/299$36c3-chaoswest-talk-91

Hallo Du!
Bevor du loslegst den Talk zu transkribieren, sieh dir bitte noch einmal unseren Style Guide an: https://wiki.c3subtitles.de/de:styleguide. Solltest du Fragen haben, dann kannst du uns gerne direkt fragen oder unter https://webirc.hackint.org/#irc://hackint.org/#subtitles erreichen.
Bitte vergiss nicht deinen Fortschritt im Fortschrittsbalken auf der Seite des Talks einzutragen.
Vielen Dank für dein Engagement!

Hey you!
Prior to transcribing, please look at your style guide: https://wiki.c3subtitles.de/en:styleguide. If you have some questions you can either ask us personally or write us at https://webirc.hackint.org/#irc://hackint.org/#subtitles.
Please don't forget to mark your progress in the progress bar at the talk's website.
Thank you very much for your commitment!

======================================================================

*36C3 Vorspannmusik*

Herald: Ja lieber Chaos Computer Congress, es ist mir eine Freude und Ehre heute hier Oliver Vettermann vorstellen zu dürfen und auf die Bühne berufen zu dürfen, mit: "Risky Business?! -Rechte und Pflichten von IT-Sicherheitsforschern".

Bitte gebt ihm einen warmen Applaus und lauscht seinen spannenden Worten über ein Thema, was uns alle betrifft. Danke!

Oliver: Die Slides kommen, sehr schön.

Ja, ich weiß gar nicht recht, wie ich anfangen soll. Weil die Geschichte ist eigentlich die. Ich bin Oliver. Das wurde ja schon so ein bisschen angerissen. Aber um zum Punkt zu kommen, würde ich erst mal einleiten.

Warum? Warum halte ich diesen Vortrag? Warum nenne ich das ganze Risk Business und oder stellt zumindest die Frage auf Warum ist es irgendwie manchmal ein bisschen schwierig, in der Forschung zu erklären: Wann darf man was, wann nicht?

Und welchen Weg ich da gegangen bin in den letzten drei Jahren, würde ich sagen.

Denn um das Ganze so ein bisschen zu untermauern – ich mache jetzt keine große Vita oder sowas auf.

Aber ich bin letzten Endes auf zwei Seiten Deutschlands so ein bisschen beheimatet:
Winmal in Leipzig und einmal in Karlsruhe.

In Leipzig mache ich eher die Lehre, da sitzen viele kleine Studierende da und dann muss man ein bisschen ein paar Sachen erklären und die dann einführen im ersten Semester. Das ist so das, was ich da mache.

Und in Karlsruhe ist eigentlich dann so die Forschung: Dort begleite ich jetzt drei Jahre schon Forschungsprojekte im Bereich der IT-Sicherheit und dem Datenschutz – im rechtlichen Bereich.

Also da geht es vor allem darum, was darf man, was darf man nicht. Und vor allem auch dabei, wenn dann Dinge entwickelt werden, wie implementiert man am besten irgendwelche Schutzmaßnahmen?

Und bei diesem ganzen Prozedere und vor allen Dingen das hab ich dann die letzten drei Jahre gemacht das Forschungsprojekt –
– […] – für die effektive Information bei digitalem Identitätsdiebstahl.

Also ist Idqoi??? [wird durch das Logo] skizziert, dass wir da vor allem die Problematik hatten, irgendwelche Informationspflichten untereinander einzuhalten im Datenschutzrecht.
Und was da oft diskutiert wurde, waren dann auch so Sachen wie:
Wann implementierte ich irgendwas richtig, wann nicht?
Wie sieht sowas im Code aus? Ich habe mir dann zumindest gelegentlich auch sehr oberflächlich, leider. – aber das lernen ich dann in den nächsten Jahren ein bisschen, wenn ich Zeit habe – den Source Code angeguckt und das eine oder andere dann noch mal nachgefragt vor allem und das minutiös erklären lassen, um dann zu sagen "das Ja", "das Nein" und wie und dann gefragt "Was könnt ihr noch?" Und dann noch ein bisschen nachjustiert, also sehr eng zusammengearbeitet, um vielleicht solche Konfusion nicht zu vermeiden.

Und wenn es dann doch mal passiert, dann gab es schon sehr hitzige Diskussionen, wann oder wie groß denn K ist, wenn es um K-Anonymität geht und um das dann ein bisschen zusammenzufassen:
Das waren so hitzige Diskussionen, dass die Leute dann nach einer Weile lang nicht miteinander geredet haben.

Also das war dann schon so, dass das am Rande war, dass man sagt, so wie kommuniziert man das gut miteinander.
Das erhitzt sich dann nun mal auf, weil der Jurist nicht sagen kann, wie groß K ist.
Es ist immer: "Es kommt drauf an" – das ist die Standard-Ausrede oder die Standard-Floskel, die der Jurist dann bringt.

Und der Informatiker will aber – so sage ich mal mehr oder weniger binär dann sagen: Wie groß ist das K? Es muss doch ein Urteil geben, dass der sagt!
Gibt es aber nicht.

Und da komme ich dann noch mal zu, wie man das in etwa, ich sage mal nicht bestimmen kann.
Aber wie man so ein bisschen Gefühl dafür kriegen kann, wann man das macht.

Aber um erst mal dazu zu kommen:
Was ist überhaupt eigentlich Sicherheitsforschung?
Was gucken wir uns da an?
Oder wie betrachte ich das Ganze in den letzten drei Jahren – sag ich es mal mehr oder minder.
Und wie ich das wahrgenommen?

Um das so ein bisschen zusammenzufassen:
Wenn man das auf einer rechtlichen Seite erstmal grob unterbricht, ist die Forschung jede wissenschaftliche Tätigkeit.
Das ist ein Zitat aus dem Bundesverfassungsgericht Urteil. Das ist so sehr, sehr allgemein gehalten, wie man ganz gut erkennen kann.

Und was man auch erkennen kann, ist in diesem letzten Drittel, in dieser unteren Zeile, dass es vor allen Dingen darum geht, einen ernsthaften und planmäßigen Versuch zu unternehmen.

Das heißt, es muss nicht irgendwie ausprobiert "Ah ich steck das da jetzt mal rein" sein, sondern es sollte das also sehr formalistisch, sollte es doch nicht sein, dass jetzt irgendwie noch Tabellen führt oder so, aber es sollte sozusagen eine Frage aufgestellt werden.

Das ist ja in den naturwissenschaftlichen Disziplinen ja meistens bei einem Paper so:
Es wird eine Frage aufgestellt. Dann wird eine Studie gemacht und am Ende wird rausbekommen, wie das Ergebnis der Studie ist.

Und das ist so ein bisschen auch das, was diese Definition auffängt. Also von der restlichen grundlegenden Seite gibt es da erstmal nichts, was man sagen kann, die Sicherheitsforschung ist da jetzt irgendwas ganz Besonderes.
Das zählt ganz normal auch zu dieser Forschung.

Wenn wir das dann aber tatsächlich mal so ein bisschen skizzieren, dann haben wir auf der informatischen oder die sicherheitstechnischen Seite diese drei Schutzziele, die in der IT-Sicherheit immer so ein bisschen sehr heilig sind.

Also man könnte da auch sagen wir haben so ein bisschen so eine heilige Dreifaltigkeit –
dass wir eine Verfügbarkeit, Vertraulichkeit und Unversehrtheit haben – die alle irgendwie miteinander zusammenhängen.
Also wenn ich eins wegnehme, wirkt sich das vielleicht unter Umständen – je nachdem, was man da macht – auch auf diese anderen Punkte aus.
Das ist dann immer nicht so ganz einfach das zu bestimmen.
Wenn man das dann auf der rechtswissenschaftlichen Seite macht und da wieder mal das Bundesverfassungsgericht hinzuzieht, dann gibt es da kein Urteil, das direkt sagt "Das ist IT-Sicherheit".

Aber wenn ich mal das Hardware nächste nehme, was dann das sogenannte "Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme" ist.
Wenn ich das nehme, dann ist das definiert als das Interesse des Nutzers, das die von einem Schutzbereich erfassten informationstechnischen System erzeugten Verarbeiten und gespeicherten Daten vertraulich bleiben.
Das klingt schon sehr nach Kauderwelsch, meint aber letzten Endes, dass wir in informationstechnischer System haben, das nicht selbst darunter fällt, sondern – man sieht es oben ganz gut – das ist nur das Interesse des Nutzers daran.

Und es geht vor allen Dingen um die Daten oder um Systeme, die Daten verarbeiten.
Also man könnte jetzt einerseits sagen: "Jedes System verarbeitet Daten", aber dieses Urteil hat dieses Grundrecht dann eher in so einem persönlichkeits rechtlichen Charakter eingebettet.
Das heißt, diese Systeme sind vorwiegend Systeme, die irgendwie Personenbezug haben oder personenbezogene Daten verarbeiten, auch wenn es nicht vorwiegend Datenschutzrecht ist, in diesem Grundrecht.
Das ist ja dann eher dieses Grundrecht auf informationelle Selbstbestimmung, sondern bei denen geht es eher darum, sozusagen die Hülle um dieses System, um diese Daten in Form des Systems, zu schützen.
Und wenn man dann das verzweigt, so ein bisschen in diese einfach gesetzliche Schiene, also Datenschutzrecht und tatsächlich IT-Sicherheitsrecht, dann fehlt da relativ viel.

Also im Datenschutzrecht gibt es dann tatsächlich nur sozusagen IT-Sicherheit als Mittel, um entsprechend die Informationen zu schützen, also sozusagen als Maßnahme.
Und wir haben IT-Sicherheitsrecht das Problem, dass man da nur kritische Infrastrukturen und sogenannte digitale Dienste – zum Beispiel Online-Shops sind da genannt – direkt verpflichtet, aber alles andere ist sehr mittelbar.

Das heißt, wenn man das versucht in Einklang zu bringen, hat man auf der einen Seite eine Möglichkeit, auch Zertifizierungen zu machen und Audit, also eine wiederholte Überprüfung mit entsprechender Auszeichnung einzuholen.
Aber das ist dann auch so ein bisschen schwierig, weil daraus schon mal keine Pflichten folgen können.
Also es gibt keine Pflicht, diese Audits zu tun – es ist natürlich ein gesellschaftlicher Druck da, dass man sagen kann "Cool, wir haben das, unser Produkt hat das", das wirkt besonders toll.

Aber das Problem ist dann, wenn das nicht alle machen und keiner mitzieht, dann passiert halt nichts.
Also fällt das schon mal weg.

[8:20]
Wenn wir dann weitergehen, tatsächlich so ein bisschen in die Hardware Richtung oder wie soll ich sagen in diese Schutzmassnahmen, dann gibt es da schon auf der einen Seite eine Verpflichtung, wenn man datenschutzrechtliche oder Datenschutz relevante Systeme irgendwie bearbeitet beziehungsweise dafür IT-Sicherheit irgendwie einbinden soll oder entwirft.
Das heißt, da gibt es so ein bisschen eine Verpflichtung, aber die genaue Ausgestaltung ist da auch wieder jedem selbst überlassen, weil das steht dann häufig da.
Stand der Technik und Stand der Technik ist dann das, was bei Juristen manchmal als Gummiball Paragraphen bezeichnet wird.
Das heißt, es ist sehr weit dehnbar.
Das heißt, man orientiert sich dann daran, was so ein bisschen best practice ist, was gut funktioniert, was sich bewährt hat.
Und das kann zu positiven Wirkungen führen.
Es muss aber nicht zwangsläufig, wenn sich irgendwas, was nicht relevant, nicht relevant ist, sondern was nicht gut schützt, sozusagen trotzdem als Stand der Technik etabliert hat und die anderen gut schützenden Sachen sich nicht durchsetzen, dann ist das Ganze eben auch nicht als Verpflichtung zu sehen, sondern man kann da nur das nehmen, was am besten und am einfachsten funktioniert und vielleicht für den Anwender wenig Probleme bereitet.
Also auch da keine unmittelbare rechtliche Verpflichtung.
Und zu guter Letzt mit dem Herren oder dem Wesen mit Monokel skizziert das BSI, das dann letzten Endes eher eine Art Aufsicht hat für Hardwarehersteller innen oder Anwender innen und Ähnliches.
Das hilft sozusagen.
Aber es hat auch wenig oder es gibt wenig unmittelbare Verpflichtung.
Auch das BSI Gesetz enthält da nichts abgesehen, hatte ich ja gesagt von diesen kritischen Infrastrukturen, außer es gibt da noch die eine kleine Ausnahme, aber die ist halt auch keine richtige Verpflichtung, wenn dann das BSI kommt und bestimmte Produkte überprüft.
Das heißt, sich die genauer anschaut auf entsprechende Schutzzölle, die ich eben vorhin genannt hatte, die nimmt auch das BSI Gesetz, also Vertraulichkeit, Integrität und Unversehrtheit.
Das war doppelte Vertraulichkeit, auf jeden Fall auch die Unversehrtheit.
Aber nichtsdestotrotz nimmt es diese drei Schutz Ziele, überprüft, ob die eingehalten werden und hilft dann entsprechend nachzujustieren.
Aber es gibt keine Pflicht zum BSI zu gehen und zu sagen hier überprüft unser tolles Programm, weil dann hätte auch das BSI irgendwann so viel zu tun.
Ich glaube das explodiert.
Und auf der anderen Seite.
Schlichtung das überprüfen zu lassen, besteht dann sozusagen höchstens mittelbar.
Also auch das fällt mehr oder weniger weg und man kann sich dann fragen, mal abgesehen vom Zivilrecht, wo dann auch nichts ist.
Deswegen habe ich es nicht erwähnt.
Man wird eigentlich wahnsinnig.
Man weiß nicht, wo man anfangen soll, was das angeht, weil alles irgendwie nur mittelbar ist.
Und man kann dann nur sagen implementiert das irgendwie bestmöglich.
Aber so richtig ist das.
Drin steht das und das ist der MindestStandard-und alles was drüber liegt, ist irgendwie schön.
Aber das müsst ihr selber gucken.
So was gibt es nicht.
Zumindest hat sich das meiner Kenntnis entzogen.
In der Vorbereitung gut.
Ähm.
Deswegen justiert sich dieser gesamte Vortrag jetzt so ein bisschen viel ins Datenschutzrecht, weil das das nächste oder das meiste ist, was irgendwelche Verpflichtungen vorgibt oder zumindest relativ viele Anleihen gibt.
Und wo wir dann ein bisschen gucken, wie setzt sich das zusammen und wann fällt man da drunter? Deswegen erstmal so ein bisschen die Grundlagen, wenn man jetzt ich hoffe, man kann es einigermaßen gut lesen, ich glaube, die letzten Reihen werden wir Probleme haben.
Deswegen paraphrasieren ist das jetzt so ein bisschen.
Wir haben den Paragraphen 1 des Bundesdatenschutzgesetz, das mal so ein bisschen, da das auch seht.
Wie ich dann anfange zu arbeiten im Paragraphen oder im Artikel 1 eines Gesetzes steht meistens der Anwendungsbereich.
Das heißt, da könnt ihr gucken.
Ist das überhaupt für mich relevant? Wenn wir uns das jetzt für Sonderfälle angucken, können wir erst mal anschauen, dass wenn wir davon ausgehen, wir haben Systeme, die irgendwie mit personenbezogenen Daten zu tun haben, dass wir das als Richtschnur nehmen können.
Dann fallen wir erst runter, wenn wir irgendwie zu einer öffentlichen Stelle des Bundes gehören und im Ausnahmefall des Landes, wenn usw.
Das ist dieser tolle Nachsatz da dran das Land nicht selber geregelt hat.
Und das kommt dann dazu.
Private Stellen fallen immer unter dieses Gesetz.
Das heißt, wenn ihr unabhängige IT Sicherheitsforscher seid, dann ist es Bundesdatenschutzgesetz und Datenschutzgrundverordnung.
Die tummeln sich ja immer ein bisschen zusammen, dann sind die eure Richtschnur.
Und wenn ihr zu den Ländern gehört, zum Beispiel zu einer Universität, dann ist es tatsächlich, dass wenn es existiert, wovon der Großteil der Länder natürlich auszugehen ist, dann nimmt er das Landes Datenschutzgesetz und dann die Datenschutzgrundverordnung.
Also beides zusammen geht ein bisschen ineinander.
Aber das ist natürlich ein bisschen schwierig, weil ihr habt da in der Regel Juristen, für die ihr fragen könnt, wenn ihr etwas nicht versteht.
Also nicht, dass ich jetzt denke, ich verstehe das nicht.
Aber das ist so die Herangehensweise, wie ihr versuchen könnt, das ganze Dickicht erst mal zu durchdringen.
Gut, wenn wir das wissen, dann müssen wir natürlich aber immer auch eine entsprechende Verarbeitungs Grundlage mitbringen.
Wir können nicht einfach irgendwelche Daten nehmen oder zumindest Systeme bauen, die entsprechende Daten verarbeiten und dann sagen es ist mir egal, wird schon irgendwie passen.
Berechtigtes Interesse sieht man da schon.
Als drittes kann man immer gut vorbringen, könnte aber interessant werden.
Und ich habe jetzt mal drei.
Also es sind mehrere mehr als drei.
Auf jeden Fall eine Datenschutzgrundverordnung.
Ich hab mir jetzt aber mal die drei herausgegriffen, die so die Top 3 sind oder zumindest die, die sich am besten für Forschung eignen.
Wenn uns jetzt die Einwilligungen anschauen, die ist erstmal relativ simpel.
Man braucht schon irgendwie in bestätigenden Willensakt, der muss aber entsprechend freiwillig sein.
Er muss entsprechend auch in Kenntnis sein.
Daher auf das Gehirn sollte natürlich ein entsprechender Gehirnschmalz da sein, der mit den Informationen gefüllt ist, worin ist einwilligte und warum, weshalb, wieso und wozu das Ganze überhaupt verarbeitet wird.
Wenn wir dann weitergehen zu der Verarbeitung, zur Wahrnehmung einer öffentlichen Aufgabe oder im öffentlichen Interesse, dann ist das eher die Rechtfertigung, Möglichkeit oder die Verarbeitungs Möglichkeit, die staatlichen Institutionen sozusagen zugethan ist.
Das ist dann vor allen Dingen für akademische Mitarbeiterinnen der Fall, für Leute wie mich, wenn ich das im Forschungsauftrag der Uni oder eines Forschungsinstituts mache, das entsprechend es als solches zu qualifizieren ist.
Ähm, und wenn ich dann tatsächlich das außerhalb mache, also frei für mich, dann könnte ich tatsächlich dann dieses berechtigte Interesse bringen.
Also da sind dann tatsächlich diese Unabhängigen, die Sicherheitsforscher zu finden oder unter Umständen auch abseits von öffentlichen Aufgaben finanzierte Forschung.
Also also sage ich meine nicht staatlich gebundene oder in der Mehrheit des Staates liegende Institute.
Was man davon aber trennen muss, ist tatsächlich diese große Forschung, die nur betriebs bezogen ist.
Das heißt, wenn ich jetzt irgendwie ein großes Pharmaunternehmen bin und irgendwas tolles mit KI machen will, dann mache ich das nur, um meine Produkte irgendwie toll herauszubringen oder ähnliches, dann passt das nicht so ganz.
Also dass diese Forschung ist dann nicht Forschung.
Das kann unter Umständen im berechtigten Interesse liegen, aber ist dann zumindest kein Forschungsinteresse, sondern könnte dann Betriebswirtschaft.
Ehrliches Interesse sein, aber je nachdem diese ganzen Abwägungen Geschichten und da kommen wir dann später noch zu das Wort.
Das kann zumindest haarig werden.
Nun aber erst mal zur Einwilligungen.
Gibt es da irgendwie Besonderheiten, die man für die Forschung beachten muss? Wenn wir uns das na, wenn wir uns dann das Ganze mal von der Form, von den Voraussetzungen her anschauen, dann müssen wir erst mal darauf achten.
Das hatte ich ja schon gesagt, dass das Ganze freiwillig geschieht.
Das heißt, entsprechend muss geguckt werden, dass derjenige nicht unter oder diejenigen nicht unter Druck gesetzt wird und vor allem ein Widerruf eingerichtet wird.
Das heißt nach Möglichkeit zumindest, dass der oder diejenige die Einwilligung auch wieder zurückziehen kann.
Weil wenn ich das nicht kann, wird auch eine besondere Drucksituation aufgebaut und das macht ja keinen Sinn, weil die Einwilligung der informationellen Selbstbestimmung dient.
Also man selber bestimmen kann, was, wann, wie, wo und noch ganz viele andere Worte entsprechen, mit den Daten passieren, dann kommt natürlich dazu, das hatte ich auch schon erwähnt, dass wir eine Informiertheit gewährleisten müssen, das heißt die Personen immer wissen sollte oder zumindest Zugriff darauf haben sollte und vor allen Dingen, wenn sie einwilligt, auch das wissen sollte, was wann wie passiert und das Ganze auch entsprechend begrenzt ist vom Zweck.
Das heißt, man kann jetzt nicht einmal alle Daten nehmen und dann damit machen, was man will, sondern man muss vorher auch immer den Zweck angeben.
Und natürlich, warum man das Ganze macht und was dabei möglichst auch rauskommen soll.
Also möglichst transparent.
Zur Form gibt es eigentlich nicht so viel zu sagen.
Die ist Form.
Frei ist auch keine richtige Voraussetzung.
Aber was wichtig ist, ist, dass wenn Ihr Sicherheitsforschung auf Grundlage von Einwilligung betreibt, dann dokumentiert das Ganze immer brav.
Denn wenn dann doch mal wer anklopft von der zuständigen Datenschutzbehörde, dann sollte das Ganze auch nachweisbar sein.
Also ihr habt dann die Pflicht Rechenschaft ablegen zu können bzw.
zu müssen und deswegen das immer noch im Hinterkopf behalten.
Aber was passiert eigentlich, wenn die Forschung dazu kommt? Die Forschung? Es funktioniert hier immer so ein bisschen wie so ein Edin.
Das heißt, das, was wir uns jetzt angeguckt haben in den Voraussetzungen ist so der Grundstock die Basis.
Und dann gibt es so kleinere Modifizierungen, die entsprechend an den Stellschrauben drehen.
Bei der Freiwilligkeit ist das zum Beispiel, dass wir den Widerruf dann nicht gewähren müssen, wenn der Forschungszwecke, also den, den wir unter Dritten zum Beispiel herausgestellt haben, wenn er gefährdet ist.
Das heißt, wenn das Forschungs Ziel schon nicht mehr erreicht werden kann, bei hinterher dann plötzlich alle feststellen, ob die Einwilligung die ist.
Aber doch ein bisschen Reski, die ziehe ich mal schnell wieder zurück und dann ist das ganze ein bisschen doof, weil dann kann man das Ganze nicht mehr erforschen.
Was aber man ganz gut erkennt.
Also diese Floskel unmöglich oder ernsthaft beeinträchtigt, deutet auch darauf hin, dass so weit wie möglich man einen Widerruf gewähren kann.
So weit sollte man ihn dann auch gewähren.
Das heißt, das ist so ein bisschen auch wieder so in Einklang bringen, soweit man Daten zurückziehen kann.
Okay, aber wenn es jetzt wirklich an den Kern geht, der entsprechend noch anonymisiert werden sollte und Ähnliches, da komme ich dann gleich zu.
Ähm.
Dann wird es eng.
Dann bei der Informiertheit sollte man oder kann man beachten, dass man entsprechend die Speicherdauer nicht so genau angeben muss.
Das heißt, man muss jetzt nicht darüber aufklären.
Das Ganze ist dann in drei Wochen irgendwie gelöscht, sondern man kann das dann vielleicht in Abhängigkeit mit dem Forschungszwecke bringen.
Man kann das ein bisschen lockerer halten oder entsprechend nicht gar nicht sagen.
Aber man kann dann sagen, man kann nichts Genaues darüber sagen, weil man zum Beispiel nicht sagen kann, wann das Forschungs Ziel oder das eigentliche Forschungsergebnis eintritt.
Es gibt ja dann vielleicht eine kritische Masse, die erreicht werden muss.
Wenn man das also nicht sagen kann.
Kann man da sich so ein bisschen rausreden oder sollte zumindest so transparent wie möglich sein? Aber so kann dann ja nicht genauso viel sagen, aber so ein bisschen zumindest nachjustieren und das Subjekt oder denjenigen, der einwilligt, darüber aufklären.
Und man kann so ein bisschen nachträglich Zwecke ändern und erweitern, sofern sie nicht den eigentlichen Zweck, den man vorher gesagt hat, also diesen Forschungszweig und dann den noch ein bisschen eingrenzen.
Worüber forscht man? Was soll dabei möglichst herauskommen, wenn man das so ein bisschen erweitert, weil man dann feststellt Okay, auf diesem Wege ist das Forschungsteam überhaupt nicht erreichbar.
Wir müssen so ein bisschen den Zweck ändern oder die Verarbeitung ändern.
Wenn man das macht, sollte man natürlich den oder diejenige darüber aufklären.
Aber man kann entsprechend Zwecke ändern.
Und das ist normalerweise nicht oder nur in sehr engen Grenzen der Fall.
In der Forschung sind die ein bisschen weiter.
Was man dazu noch sagen kann, ist, dass man bei der Einwilligung gibt es sozusagen einmal die Seite, die eine große Einwilligung holt, also so einen sogenannten broad consent, die dann sagt auch Wir sind jetzt einmal alles, und dann überlegst du und alles ein in normale Verarbeitung und Forschung und dies und das und jenes.
Und dann machen wir ganz schöne Sachen.
Das klingt ganz nett, aber das führt nicht dazu, dass so der Datenschutzgrundverordnung, die ja so ein sehr großes Bollwerk ist, sage ich mal, wirklich und die informationelle Selbstbestimmung natürlich auch wirklich gewährleistet werden kann, dass das wirklich funktioniert.
Viel sinnvoller ist es dann, das möglichst klein zu machen.
Nicht so klein, dass man für jedes Wort ein Haken braucht.
Aber dass man sagen kann, wenn es eine unabhängige oder eine normale Verarbeitung gibt, die trennen von Erforschung und Verarbeitung dann vielleicht für verschiedene Forschungszwecke noch mal untergliedern und sagen Ich möchte irgendwie Krebsforschung, ich möchte normale Gesundheitsforschung, ich möchte, was weiß ich, über mein Blutbild aufgeklärt werden.
Dies, das, jenes? Keine Ahnung.
Also in dem Bereich hatte ich noch nichts.
Aber was man sich darunter vorstellen kann möglichst klein aufschlüsseln, möglichst transparent sein, das sieht man wieder.
Dass ich das schön durchzieht, dass man entsprechend möglichst viel oder demjenigen oder derjenigen, die einwilligen muss oder nicht muss, aber möchte oder sollte, dass man da möglichst große Handhabe liefert.
So viel dazu.
Dann komme ich zu der anderen Geschichte, die dann immer sehr beliebt ist.
Wir haben ja ein berechtigtes Interesse.
Was versteht man darunter? Das ist der Wortlaut, wie ein berechtigtes Interesse in der Datenschutzgrundverordnung definiert ist.
Ihr könnt ja mal versuchen, parallel ein bisschen langsamer zu gucken, wie viele Voraussetzungen ihr darunter so schätzt.
In dem Moment hole ich mir, da denke ich mal kurz was.
So.
Ja und dann löse ich das Ganze mal auf.
Es sind mehr oder weniger drei.
Die erste ist, dass wir ein berechtigtes Interesse brauchen.
Das hat man eigentlich immer schnell.
Man kann ja irgendwie sagen, gerade bei der Forschung.
Ja, wir machen ja Forschung.
Und das ist gut für die Allgemeinheit, gut für die demokratische Willensbildung.
Was auch immer man an schönen Begriffen annehmen kann.
Aber dann muss man dazu noch beachten, dass das Ganze das ist dann der zweite Schritt zur Verarbeitung oder die Verarbeitung dieser Daten zur Wahrung dieser Interessen, also dass die aufrechterhalten werden können, entsprechend erforderlich ist.
Das heißt, es gibt kein milderes Mittel und Ähnliches und es gibt nichts Besseres, sozusagen, was möglichst wenig auch die Interessen der Betroffenen, also derjenigen, deren Daten verarbeitet werden, irgendwie beeinträchtigt oder sonst irgendwie behelligt.
Und dann kommt die große Kür.
Man muss das Ganze abwägen.
Das heißt, man muss gucken, ob die Interessen und Grundrechte und Grundfreiheiten der betroffenen Personen nicht überwiegen.
Beziehungsweise wenn man die Abwägung bringt, dann natürlich nicht überwiegend gegenüber den Interessen des Verantwortlichen.
Das heißt, man hat da diese binäre Geschichte, entweder diese oder diese Situation.
Dieser Nachsatz, den man am Ende noch sieht mit dem Kind, ist dann so eine Art Besonderheit, die man in der Abwägung dann ein bisschen einbringen will.
Wenn man also das kann man nicht ganz als Kriterium sehen, zumindest in meinen Augen nicht, weil es gibt jetzt nicht so Kind und dann fängt man wieder neu an.
Sondern das ist so, dass die Interessen des Kindes noch mal höher gestellt werden in der Abwägung.
Gut, dann kommen wir zu den Voraussetzungen.
So ein bisschen, die hatte ich ja jetzt eben schon gesagt.
Das berechtigte Interesse ist erstmal grundsätzlich jedes wirtschaftliche ideelle Interesse.
Also da kann man relativ viel bringen und in Erforderlichkeit muss man darauf achten, dass man möglichst wenig erfassen oder eingreifen das Mittel hat und man entsprechend die Abwägung am Ende auch richtig absolviert.
Also das heißt, bis zum Zweiten Schritt kommt man ganz gut, wenn man beim zweiten so ein paar Sachen beachtet.
Aber beim dritten ist eigentlich der Punkt, wo man gucken muss und sehr Argumentations auf man bringen muss, der Dokumentation auch bringen muss.
Eigentlich, dass wenn man sich auf diesen Grund beruft, dann nicht sagen kann Ja, wir haben ja ein berechtigtes Interesse, das ist ganz einfach.
Dann muss man auch sagen warum.
Was hat man berücksichtigt, wie ist die Abwägung? Also was sind die Argumente? Die sollte man dann bereit halten.
Das heißt nicht nur sagen wir haben den ersten Schritt, sondern komplett durchziehen.
Sonst wird es in meinen Augen zumindest eng oder sehr streitig.
Die Forschung macht mit diesem Grund nicht so viel in der ersten Linie.
Wir haben, was den ersten Punkt angeht, wie gesagt eher die private Forschung oder die privat finanzierte Forschung oder unabhängige IT Sicherheitsforscher.
Wir haben da weniger diese Konstellationen, die in der öffentlich betriebenen Forschung durch Universitäten, durch öffentlich rechtliche Institutionen oder entsprechende Forschungsinstitute, die durch diese entsprechend geschieht.
Und wir haben eine entsprechende Schnittstelle bei der Erforderlichkeit, denn es gibt ja immer dieses Grundkonzept.
Das ist, glaube ich, hier allen mehr bekannt denn je, dass man entsprechend gucken muss, dass die Daten entweder pseudonymen oder anonymisiert sein.
Und ich habe letztens auch noch mal einen Talk gesehen, wo dann noch mal sehr minutiös herausgearbeitet wurde, wie schwierig das ist, eigentlich in bestimmten Kontexten, dafür aber irgendwie dafür zu sorgen, dass wir anonymisierte Daten haben, die entsprechend anonym bleiben und nicht durch irgendwelche Einkaufs Situationen oder Linked oder was weiß ich nicht noch, dass das ganze nicht plötzlich ein Pseudonym wird und man dann wieder in die Datenschutzgrundverordnung rein rutscht, weil man irgendwen hat, der das Ganze dann wieder aufheben bzw.
rückführen kann.
Das heißt, wenn man von vornherein da bedenkt, dass man denen die Angriffsfläche für die Betroffenen möglichst gering hält, indem man die Anonymisierung möglichst früh implementiert.
Gerade da sind dann diese Floskeln Privacy by Design und Default immer so die Schnittstelle.
Wenn man das möglichst früh einbaut, dann ist die Angriffswelle relativ gering.
Das heißt, man ist da in der Erforderlichkeit ganz gut dabei, weil man von vornherein klar Daten hat.
Dann könnte man ja sagen, es gibt eine mildere Variante, die das Ganze möglichst wenig beeinträchtigt anonymisierte oder pseudonyme Daten.
Und dann fliegt man da gerne mal raus oder kann man zumindest je nach Argumentations Aufwand rausfliegen, wenn der Zweck durch solche Implementierungen genauso gewährleistet wird? Wenn das nicht geht oder in gewissen Punkten nicht geht, dann kann man dann natürlich argumentieren, aber so halt nicht.
Und beim letzten Punkt wie gesagt darf die Forschung mehr in der Abwägung mehr oder minder.
Also man kann nicht sagen, wir sind ja Forschung, wir dürfen jetzt alles und wir schicken diese Interessen weg.
So geht es dann auch nicht.
Aber man muss dann natürlich immer so ein bisschen.
Das ist so ein bisschen wie eine Waagschale natürlich, wenn man.
Auf der einen Seite sagt man erhebt Daten von Betroffenen das Interesse natürlich hoch, weil das grundrechtlich Interesse ist natürlich entsprechend hoch zu bewerten.
Dann sagt man na ja, ist aber Forschung das, dann sagt man ja, wir haben die Daten anonymisiert, dann geht das nochmal so ein bisschen höher oder entsprechend gewährleistet und so weiter und so weiter.
Also man muss da natürlich noch ein bisschen bringen, nicht nur so allgemein Interessen von wegen diese Forschung ist gut für die Allgemeinheit, weil wir alle Smartphones haben und dann wird die Sicherheit gewährleistet, sondern man sollte dann entsprechend auch spezifisch auf diese grundrechtlichen Interessen eingehen, Schutzmaßnahme einbauen, Schutzmaßnahmen berücksichtigen und ja, das ganze sehr robust sozusagen aufbauen.
Und dann ist aber sozusagen so ein bisschen eine Lücke.
Wir haben auf der Einwilligung Seite.
Wenn wir uns den Grund so ein bisschen wieder ins Gedächtnis rufen, muss man ja darauf achten, dass diese Betroffenen informiert werden.
Jetzt könnte man ja sagen na ja, beim berechtigten Interesse, da ist mir das egal.
Informieren letztlich die Daten.
Ich habe ja ein Interesse.
Was der Rest macht, ist mir egal.
Nein, so geht das auch nicht sein, denn es gibt auch dann eine Informationspflicht.
Wir haben grundsätzlich eine Informationspflicht, das zu tun.
Die ist auch gesetzlich normiert.
Aber man muss dann beachten, dass die Forschung wieder diese wunderbare Ausnahme hat, wenn er Forschungszwecke auf diese Art..
Also wenn man die Informationen vornehmen will, und man müsste jetzt zum Beispiel alle anonymisierten oder dann eigentlich pseudonymen Daten wir zurückrechnen oder irgendwie zurückführen, um dann die entsprechenden Betroffenen zu informieren.
Das geht so natürlich nicht.
Das heißt, selbst wenn man Forschung betreibt, ist man nicht, weiß man je nachdem, was für einen Forschungszwecke man hat oder wie diese ganze Forschung aufgebaut ist, nicht dazu verpflichtet zu informieren bzw.
sollte man dafür sorgen, dass man entsprechend andere Möglichkeiten für Informationen bereithält.
Und da bestehen jetzt mehrere Möglichkeiten.
Man kann jetzt irgendwie sagen, wir versuchen irgendwie eine öffentliche Ausschreibung zu machen, mehr oder minder was weiß ich eine News Meldung bei allen größeren IT Portalen und Ähnliches was weiß ich.
Heise Online oder so, dass das einmal überall durchgeht und vielleicht noch auf eine informierende Webseite verlinkt, dass man da möglichst viel tut.
Je nachdem ob es möglich ist, vielleicht auch so eine Art Prüfungs Datenbank bereithalten durch eine Online Eingabe, dass man vielleicht eine E-Mail eingeben kann, die wird, der überprüft wird oder ähnliches, dass man solche Ketten aufbaut oder sogar eine unabhängige Prüfungs Instanz, wenn man sich das leisten kann.
Das ist alles um unabhängige Forschungsstelle manchmal ein bisschen schwierig, aber das heißt nicht, dass man davon frei ist.
Man muss halt tun was man kann.
Das ist das Wichtigste.
Und dann kommen wir zu einem relativ spannenden Punkt, weil man ja irgendwie auch so ein bisschen den interdisziplinären Ansatz in der Datenschutzgrundverordnung so ein bisschen erkennt, nämlich der sogenannten Datenschutz Folgenabschätzung, also der DSH.
Und da kommen wir zum eigentlichen Kern dieses gesamten Datenschutzrecht, denn das Ganze ist ja sehr Risiko basiert.
Ich hatte vorhin mal von diesem Thema gesprochen.
Ist ja entsprechende Variable.
Das heißt, man muss gucken, wie hoch man das wählt, um entsprechend die Anonymität anzupassen.
Und was das angeht, kann man nun mal nicht als Jurist sagen, wie hoch ist denn jemand an diesen Bereichen sehen kann, die vor allen Dingen wunderbare Wellen drin haben? Man kann nicht sagen, an der Stelle ist jetzt ca.
10, an der anderen Stelle ist es ca.
15 und unten ca.
1 oder so wo die K1 ist Quatsch, aber ca.
5, also Stufen oder so, die gibt es nicht.
Es gibt auch zumindest meines Wissens kein Urteil, dass irgendwann mal gesagt hat da und da wird diese und diese kahle Stelle oder K Höhe empfohlen, sondern ihr müsst entsprechend schauen.
Je nachdem.
Zum einen auf der linken Seite sieht man das ganz gut, da geht ja die Schwere des möglichen Schadens nach oben und unten ist dann die Eintrittswahrscheinlichkeit.
Und je höher beides miteinander korreliert, desto höher ist K zu wählen.
Und das muss auch wieder, das kommt dann dazu entsprechend am Forschungszwecke angepasst werden.
Das heißt, wenn ihr mit Ihren personenbezogenen Daten für Daten arbeitet, die entsprechend, wenn die geleakt wären, hohes Potenzial haben, möglichst viele so was.
Ja, also so war eine Frage bei uns im Forschungsprojekt.
Wenn die gelegt werden, könnte man vielleicht damit Schindluder treiben.
Also noch mal Datendiebstahl in ganz großem Maßstab.
Wenn man das tatsächlich in einem breiten Maßstab dadurch machen könnte, ist man sofort im roten Bereich.
Und dann muss man ja mal gucken Wie hoch ist die Eintrittswahrscheinlichkeit, wenn man eine große Medienöffentlichkeit hat? Natürlich groß, wenn sie klein ist.
Man veröffentlicht nichts, ist sie vielleicht geringer, aber man muss dann natürlich gucken.
Es sind ja nicht nur öffentliche Angriffe.
Es könnte ja sein, dass der eigene Schwager irgendwie auf den Rechner zugreifen kann, dass man nicht drauf achtet, den Rechner im.
Abzusperren, entsprechend zu sperren mit Passwort und so weiter.
Verschlüsselte Festplatten, ähnliches also solche Szenarien müssen dann durchgeschaut werden.
Und das funktioniert nun mal nicht nur, in dem der Jurist da sitzt und sagt er macht das und das und das und das.
Und das macht so ein Katalog durch, sondern man spricht mit den vielen Disziplinen, die man in der Forschung hat.
Wenn es interdisziplinär ist und fragt, dann Wer hat darauf Zugriff? Wann ist, wann kommt wer in die Räume rein? Habt ihr studentische Hilfskräfte zum Beispiel, die damit arbeiten? Habt ihr die nicht? Wie lange sind die bei euch? Also besteht da so ein Vertrauensverhältnis? Was macht man, wenn die nur sechs Monate da sind, dass man entsprechende Vereinbarungen in die Arbeitsverträge aufnimmt oder besondere Unterschriften fordert und Ähnliches? Also alles solche Dinge sollten da an diese Datenschutz Folgenabschätzung entsprechend berücksichtigt werden.
Das heißt, oder? Der Witz ist aber, dass diese Datenschutz Folgenabschätzung nur bei hohem Risiko ist.
Also wenn wir uns an die vorige Slide erinnern, das ist ja nur dieser hohe Eintrittswahrscheinlichkeit, ein hohes Schadens Schadens Qualität entsprechend.
Wenn der Schaden hoch ist, dann nur dann müsst ihr das machen.
Oder ein Beispiel ist ja der Klassiker.
Ihr habt eine künstliche Intelligenz, die kriegt viele Daten von lässt zum Beispiel und generiert aus den Daten von alles immer und immer mehr so ein bisschen ihr digitales Profil oder ihre digitale Persönlichkeit und kommt ihrem Persönlichkeitsbild immer und immer näher.
Und diese Nachahmung zum Persönlichkeitsbild kann ja dazu führen, dass man sie unter mehreren, zum Beispiel, wenn es so eine Auswahl Algorithmus ist oder so entsprechend bevorzugt.
Wenn das, wenn das die.
Okay, wenn das die Möglichkeit ist, dann ist das Risiko sehr hoch.
Dann ist man von einem hoch risikobereit.
Aber das heißt nicht, dass man drunter das nicht auch machen kann.
Also wenn ihr so eine Datenschutz Folgenabschätzung macht, die man am Anfang einmal macht, um das Risiko zu minimieren und hinterher immer und immer so ein bisschen iterativ schaut, ist das immer noch minimiert, ist das nicht mehr minimiert? Was können wir machen, uns wieder möglichst gering zu halten, das Risiko also in den grünen Bereich möglichst zu drücken und sich selber so zu überprüfen.
Das ist gut.
Zum einen für einen selber, weil man dann weiß, was man beachten muss.
So ein bisschen Praxiserfahrung gewinnt und zum anderen auch so ein bisschen, wie soll ich sagen, man schafft auch so ein bisschen nicht nur eine Rechenschaftspflicht, die nicht, aber man ist gerüstet.
Wenn dann doch mal wer anklopft und fragt Was macht ihr da eigentlich? Dann kann man das so ein bisschen besser erklären und ein bisschen besser skizzieren.
Das heißt nicht, dass wir so einen Datenschutz Folgenabschätzung Bericht online stellen sollt oder müsst.
Auf keinen Fall.
Aber ihr solltet oder ihr wisst dann besser und kleinteiliger, wann, wie was wo passiert und könnt entsprechend besser antworten.
Und das hilft auch mal, wenn so eine Datenschutzbehörde irgendwie nachfragt und ein bisschen kritisch ist.
Und dann könnt ihr sagen Wir haben ganz viel gemacht, wir binden das und das ein, um das Risiko zu machen.
Dann sind die immer schon sehr glücklich.
Kann ich auch aus Erfahrung sagen, dass das gut ankommt? Was diese interdisziplinäre Arbeit angeht, da habe ich jetzt mal einen Absatz herausgegriffen aus dem Artikel der Datenschutzgrundverordnung.
An dem erkennt man ganz gut, wann oder in welchen Punkten eigentlich diese interdisziplinäre Arbeit so ein bisschen der Schlüssel ist.
Denn ihr müsst zum einen eine systematische Beschreibung machen, ihr müsst Abhilfemaßnahmen einbauen, Sicherheitsvorkehrungen und vor allem so eine Notwendigkeit entsprechende Maßnahmen erläutern bzw.
dann letzten Endes das klingt so ein bisschen wie diese Abwägung Floskel, diese Risiken bewerten und entsprechend diese Risiken für Betroffene klassifizieren.
Also sagen Wie hoch waren die, wie hoch haben wir die etwa runter gebracht? Das ist alles sehr Bauchgefühl, sage ich mal, es gibt so ein paar Papiere, also auch diese Skala von vorhin, die war von der Datenschutz Konferenz.
Es gibt ein paar Papiere von der Artikel 20 Narayen, Working Party und Ähnliches.
Also wenn ihr Juristen bei der Hand habt, also gerade im Datenschutz fragt die, die geben euch das, die helfen euch auch so ein bisschen das zu verstehen und arbeitet vor allem miteinander, wenn ihr so hoch ist.
Ich hoffe ihr habt die, weil ich, weil das glaube ich viel zum Erfolg der Forschung entsprechend beiträgt.
Genau dann haben wir noch zwei relativ wichtige Informationspflichten, zu denen ich noch kommen würde im Datenschutz Bereich.
Das ist zum einen die Meldung an die Aufsichtsbehörde und die Meldung an die Betroffenen, die dann immer kommt.
Deswegen war da jetzt ein bisschen Animation, weil das eigentlich immer nur dann passiert, wenn das Risiko relativ hoch ist oder wenn viel blödes Zeug passiert.
Bei der Meldung an die Aufsichtsbehörde muss man beachten.
Dass die nicht wirklich ein Risiko gebunden ist und die entsprechend.
Genau.
Man muss beachten, dass sie innerhalb von 72 Stunden erfolgt und wenn die drüber ist oder drunter ist, da drunter ist gut, aber wenn die mal drüber ist, dann könnte es unter Umständen eng werden.
Sie sollte möglichst schnell eingehalten werden und man kann auch die ein oder andere Pflicht nicht die eine oder eine Pflicht sein, die ein oder andere Informationen nachliefern.
Das heißt, wenn ihr jetzt nicht.
Es gibt so ein Katalog, was man bringen muss.
Was ist passiert? Wie viel Daten wurden geleakt oder ähnliches? Wie groß ist die Sicherheitslücke, wenn man da aufgrund der engen Zeit nicht alles sagen kann? Dann kann man durchaus noch was nachliefern.
Wichtig ist, dass man dieser Pflicht nachkommt.
Und bei der Meldung an die Betroffenen, die es tatsächlich nur zu bringen, wenn wir ein hohes Risiko haben.
Aber die dient vorrangig nicht dazu, ein.
Wie soll ich sagen, dem Betroffenen die Möglichkeit zu geben, irgendwas zu machen, sondern diese Information sollte tatsächlich auch so ein bisschen sagen Was kann man machen, um das um diese Lücke zu mindern? Was sind so Maßnahmen? Nicht nur jetzt 2 Faktor Authentifizierung machen, sondern das hättest du machen können.
Mach sie bitte jetzt rein.
So ein bisschen.
Und auch solche klassischen Dinge wie Passwort ändern, wenn du kannst eine E-Mail ändern.
Ähnliches aber vielleicht auch nicht.
Das steht in der Datenschutzgrundverordnung nicht drin, aber empfehlenswert ist es, das auch ein bisschen psychologisch zu machen.
Also nicht zu sagen Du, du, du, du hast das und das nicht gemacht, sondern dass man das so ein bisschen vermenschlicht und mehr oder weniger vielleicht auch darauf hinweist, dass eins zwei drei, vier, fünf sechs war, das beliebteste, aber nicht das sicherheitsrelevante oder nicht das sicherste Passwort ist, sondern dass man da noch ein bisschen nachjustiert oder ähnliches.
Und auch diese Meldung im Falle eines hohen Risikos, also wenn so ein Daten, die passiert ist und die Möglichkeit besteht, dass ein hohes Risiko für die Rechte und Freiheiten des Betroffenen, also Grundrechte vor allem vorliegt, dann sollte oder das muss man dann machen, weil sonst könnte das böse Folgen haben.
Gut.
Kommen wir zu dem spannenden Teil, der von eingeliefert wurde, wo ich vorhin schon sagte Ich sage eigentlich gar nichts zu diesem genauen Paragraphen an sich jetzt.
Es steht wahrscheinlich die Hälfte auf, weil die war.
Also es gibt einen Tag, ich glaube, der ist morgen, der geht genau auf diesen vorbereitenden Paragraphen ein und ich sage jetzt was zu diesen anderen drumrum, denn es gibt mehr oder minder.
Ich habe den Begriff dann ein bisschen lockerer gewählt, solche digitalen Paragraphen, das heißt, es sind vor allen Dingen diese digitalen Straftaten.
Und da haben wir dann zum Beispiel diese Ausspähung von Daten, die vor allen Dingen dazu dient oder die Situation beschreibt, dass wir einen Zugang zu Daten haben, die oder dass diese Daten entsprechend nicht dazu bestimmt sind, für die Personen diesen Zugang erhält und diese Information entsprechend gesichert sind.
Das heißt, man hat meistens irgendeine Hürde, sei es eine Firewall oder ähnliches.
Und diese Hürde wird dann entsprechend genommen.
Das heißt, man kommt dann an, nimmt diese Hürde und verschafft sich dann irgendwie Zugang.
Das ist so diese Situation.
Das heißt, Forschung, die vorrangig oder nicht nur vorrangig die explizit darauf hinwirken, dass man diese Zugangs zur Schaffung hat, ist dann entsprechend kritisch zu bewerten bzw.
ist es dann schwierig, weil es auch die Vorbereitung und den Versuch gibt, die entsprechend strafbar sind.
Und da wird es dann eben eng, weil man dann entsprechend sich so ein bisschen wie vorhin erklärt, mit dem Bein am Rande des Gesetzes bewegt.
Und dann haben wir aber noch das Abfangen von Daten, das so ein bisschen eine andere Situation beschreibt.
Das heißt, hier geht es nicht darum, diesen Zugang zu einem System zu haben, sondern es geht vor allen Dingen um Kommunikation bzw.
Datenübermittlung, sei es durch Abstrahlung oder ähnliche Geschichten, also normale Kommunikations Übertragungen über Glasfaser oder wie auch immer.
Wenn man da entsprechende Situationen hat, die dazu führen, dass der Computer, der personenbezogene Computer, der eine E-Mail abschicken will und die E-Mail ist verschlüsselt.
Aber jetzt besteht natürlich die Möglichkeit, dass man diese Verschlüsselung aufbrechen kann, dann ist das eher dieses Abfangen der Daten und ein entsprechendes Zugang verschaffen, weil dieser Zugang ist natürlich nicht für die Privatheit, nicht für die Öffentlichkeit bestimmt.
Das sagt zum Beispiel die Verschlüsselung oder auch, dass das nur an eine bestimmte Person adressiert ist im E-Mail Header.
Und wenn das aber so ein bisschen umgangen wird? Ein bisschen ist gut, aber wenn das umgangen wird, dann fällt das Ganze in die Kategorie.
Das heißt auch alles, was darauf abzielt, ist so ein bisschen schwierig.
Und dann haben wir eine Parallele zur Sachbeschädigung.
Die ist, glaube ich, muss ich nicht groß erklären.
Und die Daten Veränderung ist sozusagen das Pendant dazu.
Das heißt, hier geht es darum, dass man nicht irgendwelche Gegenstände zerstört oder beschädigt, sondern Daten entsprechend löscht oder ähnliche Äquivalente.
Wie herbeiführt und man dementsprechend auch da ist jeder Versuch von vornherein strafbar.
Aber da dann vor allen Dingen denjenigen, den der Computer oder diese Daten gehören, aus seiner Position verdrängt und durch dieses Verdrängen auslöst, dass man sich diese Situation aneignet und zwar rechtswidrig, also dann nicht irgendwie sagt Ich übergebe dir diese Daten oder so, sondern es kommt wirklich jemand und schmeißt ihn sozusagen aus seiner Eigentums Position.
Ich weiß, es gibt kein Daten Eigentum, aber sozusagen die Bestimmung über die Daten aus der Position wird der oder diejenige verdrängt, dass es so die Situation und die letzte ist.
Dann die klassische, die wir auch im Forschungsprojekt öfter diskutiert hatten.
Dass wir auf der einen, dass wir in den Computer Betrug haben, der folgt im StGB, also im Strafgesetzbuch auf den normalen Betrug und man erkennt da schon so ein bisschen Muster.
Und hier geht es vor allen Dingen darum, dass man sich oder dass man diesen Computer betrug, deshalb macht mit der Absicht, also mit vollstem Wissen und auch mit diesem, dass man das Ziel vor Augen hat, dass man einen entsprechenden rechtswidrigen Vermögens Vorteil sich verschaffen will, das heißt irgendwie Zahlen manipuliert und sich selber möglichst viel Kohle sag ich mal auf das Konto schiebt, weil man entsprechende Ergebnisse eines Datenverarbeitung Vorgangs irgendwie beeinflusst.
Sei es jetzt das Ergebnis selber oder den Weg dahin, dass man das Ergebnis entsprechend für die eigene Begünstigung nutzen kann.
Das heißt, wenn wir jetzt ein Identitätsdiebstahl zum Beispiel haben, und der ist jetzt aber mal im digitalen Raum, ansonsten wäre es nicht der Computer Betrug, sondern der normale.
Und wir haben die Möglichkeit, dass Alice und Bob miteinander kommunizieren.
Und Alice ist aber eigentlich gar nicht Alice, sondern irgendeine andere anonymen Anonymen ist ein falsches Wort, Entschuldigung, eine ominöse Person und vielleicht auch anonym, weil sich unter diesem Deckmantel hält.
Und die versucht dann natürlich irgendwie mit dieser Identität als Vorgabe an dieses Geld zu kommen und verschwindet dann.
Das ist so der Klassiker, der darunter fällt.

In diesem Bereich ist sozusagen alles, was hilft, das aufzudecken, natürlich nicht an diesem strafrechtlichen Rande.
Aber alles, was irgendwie dazu hilft, solche Situationen aufrecht zu aufrechtzuerhalten oder zu begünstigen, kann natürlich entsprechend auch kritisch bewertet werden, was diese strafrechtliche Geschichte angeht.
Um das einmal noch zusammenzufassen Zum Schluss kann man nicht so wirkliche Pflichten daraus ziehen, außer dass man beachten muss, dass man da nicht reinfällt.
Also man kann so ein bisschen diese Situation ich eben skizziert habe nehmen und gucken.
Fällt man da runter, wann fällt man darunter? Helfen.
Also machen wir das vor allen Dingen auch in der Kenntnis, dass wir bewusst sozusagen zu diesen Situationen führen und nicht dazu, dass wir jetzt Forschung betreiben.
Und dann kann es dazu führen, dass irgendwer kommt, das ein bisschen umprogrammiert und dann zu böswilligen Zwecken genutzt.
Man muss da also die Schwierigkeit besteht sozusagen, dass man nicht immer weiß, dass jemand irgendwie diese Dinge nimmt und dann irgendwelche Schindluder damit treibt.
Und man kann wie gesagt höchstens nur diese Situationen nehmen und gucken.
Passt man da hin oder nicht? Und was kann man tun, damit diese Schindluder möglichst vermieden werden bzw.
diese Situationen nicht eintreten? Aber mehr kann man aus dem StGB auch nicht ziehen, zumindest was die Forschung betrifft.
Und damit hätte es diese Geschichte absolviert und bin mit meinem Vortrag am Ende.

Ich bedanke mich sehr für eure Aufmerksamkeit, dass zu dieser frühen Stunde schon so viele da waren, das ist mein Name.

Ihr erreicht mich also über E-Mail, natürlich mit dem Twitter und mit dem Magnus Magnus, sondern mit dem Mastodon Magnus.

Warum könnt ihr mich auch da irgendwie noch erreichen? Ich bin noch alle Tage noch da auf dem Kongress, wenn irgendwas sein sollte.

Ich bedanke mich. Jetzt kommt die Langeweile.

Ist es leid, Eva Die Quellen so, das war's ja.

Applaus.
Applaus.
Applaus.
Applaus.

Oliver Normalerweise gibt es aber immer noch Fragen links und rechts wo öffnen sich gleich die Lampen? Das heißt, jetzt könnt ihr sozusagen den Telefonjoker hier auf der Bühne direkt befragen, weil das ja immer ein spannendes Ding.
Ich hoffe, ihr habt allen Datenschutzbeauftragten in euren Firmen und das ist auch ein guter Freund von euch, dass ihr im Zweifel immer mal und da kommt auch schon die erste Frage auf der Seite bitte.
Erste Frage ganz relativ am Anfang kam dieses Auszug aus dem Datenschutzgesetz.
Ist da der Begriff Nutzer genau definiert? Der ist jetzt auch Gesetz, muss ich nachgucken.
Klassiker äh, im Bundesdatenschutzgesetz meines Wissens nicht, weil sich die Definition, wenn ich es richtig denke, eben aus der Datenschutzgrundverordnung zieht.
Da gibt es, da gibt es den, den die Beschreibung und die wird.
Also ich weiß nicht, ob es da doppelt drin steht und man soll ja nichts doppelt nehmen, auch wenn es im Bundesdatenschutzgesetz drin steht.
Aber eigentlich müsste die in der Datenschutz-Grundverordnung stehen, meines Wissens und nicht im Bundesdatenschutzgesetz.
Und da steht eigentlich auch was.
Aber was kann ich jetzt nicht aus dem Kopf aussagen? Ich weiß nun, wo es steht.
Okay, dann weiß ich, wo ich nachschauen danke.
Also ich kann mir die Stelle auch genau raussuchen und dann machen wir das.
Ja, danke für die Frage haben wir noch eine Frage aus dem Internet vielleicht? Nein, keine Frage.
Aber jetzt hier zur rechten Hand eine kleine Frage von Arbeit.
Kollege und ich hatten eine App gehackt, um einen API Schlüssel reinzukommen, aber mit dem Schlüssel haben wir dann nur Daten abgefragt von dieser API, die die App ohnehin angezeigt hätte.
Das heißt, ich umgehe eine Sicherheitsmaßnahme, um an Daten ranzukommen, die aber für mich bestimmt sind, weil die Daten ja eigentlich öffentlich auch über diese App verteilt werden.
Ist es jetzt illegal oder nicht? Weil ich habe ja eine Sicherheitsmaßnahmen im Gang, aber die Daten sind für mich bestimmt.
Also ich muss vorher zwei Sachen sagen, es hätte ja am Anfang sein sollen.
Erstens habe ich kein zweites Examen.
Zweitens die Welt.
Das kann man ja auch nachgucken.
Aber ich kann jetzt auch keine Rechtsberatung auf der Bühne oder so machen.
Was ich sagen kann ist, dass ich relativ kritisch wäre.
Zum einen, weil es darum geht, dass ich nicht weiß, welche Daten, was die Daten ausgesagt haben, dass wir die erste Schnittstelle, wo ich gesagt hätte So kann es schwierig werden.
Die zweite ist Selbst wenn diese App nutzt und diese Daten siehst, dann sind sie ja deshalb nicht für dich bestimmt, weil du diese Sicherheitsmaßnahmen oder diese die gehackt hast.
Das heißt, da hast ja die Lizenz vielleicht nicht gekauft oder so, und deswegen ist es sozusagen das, was du da anfängst, eigentlich nicht für dich bestimmt, weil du diese diese App oder diese App nicht rechtmäßig nutzt.
Da hätte ich jetzt gesagt und es könnte schwierig werden.
Ähm.
Aber gerade im Strafrecht oder so.
Da würde ich tatsächlich sagen vielleicht mal morgen dann noch mal bei dem Kollegen nachfragen.
Der weiß auch aus der Praxis weitaus mehr als ich.
Aber ich hätte vorher gesagt, ich hätte lieber noch ein paar Sachen nachgeguckt, bevor ich die einwandfrei sagen kann, ob du das machen solltest oder nicht.
Alles klar? Vielen Dank.
Danke dir.
Ja, wenn Neugier, Neugierde ein Verbrechen ist, dann sind wir alle strafbar.
An der Stelle keine Fragen mehr.
Und noch mal einen herzlichen Dank an Oliver Wettermann für seinen tollen Vortrag.
Ich habe keine Übersicht über den.
Nun.