch ein bisschen Reski, die ziehe 583 00:18:30,220 --> 00:18:32,589 ich mal schnell wieder zurück und dann 584 00:18:32,590 --> 00:18:34,329 ist das ganze ein bisschen doof, weil 585 00:18:34,330 --> 00:18:36,039 dann kann man das Ganze nicht mehr 586 00:18:36,040 --> 00:18:37,040 erforschen. 587 00:18:38,440 --> 00:18:39,909 Was aber man ganz gut erkennt. 588 00:18:39,910 --> 00:18:41,499 Also diese Floskel unmöglich oder 589 00:18:41,500 --> 00:18:43,659 ernsthaft beeinträchtigt, deutet 590 00:18:43,660 --> 00:18:46,149 auch darauf hin, dass so weit wie möglich 591 00:18:46,150 --> 00:18:48,159 man einen Widerruf gewähren kann. 592 00:18:48,160 --> 00:18:49,899 So weit sollte man ihn dann auch 593 00:18:49,900 --> 00:18:50,919 gewähren. 594 00:18:50,920 --> 00:18:52,509 Das heißt, das ist so ein bisschen auch 595 00:18:52,510 --> 00:18:54,969 wieder so in Einklang bringen, soweit 596 00:18:54,970 --> 00:18:56,979 man Daten zurückziehen kann. 597 00:18:56,980 --> 00:18:58,839 Okay, aber wenn es jetzt wirklich an den 598 00:18:58,840 --> 00:19:00,819 Kern geht, der entsprechend noch 599 00:19:00,820 --> 00:19:02,379 anonymisiert werden sollte und Ähnliches, 600 00:19:02,380 --> 00:19:03,939 da komme ich dann gleich zu. 601 00:19:03,940 --> 00:19:04,929 Ähm. 602 00:19:04,930 --> 00:19:05,930 Dann wird es eng. 603 00:19:07,450 --> 00:19:09,549 Dann bei der Informiertheit sollte man 604 00:19:09,550 --> 00:19:10,779 oder kann man beachten, dass man 605 00:19:10,780 --> 00:19:12,999 entsprechend die Speicherdauer nicht 606 00:19:13,000 --> 00:19:14,139 so genau angeben muss. 607 00:19:14,140 --> 00:19:15,879 Das heißt, man muss jetzt nicht darüber 608 00:19:15,880 --> 00:19:17,409 aufklären. Das Ganze ist dann in drei 609 00:19:17,410 --> 00:19:18,759 Wochen irgendwie gelöscht, sondern man 610 00:19:18,760 --> 00:19:20,289 kann das dann vielleicht in Abhängigkeit 611 00:19:20,290 --> 00:19:21,939 mit dem Forschungszwecke bringen. 612 00:19:21,940 --> 00:19:23,769 Man kann das ein bisschen lockerer halten 613 00:19:23,770 --> 00:19:25,239 oder entsprechend 614 00:19:27,400 --> 00:19:28,389 nicht gar nicht sagen. 615 00:19:28,390 --> 00:19:29,979 Aber man kann dann sagen, man kann nichts 616 00:19:29,980 --> 00:19:31,299 Genaues darüber sagen, weil man zum 617 00:19:31,300 --> 00:19:32,379 Beispiel nicht sagen kann, wann das 618 00:19:32,380 --> 00:19:34,449 Forschungs Ziel oder das eigentliche 619 00:19:34,450 --> 00:19:36,219 Forschungsergebnis eintritt. 620 00:19:36,220 --> 00:19:37,479 Es gibt ja dann vielleicht eine kritische 621 00:19:37,480 --> 00:19:39,459 Masse, die erreicht werden muss. 622 00:19:39,460 --> 00:19:41,079 Wenn man das also nicht sagen kann. 623 00:19:41,080 --> 00:19:42,009 Kann man da sich so ein bisschen 624 00:19:42,010 --> 00:19:44,259 rausreden oder sollte 625 00:19:44,260 --> 00:19:45,999 zumindest so transparent wie möglich 626 00:19:46,000 --> 00:19:48,069 sein? Aber so kann dann 627 00:19:48,070 --> 00:19:49,809 ja nicht genauso viel sagen, aber so ein 628 00:19:49,810 --> 00:19:52,369 bisschen zumindest nachjustieren und 629 00:19:52,370 --> 00:19:54,489 das Subjekt oder denjenigen, der 630 00:19:54,490 --> 00:19:56,079 einwilligt, darüber aufklären. 631 00:19:57,250 --> 00:19:59,349 Und man kann so ein bisschen 632 00:19:59,350 --> 00:20:01,419 nachträglich Zwecke ändern und 633 00:20:01,420 --> 00:20:03,039 erweitern, sofern sie nicht den 634 00:20:03,040 --> 00:20:05,139 eigentlichen Zweck, den man vorher gesagt 635 00:20:05,140 --> 00:20:07,419 hat, also diesen Forschungszweig 636 00:20:07,420 --> 00:20:08,409 und dann den noch ein bisschen 637 00:20:08,410 --> 00:20:10,180 eingrenzen. Worüber forscht man? 638 00:20:11,320 --> 00:20:13,269 Was soll dabei möglichst herauskommen, 639 00:20:13,270 --> 00:20:14,559 wenn man das so ein bisschen erweitert, 640 00:20:14,560 --> 00:20:16,269 weil man dann feststellt Okay, auf diesem 641 00:20:16,270 --> 00:20:17,559 Wege ist das Forschungsteam überhaupt 642 00:20:17,560 --> 00:20:18,999 nicht erreichbar. Wir müssen so ein 643 00:20:19,000 --> 00:20:20,379 bisschen den Zweck ändern oder die 644 00:20:20,380 --> 00:20:21,969 Verarbeitung ändern. 645 00:20:21,970 --> 00:20:23,679 Wenn man das macht, sollte man natürlich 646 00:20:23,680 --> 00:20:26,079 den oder diejenige darüber aufklären. 647 00:20:26,080 --> 00:20:28,479 Aber man kann entsprechend Zwecke 648 00:20:28,480 --> 00:20:30,399 ändern. Und das ist normalerweise nicht 649 00:20:30,400 --> 00:20:31,899 oder nur in sehr engen Grenzen der Fall. 650 00:20:31,900 --> 00:20:32,979 In der Forschung sind die ein bisschen 651 00:20:32,980 --> 00:20:33,980 weiter. 652 00:20:34,480 --> 00:20:35,949 Was man dazu noch sagen kann, ist, dass 653 00:20:35,950 --> 00:20:38,229 man bei der Einwilligung 654 00:20:38,230 --> 00:20:40,149 gibt es sozusagen einmal die Seite, die 655 00:20:40,150 --> 00:20:41,829 eine große Einwilligung holt, also so 656 00:20:41,830 --> 00:20:43,989 einen sogenannten broad consent, die 657 00:20:43,990 --> 00:20:45,309 dann sagt auch Wir sind jetzt einmal 658 00:20:45,310 --> 00:20:47,559 alles, und dann überlegst du und alles 659 00:20:47,560 --> 00:20:49,929 ein in normale Verarbeitung und Forschung 660 00:20:49,930 --> 00:20:51,249 und dies und das und jenes. 661 00:20:51,250 --> 00:20:52,270 Und dann machen wir ganz schöne Sachen. 662 00:20:53,830 --> 00:20:55,939 Das klingt ganz nett, aber 663 00:20:55,940 --> 00:20:57,339 das führt nicht dazu, dass so der 664 00:20:57,340 --> 00:20:59,559 Datenschutzgrundverordnung, die ja so ein 665 00:20:59,560 --> 00:21:01,209 sehr großes Bollwerk ist, sage ich mal, 666 00:21:01,210 --> 00:21:02,559 wirklich und die informationelle 667 00:21:02,560 --> 00:21:05,499 Selbstbestimmung natürlich auch wirklich 668 00:21:05,500 --> 00:21:06,819 gewährleistet werden kann, dass das 669 00:21:06,820 --> 00:21:08,539 wirklich funktioniert. Viel sinnvoller 670 00:21:08,540 --> 00:21:10,329 ist es dann, das möglichst klein zu 671 00:21:10,330 --> 00:21:12,039 machen. Nicht so klein, dass man für 672 00:21:12,040 --> 00:21:13,449 jedes Wort ein Haken braucht. 673 00:21:13,450 --> 00:21:14,559 Aber dass man sagen kann, wenn es eine 674 00:21:14,560 --> 00:21:16,659 unabhängige oder eine normale 675 00:21:16,660 --> 00:21:18,099 Verarbeitung gibt, die trennen von 676 00:21:18,100 --> 00:21:20,049 Erforschung und Verarbeitung dann 677 00:21:20,050 --> 00:21:21,699 vielleicht für verschiedene Forschungszwecke 678 00:21:21,700 --> 00:21:22,989 noch mal untergliedern und sagen Ich 679 00:21:22,990 --> 00:21:24,399 möchte irgendwie Krebsforschung, ich 680 00:21:24,400 --> 00:21:26,709 möchte normale Gesundheitsforschung, 681 00:21:26,710 --> 00:21:28,779 ich möchte, was weiß ich, 682 00:21:28,780 --> 00:21:30,309 über mein Blutbild aufgeklärt werden. 683 00:21:30,310 --> 00:21:31,329 Dies, das, jenes? 684 00:21:31,330 --> 00:21:32,739 Keine Ahnung. Also in dem Bereich hatte 685 00:21:32,740 --> 00:21:33,699 ich noch nichts. 686 00:21:33,700 --> 00:21:35,589 Aber was man sich darunter vorstellen 687 00:21:35,590 --> 00:21:37,299 kann möglichst klein aufschlüsseln, 688 00:21:37,300 --> 00:21:39,069 möglichst transparent sein, das sieht man 689 00:21:39,070 --> 00:21:40,779 wieder. Dass ich das schön durchzieht, 690 00:21:40,780 --> 00:21:42,909 dass man entsprechend möglichst viel 691 00:21:42,910 --> 00:21:44,469 oder demjenigen oder derjenigen, die 692 00:21:44,470 --> 00:21:46,629 einwilligen muss oder nicht 693 00:21:46,630 --> 00:21:48,250 muss, aber möchte oder sollte, 694 00:21:49,630 --> 00:21:52,269 dass man da möglichst große 695 00:21:52,270 --> 00:21:53,410 Handhabe liefert. 696 00:21:54,580 --> 00:21:55,839 So viel dazu. 697 00:21:55,840 --> 00:21:57,549 Dann komme ich zu der anderen Geschichte, 698 00:21:57,550 --> 00:21:58,899 die dann immer sehr beliebt ist. 699 00:21:58,900 --> 00:22:01,449 Wir haben ja ein berechtigtes Interesse. 700 00:22:01,450 --> 00:22:02,829 Was versteht man darunter? 701 00:22:02,830 --> 00:22:04,839 Das ist der Wortlaut, wie ein 702 00:22:04,840 --> 00:22:06,639 berechtigtes Interesse in der 703 00:22:06,640 --> 00:22:09,099 Datenschutzgrundverordnung definiert ist. 704 00:22:09,100 --> 00:22:11,889 Ihr könnt ja mal versuchen, parallel 705 00:22:11,890 --> 00:22:13,569 ein bisschen langsamer zu gucken, wie 706 00:22:13,570 --> 00:22:15,309 viele Voraussetzungen ihr darunter so 707 00:22:15,310 --> 00:22:16,310 schätzt. 708 00:22:17,560 --> 00:22:19,149 In dem Moment hole ich mir, da denke ich 709 00:22:19,150 --> 00:22:20,150 mal kurz was. 710 00:22:33,810 --> 00:22:34,810 So. 711 00:22:35,170 --> 00:22:38,109 Ja und 712 00:22:38,110 --> 00:22:40,449 dann löse ich das Ganze mal auf. 713 00:22:40,450 --> 00:22:42,999 Es sind mehr oder weniger drei. 714 00:22:43,000 --> 00:22:44,679 Die erste ist, dass wir ein berechtigtes 715 00:22:44,680 --> 00:22:46,359 Interesse brauchen. 716 00:22:46,360 --> 00:22:48,969 Das hat man eigentlich immer schnell. 717 00:22:48,970 --> 00:22:50,349 Man kann ja irgendwie sagen, gerade bei 718 00:22:50,350 --> 00:22:51,729 der Forschung. Ja, wir machen ja 719 00:22:51,730 --> 00:22:52,959 Forschung. Und das ist gut für die 720 00:22:52,960 --> 00:22:54,759 Allgemeinheit, gut für die demokratische 721 00:22:54,760 --> 00:22:55,779 Willensbildung. 722 00:22:55,780 --> 00:22:57,519 Was auch immer man an schönen Begriffen 723 00:22:57,520 --> 00:22:58,689 annehmen kann. 724 00:22:58,690 --> 00:23:00,699 Aber dann muss man dazu noch beachten, 725 00:23:00,700 --> 00:23:02,259 dass das Ganze das ist dann der zweite 726 00:23:02,260 --> 00:23:05,379 Schritt zur Verarbeitung 727 00:23:05,380 --> 00:23:07,029 oder die Verarbeitung dieser Daten zur 728 00:23:07,030 --> 00:23:09,069 Wahrung dieser Interessen, also dass die 729 00:23:09,070 --> 00:23:10,869 aufrechterhalten werden können, 730 00:23:10,870 --> 00:23:12,319 entsprechend erforderlich ist. 731 00:23:12,320 --> 00:23:13,989 Das heißt, es gibt kein milderes Mittel 732 00:23:13,990 --> 00:23:16,119 und Ähnliches und es gibt 733 00:23:16,120 --> 00:23:18,249 nichts Besseres, sozusagen, 734 00:23:18,250 --> 00:23:20,319 was möglichst wenig auch die Interessen 735 00:23:20,320 --> 00:23:22,329 der Betroffenen, also derjenigen, deren 736 00:23:22,330 --> 00:23:24,609 Daten verarbeitet werden, irgendwie 737 00:23:24,610 --> 00:23:27,489 beeinträchtigt oder sonst irgendwie 738 00:23:27,490 --> 00:23:28,419 behelligt. 739 00:23:28,420 --> 00:23:29,979 Und dann kommt die große Kür. 740 00:23:29,980 --> 00:23:32,289 Man muss das Ganze abwägen. 741 00:23:32,290 --> 00:23:33,759 Das heißt, man muss gucken, ob die 742 00:23:33,760 --> 00:23:35,109 Interessen und Grundrechte und 743 00:23:35,110 --> 00:23:37,359 Grundfreiheiten der betroffenen 744 00:23:37,360 --> 00:23:39,219 Personen nicht überwiegen. 745 00:23:39,220 --> 00:23:41,199 Beziehungsweise wenn man die Abwägung 746 00:23:41,200 --> 00:23:43,389 bringt, dann natürlich 747 00:23:43,390 --> 00:23:44,889 nicht überwiegend gegenüber den 748 00:23:44,890 --> 00:23:46,449 Interessen des Verantwortlichen. 749 00:23:46,450 --> 00:23:48,789 Das heißt, man hat da diese binäre 750 00:23:48,790 --> 00:23:50,409 Geschichte, entweder diese oder diese 751 00:23:50,410 --> 00:23:51,410 Situation. 752 00:23:52,750 --> 00:23:54,189 Dieser Nachsatz, den man am Ende noch 753 00:23:54,190 --> 00:23:56,139 sieht mit dem Kind, ist dann so eine Art 754 00:23:56,140 --> 00:23:58,029 Besonderheit, die man in der Abwägung 755 00:23:58,030 --> 00:23:59,169 dann ein bisschen einbringen will. 756 00:23:59,170 --> 00:24:00,819 Wenn man also das kann man nicht ganz als 757 00:24:00,820 --> 00:24:01,929 Kriterium sehen, zumindest in meinen 758 00:24:01,930 --> 00:24:03,849 Augen nicht, weil es gibt jetzt nicht so 759 00:24:03,850 --> 00:24:05,409 Kind und dann fängt man wieder neu an. 760 00:24:05,410 --> 00:24:07,179 Sondern das ist so, dass die Interessen 761 00:24:07,180 --> 00:24:08,859 des Kindes noch mal höher gestellt werden 762 00:24:08,860 --> 00:24:09,860 in der Abwägung. 763 00:24:11,860 --> 00:24:13,029 Gut, dann kommen wir zu den 764 00:24:13,030 --> 00:24:13,959 Voraussetzungen. 765 00:24:13,960 --> 00:24:15,759 So ein bisschen, die hatte ich ja jetzt 766 00:24:15,760 --> 00:24:17,199 eben schon gesagt. Das berechtigte 767 00:24:17,200 --> 00:24:18,969 Interesse ist erstmal grundsätzlich jedes 768 00:24:18,970 --> 00:24:20,509 wirtschaftliche ideelle Interesse. 769 00:24:20,510 --> 00:24:22,509 Also da kann man relativ viel bringen und 770 00:24:22,510 --> 00:24:23,889 in Erforderlichkeit muss man darauf 771 00:24:23,890 --> 00:24:26,049 achten, dass man möglichst wenig 772 00:24:26,050 --> 00:24:27,880 erfassen oder eingreifen das Mittel hat 773 00:24:29,110 --> 00:24:31,329 und man entsprechend die Abwägung am Ende 774 00:24:31,330 --> 00:24:32,889 auch richtig absolviert. 775 00:24:32,890 --> 00:24:34,659 Also das heißt, bis zum Zweiten Schritt 776 00:24:34,660 --> 00:24:36,909 kommt man ganz gut, wenn man beim zweiten 777 00:24:36,910 --> 00:24:37,869 so ein paar Sachen beachtet. 778 00:24:37,870 --> 00:24:39,189 Aber beim dritten ist eigentlich der 779 00:24:39,190 --> 00:24:41,109 Punkt, wo man gucken muss und sehr 780 00:24:41,110 --> 00:24:42,819 Argumentations auf man bringen muss, der 781 00:24:42,820 --> 00:24:44,439 Dokumentation auch bringen muss. 782 00:24:44,440 --> 00:24:46,539 Eigentlich, dass wenn man sich auf 783 00:24:46,540 --> 00:24:47,859 diesen Grund beruft, dann nicht sagen 784 00:24:47,860 --> 00:24:49,149 kann Ja, wir haben ja ein berechtigtes 785 00:24:49,150 --> 00:24:51,159 Interesse, das ist ganz einfach. 786 00:24:51,160 --> 00:24:52,509 Dann muss man auch sagen warum. 787 00:24:52,510 --> 00:24:54,579 Was hat man berücksichtigt, wie ist die 788 00:24:54,580 --> 00:24:56,319 Abwägung? Also was sind die Argumente? 789 00:24:56,320 --> 00:24:58,029 Die sollte man dann bereit halten. 790 00:24:58,030 --> 00:25:00,009 Das heißt nicht nur sagen wir haben den 791 00:25:00,010 --> 00:25:01,599 ersten Schritt, sondern komplett 792 00:25:01,600 --> 00:25:02,919 durchziehen. 793 00:25:02,920 --> 00:25:04,569 Sonst wird es in meinen Augen zumindest 794 00:25:04,570 --> 00:25:06,789 eng oder sehr streitig. 795 00:25:06,790 --> 00:25:09,399 Die Forschung macht mit diesem Grund 796 00:25:09,400 --> 00:25:11,739 nicht so viel in der ersten Linie. 797 00:25:11,740 --> 00:25:13,899 Wir haben, was den ersten 798 00:25:13,900 --> 00:25:15,909 Punkt angeht, wie gesagt eher die private 799 00:25:15,910 --> 00:25:17,619 Forschung oder die privat finanzierte 800 00:25:17,620 --> 00:25:19,359 Forschung oder unabhängige IT 801 00:25:19,360 --> 00:25:20,649 Sicherheitsforscher. 802 00:25:20,650 --> 00:25:22,509 Wir haben da weniger diese 803 00:25:22,510 --> 00:25:24,999 Konstellationen, die in der öffentlich 804 00:25:25,000 --> 00:25:26,559 betriebenen Forschung durch 805 00:25:26,560 --> 00:25:28,209 Universitäten, durch öffentlich 806 00:25:28,210 --> 00:25:31,059 rechtliche Institutionen 807 00:25:31,060 --> 00:25:33,339 oder entsprechende Forschungsinstitute, 808 00:25:33,340 --> 00:25:35,380 die durch diese entsprechend geschieht. 809 00:25:36,730 --> 00:25:39,519 Und wir haben eine entsprechende 810 00:25:39,520 --> 00:25:41,349 Schnittstelle bei der Erforderlichkeit, 811 00:25:41,350 --> 00:25:43,269 denn es gibt ja immer dieses 812 00:25:43,270 --> 00:25:44,829 Grundkonzept. Das ist, glaube ich, hier 813 00:25:44,830 --> 00:25:47,289 allen mehr bekannt 814 00:25:47,290 --> 00:25:48,879 denn je, dass man entsprechend gucken 815 00:25:48,880 --> 00:25:50,709 muss, dass die Daten entweder pseudonymen 816 00:25:50,710 --> 00:25:51,849 oder anonymisiert sein. 817 00:25:51,850 --> 00:25:52,869 Und ich habe letztens auch noch mal einen 818 00:25:52,870 --> 00:25:55,659 Talk gesehen, wo dann noch mal sehr 819 00:25:55,660 --> 00:25:57,519 minutiös herausgearbeitet wurde, wie 820 00:25:57,520 --> 00:25:58,989 schwierig das ist, eigentlich in 821 00:25:58,990 --> 00:26:02,379 bestimmten Kontexten, dafür 822 00:26:02,380 --> 00:26:04,269 aber irgendwie dafür zu sorgen, dass wir 823 00:26:04,270 --> 00:26:05,979 anonymisierte Daten haben, die 824 00:26:05,980 --> 00:26:07,869 entsprechend anonym bleiben und nicht 825 00:26:07,870 --> 00:26:10,719 durch irgendwelche Einkaufs Situationen 826 00:26:10,720 --> 00:26:12,909 oder Linked oder was weiß ich nicht 827 00:26:12,910 --> 00:26:14,739 noch, dass das ganze nicht plötzlich ein 828 00:26:14,740 --> 00:26:16,269 Pseudonym wird und man dann wieder in die 829 00:26:16,270 --> 00:26:17,649 Datenschutzgrundverordnung rein rutscht, 830 00:26:18,730 --> 00:26:20,409 weil man irgendwen hat, der das Ganze 831 00:26:20,410 --> 00:26:21,849 dann wieder aufheben bzw. 832 00:26:21,850 --> 00:26:22,959 rückführen kann. 833 00:26:22,960 --> 00:26:25,119 Das heißt, wenn man 834 00:26:25,120 --> 00:26:27,759 von vornherein da bedenkt, dass man 835 00:26:27,760 --> 00:26:29,949 denen die Angriffsfläche für 836 00:26:29,950 --> 00:26:32,139 die Betroffenen möglichst gering hält, 837 00:26:32,140 --> 00:26:34,359 indem man die Anonymisierung 838 00:26:34,360 --> 00:26:35,829 möglichst früh implementiert. 839 00:26:37,150 --> 00:26:38,499 Gerade da sind dann diese Floskeln 840 00:26:38,500 --> 00:26:40,509 Privacy by Design und Default immer so 841 00:26:40,510 --> 00:26:41,529 die Schnittstelle. 842 00:26:41,530 --> 00:26:43,239 Wenn man das möglichst früh einbaut, dann 843 00:26:43,240 --> 00:26:45,249 ist die Angriffswelle relativ gering. 844 00:26:45,250 --> 00:26:47,079 Das heißt, man ist da in der 845 00:26:47,080 --> 00:26:49,119 Erforderlichkeit ganz gut dabei, weil man 846 00:26:49,120 --> 00:26:50,559 von vornherein klar Daten hat. 847 00:26:50,560 --> 00:26:51,819 Dann könnte man ja sagen, es gibt eine 848 00:26:51,820 --> 00:26:54,219 mildere Variante, die das Ganze möglichst 849 00:26:54,220 --> 00:26:56,379 wenig beeinträchtigt anonymisierte 850 00:26:56,380 --> 00:26:57,849 oder pseudonyme Daten. 851 00:26:57,850 --> 00:27:00,519 Und dann fliegt man da gerne mal raus 852 00:27:00,520 --> 00:27:01,959 oder kann man zumindest je nach 853 00:27:01,960 --> 00:27:04,299 Argumentations Aufwand rausfliegen, 854 00:27:04,300 --> 00:27:06,609 wenn der Zweck durch 855 00:27:06,610 --> 00:27:09,189 solche Implementierungen genauso 856 00:27:09,190 --> 00:27:11,109 gewährleistet wird? Wenn das nicht geht 857 00:27:11,110 --> 00:27:12,699 oder in gewissen Punkten nicht geht, dann 858 00:27:12,700 --> 00:27:14,019 kann man dann natürlich argumentieren, 859 00:27:14,020 --> 00:27:16,389 aber so halt nicht. 860 00:27:16,390 --> 00:27:18,879 Und beim letzten Punkt wie gesagt 861 00:27:18,880 --> 00:27:21,879 darf die Forschung mehr in der Abwägung 862 00:27:21,880 --> 00:27:22,769 mehr oder minder. 863 00:27:22,770 --> 00:27:24,309 Also man kann nicht sagen, wir sind ja 864 00:27:24,310 --> 00:27:25,779 Forschung, wir dürfen jetzt alles und wir 865 00:27:25,780 --> 00:27:27,639 schicken diese Interessen weg. 866 00:27:27,640 --> 00:27:29,049 So geht es dann auch nicht. 867 00:27:29,050 --> 00:27:31,179 Aber man muss dann natürlich immer so 868 00:27:31,180 --> 00:27:32,529 ein bisschen. Das ist so ein bisschen wie 869 00:27:32,530 --> 00:27:34,689 eine Waagschale natürlich, wenn man. 870 00:27:34,690 --> 00:27:36,399 Auf der einen Seite sagt man erhebt Daten 871 00:27:36,400 --> 00:27:38,529 von Betroffenen das Interesse natürlich 872 00:27:38,530 --> 00:27:40,929 hoch, weil das grundrechtlich Interesse 873 00:27:40,930 --> 00:27:42,219 ist natürlich entsprechend hoch zu 874 00:27:42,220 --> 00:27:44,259 bewerten. Dann sagt man na ja, ist aber 875 00:27:44,260 --> 00:27:46,389 Forschung das, dann sagt man 876 00:27:46,390 --> 00:27:48,729 ja, wir haben die Daten anonymisiert, 877 00:27:48,730 --> 00:27:50,169 dann geht das nochmal so ein bisschen 878 00:27:50,170 --> 00:27:52,239 höher oder entsprechend gewährleistet und 879 00:27:52,240 --> 00:27:53,319 so weiter und so weiter. 880 00:27:53,320 --> 00:27:55,019 Also man muss da natürlich noch ein 881 00:27:55,020 --> 00:27:57,549 bisschen bringen, nicht nur so allgemein 882 00:27:57,550 --> 00:27:59,319 Interessen von wegen diese Forschung ist 883 00:27:59,320 --> 00:28:00,729 gut für die Allgemeinheit, weil wir alle 884 00:28:00,730 --> 00:28:02,289 Smartphones haben und dann wird die 885 00:28:02,290 --> 00:28:04,149 Sicherheit gewährleistet, sondern man 886 00:28:04,150 --> 00:28:06,369 sollte dann entsprechend auch spezifisch 887 00:28:06,370 --> 00:28:07,839 auf diese grundrechtlichen Interessen 888 00:28:07,840 --> 00:28:10,569 eingehen, Schutzmaßnahme einbauen, 889 00:28:10,570 --> 00:28:13,599 Schutzmaßnahmen berücksichtigen und ja, 890 00:28:13,600 --> 00:28:15,909 das ganze sehr robust sozusagen 891 00:28:15,910 --> 00:28:16,910 aufbauen. 892 00:28:17,410 --> 00:28:19,599 Und dann ist aber 893 00:28:19,600 --> 00:28:21,909 sozusagen so ein bisschen eine Lücke. 894 00:28:21,910 --> 00:28:23,859 Wir haben auf der Einwilligung Seite. 895 00:28:23,860 --> 00:28:25,989 Wenn wir uns den Grund so ein bisschen 896 00:28:25,990 --> 00:28:27,909 wieder ins Gedächtnis rufen, muss man ja 897 00:28:27,910 --> 00:28:29,319 darauf achten, dass diese Betroffenen 898 00:28:29,320 --> 00:28:30,279 informiert werden. 899 00:28:30,280 --> 00:28:31,629 Jetzt könnte man ja sagen na ja, beim 900 00:28:31,630 --> 00:28:33,429 berechtigten Interesse, da ist mir das 901 00:28:33,430 --> 00:28:34,619 egal. 902 00:28:34,620 --> 00:28:36,039 Informieren letztlich die Daten. 903 00:28:36,040 --> 00:28:37,059 Ich habe ja ein Interesse. 904 00:28:37,060 --> 00:28:38,439 Was der Rest macht, ist mir egal. 905 00:28:38,440 --> 00:28:40,569 Nein, so geht das auch nicht 906 00:28:40,570 --> 00:28:42,879 sein, denn es gibt auch dann 907 00:28:42,880 --> 00:28:44,649 eine Informationspflicht. 908 00:28:44,650 --> 00:28:45,650 Wir haben 909 00:28:47,470 --> 00:28:48,939 grundsätzlich eine Informationspflicht, 910 00:28:48,940 --> 00:28:50,109 das zu tun. 911 00:28:50,110 --> 00:28:51,699 Die ist auch gesetzlich normiert. 912 00:28:51,700 --> 00:28:53,079 Aber man muss dann beachten, dass die 913 00:28:53,080 --> 00:28:54,849 Forschung wieder diese wunderbare 914 00:28:54,850 --> 00:28:57,059 Ausnahme hat, wenn er Forschungszwecke 915 00:28:57,060 --> 00:28:59,559 auf diese Art.. Also wenn man die 916 00:28:59,560 --> 00:29:01,659 Informationen vornehmen will, 917 00:29:01,660 --> 00:29:03,669 und man müsste jetzt zum Beispiel alle 918 00:29:03,670 --> 00:29:05,259 anonymisierten oder dann eigentlich 919 00:29:05,260 --> 00:29:07,509 pseudonymen Daten wir zurückrechnen 920 00:29:07,510 --> 00:29:09,639 oder irgendwie zurückführen, um dann 921 00:29:09,640 --> 00:29:10,749 die entsprechenden Betroffenen zu 922 00:29:10,750 --> 00:29:11,750 informieren. 923 00:29:12,280 --> 00:29:14,319 Das geht so natürlich nicht. 924 00:29:14,320 --> 00:29:16,809 Das heißt, selbst wenn 925 00:29:16,810 --> 00:29:18,999 man Forschung betreibt, ist 926 00:29:19,000 --> 00:29:21,109 man nicht, weiß man je nachdem, was 927 00:29:21,110 --> 00:29:22,509 für einen Forschungszwecke man hat oder 928 00:29:22,510 --> 00:29:24,789 wie diese ganze Forschung aufgebaut ist, 929 00:29:24,790 --> 00:29:26,679 nicht dazu verpflichtet zu informieren 930 00:29:26,680 --> 00:29:27,759 bzw. 931 00:29:27,760 --> 00:29:29,949 sollte man dafür sorgen, dass 932 00:29:29,950 --> 00:29:32,079 man entsprechend andere Möglichkeiten 933 00:29:32,080 --> 00:29:34,359 für Informationen bereithält. 934 00:29:34,360 --> 00:29:35,529 Und da bestehen jetzt mehrere 935 00:29:35,530 --> 00:29:36,549 Möglichkeiten. 936 00:29:36,550 --> 00:29:38,139 Man kann jetzt irgendwie sagen, wir 937 00:29:38,140 --> 00:29:39,489 versuchen irgendwie eine öffentliche 938 00:29:39,490 --> 00:29:42,109 Ausschreibung zu machen, mehr oder minder 939 00:29:42,110 --> 00:29:44,319 was weiß ich eine News Meldung bei allen 940 00:29:44,320 --> 00:29:46,719 größeren IT Portalen 941 00:29:46,720 --> 00:29:47,889 und Ähnliches was weiß ich. 942 00:29:47,890 --> 00:29:50,109 Heise Online oder so, dass das einmal 943 00:29:50,110 --> 00:29:51,969 überall durchgeht und vielleicht noch auf 944 00:29:51,970 --> 00:29:54,279 eine informierende Webseite verlinkt, 945 00:29:54,280 --> 00:29:55,960 dass man da möglichst viel tut. 946 00:29:57,310 --> 00:29:59,619 Je nachdem ob es möglich ist, vielleicht 947 00:29:59,620 --> 00:30:01,179 auch so eine Art Prüfungs Datenbank 948 00:30:01,180 --> 00:30:03,219 bereithalten durch eine Online Eingabe, 949 00:30:03,220 --> 00:30:04,719 dass man vielleicht eine E-Mail eingeben 950 00:30:04,720 --> 00:30:06,849 kann, die wird, der überprüft 951 00:30:06,850 --> 00:30:09,129 wird oder ähnliches, dass 952 00:30:09,130 --> 00:30:11,409 man solche Ketten aufbaut oder sogar 953 00:30:11,410 --> 00:30:13,209 eine unabhängige Prüfungs Instanz, wenn 954 00:30:13,210 --> 00:30:14,259 man sich das leisten kann. 955 00:30:14,260 --> 00:30:15,609 Das ist alles um unabhängige 956 00:30:15,610 --> 00:30:17,199 Forschungsstelle manchmal ein bisschen 957 00:30:17,200 --> 00:30:18,459 schwierig, aber das heißt nicht, dass man 958 00:30:18,460 --> 00:30:20,439 davon frei ist. Man muss halt tun was man 959 00:30:20,440 --> 00:30:21,440 kann. 960 00:30:21,910 --> 00:30:22,959 Das ist das Wichtigste. 961 00:30:24,670 --> 00:30:26,649 Und dann kommen wir zu einem relativ 962 00:30:26,650 --> 00:30:28,719 spannenden Punkt, weil man ja irgendwie 963 00:30:28,720 --> 00:30:30,519 auch so ein bisschen den interdisziplinären 964 00:30:30,520 --> 00:30:32,799 Ansatz in der Datenschutzgrundverordnung 965 00:30:32,800 --> 00:30:35,079 so ein bisschen erkennt, nämlich 966 00:30:35,080 --> 00:30:36,009 der sogenannten Datenschutz 967 00:30:36,010 --> 00:30:38,769 Folgenabschätzung, also der DSH. 968 00:30:38,770 --> 00:30:41,019 Und da kommen wir zum eigentlichen 969 00:30:41,020 --> 00:30:42,999 Kern dieses gesamten Datenschutzrecht, 970 00:30:43,000 --> 00:30:44,499 denn das Ganze ist ja sehr Risiko 971 00:30:44,500 --> 00:30:45,999 basiert. Ich hatte vorhin mal von diesem 972 00:30:46,000 --> 00:30:47,769 Thema gesprochen. 973 00:30:47,770 --> 00:30:50,049 Ist ja entsprechende Variable. 974 00:30:50,050 --> 00:30:51,819 Das heißt, man muss gucken, wie hoch man 975 00:30:51,820 --> 00:30:54,129 das wählt, um entsprechend die Anonymität 976 00:30:54,130 --> 00:30:55,659 anzupassen. 977 00:30:55,660 --> 00:30:57,849 Und was das angeht, kann 978 00:30:57,850 --> 00:30:59,709 man nun mal nicht als Jurist sagen, wie 979 00:30:59,710 --> 00:31:02,139 hoch ist denn jemand an diesen Bereichen 980 00:31:02,140 --> 00:31:03,489 sehen kann, die vor allen Dingen wunderbare 981 00:31:03,490 --> 00:31:04,490 Wellen drin haben? 982 00:31:05,590 --> 00:31:07,509 Man kann nicht sagen, an der Stelle ist 983 00:31:07,510 --> 00:31:09,699 jetzt ca. 10, an der anderen Stelle ist 984 00:31:09,700 --> 00:31:11,259 es ca. 15 und unten ca. 985 00:31:11,260 --> 00:31:13,509 1 oder so wo die K1 ist Quatsch, 986 00:31:13,510 --> 00:31:15,849 aber ca. 5, also Stufen 987 00:31:15,850 --> 00:31:16,839 oder so, die gibt es nicht. 988 00:31:16,840 --> 00:31:18,789 Es gibt auch zumindest meines Wissens 989 00:31:18,790 --> 00:31:20,169 kein Urteil, dass irgendwann mal gesagt 990 00:31:20,170 --> 00:31:22,449 hat da und da wird diese und diese 991 00:31:22,450 --> 00:31:24,819 kahle Stelle oder K 992 00:31:24,820 --> 00:31:27,039 Höhe empfohlen, sondern ihr müsst 993 00:31:27,040 --> 00:31:28,389 entsprechend schauen. 994 00:31:28,390 --> 00:31:29,469 Je nachdem. 995 00:31:29,470 --> 00:31:31,539 Zum einen auf der linken Seite sieht man 996 00:31:31,540 --> 00:31:33,459 das ganz gut, da geht ja die Schwere des 997 00:31:33,460 --> 00:31:35,349 möglichen Schadens nach oben und unten 998 00:31:35,350 --> 00:31:37,359 ist dann die Eintrittswahrscheinlichkeit. 999 00:31:37,360 --> 00:31:39,459 Und je höher beides 1000 00:31:39,460 --> 00:31:41,709 miteinander korreliert, desto 1001 00:31:41,710 --> 00:31:43,419 höher ist K zu wählen. 1002 00:31:43,420 --> 00:31:45,159 Und das muss auch wieder, das kommt dann 1003 00:31:45,160 --> 00:31:47,049 dazu entsprechend am Forschungszwecke 1004 00:31:47,050 --> 00:31:48,189 angepasst werden. 1005 00:31:48,190 --> 00:31:50,169 Das heißt, wenn ihr mit Ihren 1006 00:31:50,170 --> 00:31:52,149 personenbezogenen Daten für Daten 1007 00:31:52,150 --> 00:31:54,279 arbeitet, die entsprechend, wenn die 1008 00:31:54,280 --> 00:31:56,259 geleakt wären, hohes Potenzial haben, 1009 00:31:56,260 --> 00:31:57,369 möglichst viele so was. 1010 00:31:57,370 --> 00:31:59,589 Ja, also so war eine Frage bei uns 1011 00:31:59,590 --> 00:32:01,239 im Forschungsprojekt. 1012 00:32:01,240 --> 00:32:02,739 Wenn die gelegt werden, könnte man 1013 00:32:02,740 --> 00:32:04,309 vielleicht damit Schindluder treiben. 1014 00:32:04,310 --> 00:32:07,059 Also noch mal Datendiebstahl 1015 00:32:07,060 --> 00:32:09,579 in ganz großem Maßstab. 1016 00:32:09,580 --> 00:32:11,679 Wenn man das tatsächlich 1017 00:32:11,680 --> 00:32:13,059 in einem breiten Maßstab dadurch machen 1018 00:32:13,060 --> 00:32:15,399 könnte, ist man sofort im roten Bereich. 1019 00:32:15,400 --> 00:32:16,779 Und dann muss man ja mal gucken Wie hoch 1020 00:32:16,780 --> 00:32:18,489 ist die Eintrittswahrscheinlichkeit, wenn 1021 00:32:18,490 --> 00:32:20,079 man eine große Medienöffentlichkeit hat? 1022 00:32:20,080 --> 00:32:21,939 Natürlich groß, wenn sie klein ist. 1023 00:32:21,940 --> 00:32:23,829 Man veröffentlicht nichts, ist sie 1024 00:32:23,830 --> 00:32:25,479 vielleicht geringer, aber man muss dann 1025 00:32:25,480 --> 00:32:26,409 natürlich gucken. 1026 00:32:26,410 --> 00:32:27,579 Es sind ja nicht nur öffentliche 1027 00:32:27,580 --> 00:32:29,199 Angriffe. Es könnte ja sein, dass der 1028 00:32:29,200 --> 00:32:31,539 eigene Schwager irgendwie auf den Rechner 1029 00:32:31,540 --> 00:32:33,429 zugreifen kann, dass man nicht drauf 1030 00:32:33,430 --> 00:32:34,719 achtet, den Rechner im. 1031 00:32:34,720 --> 00:32:36,909 Abzusperren, entsprechend 1032 00:32:36,910 --> 00:32:39,039 zu sperren mit Passwort und so weiter. 1033 00:32:39,040 --> 00:32:40,629 Verschlüsselte Festplatten, ähnliches 1034 00:32:40,630 --> 00:32:42,099 also solche Szenarien müssen dann 1035 00:32:42,100 --> 00:32:43,359 durchgeschaut werden. 1036 00:32:43,360 --> 00:32:45,309 Und das funktioniert nun mal nicht nur, 1037 00:32:45,310 --> 00:32:46,689 in dem der Jurist da sitzt und sagt er 1038 00:32:46,690 --> 00:32:48,039 macht das und das und das und das. 1039 00:32:48,040 --> 00:32:49,749 Und das macht so ein Katalog durch, 1040 00:32:49,750 --> 00:32:51,849 sondern man spricht mit den vielen 1041 00:32:51,850 --> 00:32:53,109 Disziplinen, die man in der Forschung 1042 00:32:53,110 --> 00:32:54,129 hat. 1043 00:32:54,130 --> 00:32:56,199 Wenn es interdisziplinär ist und fragt, 1044 00:32:56,200 --> 00:32:58,299 dann Wer hat darauf Zugriff? 1045 00:32:58,300 --> 00:33:00,579 Wann ist, wann kommt wer in die Räume 1046 00:33:00,580 --> 00:33:02,559 rein? Habt ihr studentische Hilfskräfte 1047 00:33:02,560 --> 00:33:04,309 zum Beispiel, die damit arbeiten? 1048 00:33:04,310 --> 00:33:05,310 Habt ihr die nicht? 1049 00:33:06,160 --> 00:33:07,629 Wie lange sind die bei euch? 1050 00:33:07,630 --> 00:33:09,639 Also besteht da so ein Vertrauensverhältnis? 1051 00:33:09,640 --> 00:33:11,709 Was macht man, wenn die nur sechs Monate 1052 00:33:11,710 --> 00:33:13,539 da sind, dass man entsprechende 1053 00:33:13,540 --> 00:33:15,129 Vereinbarungen in die Arbeitsverträge 1054 00:33:15,130 --> 00:33:16,899 aufnimmt oder besondere Unterschriften 1055 00:33:16,900 --> 00:33:17,869 fordert und Ähnliches? 1056 00:33:17,870 --> 00:33:20,859 Also alles solche Dinge sollten da 1057 00:33:20,860 --> 00:33:22,989 an diese Datenschutz Folgenabschätzung 1058 00:33:22,990 --> 00:33:25,089 entsprechend berücksichtigt werden. 1059 00:33:25,090 --> 00:33:27,189 Das heißt, oder? 1060 00:33:27,190 --> 00:33:29,259 Der Witz ist aber, dass 1061 00:33:29,260 --> 00:33:30,699 diese Datenschutz Folgenabschätzung nur 1062 00:33:30,700 --> 00:33:31,749 bei hohem Risiko ist. 1063 00:33:31,750 --> 00:33:33,189 Also wenn wir uns an die vorige Slide 1064 00:33:33,190 --> 00:33:34,689 erinnern, das ist ja nur dieser hohe 1065 00:33:34,690 --> 00:33:36,549 Eintrittswahrscheinlichkeit, ein hohes 1066 00:33:36,550 --> 00:33:38,709 Schadens Schadens Qualität 1067 00:33:38,710 --> 00:33:40,509 entsprechend. Wenn der Schaden hoch ist, 1068 00:33:40,510 --> 00:33:42,639 dann nur dann müsst ihr 1069 00:33:42,640 --> 00:33:43,929 das machen. 1070 00:33:43,930 --> 00:33:45,190 Oder ein Beispiel ist ja 1071 00:33:46,600 --> 00:33:47,979 der Klassiker. 1072 00:33:47,980 --> 00:33:49,569 Ihr habt eine künstliche Intelligenz, die 1073 00:33:49,570 --> 00:33:52,509 kriegt viele Daten von lässt zum Beispiel 1074 00:33:52,510 --> 00:33:54,669 und generiert aus den Daten 1075 00:33:54,670 --> 00:33:56,499 von alles immer und immer mehr so ein 1076 00:33:56,500 --> 00:33:58,509 bisschen ihr digitales Profil oder ihre 1077 00:33:58,510 --> 00:34:00,699 digitale Persönlichkeit und 1078 00:34:00,700 --> 00:34:03,099 kommt ihrem Persönlichkeitsbild immer 1079 00:34:03,100 --> 00:34:05,559 und immer näher. Und diese Nachahmung 1080 00:34:05,560 --> 00:34:06,849 zum Persönlichkeitsbild kann ja dazu 1081 00:34:06,850 --> 00:34:08,559 führen, dass man sie unter mehreren, zum 1082 00:34:08,560 --> 00:34:10,509 Beispiel, wenn es so eine Auswahl 1083 00:34:10,510 --> 00:34:12,369 Algorithmus ist oder so entsprechend 1084 00:34:12,370 --> 00:34:13,370 bevorzugt. 1085 00:34:14,139 --> 00:34:15,909 Wenn das, wenn das die. 1086 00:34:17,010 --> 00:34:19,569 Okay, wenn das die Möglichkeit ist, 1087 00:34:19,570 --> 00:34:21,999 dann ist das Risiko sehr hoch. 1088 00:34:22,000 --> 00:34:23,749 Dann ist man von einem hoch risikobereit. 1089 00:34:23,750 --> 00:34:24,789 Aber das heißt 1090 00:34:25,929 --> 00:34:27,549 nicht, dass man drunter das nicht auch 1091 00:34:27,550 --> 00:34:28,599 machen kann. 1092 00:34:28,600 --> 00:34:30,039 Also wenn ihr so eine Datenschutz 1093 00:34:30,040 --> 00:34:31,658 Folgenabschätzung macht, die man am 1094 00:34:31,659 --> 00:34:33,849 Anfang einmal macht, um das Risiko zu 1095 00:34:33,850 --> 00:34:36,069 minimieren und hinterher immer und 1096 00:34:36,070 --> 00:34:38,468 immer so ein bisschen iterativ schaut, 1097 00:34:38,469 --> 00:34:39,999 ist das immer noch minimiert, ist das 1098 00:34:40,000 --> 00:34:41,259 nicht mehr minimiert? Was können wir 1099 00:34:41,260 --> 00:34:43,329 machen, uns wieder möglichst gering zu 1100 00:34:43,330 --> 00:34:45,249 halten, das Risiko also in den grünen 1101 00:34:45,250 --> 00:34:48,158 Bereich möglichst zu drücken und 1102 00:34:48,159 --> 00:34:50,468 sich selber so zu überprüfen. 1103 00:34:50,469 --> 00:34:52,658 Das ist gut. Zum einen für einen selber, 1104 00:34:52,659 --> 00:34:54,249 weil man dann weiß, was man beachten 1105 00:34:54,250 --> 00:34:55,988 muss. So ein bisschen Praxiserfahrung 1106 00:34:55,989 --> 00:34:58,029 gewinnt und zum anderen auch so ein 1107 00:34:58,030 --> 00:34:59,739 bisschen, wie soll ich sagen, 1108 00:35:00,850 --> 00:35:03,069 man schafft 1109 00:35:03,070 --> 00:35:05,169 auch so ein bisschen 1110 00:35:05,170 --> 00:35:06,579 nicht nur eine Rechenschaftspflicht, die 1111 00:35:06,580 --> 00:35:07,999 nicht, aber man ist gerüstet. 1112 00:35:08,000 --> 00:35:09,969 Wenn dann doch mal wer anklopft und fragt 1113 00:35:09,970 --> 00:35:11,239 Was macht ihr da eigentlich? 1114 00:35:11,240 --> 00:35:13,329 Dann kann man das so ein bisschen besser 1115 00:35:13,330 --> 00:35:15,459 erklären und ein bisschen besser 1116 00:35:15,460 --> 00:35:16,809 skizzieren. Das heißt nicht, dass wir so 1117 00:35:16,810 --> 00:35:18,129 einen Datenschutz Folgenabschätzung 1118 00:35:18,130 --> 00:35:19,839 Bericht online stellen sollt oder müsst. 1119 00:35:19,840 --> 00:35:20,889 Auf keinen Fall. 1120 00:35:20,890 --> 00:35:22,929 Aber ihr solltet oder ihr wisst dann 1121 00:35:22,930 --> 00:35:25,269 besser und kleinteiliger, wann, wie was 1122 00:35:25,270 --> 00:35:27,519 wo passiert und könnt entsprechend 1123 00:35:27,520 --> 00:35:28,539 besser antworten. 1124 00:35:28,540 --> 00:35:30,069 Und das hilft auch mal, wenn so eine 1125 00:35:30,070 --> 00:35:32,049 Datenschutzbehörde irgendwie nachfragt 1126 00:35:32,050 --> 00:35:33,069 und ein bisschen kritisch ist. 1127 00:35:33,070 --> 00:35:34,329 Und dann könnt ihr sagen Wir haben ganz 1128 00:35:34,330 --> 00:35:36,399 viel gemacht, wir binden 1129 00:35:36,400 --> 00:35:38,089 das und das ein, um das Risiko zu machen. 1130 00:35:38,090 --> 00:35:39,639 Dann sind die immer schon sehr glücklich. 1131 00:35:41,080 --> 00:35:42,400 Kann ich auch aus Erfahrung sagen, 1132 00:35:43,690 --> 00:35:45,159 dass das gut ankommt? 1133 00:35:45,160 --> 00:35:47,379 Was diese interdisziplinäre 1134 00:35:47,380 --> 00:35:48,759 Arbeit angeht, da habe ich jetzt mal 1135 00:35:48,760 --> 00:35:50,499 einen Absatz herausgegriffen aus dem 1136 00:35:50,500 --> 00:35:52,419 Artikel der Datenschutzgrundverordnung. 1137 00:35:52,420 --> 00:35:55,299 An dem erkennt man ganz gut, wann 1138 00:35:55,300 --> 00:35:57,189 oder in welchen Punkten eigentlich diese 1139 00:35:57,190 --> 00:35:59,469 interdisziplinäre Arbeit so ein bisschen 1140 00:35:59,470 --> 00:36:01,119 der Schlüssel ist. 1141 00:36:01,120 --> 00:36:02,499 Denn ihr müsst zum einen eine 1142 00:36:02,500 --> 00:36:04,479 systematische Beschreibung machen, ihr 1143 00:36:04,480 --> 00:36:06,399 müsst Abhilfemaßnahmen einbauen, 1144 00:36:06,400 --> 00:36:08,849 Sicherheitsvorkehrungen und vor allem 1145 00:36:08,850 --> 00:36:10,689 so eine Notwendigkeit entsprechende 1146 00:36:10,690 --> 00:36:12,939 Maßnahmen erläutern bzw. 1147 00:36:12,940 --> 00:36:14,349 dann letzten Endes das klingt so ein 1148 00:36:14,350 --> 00:36:16,599 bisschen wie diese Abwägung Floskel, 1149 00:36:16,600 --> 00:36:18,759 diese Risiken bewerten und 1150 00:36:18,760 --> 00:36:20,829 entsprechend diese Risiken für 1151 00:36:20,830 --> 00:36:22,959 Betroffene klassifizieren. 1152 00:36:22,960 --> 00:36:24,699 Also sagen Wie hoch waren die, wie hoch 1153 00:36:24,700 --> 00:36:26,349 haben wir die etwa runter gebracht? 1154 00:36:26,350 --> 00:36:28,449 Das ist alles sehr Bauchgefühl, 1155 00:36:28,450 --> 00:36:30,069 sage ich mal, es gibt so ein paar 1156 00:36:30,070 --> 00:36:32,199 Papiere, also auch diese Skala von 1157 00:36:32,200 --> 00:36:33,579 vorhin, die war von der Datenschutz 1158 00:36:33,580 --> 00:36:35,350 Konferenz. Es gibt ein paar Papiere 1159 00:36:36,370 --> 00:36:38,529 von der Artikel 20 Narayen, Working Party 1160 00:36:38,530 --> 00:36:40,329 und Ähnliches. Also wenn ihr Juristen bei 1161 00:36:40,330 --> 00:36:42,039 der Hand habt, also gerade im Datenschutz 1162 00:36:42,040 --> 00:36:44,109 fragt die, die geben euch das, die helfen 1163 00:36:44,110 --> 00:36:45,009 euch auch so ein bisschen das zu 1164 00:36:45,010 --> 00:36:47,139 verstehen und arbeitet 1165 00:36:47,140 --> 00:36:48,609 vor allem miteinander, wenn ihr so hoch 1166 00:36:48,610 --> 00:36:51,099 ist. Ich hoffe ihr habt die, weil 1167 00:36:52,450 --> 00:36:54,669 ich, weil das glaube ich viel zum Erfolg 1168 00:36:54,670 --> 00:36:56,170 der Forschung entsprechend beiträgt. 1169 00:36:58,960 --> 00:37:00,489 Genau dann haben wir noch zwei relativ 1170 00:37:00,490 --> 00:37:02,709 wichtige Informationspflichten, 1171 00:37:02,710 --> 00:37:03,999 zu denen ich noch kommen würde im 1172 00:37:04,000 --> 00:37:05,469 Datenschutz Bereich. Das ist zum einen 1173 00:37:05,470 --> 00:37:06,939 die Meldung an die Aufsichtsbehörde und 1174 00:37:06,940 --> 00:37:07,989 die Meldung an die Betroffenen, 1175 00:37:09,100 --> 00:37:10,659 die dann immer kommt. Deswegen war da 1176 00:37:10,660 --> 00:37:13,479 jetzt ein bisschen Animation, 1177 00:37:13,480 --> 00:37:15,639 weil das eigentlich immer nur dann 1178 00:37:15,640 --> 00:37:17,829 passiert, wenn das Risiko relativ hoch 1179 00:37:17,830 --> 00:37:20,469 ist oder wenn viel 1180 00:37:20,470 --> 00:37:22,419 blödes Zeug passiert. 1181 00:37:22,420 --> 00:37:24,909 Bei der Meldung an die Aufsichtsbehörde 1182 00:37:24,910 --> 00:37:25,910 muss man beachten. 1183 00:37:27,580 --> 00:37:29,889 Dass die nicht 1184 00:37:29,890 --> 00:37:31,300 wirklich ein Risiko gebunden ist 1185 00:37:32,770 --> 00:37:34,480 und die entsprechend. 1186 00:37:36,770 --> 00:37:38,719 Genau. Man muss beachten, dass sie 1187 00:37:38,720 --> 00:37:40,460 innerhalb von 72 Stunden erfolgt 1188 00:37:41,780 --> 00:37:43,969 und wenn die drüber ist oder 1189 00:37:43,970 --> 00:37:46,399 drunter ist, da 1190 00:37:46,400 --> 00:37:48,469 drunter ist gut, aber wenn die mal 1191 00:37:48,470 --> 00:37:49,470 drüber ist, dann 1192 00:37:50,780 --> 00:37:52,129 könnte es unter Umständen eng werden. 1193 00:37:52,130 --> 00:37:53,749 Sie sollte möglichst schnell eingehalten 1194 00:37:53,750 --> 00:37:55,789 werden und man kann auch die ein oder 1195 00:37:55,790 --> 00:37:56,790 andere Pflicht 1196 00:37:58,550 --> 00:37:59,569 nicht die eine oder eine Pflicht sein, 1197 00:37:59,570 --> 00:38:01,009 die ein oder andere Informationen 1198 00:38:01,010 --> 00:38:02,269 nachliefern. 1199 00:38:02,270 --> 00:38:03,749 Das heißt, wenn ihr jetzt nicht. 1200 00:38:03,750 --> 00:38:05,209 Es gibt so ein Katalog, was man bringen 1201 00:38:05,210 --> 00:38:06,769 muss. Was ist passiert? 1202 00:38:06,770 --> 00:38:08,779 Wie viel Daten wurden geleakt oder 1203 00:38:08,780 --> 00:38:09,829 ähnliches? Wie groß ist die 1204 00:38:09,830 --> 00:38:12,379 Sicherheitslücke, wenn man da 1205 00:38:12,380 --> 00:38:14,509 aufgrund der engen Zeit nicht alles 1206 00:38:14,510 --> 00:38:15,409 sagen kann? 1207 00:38:15,410 --> 00:38:17,149 Dann kann man durchaus noch was 1208 00:38:17,150 --> 00:38:18,559 nachliefern. Wichtig ist, dass man dieser 1209 00:38:18,560 --> 00:38:19,560 Pflicht nachkommt. 1210 00:38:20,510 --> 00:38:22,249 Und bei der Meldung an die Betroffenen, 1211 00:38:22,250 --> 00:38:24,949 die es tatsächlich nur zu bringen, wenn 1212 00:38:24,950 --> 00:38:26,389 wir ein hohes Risiko haben. 1213 00:38:27,680 --> 00:38:30,049 Aber die 1214 00:38:30,050 --> 00:38:32,329 dient vorrangig nicht dazu, 1215 00:38:32,330 --> 00:38:33,330 ein. 1216 00:38:34,220 --> 00:38:35,629 Wie soll ich sagen, dem Betroffenen die 1217 00:38:35,630 --> 00:38:38,059 Möglichkeit zu geben, irgendwas 1218 00:38:38,060 --> 00:38:40,279 zu machen, sondern diese Information 1219 00:38:40,280 --> 00:38:41,779 sollte tatsächlich auch so ein bisschen 1220 00:38:41,780 --> 00:38:44,059 sagen Was kann man machen, um das um 1221 00:38:44,060 --> 00:38:45,649 diese Lücke zu mindern? 1222 00:38:45,650 --> 00:38:46,669 Was sind so Maßnahmen? 1223 00:38:46,670 --> 00:38:48,019 Nicht nur jetzt 2 Faktor 1224 00:38:48,020 --> 00:38:49,279 Authentifizierung machen, sondern das 1225 00:38:49,280 --> 00:38:50,479 hättest du machen können. 1226 00:38:50,480 --> 00:38:51,859 Mach sie bitte jetzt rein. 1227 00:38:51,860 --> 00:38:53,569 So ein bisschen. Und auch solche 1228 00:38:53,570 --> 00:38:55,489 klassischen Dinge wie Passwort ändern, 1229 00:38:55,490 --> 00:38:57,229 wenn du kannst eine E-Mail ändern. 1230 00:38:57,230 --> 00:38:59,509 Ähnliches aber vielleicht auch nicht. 1231 00:38:59,510 --> 00:39:01,069 Das steht in der Datenschutzgrundverordnung 1232 00:39:01,070 --> 00:39:02,839 nicht drin, aber empfehlenswert ist es, 1233 00:39:02,840 --> 00:39:04,879 das auch ein bisschen psychologisch zu 1234 00:39:04,880 --> 00:39:06,529 machen. Also nicht zu sagen Du, du, du, 1235 00:39:06,530 --> 00:39:08,089 du hast das und das nicht gemacht, 1236 00:39:08,090 --> 00:39:10,579 sondern dass man das so ein bisschen 1237 00:39:10,580 --> 00:39:12,949 vermenschlicht und mehr oder weniger 1238 00:39:12,950 --> 00:39:14,449 vielleicht auch darauf hinweist, dass 1239 00:39:14,450 --> 00:39:15,919 eins zwei drei, vier, fünf sechs war, das 1240 00:39:15,920 --> 00:39:16,909 beliebteste, aber nicht das 1241 00:39:16,910 --> 00:39:19,009 sicherheitsrelevante oder nicht 1242 00:39:19,010 --> 00:39:21,229 das sicherste Passwort ist, sondern dass 1243 00:39:21,230 --> 00:39:23,179 man da noch ein bisschen nachjustiert 1244 00:39:23,180 --> 00:39:24,559 oder ähnliches. 1245 00:39:24,560 --> 00:39:26,869 Und auch diese Meldung 1246 00:39:26,870 --> 00:39:29,299 im Falle eines hohen Risikos, 1247 00:39:29,300 --> 00:39:30,649 also wenn so ein Daten, die passiert ist 1248 00:39:30,650 --> 00:39:32,179 und die Möglichkeit besteht, dass ein 1249 00:39:32,180 --> 00:39:34,099 hohes Risiko für die Rechte und 1250 00:39:34,100 --> 00:39:35,629 Freiheiten des Betroffenen, also 1251 00:39:35,630 --> 00:39:38,089 Grundrechte vor allem vorliegt, 1252 00:39:38,090 --> 00:39:40,189 dann sollte oder 1253 00:39:40,190 --> 00:39:42,169 das muss man dann machen, weil sonst 1254 00:39:42,170 --> 00:39:43,579 könnte das böse Folgen haben. 1255 00:39:44,720 --> 00:39:45,859 Gut. 1256 00:39:45,860 --> 00:39:47,929 Kommen wir zu dem spannenden Teil, der 1257 00:39:47,930 --> 00:39:49,399 von eingeliefert wurde, wo ich vorhin 1258 00:39:49,400 --> 00:39:50,779 schon sagte Ich sage eigentlich gar 1259 00:39:50,780 --> 00:39:52,699 nichts zu diesem genauen Paragraphen an 1260 00:39:52,700 --> 00:39:53,779 sich jetzt. 1261 00:39:53,780 --> 00:39:55,519 Es steht wahrscheinlich die Hälfte auf, 1262 00:39:55,520 --> 00:39:56,829 weil die war. 1263 00:39:56,830 --> 00:39:57,979 Also es gibt einen Tag, ich glaube, der 1264 00:39:57,980 --> 00:39:59,809 ist morgen, der geht genau auf diesen 1265 00:39:59,810 --> 00:40:01,969 vorbereitenden Paragraphen ein und 1266 00:40:01,970 --> 00:40:03,649 ich sage jetzt was zu diesen anderen 1267 00:40:03,650 --> 00:40:05,839 drumrum, denn es gibt 1268 00:40:05,840 --> 00:40:07,159 mehr oder minder. Ich habe den Begriff 1269 00:40:07,160 --> 00:40:08,359 dann ein bisschen lockerer gewählt, 1270 00:40:08,360 --> 00:40:10,369 solche digitalen Paragraphen, das heißt, 1271 00:40:10,370 --> 00:40:11,629 es sind vor allen Dingen diese digitalen 1272 00:40:11,630 --> 00:40:13,009 Straftaten. 1273 00:40:13,010 --> 00:40:14,749 Und da haben wir dann zum Beispiel diese 1274 00:40:14,750 --> 00:40:16,999 Ausspähung von Daten, 1275 00:40:17,000 --> 00:40:19,069 die vor allen Dingen dazu dient 1276 00:40:19,070 --> 00:40:20,569 oder die Situation beschreibt, dass wir 1277 00:40:20,570 --> 00:40:23,089 einen Zugang zu Daten haben, 1278 00:40:23,090 --> 00:40:25,219 die oder dass diese Daten entsprechend 1279 00:40:25,220 --> 00:40:26,779 nicht dazu bestimmt sind, für die 1280 00:40:26,780 --> 00:40:29,419 Personen diesen Zugang erhält und 1281 00:40:29,420 --> 00:40:31,399 diese Information entsprechend gesichert 1282 00:40:31,400 --> 00:40:32,689 sind. Das heißt, man hat meistens 1283 00:40:32,690 --> 00:40:34,339 irgendeine Hürde, sei es eine Firewall 1284 00:40:34,340 --> 00:40:35,340 oder ähnliches. 1285 00:40:36,290 --> 00:40:38,209 Und diese Hürde wird dann entsprechend 1286 00:40:38,210 --> 00:40:40,189 genommen. Das heißt, man kommt dann an, 1287 00:40:40,190 --> 00:40:42,739 nimmt diese Hürde und 1288 00:40:42,740 --> 00:40:44,119 verschafft sich dann irgendwie Zugang. 1289 00:40:44,120 --> 00:40:45,739 Das ist so diese Situation. 1290 00:40:45,740 --> 00:40:48,079 Das heißt, Forschung, die vorrangig 1291 00:40:48,080 --> 00:40:50,269 oder nicht nur vorrangig die explizit 1292 00:40:50,270 --> 00:40:52,549 darauf hinwirken, dass man diese Zugangs 1293 00:40:52,550 --> 00:40:54,769 zur Schaffung hat, ist dann entsprechend 1294 00:40:54,770 --> 00:40:55,770 kritisch zu bewerten 1295 00:40:57,260 --> 00:40:59,179 bzw. ist es dann schwierig, weil es auch 1296 00:40:59,180 --> 00:41:01,819 die Vorbereitung und den Versuch 1297 00:41:01,820 --> 00:41:03,379 gibt, die entsprechend strafbar sind. 1298 00:41:03,380 --> 00:41:05,449 Und da wird es dann eben eng, 1299 00:41:05,450 --> 00:41:07,639 weil man dann 1300 00:41:07,640 --> 00:41:09,769 entsprechend sich 1301 00:41:09,770 --> 00:41:11,479 so ein bisschen wie vorhin erklärt, mit 1302 00:41:11,480 --> 00:41:14,359 dem Bein am Rande des Gesetzes bewegt. 1303 00:41:14,360 --> 00:41:15,829 Und dann haben wir aber noch das Abfangen 1304 00:41:15,830 --> 00:41:16,909 von Daten, das so ein bisschen eine 1305 00:41:16,910 --> 00:41:18,499 andere Situation beschreibt. 1306 00:41:18,500 --> 00:41:20,539 Das heißt, hier geht es nicht darum, 1307 00:41:20,540 --> 00:41:22,969 diesen Zugang zu einem System zu haben, 1308 00:41:22,970 --> 00:41:25,189 sondern es geht vor allen Dingen um 1309 00:41:25,190 --> 00:41:27,019 Kommunikation bzw. 1310 00:41:27,020 --> 00:41:28,459 Datenübermittlung, sei es durch 1311 00:41:28,460 --> 00:41:30,679 Abstrahlung oder ähnliche Geschichten, 1312 00:41:30,680 --> 00:41:33,649 also normale Kommunikations Übertragungen 1313 00:41:33,650 --> 00:41:35,779 über Glasfaser oder wie auch immer. 1314 00:41:35,780 --> 00:41:37,429 Wenn man da entsprechende 1315 00:41:38,480 --> 00:41:40,789 Situationen hat, die 1316 00:41:40,790 --> 00:41:43,009 dazu führen, dass 1317 00:41:43,010 --> 00:41:44,689 der Computer, der personenbezogene 1318 00:41:44,690 --> 00:41:46,819 Computer, der eine E-Mail abschicken will 1319 00:41:46,820 --> 00:41:48,259 und die E-Mail ist verschlüsselt. 1320 00:41:48,260 --> 00:41:49,369 Aber jetzt besteht natürlich die 1321 00:41:49,370 --> 00:41:50,899 Möglichkeit, dass man diese 1322 00:41:50,900 --> 00:41:52,849 Verschlüsselung aufbrechen kann, dann ist 1323 00:41:52,850 --> 00:41:54,919 das eher dieses Abfangen der Daten 1324 00:41:54,920 --> 00:41:56,179 und ein entsprechendes Zugang 1325 00:41:56,180 --> 00:41:58,279 verschaffen, weil dieser Zugang ist 1326 00:41:58,280 --> 00:42:00,049 natürlich nicht für die Privatheit, nicht 1327 00:42:00,050 --> 00:42:01,259 für die Öffentlichkeit bestimmt. 1328 00:42:01,260 --> 00:42:03,649 Das sagt zum Beispiel die Verschlüsselung 1329 00:42:03,650 --> 00:42:05,539 oder auch, dass das nur an eine bestimmte 1330 00:42:05,540 --> 00:42:07,789 Person adressiert ist im E-Mail 1331 00:42:07,790 --> 00:42:08,989 Header. 1332 00:42:08,990 --> 00:42:10,369 Und wenn das aber so ein bisschen 1333 00:42:10,370 --> 00:42:11,489 umgangen wird? 1334 00:42:11,490 --> 00:42:12,889 Ein bisschen ist gut, aber wenn das 1335 00:42:12,890 --> 00:42:14,569 umgangen wird, dann fällt das Ganze in 1336 00:42:14,570 --> 00:42:16,159 die Kategorie. Das heißt auch alles, was 1337 00:42:16,160 --> 00:42:17,389 darauf abzielt, ist so ein bisschen 1338 00:42:17,390 --> 00:42:18,439 schwierig. 1339 00:42:18,440 --> 00:42:21,109 Und dann haben wir eine Parallele zur 1340 00:42:21,110 --> 00:42:22,399 Sachbeschädigung. 1341 00:42:22,400 --> 00:42:24,289 Die ist, glaube ich, muss ich nicht groß 1342 00:42:24,290 --> 00:42:26,359 erklären. Und die Daten Veränderung ist 1343 00:42:26,360 --> 00:42:27,649 sozusagen das Pendant dazu. 1344 00:42:27,650 --> 00:42:29,389 Das heißt, hier geht es darum, dass man 1345 00:42:29,390 --> 00:42:31,699 nicht irgendwelche Gegenstände zerstört 1346 00:42:31,700 --> 00:42:33,769 oder beschädigt, sondern Daten 1347 00:42:33,770 --> 00:42:35,449 entsprechend löscht oder ähnliche 1348 00:42:35,450 --> 00:42:36,569 Äquivalente. 1349 00:42:36,570 --> 00:42:39,089 Wie herbeiführt 1350 00:42:39,090 --> 00:42:40,859 und man dementsprechend auch da ist jeder 1351 00:42:40,860 --> 00:42:42,039 Versuch von vornherein strafbar. 1352 00:42:43,260 --> 00:42:45,659 Aber da dann vor allen Dingen 1353 00:42:45,660 --> 00:42:47,909 denjenigen, den der Computer 1354 00:42:47,910 --> 00:42:49,949 oder diese Daten gehören, aus seiner 1355 00:42:49,950 --> 00:42:51,839 Position verdrängt und durch dieses 1356 00:42:51,840 --> 00:42:53,909 Verdrängen auslöst, dass man 1357 00:42:53,910 --> 00:42:55,829 sich diese Situation aneignet und zwar 1358 00:42:55,830 --> 00:42:57,449 rechtswidrig, also dann nicht irgendwie 1359 00:42:57,450 --> 00:42:59,339 sagt Ich übergebe dir diese Daten oder 1360 00:42:59,340 --> 00:43:01,589 so, sondern es kommt wirklich jemand und 1361 00:43:01,590 --> 00:43:03,329 schmeißt ihn sozusagen aus seiner 1362 00:43:03,330 --> 00:43:04,619 Eigentums Position. 1363 00:43:04,620 --> 00:43:06,149 Ich weiß, es gibt kein Daten Eigentum, 1364 00:43:06,150 --> 00:43:07,709 aber sozusagen die Bestimmung über die 1365 00:43:07,710 --> 00:43:09,779 Daten aus der Position wird der 1366 00:43:09,780 --> 00:43:11,909 oder diejenige verdrängt, 1367 00:43:11,910 --> 00:43:14,609 dass es so die Situation und die letzte 1368 00:43:14,610 --> 00:43:17,009 ist. Dann die klassische, die 1369 00:43:17,010 --> 00:43:18,779 wir auch im Forschungsprojekt öfter 1370 00:43:18,780 --> 00:43:20,429 diskutiert hatten. Dass wir auf der 1371 00:43:20,430 --> 00:43:21,869 einen, dass wir in den Computer Betrug 1372 00:43:21,870 --> 00:43:24,269 haben, der folgt im 1373 00:43:24,270 --> 00:43:26,489 StGB, also im Strafgesetzbuch auf 1374 00:43:26,490 --> 00:43:28,289 den normalen Betrug und 1375 00:43:29,850 --> 00:43:31,049 man erkennt da schon so ein bisschen 1376 00:43:31,050 --> 00:43:32,909 Muster. Und hier geht es vor allen Dingen 1377 00:43:32,910 --> 00:43:34,889 darum, dass man sich oder dass man diesen 1378 00:43:34,890 --> 00:43:36,749 Computer betrug, deshalb macht mit der 1379 00:43:36,750 --> 00:43:38,819 Absicht, also mit vollstem Wissen und 1380 00:43:38,820 --> 00:43:40,469 auch mit diesem, dass man das Ziel vor 1381 00:43:40,470 --> 00:43:42,659 Augen hat, dass man einen entsprechenden 1382 00:43:42,660 --> 00:43:44,489 rechtswidrigen Vermögens Vorteil sich 1383 00:43:44,490 --> 00:43:45,899 verschaffen will, das heißt irgendwie 1384 00:43:45,900 --> 00:43:47,369 Zahlen manipuliert und sich selber 1385 00:43:47,370 --> 00:43:49,439 möglichst viel Kohle sag ich mal auf das 1386 00:43:49,440 --> 00:43:51,689 Konto schiebt, weil man entsprechende 1387 00:43:51,690 --> 00:43:53,429 Ergebnisse eines Datenverarbeitung 1388 00:43:53,430 --> 00:43:55,859 Vorgangs irgendwie beeinflusst. 1389 00:43:55,860 --> 00:43:57,959 Sei es jetzt das Ergebnis selber oder 1390 00:43:57,960 --> 00:44:00,449 den Weg dahin, dass man das Ergebnis 1391 00:44:00,450 --> 00:44:02,279 entsprechend für die eigene Begünstigung 1392 00:44:02,280 --> 00:44:03,280 nutzen kann. 1393 00:44:04,530 --> 00:44:05,549 Das heißt, wenn wir jetzt ein 1394 00:44:05,550 --> 00:44:07,559 Identitätsdiebstahl zum Beispiel haben, 1395 00:44:07,560 --> 00:44:09,449 und der ist jetzt aber mal im digitalen 1396 00:44:09,450 --> 00:44:10,619 Raum, ansonsten wäre es nicht der 1397 00:44:10,620 --> 00:44:12,569 Computer Betrug, sondern der normale. 1398 00:44:12,570 --> 00:44:14,759 Und wir haben die Möglichkeit, 1399 00:44:14,760 --> 00:44:16,109 dass Alice und Bob miteinander 1400 00:44:16,110 --> 00:44:17,669 kommunizieren. 1401 00:44:17,670 --> 00:44:19,379 Und Alice ist aber eigentlich gar nicht 1402 00:44:19,380 --> 00:44:21,629 Alice, sondern irgendeine andere 1403 00:44:21,630 --> 00:44:23,759 anonymen Anonymen ist ein 1404 00:44:23,760 --> 00:44:25,589 falsches Wort, Entschuldigung, eine 1405 00:44:25,590 --> 00:44:27,840 ominöse Person und 1406 00:44:29,070 --> 00:44:30,569 vielleicht auch anonym, weil sich unter 1407 00:44:30,570 --> 00:44:31,589 diesem Deckmantel hält. 1408 00:44:31,590 --> 00:44:33,269 Und die versucht dann natürlich irgendwie 1409 00:44:33,270 --> 00:44:35,339 mit dieser Identität als Vorgabe 1410 00:44:35,340 --> 00:44:36,929 an dieses Geld zu kommen und verschwindet 1411 00:44:36,930 --> 00:44:38,789 dann. Das ist so der Klassiker, der 1412 00:44:38,790 --> 00:44:40,469 darunter fällt. 1413 00:44:40,470 --> 00:44:42,239 In diesem Bereich ist sozusagen alles, 1414 00:44:42,240 --> 00:44:44,729 was hilft, das aufzudecken, natürlich 1415 00:44:44,730 --> 00:44:46,949 nicht an diesem strafrechtlichen 1416 00:44:46,950 --> 00:44:49,019 Rande. Aber alles, was irgendwie dazu 1417 00:44:49,020 --> 00:44:51,239 hilft, solche Situationen 1418 00:44:51,240 --> 00:44:53,039 aufrecht zu aufrechtzuerhalten oder zu 1419 00:44:53,040 --> 00:44:55,199 begünstigen, kann natürlich entsprechend 1420 00:44:55,200 --> 00:44:56,399 auch kritisch bewertet werden, 1421 00:44:58,050 --> 00:45:00,119 was diese strafrechtliche 1422 00:45:00,120 --> 00:45:01,469 Geschichte angeht. 1423 00:45:01,470 --> 00:45:03,689 Um das einmal noch zusammenzufassen Zum 1424 00:45:03,690 --> 00:45:05,909 Schluss kann man nicht so 1425 00:45:05,910 --> 00:45:07,709 wirkliche Pflichten daraus ziehen, außer 1426 00:45:07,710 --> 00:45:09,089 dass man beachten muss, dass man da nicht 1427 00:45:09,090 --> 00:45:11,129 reinfällt. Also man kann so ein bisschen 1428 00:45:11,130 --> 00:45:13,019 diese Situation ich eben skizziert habe 1429 00:45:13,020 --> 00:45:14,819 nehmen und gucken. Fällt man da runter, 1430 00:45:14,820 --> 00:45:15,809 wann fällt man darunter? 1431 00:45:15,810 --> 00:45:17,699 Helfen. Also machen wir das vor allen 1432 00:45:17,700 --> 00:45:20,099 Dingen auch in der Kenntnis, 1433 00:45:20,100 --> 00:45:22,259 dass wir bewusst sozusagen zu 1434 00:45:22,260 --> 00:45:24,389 diesen Situationen führen und nicht dazu, 1435 00:45:24,390 --> 00:45:26,669 dass wir jetzt Forschung betreiben. 1436 00:45:26,670 --> 00:45:28,469 Und dann kann es dazu führen, dass 1437 00:45:28,470 --> 00:45:30,209 irgendwer kommt, das ein bisschen 1438 00:45:30,210 --> 00:45:31,829 umprogrammiert und dann zu böswilligen 1439 00:45:31,830 --> 00:45:34,109 Zwecken genutzt. Man muss da 1440 00:45:34,110 --> 00:45:35,639 also die Schwierigkeit besteht sozusagen, 1441 00:45:35,640 --> 00:45:37,379 dass man nicht immer weiß, dass jemand 1442 00:45:37,380 --> 00:45:39,239 irgendwie diese Dinge nimmt und dann 1443 00:45:39,240 --> 00:45:40,649 irgendwelche Schindluder damit treibt. 1444 00:45:41,730 --> 00:45:42,730 Und 1445 00:45:43,830 --> 00:45:46,349 man kann wie gesagt höchstens nur 1446 00:45:46,350 --> 00:45:47,849 diese Situationen nehmen und gucken. 1447 00:45:47,850 --> 00:45:49,109 Passt man da hin oder nicht? 1448 00:45:49,110 --> 00:45:50,519 Und was kann man tun, damit diese 1449 00:45:50,520 --> 00:45:52,709 Schindluder möglichst vermieden werden 1450 00:45:52,710 --> 00:45:56,489 bzw. diese Situationen nicht eintreten? 1451 00:45:56,490 --> 00:45:58,709 Aber mehr kann man aus dem StGB auch 1452 00:45:58,710 --> 00:46:00,899 nicht ziehen, zumindest was die Forschung 1453 00:46:00,900 --> 00:46:01,829 betrifft. 1454 00:46:01,830 --> 00:46:04,289 Und damit hätte es diese Geschichte 1455 00:46:04,290 --> 00:46:05,969 absolviert und bin mit meinem Vortrag am 1456 00:46:05,970 --> 00:46:07,079 Ende. 1457 00:46:07,080 --> 00:46:08,459 Ich bedanke mich sehr für eure 1458 00:46:08,460 --> 00:46:09,809 Aufmerksamkeit, dass zu dieser frühen 1459 00:46:09,810 --> 00:46:12,119 Stunde schon so viele da waren, 1460 00:46:12,120 --> 00:46:13,879 das ist mein Name. 1461 00:46:13,880 --> 00:46:16,109 Ihr reißt mich also über E-Mail, 1462 00:46:16,110 --> 00:46:18,179 natürlich mit dem Twitter und mit 1463 00:46:18,180 --> 00:46:20,100 dem Magnus Magnus, 1464 00:46:21,120 --> 00:46:23,699 sondern mit dem Mastodon Magnus. 1465 00:46:23,700 --> 00:46:24,959 Warum könnt ihr mich auch da irgendwie 1466 00:46:24,960 --> 00:46:26,279 noch erreichen? Ich bin noch alle Tage 1467 00:46:26,280 --> 00:46:27,659 noch da auf dem Kongress, wenn irgendwas 1468 00:46:27,660 --> 00:46:28,679 sein sollte. 1469 00:46:28,680 --> 00:46:29,819 Ich bedanke mich. Jetzt kommt die 1470 00:46:29,820 --> 00:46:32,009 Langeweile. Ist es leid, Eva Die Quellen 1471 00:46:32,010 --> 00:46:33,679 so, das war's ja. 1472 00:46:34,740 --> 00:46:35,669 Applaus. Applaus. 1473 00:46:35,670 --> 00:46:36,750 Applaus. Applaus. 1474 00:46:39,920 --> 00:46:41,539 Oliver Normalerweise gibt es aber immer 1475 00:46:41,540 --> 00:46:43,429 noch Fragen links und rechts wo öffnen 1476 00:46:43,430 --> 00:46:44,809 sich gleich die Lampen? 1477 00:46:44,810 --> 00:46:46,489 Das heißt, jetzt könnt ihr sozusagen den 1478 00:46:46,490 --> 00:46:48,949 Telefonjoker hier auf der Bühne 1479 00:46:48,950 --> 00:46:51,409 direkt befragen, weil 1480 00:46:51,410 --> 00:46:52,969 das ja immer ein spannendes Ding. 1481 00:46:52,970 --> 00:46:55,189 Ich hoffe, ihr habt allen Datenschutzbeauftragten 1482 00:46:55,190 --> 00:46:57,019 in euren Firmen und das ist auch ein 1483 00:46:57,020 --> 00:46:58,579 guter Freund von euch, dass ihr im 1484 00:46:58,580 --> 00:47:00,709 Zweifel immer mal und da kommt auch 1485 00:47:00,710 --> 00:47:01,940 schon die erste Frage 1486 00:47:03,380 --> 00:47:04,939 auf der Seite bitte. 1487 00:47:04,940 --> 00:47:07,039 Erste Frage ganz relativ am Anfang 1488 00:47:07,040 --> 00:47:09,139 kam dieses Auszug aus dem 1489 00:47:09,140 --> 00:47:10,140 Datenschutzgesetz. 1490 00:47:11,600 --> 00:47:14,089 Ist da der Begriff Nutzer 1491 00:47:14,090 --> 00:47:15,090 genau definiert? 1492 00:47:17,270 --> 00:47:18,289 Der ist jetzt auch Gesetz, muss ich 1493 00:47:18,290 --> 00:47:19,219 nachgucken. 1494 00:47:19,220 --> 00:47:21,799 Klassiker äh, 1495 00:47:21,800 --> 00:47:24,049 im Bundesdatenschutzgesetz 1496 00:47:24,050 --> 00:47:25,400 meines Wissens nicht, 1497 00:47:26,600 --> 00:47:28,099 weil sich die Definition, wenn ich es 1498 00:47:28,100 --> 00:47:29,359 richtig denke, eben aus der 1499 00:47:29,360 --> 00:47:31,219 Datenschutzgrundverordnung zieht. 1500 00:47:31,220 --> 00:47:33,409 Da gibt es, da gibt es den, den 1501 00:47:33,410 --> 00:47:34,999 die Beschreibung und die wird. 1502 00:47:35,000 --> 00:47:36,319 Also ich weiß nicht, ob es da doppelt 1503 00:47:36,320 --> 00:47:37,909 drin steht und man soll ja nichts doppelt 1504 00:47:37,910 --> 00:47:39,769 nehmen, auch wenn es im Bundesdatenschutzgesetz 1505 00:47:39,770 --> 00:47:42,019 drin steht. Aber eigentlich 1506 00:47:42,020 --> 00:47:43,399 müsste die in der Datenschutz-Grundverordnung 1507 00:47:43,400 --> 00:47:44,719 stehen, meines Wissens und nicht im 1508 00:47:44,720 --> 00:47:45,619 Bundesdatenschutzgesetz. 1509 00:47:45,620 --> 00:47:46,759 Und da steht eigentlich auch was. 1510 00:47:46,760 --> 00:47:48,739 Aber was kann ich jetzt nicht aus dem 1511 00:47:48,740 --> 00:47:50,389 Kopf aussagen? Ich weiß nun, wo es steht. 1512 00:47:50,390 --> 00:47:51,649 Okay, dann weiß ich, wo ich nachschauen 1513 00:47:51,650 --> 00:47:52,399 danke. 1514 00:47:52,400 --> 00:47:53,879 Also ich kann mir die Stelle auch genau 1515 00:47:53,880 --> 00:47:55,019 raussuchen und dann machen wir das. 1516 00:47:57,690 --> 00:47:59,369 Ja, danke für die Frage haben wir noch 1517 00:47:59,370 --> 00:48:01,260 eine Frage aus dem Internet vielleicht? 1518 00:48:02,640 --> 00:48:04,469 Nein, keine Frage. 1519 00:48:04,470 --> 00:48:05,940 Aber jetzt hier zur rechten 1520 00:48:06,960 --> 00:48:09,359 Hand eine kleine 1521 00:48:09,360 --> 00:48:10,499 Frage von Arbeit. 1522 00:48:11,610 --> 00:48:13,949 Kollege und ich hatten eine App 1523 00:48:13,950 --> 00:48:16,109 gehackt, um einen 1524 00:48:16,110 --> 00:48:18,479 API Schlüssel reinzukommen, aber 1525 00:48:18,480 --> 00:48:20,489 mit dem Schlüssel haben wir dann nur 1526 00:48:20,490 --> 00:48:22,559 Daten abgefragt von dieser API, die die 1527 00:48:22,560 --> 00:48:24,539 App ohnehin angezeigt hätte. 1528 00:48:24,540 --> 00:48:26,309 Das heißt, ich umgehe eine 1529 00:48:26,310 --> 00:48:28,049 Sicherheitsmaßnahme, um an Daten 1530 00:48:28,050 --> 00:48:30,059 ranzukommen, die aber für mich bestimmt 1531 00:48:30,060 --> 00:48:31,709 sind, weil die Daten ja eigentlich 1532 00:48:31,710 --> 00:48:33,359 öffentlich auch über diese App verteilt 1533 00:48:33,360 --> 00:48:34,349 werden. 1534 00:48:34,350 --> 00:48:35,959 Ist es jetzt illegal oder nicht? 1535 00:48:35,960 --> 00:48:37,409 Weil ich habe ja eine 1536 00:48:37,410 --> 00:48:39,149 Sicherheitsmaßnahmen im Gang, aber die 1537 00:48:39,150 --> 00:48:41,259 Daten sind für mich bestimmt. 1538 00:48:41,260 --> 00:48:43,379 Also ich muss vorher zwei Sachen sagen, 1539 00:48:43,380 --> 00:48:44,429 es hätte ja am Anfang sein sollen. 1540 00:48:45,570 --> 00:48:47,099 Erstens habe ich kein zweites Examen. 1541 00:48:47,100 --> 00:48:48,449 Zweitens die Welt. 1542 00:48:48,450 --> 00:48:49,799 Das kann man ja auch nachgucken. 1543 00:48:49,800 --> 00:48:51,389 Aber ich kann jetzt auch keine 1544 00:48:51,390 --> 00:48:52,859 Rechtsberatung auf der Bühne oder so 1545 00:48:52,860 --> 00:48:54,599 machen. Was ich sagen kann ist, dass ich 1546 00:48:54,600 --> 00:48:55,859 relativ kritisch wäre. 1547 00:48:55,860 --> 00:48:57,299 Zum einen, weil es darum geht, dass ich 1548 00:48:57,300 --> 00:48:59,399 nicht weiß, welche Daten, was die 1549 00:48:59,400 --> 00:49:01,409 Daten ausgesagt haben, dass wir die erste 1550 00:49:01,410 --> 00:49:03,149 Schnittstelle, wo ich gesagt hätte So 1551 00:49:03,150 --> 00:49:04,169 kann es schwierig werden. 1552 00:49:04,170 --> 00:49:06,419 Die zweite ist Selbst wenn diese 1553 00:49:06,420 --> 00:49:08,519 App nutzt und diese Daten 1554 00:49:08,520 --> 00:49:10,199 siehst, dann sind sie ja deshalb nicht 1555 00:49:10,200 --> 00:49:11,219 für dich bestimmt, weil du diese 1556 00:49:11,220 --> 00:49:12,989 Sicherheitsmaßnahmen oder diese die 1557 00:49:12,990 --> 00:49:14,099 gehackt hast. 1558 00:49:14,100 --> 00:49:15,359 Das heißt, da hast ja die Lizenz 1559 00:49:15,360 --> 00:49:16,919 vielleicht nicht gekauft oder so, und 1560 00:49:16,920 --> 00:49:18,669 deswegen ist es sozusagen das, was du da 1561 00:49:18,670 --> 00:49:19,799 anfängst, eigentlich nicht für dich 1562 00:49:19,800 --> 00:49:21,869 bestimmt, weil du diese diese App 1563 00:49:21,870 --> 00:49:24,479 oder diese App nicht rechtmäßig nutzt. 1564 00:49:24,480 --> 00:49:26,099 Da hätte ich jetzt gesagt und es könnte 1565 00:49:26,100 --> 00:49:27,299 schwierig werden. 1566 00:49:27,300 --> 00:49:28,499 Ähm. 1567 00:49:28,500 --> 00:49:30,389 Aber gerade im Strafrecht oder so. 1568 00:49:30,390 --> 00:49:31,889 Da würde ich tatsächlich sagen vielleicht 1569 00:49:31,890 --> 00:49:34,679 mal morgen dann noch mal bei dem Kollegen 1570 00:49:34,680 --> 00:49:35,669 nachfragen. 1571 00:49:35,670 --> 00:49:37,769 Der weiß auch aus der Praxis weitaus mehr 1572 00:49:37,770 --> 00:49:38,939 als ich. 1573 00:49:38,940 --> 00:49:41,279 Aber ich hätte vorher gesagt, 1574 00:49:41,280 --> 00:49:42,449 ich hätte lieber noch ein paar Sachen 1575 00:49:42,450 --> 00:49:43,769 nachgeguckt, bevor ich die einwandfrei 1576 00:49:43,770 --> 00:49:45,149 sagen kann, ob du das machen solltest 1577 00:49:45,150 --> 00:49:46,109 oder nicht. 1578 00:49:46,110 --> 00:49:47,789 Alles klar? Vielen Dank. 1579 00:49:47,790 --> 00:49:48,790 Danke dir. 1580 00:49:49,920 --> 00:49:51,839 Ja, wenn Neugier, Neugierde ein 1581 00:49:51,840 --> 00:49:53,129 Verbrechen ist, dann sind wir alle 1582 00:49:53,130 --> 00:49:54,419 strafbar. 1583 00:49:54,420 --> 00:49:56,279 An der Stelle keine Fragen mehr. 1584 00:49:56,280 --> 00:49:58,349 Und noch mal einen herzlichen Dank an 1585 00:49:58,350 --> 00:50:00,029 Oliver Wettermann für seinen tollen 1586 00:50:00,030 --> 00:50:00,929 Vortrag. 1587 00:50:00,930 --> 00:50:02,729 Ich habe keine Übersicht über den. 1588 00:50:24,750 --> 00:50:25,750 Nun.