Olga Stepanova, Rechtsanwältin

ChatGPT, CoPilot & Co.: Wie Unternehmen rechtlich auf der sicheren Seite bleiben

Podcast Digital.Decoded, 16.07.2025

Ja, liebe Zuhörer, liebe Zuhörerinnen, wir sind heute wieder bei unserem Podcast Digital Decoded gemeinsam mit André Kiehne und mir. Aber das ist die Neuigkeit heute mit einem Gast. Und in dem Fall freue ich mich ganz herzlich, Olga Stepanova zu begrüßen.

Olga ist Partnerin bei der Kanzlei ByteLaw. Du stellst dich gleich selbst sicherlich nochmal vor. Und wir freuen uns heute auch über das Thema EU AI Act mit ihr sprechen zu können.

Ja, Olga, du bist ja eine absolut anerkannte Expertin. Sei so lieb, stell dich kurz selbst vor.

Ja, sehr gerne. Herzlichen Dank, Mario. Ich bin sehr glücklich, happy, heute mit dabei zu sein.
Wie du schon gesagt hast, bin Gründerin der Kanzlei ByteLaw, eine Kanzlei im Herzen von Frankfurt am Main, die sich ausschließlich auf die digitalen Themen spezialisiert hat. Mittlerweile mit sieben Rechtsanwälten betreuen wir alles von Datenschutz bis IT-Recht, aber eben gerade auch die neue IT-Regulatorik, die uns recht regelmäßig sozusagen aus Brüssel besucht und uns immer mehr Arbeit unter anderem eben auch durch die KI-Verordnung verschafft. Ansonsten, zu meiner Person bin Fachanwältin für IT-Recht, Fachanwältin für gewerblichen Rechtsschutz und gerade im Bereich KI treffen diese beiden Fachanwälte gerne mal aufeinander.

Ja, super. Vielen, vielen Dank, Olga, für die Vorstellung. Wie gesagt, wir freuen uns da absolut drauf, weil das natürlich ein Top-Thema ist, mit dem du dich da tagtäglich beschäftigst.

Und ich vermute, ihr habt sehr, sehr viel Arbeit gerade. Vielleicht, wir sind ja alles keine Experten für rechtliche Dinge. Und deshalb wäre es natürlich auch super. Und so kenne ich dich ja auch, dass du uns Dinge noch mal übersetzt. Magst du uns kurz erklären, was der EU AI Act eigentlich in Summe ist? Vielleicht einfach in so ein paar einfachen Sätzen, dass jeder das verstehen kann.

Letztendlich handelt es sich um eine Produktsicherheitsnorm an der Stelle. Das heißt, es geht darum zu schauen, dass die KI keine Schäden anrichtet bei Menschen oder eben auch Wirtschaftsgegenständen bei Assets von Menschen durch ihren Einsatz. Denn letztendlich, wie ein Brotmesser, kann man die KI für sehr, sehr unterschiedliche Zwecke einsetzen. Und damit man eben das ganz ordentlich einem entsprechenden Rahmen zugeführt hat, soll es die KI-Verordnung geben. Und jetzt gibt es sie auch. Und diese tritt Stück für Stück, sozusagen Jahr für Jahr, dann immer mehr in Kraft.

Ja, das ist ja ein total spannendes Thema. Olga, erst noch mal herzlich Willkommen auch von meiner Seite. Und Mario hat es eben schon gesagt. Mario und ich, wir sind jetzt keine Rechtsexperten, aber natürlich trifft uns das Thema bei vielen Kundengesprächen. Und da hast du ja eben schon mal auf NIS-2 etc. hingewiesen. Wir haben auch später noch mal drauf eingehen. Was mich an der Stelle noch mal interessiert, ist ja ein EU-Gesetz auf der Ebene EU-Ebene veröffentlicht. Warum ist das auf EU-Ebene aus deiner Sicht notwendig? Und vielleicht die Anschlussfrage gleich daran. Wie reagieren eigentlich eure Klienten auf dieses neue Gesetz?

Also ich denke, dass gerade in unserer sehr digitalen Welt es wenig Sinn macht, eine Gesetzgebung für einen so weit reichenden Bereich ausschließlich für Frankreich oder für Italien zu machen. Weil man natürlich hier und da auch mal mitbekommt, dass es dann heißt, naja, in den USA ist ja alles ungeregelt und da kann ich machen, was ich will und das hemmt den Fortschritt. Das wäre, wenn man das jetzt nur auf Mitgliedstaatenebene regeln würde, dann auch ein Thema von Wettbewerbsnachteilen. Wenn zum Beispiel die Niederlande nichts geregelt hätten in dem Bereich, würde man sich überlegen, macht das jetzt Sinn, das ganze Business aus den Niederlanden zu steuern. Dann ist halt die Frage, welches Prinzip gilt. Also wenn ich das an einen Landmitgliedstaat anbiete, der jetzt beispielsweise eine KI-Gesetzgebung hat, dann würde er sich vielleicht protektionistisch zeigen und das Marktortprinzip anwenden und sagen, naja, wenn das jetzt an italienische Bürger oder Unternehmen angeboten wird, dann gilt dann unsere KI-Gesetzgebung. Dennoch, das heißt, wir müssen uns verabschieden, aus meiner Sicht, von dem Verständnis, dass wir sehr, sehr viele unterschiedliche Mitgliedsstaaten sind, wenn es jedenfalls um den digitalen Bereich geht. Wir betrachten uns als einen einheitlichen Markt. Europa als einheitlicher Markt, in dem auch einheitliche Regeln gelten müssen, damit wir auch bestmöglich mit dem Thema umgehen können.

Und wie reagieren eure Mandanten oder Mandantinnen auf das neue Gesetz? Wie ist da der Zuspruch oder ist das eher vorsichtig, abwartend? Wie muss ich mir das vorstellen, Olga?

Also ehrlicherweise muss ich sagen, dass einige bereits KI-Projekte umgesetzt haben, die auch über den Einsatz klassischer generativer KI, wie den bekannten Chatbots sozusagen, hinausgehen. Viele sehen das als eine große Chance. Andere fühlen sich aber eben auch durch den Umstand, dass natürlich der Wettbewerb sehr stark angefeuert wird, durch KI als Technologie auch in der Bedrängnis oder unter Druck auch entsprechende KI-Tools, nenne ich es jetzt mal, einzusetzen, zu implementieren im Unternehmen, um eben nicht den Anschluss zu verlieren.
Das führt natürlich zu einem erhöhten Beratungsbedarf, sowohl auf der Unternehmensseite als auch eben auf der Beraterseite. Und letztendlich muss man aber sagen, ich spare natürlich sehr viel an Ausgaben, vielleicht an Ressourcen durch KI, sodass es jedenfalls bei mir noch nicht so vorgekommen ist, dass jemand sehr stark darüber gemeckert hat, dass wir jetzt alles hier tot regulieren würden in Europa. Ich glaube, bei sehr vielen wird das eher als Chance begriffen. Und was auch ein spannender Punkt ist, ist natürlich, gerade dann, wenn man sehr viele verschiedene Unternehmen berät in dem Bereich, kann man natürlich ohne Mandantennennung oder etwaigem, aber auch auf einen gewissen Erfahrungsschatz aus der Beratung zugreifen und sagen, naja, andere Unternehmen haben zum Beispiel den oder jenen Use-Case gehabt. Vielleicht ist das auch was für euch. Und ich denke, dass sich dadurch auch ein Beraterprofil bildet und sich die Unternehmen insgesamt ganz gut abgeholt fühlen, dass ihnen jemand auch mithilft und unterstützt bei KI. Nicht nur rein im Bereich, was muss ich nach der KI-Verordnung einhalten, sondern wirklich rein praktisch. Wofür kann ich insgesamt KI noch alles einsetzen?

Und das ist ja ein spannendes Thema insofern, Olga, weil ich weiß nicht, du hast es ja eben auch beschrieben. Also viele reagieren da jetzt gar nicht so, soll ich das mal sagen, panisch drauf. Aber was ich durchaus merke, ist, dass es immer noch viel Unwissenheit gibt. Und natürlich auch Unwissenheit, weil sich viele Leute, und übrigens ich gehöre da auch zu, gar nicht so sehr intensiv mit dieser Verordnung beschäftigen. Ja, und wenn man da mal sich so ein Stück weit mit beschäftigt, dann lernt man ja auch verschiedene Risikoklassen kennen, von den Systemen. Und ich glaube, das ist ganz, ganz wichtig. Vielleicht kannst du uns da noch mal einen Eindruck geben oder einen Einblick geben, was diese Risikoklassen eigentlich für Unternehmen letztendlich bedeuten.

Ja gut, also letztendlich muss man grundsätzlich eine vorhergehende Aussage treffen. In der gesamten Digital-Gesetzgebung, unabhängig davon, ob es jetzt DSGVO ist, NIS-II, DORA, Cyber Resilience Act oder eben auch die KI-Verordnung, wird ein ganz wichtiger Grundsatz verankert, der in all diesen soeben genannten Gesetzen gleich ist, und zwar der sogenannte risikobasierte Ansatz. Das heißt, man schaut sich an, wie hoch ist das Risiko beim Einsatz von XYZ, was geht damit also einher und wie kann ich diesem Risiko entsprechend begegnen und so. Ähnlich ist das hier, was ich gerade meinte, mit dem Brotmesser. Das Brotmesser kann man dazu nutzen, um Brot zu schneiden. Man kann es aber auch nutzen, um eben Schäden an dem Leib oder der Gesundheit, so der Jurist das sagen würde, eines anderen zu generieren, was im Umkehrschluss bedeutet, für die KI gedacht, dass ich natürlich die KI für sehr, sehr unterschiedliche Zwecke einsetzen kann, auch einen ganz normalen Chatbot. Das heißt, im Ergebnis geht es darum, dem Risiko adäquat zu begegnen. Wir haben Zwecke, die verboten sind. Sowas wie zum Beispiel eine Echtzeitüberwachung im öffentlichen Raum mit biometrischer Verknüpfung. Dass ich weiß, wann der Herr Müller oder die Frau Meyers ganz genau über die Bockenheimer Landstraße in Frankfurt am Main gelaufen sind. Das wären Zustände, die wollen wir als Gesellschaft in der Europäischen Union nicht haben, sodass dafür beispielsweise der Einsatz von KI verboten ist. Dann gibt es natürlich einen Hochrisikobereich.
Das sind Bereiche vor allen Dingen auch im medizinischen Bereich, aber nicht ausschließlich, wo es eben darum geht, dass ich natürlich durch den Einsatz von KI möglicherweise Schäden am Leib oder Leben von Personen herbeiführen kann. Und deswegen muss ich da ganz besonders darauf achten, dass die KI gut trainiert ist, alles gut dokumentiert ist, wie ich diese KI trainiert habe, damit ich zumindest die Gefahr, dass da so etwas passieren kann, auf ein akzeptables Niveau runtergesetzt habe. Dann gibt es noch natürlich KI mit Transparenzanforderungen. Das sind so klassischerweise, ich habe zuletzt jetzt einen Vortrag gehalten zu KI und Journalismus, dass ich zum Beispiel, wenn ich Deepfakes mache, da noch mal dazuschreibe, naja, das ist hier mit Hilfe von KI generiert worden. Und das sind so in etwa die Unterschiede, je nachdem, welchen Zweck ich es zuführe, die KI sozusagen als versatiles Mittel. Dementsprechend muss ich entsprechende Vorkehrungen erachten, was ja eigentlich ganz logisch auch ist.

Lieber Olga, jetzt haben wir viel über Risiko gesprochen. Wir beide sind ja Kinder des Ruhrgebietes. Das heißt, wir sind ja eher so die Machertypen, die auch Freude haben und die Chancen sehen. Ja, da interessiert mich natürlich auch, wo siehst du denn da die größten rechtlichen Unsicherheiten im Rahmen der KI oder AI? Und was sind so die typischen Stolperfallen für Unternehmen?

Na gut, also ich denke letztendlich gerade eben aus der Macherperspektive, dass es sinnvoll ist, sich nicht davor zu verschließen, dass da ein entsprechender Fortschritt kommt, sondern diesen Fortschritt für sich, sein Unternehmen und die Kunden dieses Unternehmens gut zu nutzen. Sicherlich muss man bedenken, dass die KI-Verordnung nur ein Thema ist. Und ehrlicherweise bei den allermeisten Mandaten mit gewissen Ausnahmen geht es aktuell sehr stark um den Einsatz generativer KI. Das heißt, ich habe unterschiedliche Anbieter, Microsoft CoPilot, ChatGPT, Gemini und tausend andere. Und ich muss mir einfach bewusst werden, wofür ich das alles einsetzen will, weil wir eben sehr häufig sehen, wir wollen KI einsetzen, definieren aber gleichzeitig nicht, was die Use-Cases sind. Und auf der anderen Seite, dass man sich nicht dem verschließen kann, dass wahrscheinlich, auch wenn ich noch keine KI-Richtlinien im Unternehmen habe, ich sichergehen kann, dass sehr, sehr viele Beschäftigte in meinem Unternehmen unreguliert, sozusagen durch eine solche KI-Richtlinie, dennoch eine Art von Anwendung nutzen. Das heißt, mein erster Punkt, wo ich jetzt von großen Stolpersteinen und Problemen sprechen würde, ist zuerst mal zu schauen und zu identifizieren, wo aktuell KI überhaupt im Unternehmen genutzt wird. Denn aus meiner Sicht ist der große, große Stolperstein erst mal, dass man sich gar nicht dessen bewusst ist. Zum einen kann man natürlich sagen, gut, wir haben jetzt XYZ-Chatboard freigegeben. Man muss sich aber auch noch eine wichtige Sache vergegenwärtigen, und das werden wir in den kommenden Monaten und Jahren immer mehr sehen, dass auch Anbieter von ganz normaler Software, sei das Buchhaltung, sei es ein ISMS oder irgendwas anderes, auch anfangen, mittlerweile KI-Elemente mit einzusetzen, um dass ich das auch natürlich mit betrachten muss. Das heißt, das erste ist erstmal die Awareness und das zweite die Governance, dass ich mir auch zur Enthaftung der Geschäftsführung eine entsprechende Regulatorik gebe, eine KI-Richtlinie, das ich definiere. Darf ich personenbezogene Daten verwenden? Ja, nein. Darf ich Unternehmens-, also Geschäftsgeheimnisse sozusagen da rein füttern? Ja oder nein? Und das wird natürlich maßgeblich davon abhängen, ist das eine KI, die sozusagen offen ist, ist das eine KI, die ich on-premise betreibe. Da gibt es ja tausend verschiedene Möglichkeiten. Aber erstmal, der erste Schritt ist, sich bewusst zu sein, dass ich handeln muss.

Olga, da hätte ich mal eine Nachfrage. Du hast ja vorhin schon mal so die ganzen Verordnungen ein bisschen erwähnt, NIS-2, DORA, Digital Services Act und so weiter und so fort. Was war am Rande, und du hast das Journalismus-Beispiel aufgegriffen, immer so ein bisschen erwähnt haben, ist das Urheber- und Nutzungsrecht. Ja, und ich glaube, das ist ein ganz wichtiges Thema. Kann ich denn, wenn ich meine Webseite oder wenn ich einem Kunden eine Webseite verkaufe, die ich gar nicht selber schreibe, sondern mit Chat-GPT schreiben lasse, die Bilder noch generiere, auf was muss ich achten?
Das ist ein unfassbar richtiger Punkt und ich finde das toll, dass du einfach auch noch mal darauf Bezug nimmst, denn man darf eine Sache nicht vergessen. Die KI ist an sich so die Rechtsprechung, die erste Rechtsprechung, die wir in Deutschland jetzt haben, vor allen Dingen auch aus Hamburg, die kreiert keine Urheberrechte bzw. keine, sodass ich nicht in der Lage bin, Nutzungsrechte, Nutzungs- und Verwertungsrechte an Urheberrechten zu übertragen. Die Idee vom Urheberrecht ist, dass ich als Mensch durch meinen Akt der geistigen Schöpfung ein Werk erschaffe. Und dem fehlt es bei der KI. Das heißt, wenn ich als Medienagentur einen Vertrag abschließe mit einem Unternehmen und dem sage, naja, wir werden hier eine Webseite für dich programmieren und dir die ganzen Texte schreiben und die Bilder dir geben und wir räumen daran die Nutzungs- und Verwertungsrechte ein an den Urheberrechten, die wir als Medienagentur für dich kreieren. Und am Ende ist das aber, jedenfalls kann man darüber streiten, wie viel Prozent davon KI generiert ist oder nicht. Aber gerade bei Bildern, wenn es aus Mid-Journey oder ähnlichen Tools rauskommt, dass es zu 100 Prozent KI generiert, dann verhalte ich mich in dem Moment vertragsbrüchig, weil ich gar nicht in der Lage bin, diese Nutzungs- und Verwertungsrechte am Urheberrecht einzuräumen, weil diesen Werken sozusagen das Urheberrecht fehlt.

Da würde ich auch gerne noch mal nachfragen, weil du sagst ja, es ist ein super wichtiger Punkt, dem beschäftigt oder mit dem beschäftigt sich ja auch fast jeder. Wir haben eine andere Situation und das würde mich da mal interessieren, wenn wir eine Lösung kreieren als IT-Unternehmen, die praktisch generative AI nutzt oder auch Advanced AI, sagen wir mal, Open AI, auch beispielsweise auf Basis von Azure. Und wir entwickeln dort selbst Prompting und das ist der größte Teil, also auch die schützenswerte IP in so einer Lösung. Wie verhält es sich da? Kann ich sowas schützen?

Es ist genau dasselbe. Rechtlich betrachtet ist Code, der programmiert wird, eben auch ein Urheberrecht, das da dran entsteht. Das ist auch ein Werk im Sinne des Urheberrechtsgesetzes. Und wenn du das codest oder ich das code, dann ist das eine Kreation, eine geistige Schöpfung eines Menschen und ist erstmal vom Urheberrecht geschützt. Okay. Das ist nur die Frage, wie viel von KI nutze ich dafür? Das heißt, wenn ich einfach nur das Ganze durch die KI überprüfen lasse, ob ich in meinem Code irgendwelche Schwachstellen oder irgendwas habe, dann ist das eine Sache. Wenn ich aber durchgehend alles von der KI coden lasse, dann ist das eine andere Sache. Und dazwischen gibt es eben sehr, sehr viel Graubereich, der jetzt erst so langsam durch die ersten gerichtlichen Fälle austariert wird. Ich würde aber in meiner rechtlichen Argumentation immer schon mich darauf beziehen, ob das meiste die Idee dahinter und eben auch die Ausführung im Wesentlichen durch den Menschen erschaffen worden ist oder eben durch die KI. Und ob die KI lediglich Instrument zum Bessermachen sozusagen vom Code ist oder die eigentliche Hauptaufgabe war.
Super, Olga. Ich würde ganz gerne mal einen ganz kurzen Themenschwenk machen und zwar jetzt mal auch wirklich zu der Umsetzung und zur Governance gehen. Du hast ja vorhin schon mal angesprochen, dass es verschiedenen Risikoklassen gibt, dass es erst mal Transparenzpflichten gibt, Dokumentationspflichten gibt. Aber was müssen aus deiner Sicht Unternehmen tun, um die KI-Risiken wirklich sauber zu dokumentieren und wie prüfbar muss das Ganze letztendlich sein? Ich glaube, 2026 tritt ja die Verordnung dann vollumfänglich in Kraft. Aber wie können sich da Unternehmen jetzt ein Stück weit vorbereiten, um das Richtige zu tun?

Also ich denke, es wird im Wesentlichen darauf ankommen, was ich als Unternehmen mache. Ich spreche jetzt einfach mal für die allermeisten Unternehmen und die allermeisten Unternehmen haben Fragestellungen um im Bereich der generativen KI. Ich würde sagen, sicherlich wird es hier am Industriestandort Deutschland einige Unternehmen geben, die natürlich auch KI anders noch mal einsetzen, aber die allermeisten werden sich erstmal mit CoPilot und anderen Chatbots sozusagen befassen. Und ich denke, das allergrößte, das ist das, was ich auch gerade schon gesagt habe, wird sein, erstmal zu identifizieren, wo ich überall KI habe und für mich als Unternehmen Use-Cases zu definieren, sozusagen als Whitelist, Blacklist, wofür wollen wir KI einsetzen und wofür wollen wir es nicht einsetzen, um es einfach mal ein Beispiel zu zeigen. Das erste, woran man an der Stelle denken müsste, nachdem ich eine Inventur gemacht habe und weiß, wo alles in meinem Unternehmen KI eingesetzt werden möchte, ist das Ganze einer KI-Richtlinie erstmal zuzuführen und sicherzustellen, dass meine Mitarbeiter ordnungsgemäß damit umgehen. Denn gerade bei der generativen KI kommt die größte Problematik ja gar nicht so sehr aus der generativen KI selbst, sondern daraus, was ich da reinfüttere. Beispiel, wenn ich also eine KI habe, die sozusagen offen läuft, das heißt meine ganzen Prompts auf Server von einem Anbieter übertragen werden und dort verarbeitet werden, muss ich sicher sein, dass dadurch keine datenschutzrechtlichen Verpflichtungen tangiert werden, dass ich dadurch keine Patente, Marken, Urheberrechte verletze und natürlich eben auch keine Geschäftsgeheimnisse aus meinem Unternehmen rausgebe. Ich denke, das ist das Größte, was ich an der Stelle machen sollte, um mich als Unternehmen zu schützen und auch immer wieder zu schauen, ob es sich weitere Use-Cases ergeben und ich diese Use-Cases dann letztendlich auch aktualisieren kann, um dahin zu kommen, dass ich stets eine Aktualität in der ganzen Angelegenheit habe. Die allerwenigsten Unternehmen werden sich im Hochrisikobereich bewegen, denn letztendlich das große Ganze wird sich im Bereich der generativen KI drehen und ich denke auch über lange Zeit hinweg. Und ein anderes Thema ist natürlich auch, dass ich sicherlich noch mal dedizierte Compliance-Vorgaben aus der KI-Verordnung habe, wie zum Beispiel die Grundrechte-Folgeabschätzung für Hochrisiko-KI-Systeme. Da muss man sagen, das ist etwas, was wir aus der DSGVO schon ganz gut kennen. Wenn wir eben besonders riskante Datenverarbeitung vornehmen, dass wir da auch eine Datenschutzfolgenabschätzung machen. Sprich, es geht im Wesentlichen über Dokumentationspflichten, auf die ich jetzt gar nicht so sehr im Einzelnen eingehen möchte, weil sie für nicht so wahnsinnig viele Unternehmen relevant sind. Das Wichtigste ist erst mal anzufangen mit einer Inventur und einer eigenen Governance für das eigene Unternehmen in dem Bereich.

Ich hätte eine Frage, die weitergehend ist als die Governance aus meiner Sicht. Also wir selbst als Unternehmen, wir wollen natürlich auch jedem Mitarbeiter AI zur Verfügung stellen. Da hast du natürlich gesagt, das läuft viel. Also wir selbst nutzen CoPilot beispielsweise, aber davor hinaus auch andere Tools oder auch OpenAI, auch je nach der Rolle. Man merkt ja auch interessanterweise, das wollen André und ich auch noch mal aufgreifen, wenn man jetzt klassisch CoPilot nutzt und dann die klassische Vollversion von OpenAI, ich kriege ja viel, viel bessere Ergebnisse und andererseits auch abhängig von den Modellen. Und was mich da noch mal interessiert, ist natürlich auch die Frage, nutzt ihr das selbst? Und dann interessiert mich auch noch mal, gibt es besondere Regelungen, die für euch auch noch mal greifen als Kanzlei?

Ja, sehr gute Frage und natürlich auch relevant, denn an der Stelle muss man natürlich auch bedenken, KI wird ja nicht nur die Industrie irgendwie verändern, sondern sicherlich auch den anwaltlichen Beruf. Und ja, wir haben uns schon CoPilot, ich glaube, vor einem Jahr besorgt. Da war das noch sehr, sehr neu.Einfach auch aus der Perspektive dessen heraus, dass wir natürlich unsere Mandanten gut unterstützen wollen und zwar nicht nur mit den einzelnen rechtlichen Fragestellungen, sondern eben weil wir sehr viele Fragen dazu kommen. Wie macht ihr das denn mit eurem CoPilot? Oder gibt es ein neues Feature oder sowas? Und im Wesentlichen ging es darum, dass wir natürlich einmal die entsprechenden Lizenzen haben, damit CoPilot im Arbeitsmodus nur noch Chat-on-your-own-Data betreibt. Das heißt, ausschließlich auf unsere eigenen Daten zugreift und eben nicht ein Datentransfer noch darüber hinaus stattfindet. Das ist aus meiner Sicht wichtig. Und das andere, was wichtig ist, ist natürlich aus dem Berufsrecht der Rechtsanwälte. Da werde ich jetzt ein bisschen nerdy sein. § 43 e der BRAO, die sagt, dass wir entsprechende Dienstleister auch verpflichten müssen auf die entsprechenden anwaltlichen Bedürfnisse.
Und das haben wir mit unserem Dienstleister auch gemacht.

Und, Olga, da brennt mir ja eine Frage auf der Zunge, wenn ihr das auch selber nutzt, was ich übrigens sehr spannend finde. Weil ich kann mich erinnern an ein Gespräch, was ich vor ungefähr zwei, zweieinhalb Jahren hatte, auch mit einer Rechtsanwaltkanzlei. Da war das noch um Gottes Willen bloß nicht. Das können wir uns gar nicht erlauben im Umfeld unserer Mandanten. Aber was mich interessieren würde, gab es bei dir auch schon mal so ein Aha-Moment, wo du gesagt hast, wow, das erleichtert jetzt echt viel von dem oder beschleunigt viel von dem, was ich zu tun habe.

Also ich denke, dass man immer bedenken muss, dass letztverantwortlich der Anwalt ist und CoPilot niemals das schaffen wird, was der Anwalt macht. Und deswegen die Diskussion dahingehend, die KI wird uns alle ersetzen. Ich sehe das überhaupt nicht so. Ich sehe es eher so, dass die KI-Aufgaben, die jetzt wenig kreativ sind, in Anführungszeichen, vielleicht ersetzen werden, aber die Beratungsleistung als solch immer noch bei dem Anwalt verbleibt. Was ich mittlerweile ganz gut finde, sind zwei neuere Funktionen im CoPilot. Das ist der Research Agent. Da dauert die Beantwortung des Prompts vielleicht mal fünf oder zehn Minuten. Aber da kriegt man eben mit sehr fundierten Quellen Informationen raus. Und das andere ist, ist die Notes-Funktion oder Notebook-Funktion, ist, dass ich sozusagen ein Notizenbuch erstelle, dort Dokumente reinlade und dann sozusagen der KI sagen kann, basiere deine Antwort ausschließlich auf diesen Dokumenten, um eben zu verhindern, dass weitere Quellen angezapft werden.

Liebe Olga, jetzt möchte ich kein Spielverderber sein, aber wir sind so gut wie am Ende. Also mich hast du gecatcht. Ich fand auch den Austausch dahingehend sehr, sehr gut, weil es halt überhaupt nicht so stark nerdy war, wie du gesagt hast. Jetzt habe ich noch eine abschließende Frage an dich. Was empfiehlst du denn den Unternehmen? Wir machen den Podcast ja auch primär für Unternehmen und Entscheider, um sich jetzt schon auf die Pflichten ab 2026 gut vorzubereiten.Was sind so die drei, vier Kernpunkte?

Also aus meiner Sicht bleibt es immer noch dabei, weil ich es einfach so ganz häufig sehe in der Beratung, dass man ordentlich Inventur macht und zwar nicht nur dahingehend welche Chatbots man nutzt, sondern vor allen Dingen auch wo KI-Elemente in meiner Standard-Software letztendlich, die ich habe, ja mittlerweile mitreleased werden, um es mal so zu sagen, das ist das erste große und das andere. Und da wird man nicht darum rumkommen, auch wenn man anderen Gesetzgebungen unterfällt, ist natürlich die Implementierung eines ordentlichen Risikomanagementsystems. Gerade im Bereich von sehr stark regulierten Unternehmen, die wir beraten im Bankensektor, sieht man, dass da schon sehr, sehr viel da ist, natürlich.

Was man auch sozusagen als Methodik für die KI-Verordnung und andere Gesetzgebungen in dem Bereich übernehmen kann, weil eben ein Risk-Management schon implementiert ist, was man da nur noch ein bisschen anpasst auf die jeweiligen Bedürfnisse. Aber vom Grundsatz her, IT-Sicherheit und andere Themen, das läuft ausschließlich bei diesem risikobasierten Ansatz. Insofern muss man sich auf jeden Fall auch ein eigenes Risk-Management geben.Und am Ende, gerade bei den Unternehmen, die jetzt vielleicht ausschließlich im Bereich der Generativen und KI unterwegs sind, kann man die Risiken vielleicht auch relativ gering als gering erachten und dementsprechend auch gar nicht so viele mitigierende Maßnahmen treffen müssen, wohingegen andere Unternehmen da sehr viel mehr zu tun haben. Insofern anfangen, jetzt schon anfangen, nicht auf den letzten Brücker alles machen, weil das natürlich den Umsetzungsdruck am Ende rausnimmt und man vielleicht auch noch die Möglichkeit hat, etwaige Geschäftsprozesse auch anzupassen oder auch weiterzuentwickeln, sodass es definitiv nichts bringt, auf den letzten Umsetzungzeitpunkt sozusagen zu warten.

Super, vielen Dank. Dann versuche ich nochmal so ein paar wichtige Punkte kurz als Abbinder nochmal festzuhalten. Also erstens, wir dürfen alle keine Angst vor KI haben und dementsprechend der Einhaltung der gesetzlichen Regelungen. Zweitens, wir müssen natürlich alle die Dokumentationspflichten erledigen, aber wir müssen uns auch überlegen, idealerweise auch mit der Hilfe von ByteLaw beispielsweise, wie kann man das am schlankesten und am effizientesten machen. Drittens, wir haben Risikobewertungen gehört von dir und Risikoklassen. Also man muss sich, vorher hattest du gesagt, Olga, wirklich gut überlegen, wofür will ich denn überhaupt die KI einsetzen und was benötige ich da? Und das kann natürlich auch helfen, wiederum gar nicht so viel nachher reguliert machen zu müssen. Weiterer Punkt, Sicherheitsmaßnahmen. Das heißt, man muss dementsprechend auch gucken. Rollen und Berechtigung ist natürlich immer ein Thema, dass ich das auch so, sage ich mal, darstelle und eingrenze, dass nicht jeder alles sehen kann. Ist, glaube ich, unabhängig von KI. Wird natürlich immer mit KI in einen Topf geworfen, aber am Ende des Tages muss ich das generell machen. Rollen und Berechtigung werden immer schön, ja, ich würde mal sagen, vergessen. Ich muss auch ein Enablement machen, Schulungen hast du genannt, AI Literacy kann man vielleicht auch nennen. Ich brauche natürlich Transparenz, welche Informationen da sind, wofür die auch genutzt werden können. Und ich muss natürlich auch, wichtig ist ein Punkt da auch, den Nutzern auch mitzuteilen, was gibt es für Risiken, um dann auch dementsprechend gewillt zu sein. Und ich nehme nochmal persönlich mit, also keine Angst haben, natürlich gibt es da Dinge einzuhalten und andererseits auch, ja, Haftungsrisiken, die man auch eingrenzen kann. Aber wenn man sich in gute Hände begibt, und da kann ich persönlich nur die ByteLaw auch empfehlen und auch dich persönlich, Olga, dann findet man natürlich auch immer Wege, wie Dinge auch gestaltet werden können, auch für mittelständische Unternehmen.

Ja, sehr gerne. Vielen Dank für die sehr zutreffende Zusammenfassung. Hat mir sehr viel Spaß gemacht heute.

Vielen Dank und auch von meiner Seite.

Ja, vielen Dank. Und in dem Sinne hoffen wir, dass euch wieder Spaß gemacht hat. Heute erste Mal mit Gast.

Ich hoffe, André und ich haben das auch gut gemacht. Das ist ja auch eine Premiere für uns. Und wir hoffen natürlich, euch da auch wieder ein paar Infos praktisch mitgeben zu können.

KI und Datenschutz: Rechtliche Herausforderungen und Lösungen

Podcast Cybersecurity ist Chefsache

Sprecher
Vertiefe dein Verständnis der digitalen Sicherheit mit Cyber Security ist Chefsache. Gemeinsam mit Nico Werner und einem Kreis von Cyber Security Experten Erkundest du fortgeschrittene Konzepte und innovative Lösungen. Erwarte detaillierte Einblicke, fundierte Diskussionen und dynamische Perspektiven, die auch erfahrene Fachleute fesseln. Sei Teil einer Gemeinschaft in die Grenzen der Cyber Security neu definiert.

Nico
Hallo und herzlich Willkommen zu einer neuen Folge vom Cyber Security Chefsache. Der Podcast heute mit Olga. Moin Olga.

Olga
Moin Nico, Moin Moin.

Nico
Für alle, die ich noch nicht kenne, erzähl doch mal ein paar Sätze über dich.

Olga
Sehr gerne. Mein Name ist Olga Stepanova, Ich bin Rechtsanwältin und Gründungspartnerin der Kanzlei ByteLaw, einer Kanzlei aus Frankfurt am Main, die sich ausschließlich auf die Bereiche der IT quasi spezialisiert hat, sprich von. Fragestellung rund um den Datenschutz IT Verträgen, also sprich Klassikern bis hin zur KI Verordnung nis 2 Dora und natürlich auch Incident Response betreuen wir aktuell 5 Rechtsanwälte diese Themenfelder und freuen uns Unternehmen und Organisationen bei all den Fragestellungen rund um die Digitalisierung mitzuhelfen. Ansonsten vielleicht noch kurz zu meiner Person, ich bin Fachanwältin für IT Recht, Fachanwältin für gewerblichen Rechtsschutz. Hab noch mal, weil wir viele US amerikanische Mandate betreuen, auch in Kalifornien studiert, nämlich zu dem Thema IT und Recht, denn man muss ja zugestehen, dass das Recht an den Landesgrenzen nicht mehr Einhalt hält und insofern alles sehr global sich in unserer Welt mittlerweile. Zugeht. Und insofern ist es besonders wichtig, dass man auch den internationalen Aspekt für die Mandanten mit betreuen kann.

Nico
Wir wollen ja heute über das spannende Thema sprechen. KI im Unternehmen und gerade was mich ja brennt, interessiert so deine tägliche Erfahrung in dem Bereich. Du hast ja schon erzählt, in letzten Zeit hast du sehr sehr viel mit KI im Unternehmen zu tun, wir wollen heute nicht auf die Technik eingehen, sondern mal so ein bisschen auf das rechtliche, auf den juristischen Background auch so ein bisschen was. Was müssen denn überhaupt Unternehmen bei KI beachten? Und vielleicht steigen wir auch mal genau mit dieser Frage ein. Wie gehst du denn auf ein Unternehmen zu, was auf euch zukommt und sagt, Hey, ich möchte jetzt KI im Unternehmen einsetzen, was sind so die ersten Schritte?

Olga
Ne. Die erste große Frage an der Stelle ist natürlich, was möchte das Unternehmen mit KI erreichen? Geht es darum generative KI einzusetzen, beispielsweise JGBT oder ähnliche Lösungen um. Möglicherweise im Bereich Marketing oder Kundenbetreuung KI einzusetzen? Oder geht es möglicherweise darum, dass ein Unternehmen gedenkt, für die eigene Software KI einzusetzen oder für die Steuerung von Prozessen? Das heißt, wir müssen uns erst mal vergegenwärtigen, was möchte das Unternehmen ganz konkret mit KI Anwendungen?

Nico
Siehst du da auch? In Anführungsstrichen oder Platt gesagt, als Norddeutscher den Fokus bei den Unternehmen, dass die schon wissen, was sie an KI einsetzen wollen oder wie sie KI einsetzen wollen. Oder ist das ganz häufig eher so? Na ja, wir wollen irgendwas mit KI machen und damit wir irgendwas damit tun, aber so richtig dem Plan nah, das ist noch nicht der Fall.

Olga
Also ich würde schon sagen, wir sind eher beim zweiten, wenn wir uns um das Thema Generativer KI kümmern. Natürlich, wenn ich als Unternehmen. Unternehmen im Softwarebereich tätig bin oder möglicherweise im medizinischen Bereich tätig bin und für meine medizinischen Geräte KI einsetzen möchte, dann habe ich schon ein sehr, sehr klares Bild davon, was ich wie möglicherweise steuern will. Wenn es aber um das Thema der generativen KI geht, ist es ganz häufig, dass sich Unternehmen auf einer sogenannten KI Lernreise befinden und erst mal die Use Cases für die KI für sich selbst. Klarmachen müssen. Es können Use Cases sein, von Auswertung von Marketinganfragen oder Auswertung von Kundenmails oder zum Beispiel die Generierung von Marketingtexten oder etwaigen, was sehr, sehr naheliegend ist. Es können aber auch ganz unterschiedliche andere Zwecke sein, die mit einer generativen KI verbunden sein können. Und da geht es darum auch. Auch dem Unternehmen nicht alles schlecht zu reden, sondern auch zu sagen, in welchen Grenzen, auf welche Art und Weise man KI einsetzen kann, um es einfach zu testen, was in meinem Unternehmen vielleicht auch sinnvoll ist. Denn jedes Unternehmen ist anders und jeder Prozess in jedem Unternehmen ist vielleicht irgendwo anders und deswegen kann man natürlich vielleicht. Gewisse Use Cases als solche definieren die in allen Unternehmen Sinn ergeben. Aber es gibt sicherlich auch ganz, ganz viele, von denen wir es einfach noch gar nicht wissen.

Nico
Ich kann dich da nur unterstützen. Ich sehe das auch in meiner täglichen Arbeit, dass viele Unternehmen über KI sprechen und wenn es dann darum geht, was wollt ihr damit machen, dann gibt es die, die einen, die ganz stark in diese Chatbot Richtung gehen. Ne, ich mache jetzt irgendwas mit Chat GPT oder mit eben halt anderen Tools, ne wie Microsoft Copilot und und wie sie alle heißen um. Da eben halt in irgendeiner Form was zu machen oder? Es gibt dann auch die Unternehmen, die sagen, ich will dann wirklich einen konkreten Use Case haben, in AI machen sich dann aber wenig Gedanken um das Thema Datenschutz, Informationssicherheit und auch um das Thema Compliance. Jetzt ist es ja so, dass wir häufiger auch schon mal von dem Thema AI Act gehört haben. Ist das was, was bei euch auch immer mehr wird, also kann man den Unternehmen wirklich an die Hand nehmen, schaut euch das mal an, macht euch da mal schlau oder sagst du da sind wir noch so weit von entfernt, dass das Stand heute uns noch nicht betrifft.

Olga
Jein. Also ich denke, dadurch, dass wir wissen, wie das Gesetz in seiner finalen Fassung nunmehr aussieht, das war ja ein sehr, sehr große Diskussion zum Jahresende. Ende 23 und auch zu Anfang 24 es war unklar, was kommt rein, was wird noch verhandelt. In den einzelnen Verhandlungen in der EU. Jetzt wissen wir es. Es ist natürlich so, dass das Gesetz schrittweise in Kraft tritt, damit die Unternehmen auch die Möglichkeit haben, sich an den neuen regulatorischen Rahmen zu adaptieren. Gleichwohl ist es wichtig, wenn ich jetzt die Möglichkeit habe, neue Anwendungen. Oder neue Anwendungsfelder zu konzipieren. Für mich, dass sich natürlich die Regulatorik, die so oder so mich betreffen wird, in der Zukunft direkt mit zu bedenken, so was wie Compliance by Design, so wie wir es ja auch aus der DSGVO letztendlich kennen. Wir wissen natürlich zum aktuellen Stand wenig, wir wissen noch nicht einmal, wer die Aufsichtsbehörde sein wird, die über die Überwachung der KI Verordnung bewaffen wird, wird es eine Annexkompetenz der Datenschutzaufsichtsbehörde. Behörden oder wie es sich in den letzten Wochen vielleicht noch mal gezeigt hat, wird die Bundesnetzagentur möglicherweise sich dieses Feldes bedienen beziehungsweise bewirbt sich ja darum, soweit ich das richtig vernommen habe, sprich wir wissen so wie auch bei der DSGVO seinerzeit, damals ganz viele Sachen noch nicht. Wir wissen vor allen Dingen noch nicht, auf welche Art und Weise dieses Gesetz letztendlich. Von den Aufsichtsbehörden angewandt wird. Wir wissen auch nicht, was die Gerichte davon halten. Das einzige wo ich sage, was wir wissen, ist der Gesetzestext und die allgemeine menschliche Logik, die dahinter steckt, denn kein Gesetz hat einen Sinn oder einen Zweck, der außerhalb dessen ist, was wir ja eigentlich damit regeln wollen, es hat keinen Selbstzweck, insofern müssen wir uns fragen, warum möchte die KI Verordnung das, warum ist das, was da passiert durch diese KI Anwendung so besonders? Gefährlich für die Rechte und Freiheiten welche Risiken sind assoziiert mit dieser KI Anwendung? Wie können wir diesen jetzt schon, ohne genau zu wissen, welche Behörde das wie auch immer deutet, begegnen, was zumindestens praktikabel und irgendwo auch nachvollziehbar ist? Das können wir jetzt schon tun und ich würde deswegen sämtlichen Unternehmen empfehlen, das nicht auf die lange Bank zu schieben, sondern zumindestens grob sich Gedanken zu machen. Sicherlich ist das so, dass wir noch nicht wissen. Wie die einzelnen Maßnahmen auszusehen haben. Nach der KI Verordnung. Wir wissen auch nicht, wie die Behörden das Auslegen werden, das wussten wir auch bei der DSGVO nicht, aber mich hat es eigentlich immer sehr gut durch die Untiefen der DSGVO gebracht, dass ich gesagt habe, was ist das menschlich sinnvolle dahinter und es gab eigentlich kaum. Lösungen, die ich erarbeitet habe, ohne zu wissen, wie die einzelne Behörde da sieht, die jetzt komplett lebensfremd waren von dem, was die Behörde letztendlich am Ende wollte. Deswegen, ich würde mich vorantasten und natürlich auch Ausschau danach halten, wie das am Ende in Deutschland aussehen wird, aber vielleicht auch in die anderen europäischen Staaten, zum Beispiel auch Richtung Frankreich oder Italien, die ja sehr stark den europäischen Wirtschaftsraum mit dominieren und eben auch den rechtlichen Raum aufgrund des Umstandes, dass die. Die Bevölkerung so groß ist und auch die Wirtschaft, dass man sich da auch von den Regulatoren genauso wie wir es im Datenschutz haben, auch anschaut, wie machen die das, wie macht das die Knille im Datenschutz gucke ich mir ab und zu mal an oder die Garantie in Italien vor dem Brexit, natürlich die ICO, das heißt, wir können an sich voneinander sehr gut lernen und auch einfach schauen, wie es die anderen machen, und ich denke, dass das die einzig sinnvolle Variante ist. Es macht jetzt keinen Sinn, irgendwas versuchen. Übers Bein zu brechen und sich vor allen Dingen in Panik begeben. Es wird ein Gesetz sein, so wie jedes andere. Wir haben schon alles irgendwo überlebt und ich denke, mit einem besonnenen Vorgehen an der Stelle werden wir sicherlich auch zu guten Ergebnissen kommen, die letztendlich auch das, was die KI Verordnung. Letztendlich von uns möchte letztlich auch erfüllt.

Nico
Ich könnte jetzt den kleinen Seitenhieb noch geben, dass bei aller Gesetzesgebung, die irgendwie was mit Informationssicherheit, Datenschutz gefühlt in der Vergangenheit immer erst das Gesetz gekommen ist und danach man sich Gedanken gemacht hat, wer soll es denn umsetzen und auch überwachen. Aber das ist heute nicht das Thema, ich finde spannend, und das kann ich auf jeden Fall den Leuten mitgeben, die sich mit dem Thema gerade beschäftigen. Dass ja auch der AI Act verschiedene Risikoklassen mitbringt, nämlich niedrig begrenztes Risiko, hohes Risiko und inakzeptables Risiko. Wenn, wenn mich nicht alles täuscht, so ganz aus dem Kopf, weiß ich jetzt auch nicht mehr, aber da kann man ja jetzt schon gucken, wo fällt denn meine AI Anwendung jetzt schon drunter um sich da auch mal Gedanken zu machen, kann ich die vielleicht so benutzen wie es benutzbar sein sollte oder muss ich mir da Gedanken machen auch um mein. Ein Risiko heraus, und das finde ich, das ist schon mal ein guter Anhaltspunkt für die Unternehmen, sich da jetzt schon mal Gedanken drum zu machen und zu gucken, wie würde ich was einkassifizieren, um dann auch einfach ja, jetzt schon. Gegebenenfalls Maßnahmen zu machen, die eben halt dann später durchs Gesetz verbindlich werden.

Olga
Ja, also ich denke, es macht sehr viel Sinn, sich zumindestens anzuschauen nach dem jetzigen aktuellen Stand, den wir haben. In welche Risikoklasse würde ich fallen und welche Dokumentationsrisiken beziehungsweise Dokumentationspflichten besser gesagt würden. Damit für mich gelten, damit ich zumindestens mich schon mal vorbereiten kann. Möglicherweise kann ich aus anderen Dokumentationen der IT Dokumentation der ich weiß nicht Datenschutz Folgenabschätzung, wenn personenbezogene Daten eine Rolle spielen et cetera schon einzelne Bestandteile für meine entsprechenden Unterlagen ziehen. Und dann zumindestens ein gewisses Grobkonzept, eine gewisse Vorstellung von dem haben, was eine Rolle spielen wird. Ich denke, dass der risikobasierte Ansatz, den wir ja durchaus in den Gesetzen auch zuletzt kennengelernt haben, jetzt für die Unternehmen vermutlich nichts Neues sein wird, dass man zumindestens grob sich anschaut, ist, dass jetzt etwas, was auch vielleicht für Zwecke genutzt werden könnte, die inakzeptabel sind, wie du es gerade gesagt. Das heißt, kann letztendlich ein Missbrauch meiner Anwendung stattfinden und wie möchte ich dem auf eine adäquate Art und Weise begegnen, ohne mir die komplette Anwendung letztlich vom Anwendungsbereich kaputt zu machen, aber gleichzeitig auch dieses Risiko mit Einzuberechnen und Gegenmaßnahmen zu.

Nico
Treffen, wenn wir jetzt mal wieder zurückkommen in das, was eigentlich. Heutzutage tagtäglich bei jedem Unternehmen auf den Tisch legt, nämlich Mitarbeiter nutzen, Chat GPT oder es wird eben halt Co Pilot genutzt oder oder was auch immer für einen Chatbot, der ja auch gegebenenfalls nicht mehr nur ein Chatbot ist, sondern ja auch schon Bilder erstellen kann oder? Gestern habe ich jetzt gelernt, es gibt inzwischen jetzt auch eine neue AI, die Live Video deepfakes möglich macht, noch einfacher wie wie alles was vorher war, da sehe ich ja eine große. Herausforderung, weil du musst ja erst mal gucken, wie erkenne ich denn etwas in in meinem Unternehmen, also wie bekomme ich denn überhaupt mit, dass der Mitarbeiter Chat GPT nutzt oder wie bekomme ich das mit, dass vielleicht jetzt meine Firmendaten zu Chat GPT geschickt werden? Erzähl doch mal so aus deiner Erfahrung, wie gehst du da auf die Unternehmen zu beziehungsweise was sagst du den Unternehmen, was kann man dagegen tun oder wie schafft man es? Auch dieses klassische Awareness Thema, was man aus der Informationssicherheit jetzt auch im Bezug auf das Thema AI zu schaffen.

Olga
Ja, also meine Erfahrung an der Stelle ist es tatsächlich, dass viele Unternehmen keine Kenntnis darüber haben, dass Mitarbeiterinnen und Mitarbeiter etwaige generative KI nutzen. Das habe ich so definitiv schon festgestellt. Das sind durch ganz komische Zufälle dann einfach ist das rausgekommen, dass irgendwo JGBT genutzt wird, ich denke, es ist wichtig für Unternehmen zu verstehen, dass sie jetzt die Möglichkeit haben, das verbindlich zu regeln, oder sie werden irgendwann auf ein Problem stoßen, denn zu glauben, dass die Belegschaft. Keine solchen Tools nutzt, die die Arbeit erleichtern, wohl wissend, wie der Mensch gestrickt ist, dass er quasi den geringsten Widerstand versucht zu finden. Das ist natürlich absolut utopisch. Ich denke, es ist wichtig, zum einen für Unternehmen, vielleicht auch wirklich direkt Mitarbeiter zu fragen, ich denke, dass es immer ein guter. Weg im Dialog, sich zu befinden man kann natürlich über technische ja Vorkehrungen auch herausfinden, ob jemand zum Beispiel ob die IP Adresse vom Unternehmen irgendwie oder ob irgendwelche Requests rausgegangen sind um ich weiß nicht JGBT oder was auch immer zu öffnen, das kann man ja auch machen. Ja man muss natürlich gucken, ist das in Ordnung, ist die private Nutzung. Des Internets möglicherweise aufgehoben bestenfalls sollte das der Fall sein, nämlich Verbot der Nutzung der betrieblichen Infrastruktur für private Zwecke. Und dann eben muss man dann in dem Moment quasi den Mitarbeitenden, ja ich will es nicht sagen, auf die Schliche kommen, aber zumindestens für sein Unternehmen rausfinden, nutzen sie es oder nutzen sie es nicht, man kann es mit einer anonymen Umfrage machen, man kann es vielleicht an der Stelle dann auch über technische Mittel rausfinden, so hat das zum Beispiel ein man dann von. Haben hier rausgefunden, dass die gesehen haben, Huch, da öffnen Mitarbeiter JGBT so, da muss man natürlich auch sagen, man darf dieses Tool nicht verteufeln, wir verteufeln ja auch keine Computer, denn das ist ja letztendlich nichts anderes als ein hilfswerkzeug, man muss sich aber klarmachen, auf welche Art und Weise möchte ich das als Unternehmen nutzen, möchte ich wirklich Software The Servicemäßig Open AI nutzen? Möchte ich andere Lösungen implementieren, so was wie Co Pilot soll dann Co Pilot nur auf den Datenbestand zugreifen, den ich in meinem Unternehmen habe um die Prompts zu beantworten oder soll es möglicherweise dann noch mal auf Open AI wiederum zugreifen? Möchte ich also eine Art geschlossenes System, möchte ich eine Art offenes System, das ist letztlich auch dafür entscheidend, ob ich beispielsweise empfehlen würde. Personenbezogene Daten zu nutzen oder ob ich große Bauchschmerzen bekäme, wenn auf einmal Geschäftsgeheimnisse Teil von Prompts wären. Auf der anderen Seite kann man sich ja auch die Frage immer stellen, nicht nur welche Daten gebe ich oder welche Informationen gebe ich preis aus dem Unternehmen, sondern. Was ist eigentlich mit den Antworten, die ich bekomme? Sind diese möglicherweise rechtsverletzend Urheberrechtsverletzend ganz häufiges Thema, aber natürlich, je nachdem vielleicht ja auch patentrechtsverletzend, wenn ich jetzt so eine Entwicklungsabteilung von einem Unternehmen bin und ich mich dann für meine Entwicklungsarbeit möglicherweise open AI, also JGBT oder ähnlichem, bediene und man mir dann ein Ergebnis präsentiert, was vielleicht eher. Irgendwo schon patentiert ist tatsächlich und ich vielleicht Jahre später dann damit ein Problem bekomme, dann muss ich das halt mitbedenken, sprich was ich immer empfehlen würde ist eine verbindliche Richtlinie im Unternehmen zu verabschieden. Und dabei gleichzeitig aber auch die Anwendungsbereiche, die mir jetzt schon bekannt sind. Mitzubedenken und Mitzudefinieren das heißt, wenn personenbezogene Daten für mich sowieso keine Rolle spielen, dann verbiete ich sie vielleicht auch einfach, dann komme ich gar nicht erst in die Bredouille, wenn sie für mich eine Rolle spielen sollten, dann kann ich mir natürlich die Frage stellen, wie. Kann ich das möglicherweise umsetzen? Also es gibt ja auftragsverarbeitungsverträge mittlerweile mit Open Me I und ähnlichen Anbietern, gleichzeitig muss ich mir aber auch die Frage stellen, fairerweise bin ich mir wirklich so sicher, dass diese Daten, die ich da weitergebe, nicht für Trainingszwecke verwendet werden, denn ein Löschen von Daten aus einem KI System, das wird eher ein bisschen schwierig, sprich ich muss sehr proaktiv darüber denken, dass zwischen meinem wirtschaftlichen Interesse jetzt eine KI Anwendung bei mir im Unternehmen auszurollen und den damit assoziierten Vorteilen, das heißt Einsparung von Arbeitskraft oder Etwaigem versus was kann mich das langfristig kosten, wenn zum Beispiel. Wie ich gerade dargestellt habe, eine Patentverletzung daraus möglicherweise resultiert. Wie möchte ich das Thema auch transparent im Unternehmen handhaben, möchte ich vielleicht eine Arbeitsgruppe bilden aus verschiedenen Fachabteilungen, die auch erst mal daran arbeitet, die Use Cases nachzuvollziehen und zu validieren, die ich sodann in diese Richtlinie aufnehmen kann beziehungsweise in eine neuere Version, das heißt, man kann das Thema sehr unterschiedlich angehen, je nachdem wie der Bedarf des jeweiligen Unternehmens. Unternehmens ist.

Nico
Du hast gerade 2 interessante Themen angesprochen, wo ich gerne noch ein bisschen tiefer reingehen würde. Einmal möchte ich das auch gerne unterstützen, AI ist nicht immer böse und kann viele Chancen öffnen, viele Dinge erleichtern und auch ein Stück weit Prozesse digitalisieren oder vereinfachen. Man darf nicht immer den Teufel sehen, indem man irgendwo im Fernsehen jetzt wieder sieht, AI werden jetzt für Waffensysteme verwendet oder der Mitarbeiter hat eben halt irgendein. Irgendein wichtiges Dokument hochgeladen und jetzt ist Alarm groß. Ich glaube, da müssen wir auch so ein bisschen an der Awareness arbeiten der Menschen, dass AI nicht böse ist. Man kann alles im Leben für Gutes oder Schlechtes einsetzen, es gibt immer den, es liegt immer an den Menschen, für was er sich entscheidet, ob er was Gutes damit machen will oder was Schlechtes machen will und ich glaube mit AI ist das genauso und das müssen auch die Leute verstehen. AI ist nicht nur böse, AI hat auch viele Dinge. Dinge, die sehr gut laufen. Der zweite Punkt, den du angesprochen hast, ist auch ein Thema, was ich immer wieder höre, nämlich man kann es auf der technischen Seite lösen, aber es gibt ja viele, die wollen es auch auf der rechtlichen Seite lösen, jetzt hast du zum Beispiel schon dieses Thema angesprochen, AVS mit entsprechend solchen Unternehmen wie Open AI, wie ist denn so deine Erfahrung in dem Bereich? Also ich höre immer wieder, dass es natürlich super schwierig ist, auch für ein Unternehmen was eine AI. Einsetzt das irgendwie zu limitieren, zu reglementieren oder auch in Anführungsstrichen mit den Unternehmen irgendwelche irgendwelche Verträge abzuschließen. Dass du jetzt nur was haben darfst, wenn es dann so läuft oder wie auch immer, das ist ja auch der riesen Vorteil von AI, dass du ja auf Deutsch gesagt eine künstliche Intelligenz hast, die breit für dich alles kann und du eben halt nicht irgendwo sagen kannst, du kannst alles, aber nur bis dahin ne, weil wir wissen ja auch. Auch dass zum Beispiel eine AI keine Phishing E Mail schreiben darf. Wenn du das aber umformulierst und es eben halt nicht Phishing E Mail nennst, dann schreibt er dir sowohl eine Phishing E Mail, das heißt es ist auch immer so eine Geschichte wie du eine AI benutzt, wie du den richtigen Porn schreibst um zu deinem Ergebnis zu führen.

Olga
Ja, also ich denke an der Stelle ist es vielleicht wichtig zu sagen zum Thema der AV Verträge und ähnlichem. Ich denke es ist sehr sehr schwer nachzuvollziehen am Ende des Tages. Ob ein Anbieter, und da möchte ich jetzt auch einfach niemand namentlich nennen, weil ich auch keine positive Kenntnis zu habe, aber ob ein Anbieter Daten, obschon man eigentlich einen Auftragsverarbeitungsvertrag abgeschlossen hat, also personenbezogene Daten, jedenfalls nicht für Trainingszwecke genutzt werden sollten. Man kann ja über andere Informationen, die nicht personenbezogen sind, müsste man sich dann mal die sonstige vertragliche Grundlage anschauen, aber ob das für Trainingszwecke verwendet wird oder nicht, ist sehr sehr schwierig nachvollziehbar, weil natürlich die Server wo die KI drauf ist sozusagen natürlich nicht bei mir sind, das ist ja die Krux beziehungsweise der eigentliche Vorteil von Software as a Service oder KI as a Service, Man kann es auch jetzt so nennen. Und ich habe natürlich kaum Möglichkeiten, da auf irgendwas einzuwirken. Aus meiner Perspektive muss man dann an der Stelle wirklich abwägen, was die Risiken und die Vorteile sind, möchte ich dieses Risiko in Anführungszeichen einkaufen, dass wir alles rausgeben? In dem Vertrauen darauf, dass die vertragliche Grundlage stimmt, ohne zu wissen, ob es faktisch anders läuft oder, und das ist eher der Ansatz, zu dem ich rate, möchten wir uns reglementieren, dass unsere Geschäftsgeheimnisse zumindestens in dem offenen System, das heißt KI as a Service, wo eben die Daten wirklich zum Anbieter der KI fließen. Keine personenbezogenen Daten enthalten, keine Geschäftsgeheimnisse enthalten, keine sonstige wertvolle Information. Ich weiß nicht Patente oder was auch immer es sein kann, technische Zeichnungen, urheberrechtlich geschütztes Material. Da gibt es ja 1000 Anwendungsbereiche, aber dass das von Anfang an einfach das Haus nicht verlässt, damit ich das Risiko nicht habe. Eine andere Option ist natürlich, das kann man sich überlegen, ein sogenanntes geschlossenes System zu haben haben auch. Braucht Mandanten von mir mittlerweile, dass sie sagen, wir laden uns immer die aktuellsten Module sozusagen von dem jeweiligen Anbieter. Das wird dann gehostet bei uns auf unseren eigenen Servern, in unserem eigenen Rechenzentrum, wie auch immer, wir greifen da drauf zu, wir haben 2 Datenbanken, die eine sozusagen mit der KI als solcher die Anwendung und auf der anderen eben die Daten, die wir eingepflegt haben, sodass wir auch dem Löschungsrecht, dem Recht aus Artikel. 17 der DSGVO entsprechen können, indem wir aus der zweiten Datenbank dann einfach den Datensatz löschen, sodass wir der KI das Trainingsmaterial in dem Moment damit entziehen. Das ist auch eine Option ist. Natürlich muss man fairerweise sagen, sehr viel aufwendiger und teurer. Das heißt, es wird immer eine Frage davon bleiben, wieviel Risiko möchte ich mir einkaufen oder was nehme ich tatsächlich dann nicht in Kauf und verzichte vielleicht da drauf, weil mir das Risiko zu groß ist. Ich denke, da muss wirklich jedes Unternehmen in erster Linie seine Use Cases definieren, um auch wirklich eine valide Entscheidungsgrundlage zu.

Nico
Haben. Jetzt hast du ja auch davon gesprochen, eine valide Entscheidungsgrundlage zu bekommen. Jetzt ist es ja manchmal so, dass gerade KI Lösungen blackboxen sind. Du weißt ja gar nicht, was im Hintergrund steht. Also das meine ich jetzt nicht nur technisch, das ist auch ein anderes Thema, aber auch juristisch ist es ja teilweise wirklich eine Blackbox, dass du ja auch in Anführungsstrichen oder du hast ja gar keine Möglichkeit da. Jemanden haftbar zu machen beziehungsweise ranzukommen. Was rätst du denn da den Unternehmen, die jetzt wirklich an so eine Blackbox KI geraten?

Olga
Nein, die Frage ist, möchte ich diese KI anwenden, möchte ich Sie zum Einsatz kommen lassen, weil wenn ich natürlich nicht weiß, was am Ende das Ergebnis ist von dem, was ich angefragt habe und ob dieses Ergebnis richtig ist oder ob die KI, wie man das mittlerweile so schön nennt, halluziniert. Dann fragt man sich ja, letztendlich macht es überhaupt Sinn diese KI einzusetzen, wenn ich gar nicht nachvollziehen kann, wie einzelne Ergebnisse zustande kommen, dann habe ich natürlich ein Problem nachzuvollziehen, ob das Ergebnis überhaupt richtig ist oder nicht oder wie hoch die Wahrscheinlichkeit ist, dass es richtig ist. Und wenn ich das dann vielleicht im produktiven Bereich einsetze, je nachdem was der Einsatzbereich ist. Dass ich dann mich nicht enthaften kann, sondern man mir am Ende vorhält, dass ich eine Anwendung genutzt habe, die ich nicht hätte nutzen können, das ist ganz häufig der Fall, dass man auch die Ergebnisse, weil die KI ja kein Mensch ist und ich mitdenkt, nicht nachvollziehen kann. Das ist klar, aber dass die KI letztlich auch dem Anwender gerecht werden möchte, das heißt, was so die letzten Fälle sind, die vorgekommen sind. Eines der Beispiele, Man hat eine KI nach einem Code Bestandteil gefragt und die hat den einfach. Die hat es einfach erfunden. Es gab diesen Code Bestandteil nie oder wenn man zum Beispiel die KI fragt, Wann hat die Frau Müller denn Geburtstag, dann wird jedes Mal wenn ich sage Frage frage, Frage also die Eingabe letztlich mache ein anderes Datum rauskommen denn. Die KI denkt eben nicht mit und das muss man mitberücksichtigen. Und das ist nämlich auch ein Risiko, welches wir nicht vernachlässigen beziehungsweise welches wir nicht für zu klein halten dürfen an der Stelle, sondern ganz gewiss mitberücksichtigen müssen. Das heißt, jede KI ist letztendlich eine Blackbox, wir können nicht nachvollziehen, das ist ja der Unterschied zwischen einem reinen Algorithmus, der dann. Auf, AB und auf CD antwortet. Gleichwohl müssen wir aber irgendwie so weit es geht nachvollziehen können, wie einzelne Ergebnisse entstehen.

Nico
Jetzt ist es ja so, dass sich KI ja auch rasant entwickelt. Ne, was heute ein Chat TPD ist, kann morgen etwas ganz anderes sein, gerade auch wenn wir dann wieder mit Blick auf Compliance und Datenschutz gehen. Glaubst du, dass sich da in Zukunft auch noch mal bei der DSGVO oder anderen, ich sag jetzt mal gesetzlichen Regelwerken etwas verändern wird hin auf AI oder siehst du das eher als Bestandteil vom AI Act?

Olga
Also ich glaube ehrlicherweise nicht, dass sich etwas verändern wird. An zum Beispiel der DSGVO. Andere Regelwerke muss man sich anschauen, aber wenn, was sind andere Regelwerke? Das sind unsere Gesetze hinsichtlich des gewerblichen Rechtsschutzes, Markenurheberrecht et cetera PP es wird vielleicht im Urheberrecht noch mal irgendwas geben, eine Regelung dazu, ob jetzt Werke, die mit KI kreiert worden sind, ich weiß nicht, ob derjenige, der den prompt abgegeben hat, auf einmal der Urheber ist oder irgendwie sowas, das wird ja auch lange diskutiert, aktuell ist es jedenfalls so, dass eine KI mangels menschlichen. Menschlichkeit kein Schöpferstatus zugesprochen wird und deswegen wir uns irgendwie in einem rechtlichen Vakuum befinden. Aber die DSGVO wird sich aus meiner persönlichen Sicht nicht ändern, weil wenn wir uns so ein bisschen zurückerinnern, wo jetzt ja alles KI ist und früher alles Blockchain war. Wenn man sich jetzt die Blockchain, und zwar als Beispiel die Permissionless Blockchain, das heißt sowas wie eine Bitcoin Blockchain, ganz normale öffentliche Blockchain anschaut, dann ist sie ja mit dem Grundgedanken der DSGVO an vielen Stellen nicht vereinbar, so, weil es eben beispielsweise keine zentrale Stelle gibt, die für die Datenverarbeitung zuständig ist. So wie das jetzt der Verantwortliche im Sinne der DSGVO ist. Es gab die Diskussion dazu, ob man die DSGVO möglicherweise irgendwie verändern soll oder nicht. Und das wurde dann aber eher auf einer Ebene von Wissenschaft, glaube ich, letztlich diskutiert, aber nie so richtig, bis hin zur EU. Und ich denke, dass man an der Stelle das genauso handhaben wird mit der KI, weil die grundlegende Überlegung bei der DSGVO die Rechte und Freiheiten von betroffenen Personen zu schützen, die wird sich ja nicht ändern. Wir sollten ja immer darauf bedacht sein, unsere Gesetze technologieneutral zu halten, ob jetzt die KI kommt oder in 5 oder in 10 Jahren eine ganz andere Technologie sollte ja nicht an dem Sinn und Zweck. Des Datenschutzes etwas ändern, nämlich die betroffenen Personen in ihren Rechten und Freiheiten zu schützen. Das heißt, ich sehe die DSGVO an der Stelle, was eine Änderung anbetrifft, eher entkoppelt. Sicherlich ist es aber so, dass wir einen weiteren regulatorischen Rahmen dazu bekommen, den wir mitbedenken müssen, weil ganz häufig sicherlich auch KI Anwendung für die Verarbeitung von personenbezogenen Daten genutzt werden werden. Sodass das einfach eine weitere Compliance Pflicht, um es jetzt mal so auszudrücken ist, die man als Unternehmen mitzubedenken hat.

Nico
Siehst du auch in Zukunft eine Art Rolle als AI Officer im Unternehmen? Ich meine der AI EC sagt ja von der regulatorischen Seite aus gibt es dann. Solche Rollen wie siehst du das in Zukunft in für Unternehmen?

Olga
Nun, ich denke, dass wir das so ein bisschen wahrscheinlich irgendwo eine gewisse Parallele haben werden zum Datenschutzbeauftragten der DSGVO. Ich glaube nur, dass wenn ich so ein bisschen den Vergleich ziehen mag, wir wesentlich mehr personenbezogene Daten in jedem Unternehmen verarbeiten, als dass wir KI Anwendungen haben werden, das heißt, ich kann mir vorstellen, dass es eher eine Annexkompetenz wird, entweder im Datenschutz, oder? Oder in der IT. Oder irgendwie im operativen Bereich als statt dass man jetzt wirklich eine Planstelle dafür hat. Es kann durchaus sein, dass vielleicht in einem Unternehmen, was ich weiß, nicht Medizintechnik herstellt und wirklich ganz viel mit KI arbeitet, in dem Sinne, dass KI ein Teil Komponente eines Produkts ist. Dann wird es sicherlich so sein, dass es jemand gibt, der komplett für KI den Hut auf hat, aber bei einem gewöhnlichen Unternehmen, was ein bisschen generative KI nutzt oder irgendwo für einzelne Bereiche KI in einem Bereich nutzt, der jetzt nicht mit hohen Risiken irgendwo verbunden ist. Sehe ich es eher tatsächlich als eine Annexkompetenz, weil im Unterschied zu jedem Unternehmen, wo man von einige personenbezogene Daten bis sehr viele personenbezogene Daten hat, glaube ich, dass man jetzt nicht jemanden komplett als Planstelle für KI einplanen können wird, weil da auf. Der Umfang der Tätigkeit nicht so hoch sein dürfte.

Nico
Was denkst du denn, wie wappnen sich denn die Gerichte das Thema AI? Ich mein Das ist ja im Vorgespräch, hatten wir schon mal über das Thema Datenschutz und Gerichte gesprochen, vielleicht deswegen mal da die provokative Frage, wenn ich mir jetzt heute ein Gericht vorstelle, was ja schon Schwierigkeiten teilweise im Bereich Informationssicherheit und Datenschutz hat, jetzt kommt noch das Thema AI mit obendrauf, wie reagieren die oder welche Möglichkeiten bietet es? Dann auch in Anführungsstrichen für einen Richter in Zukunft mit AI umzugehen.

Olga
Genau. Also ich würde an der Stelle wahrscheinlich differenzieren zwischen Anwendung von KI in der Justiz als solcher und KI als Streitgegenstand von Gerichtsverfahren. Ich denke, dass es sehr sinnvoll sein wird für einzelne Fragestellungen. In der Justiz, vor allen Dingen vor dem Hintergrund von ja richtermangel Mangel an Staatsanwälten et cetera PP sinnvolle KI einzusetzen, das ist natürlich immer eine Interpretationssache. Was sinnvolle KI ist. Aber ich kann mir vorstellen, dass wenn natürlich Anwaltskanzleien oder wer auch immer KI. Einsetzen, um einzelne Tätigkeiten damit schneller zu erledigen. Warum sollte das der Justiz verwehrt sein? Man muss natürlich sich überlegen, dass alles ein bisschen länger dauert und dass wir auch gucken müssen, wir sind im staatlichen Bereich, dass das alles wirklich sehr, sehr sicher ist, was da zum Einsatz kommt, aber ich denke über kurz oder lang wird das schon der Fall sein, dass vielleicht einzelne gerichtliche Entscheidungen an einzelnen Stellen irgendwo mit KI vorgeschrieben werden und da Richter noch mal drüber guckt. Das glaube ich schon, dass das auch zu einer Entlastung der Justiz führen wird, was durchaus ja gewollt ist, wenn man sich anschaut, wie viele Richterplanstellen zum Beispiel aktuell in Deutschland nicht besetzt sind. Ich denke, dass das ein Tool werden wird, so wie wir den Computer nutzen oder das Handy, das heißt, es wird einfach Normalität, nicht mehr wegzudenken und man erwartet, dass es genutzt wird, das ist das eine, was natürlich das Thema KI. In gerichtlichen Prozessen angeht, da sehe ich es eher so, dass es wahrscheinlich darauf hinauslaufen wird, dass man, wenn man sich wirklich um KI, spezifische Fragen und nicht tatsächlich dann IT rechtsspezifische. IT Vertragsrechtsspezifische oder datenschutzrechtliche Fragen streitet, dass man wahrscheinlich auf Sachverständige zurückgreifen muss, weil ohne der Richterschaft in Deutschland zu nahe zu treten. Ich habe eine unfassbar kompetente Richterin zuletzt am Landgericht München erlebt, die einen IT Rechtssachverhalt mitbetreut hat im urheberrechtlichen Bereich und selber Kenntnisse im Coding hatte, fand ich absolut bemerkenswert, aber die. Wir haben wenige solcher Kader und ich denke deswegen, dass wir sehr stark auf Sachverständige zurückgreifen werden oder was auch häufig im IT Bereich ja auch der Fall ist, dass diese Sachverhalte außergerichtlich geklärt werden, weil man sich das Prozessrisiko dann auf einmal vor einem Gericht zu stehen, was vielleicht leider nicht über die Kompetenz verfügt, diesen Sachverhalt. Auch rechtlich nachzuvollziehen, dass man dieses Risiko einfach nicht eingehen möchte und sich dann eben außergerichtlich einigt.

Nico
Vielen Dank für deine Expertise mit Blick auf die Zeit würde ich sagen, es war ein super spannender Talk, gerade auch über diese ganzen Themen, die dich tagtäglich betreffen, deswegen auch hier gerne noch mal keine Werbung rein aus Überzeugung, wenn jemand sich da mit dem Thema auseinandersetzt und die passende Rechtsanwältin sucht, dann meldet euch gerne bei euger Link ist. Natürlich in der Beschreibung mit vorhanden und von daher würde ich sagen, das war es von dieser Folge Cyber Security Chefsache bis zum nächsten Mal und ich wünsche euch noch einen schönen Tag bis dann.

Olga
Vielen Dank, lieber Nico und allen, die zuhören werden. Ich hoffe, es hat euch gut gefallen und ja, wenn es Fragen gibt, gerne Fragen. Ansonsten hoffe ich, dass einige informative Punkte heute mit dabei waren, vielen Dank auf dann Tschüss.

Sprecher
Das war wieder eine spannende Folge von. Cyber Security ist Chefsache mit deinem Gastgeber Nico Werner. Wir hoffen, du hast neue Erkenntnisse und Anregungen mitgenommen, die deinen Arbeitsalltag in der Welt der digitalen Sicherheit bereichern. Vergiss nicht, unseren Podcast zu abonnieren, zu liken und mit deinen Freunden und Kollegen zu teilen, bis zum nächsten Mal. Bleib sicher und vernetzt.

Finanzsektor unter Druck: Ist deine Bank bereit für DORA?

Podcast Wissen kompakt TÜV Nord Akademie

Leslie
Hallo und herzlich Willkommen zu einer neuen Folge wissen kompakt, der Podcast der TÜV Nord Akademie und mir ist wie immer zugeschaltet Max. Hallo Hallo.

Max
Zusammen. Schön, dass ihr wieder dabei seid.

Leslie
Sag mal Max, hattest du das auch schon mal oder ist dir das schon mal passiert? Du bist im Auto. Ausland und plötzlich kannst du kein Geld mehr abheben. Kreditkarte und EC Karte hast du dabei, aber der Bankautomat spuckt einfach nichts mehr aus, hattest du das schon mal?

Max
Puh, das klingt wirklich nach einem richtigen Alptraum. Glücklicherweise hatte ich das noch nie, du etwa?

Leslie
Ja, tatsächlich. Also es war zwar nur in Anführungszeichen Österreich, aber eben trotzdem im Ausland und da wollte ich Geld abheben und plötzlich konnte ich weder mein Online Banking, also ich konnte auch nicht mal die Bank App öffnen. Noch meine Kreditkarte benutzen und das Kuriose war, ich habe dann bei der Bank angerufen und die Bank hat dann behauptet, ich hätte noch nicht mal eine Kreditkarte bei der Bank und dabei hatte ich die Karte physisch in der Hand. Als ich da angerufen habe, also total seltsam.

Max
Ja, also das klingt wirklich total chaotisch. Weißt du denn jetzt, was der Grund im Endeffekt dafür war?

Leslie
Ja, also zum Glück war es auch nur für ein paar Stunden und es war ein IT Fehler bei der Bank. Also die hatten es mir bereits schon am Telefon gesagt, dass es sich um einen Systemfehler handelt und der hat eben dazu geführt, dass ich weder Geld an. Abheben konnte noch auf mein Konto zugreifen konnte noch, dass mein Online Banking eben einwandfrei funktioniert. Also wie gesagt, mir wurde auch nicht mal angezeigt, dass ich ein Konto hatte und ich kann dir sagen, das war ein echt seltsames Gefühl, irgendwie so auch ein Gefühl von Kontrollverlust und ich war derzeit eben im Urlaub und konnte aber an nichts anderes denken, bis eben das Problem gelöst war, weil wo ist mein Geld denn jetzt gerade wie?

Max
Ja, total verständlich. Also wenn du nicht an dein Geld kommst, da kommst du ja richtig in Ängste und Nöte, also kann ich total nah ampfänden. Das fühlt sich nach einem wirklich einen richtigen Totalausfall an.

Leslie
Ja genau, genau so hat es sich auch angefühlt. Also stell dir mal vor, das würde dir jetzt nicht im Ausland passieren, sondern in Deutschland, also in dem Land, wo du deine Bank angemeldet hast, wo du dein Einkommen beziehst. Und stell dir dann vor, die Geldautomaten funktionieren nicht, weder die EC Karte noch die Kreditkarte, noch das online Banking. Ich weiß ich nicht. Für mich ist das ein total mulmiges Gefühl.

Max
Absolut. Aber das zeigt einmal mehr, wie ich finde, wie abhängig wir sind von der Sicherheit unserer Banken und IT Dienstleister. Also ich gehe zum Beispiel kaum noch mit dem Portemonnaie physisch raus, sondern immer nur mit meinem Handy und zahle mit Apple Pay. Da will man sich gar nicht ausmalen, wenn man das mal vergisst oder ausfällt. Was das für Konsequenzen haben könnte.

Leslie
Ja, ganz genau. Und eben solche hypothekischen Fälle wie wenn halt mal in Deutschland die Banken ausfallen würden oder in meinem Fall eben ganz real. Dass da einfach mal ein Systemfehler bei der Bank ist, zeigt halt, wie verletzlich digitale Systeme und unsere Banksysteme auch sein können. Denn heutzutage ist eine Bank wie du schon gesagt hast, nicht nur eine Bank selber, sondern mit vielen anderen Dienstleistern wie paypal, Google Wallet, Apple Pay miteinander verbunden und. Und wenn es da ein Problem gibt, also nicht nur bei der Bank selbst, sondern beim Dienstleister oder irgendwo anders im Laufe des IT Prozesses, dann hat das massive Auswirkungen und nicht nur für das Unternehmen, sondern eben auch am Ende des Tages auch auf die Verbraucherinnen. Und genau deshalb sprechen wir heute über die Dora Dora ist die Kurzform für den Digital Operational Resilience Act und. Und das ist eine neue EU Verordnung, die sicherstellen soll, dass Unternehmen insbesondere im Finanzsektor besser auf solche Ausfälle und Angriffe vorbereitet sind.

Max
Absolut richtig also. Dora verlangt von Unternehmen, ihre It Systeme widerstandsfähiger zu machen, Cyberangriffe schneller erkennen zu können und Probleme effizient zu lösen. Aber was genau bedeutet das denn für Unternehmen, was müssen Unternehmen genau tun und darüber sprechen wir heute mit Rechtsanwältin Olga Stefanova von Bydler herzlich Willkommen, Olga.

Olga
Vielen Dank Lesley. Vielen dank Max, vielen Dank für die Einladung. Ich freue mich sehr, heute dabei zu sein.

Max
Ja Hi Olga, Stell dich gerne einmal kurz in ein 2 Sätzen vor und berücksichtige dabei gerne die Fragestellung, ob du findest, dass IT und Datenschutzrecht zu den spannendsten Rechtsgebieten gehört oder warum du genau dich auf diese spezialisiert hast.

Olga
Ja, sehr gerne. Mein Name ist Olga Stepanova, Ich bin Gründerin und Partnerin bei Bidlore, einer auf IT und IT Sicherheitsrecht inklusive Datenschutz spezialisierten Anwaltskanzler aus Frankfurt am Main. Ich persönlich ja bin Fachanwältin für gewerblichen Rechtsschutz und für Informationstechnologierecht, mache seit nahezu 8 Jahren nichts anderes außer mich mit Daten und IT zu beschäftigen. Und ich denke, dass gerade das IT und Datenschutzrecht das progressivste Rechtsgebiet ist. Denn die Entwicklung, die in der Technik passiert, zwingt uns dazu, uns auch rechtlich entsprechend aufzustellen, sodass wir in der Vielzahl der Fälle, wie eben auch am Beispiel von Dora, sehr gut erkennbar mit Rechtsgebieten anfangen zu beschäftigen, die noch komplett unbekannt sind. Im Gegensatz zum Beispiel zum Steuer oder Gesellschaftsrecht, sodass. Dass man noch die Chance hat, selber sehr, sehr viel an der wissenschaftlichen, technischen, politischen Debatte mitzuwirken und dort auch letztlich eine Entwicklung mit voranzutreiben, die für uns alle als Gesellschaft vor allen Dingen auch wichtig ist.

Leslie
Ja, absolut. Und ich denke auch, gerade in unserer Gesellschaft, wo ja mittlerweile eigentlich alles digital ist oder es eben ne digitale Komponente in so gut wie allen Bereichen gibt, ist gerade Cybersicherheit und ja IT recht etwas, was uns ja in allen Bereichen treffen kann. Darüber haben wir auch schon in einer vergangenen Folge gesprochen. Von wissen kompakt, nämlich mit Rechtsanwalt Alexander Forßmann zum Thema nis 2 Verordnung, also eigentlich recht eng verbunden mit der Dora, quasi, ich sag mal die verallgemeinere Version. Der der Dora und wenn ich weiß, wovon ich gerade spreche, der sollte unbedingt in die Folge vom 28. September reinhören. Da sprechen wir ein bisschen intensiver über die NS 2 Verordnung. Jetzt aber zum Thema Dora zurück, was ist denn jetzt die Dora Verordnung und was hat es da mit der Cyber Sicherheit im Finanzsektor zu tun?

Olga
Nun, man muss halt bedenken, dass der Finanzsektor als solcher ein absolut wichtiges Element unseres gesellschaftlichen Zusammenlebens ist. Ob jetzt im reinen B to C, dass ich von der Bank am Automaten Geld abhebe oder ob das Unternehmen, in dem ich arbeite, eine Zahlung vornehmen kann, um waren bei einem anderen Unternehmen zu bezahlen und sodann geliefert zu bekommen, sprich egal wie man es dreht oder wendet. Die Stabilität des Finanzsektors ist ein sehr, sehr wichtiges gut für unsere Gesellschaft. Und darauf reagiert die Europäische Union, dass man gesagt hat, man möchte sich nicht vor dem Thema verschließen, dass Cyberbedrohungen leider in den letzten Jahren massiv zugenommen haben und dass man gerade eben den Finanzsektor, der so wichtig für uns, neben anderen natürlich auch. Vorhandenen Sektoren, aber eben auch der Finanzsektor seine Wichtigkeit hat. Und man möchte insofern adäquat auf die Bedrohungslage, wie sie vorherrscht, nicht nur in einem konkreten Land Bezug nehmen, sondern wirklich das ganze europaweit in Form einer Verordnung regeln, was der Unterschied zu der von dir soeben auch genannten S 2 Richtlinie ist, die erst ins nationale Recht umgesetzt werden muss, in den EU Mitgliedstaaten so. So gilt die Dora unmittelbar für alle Mitgliedsschaden gleichsam Dora. Letztendlich möchte die Operationelle Resilienz von Unternehmen im Finanzsektor stärken. Denn man hat letztlich gesehen, dass sehr viele Angriffe auf Banken, Finanzunternehmen, Versicherungen et cetera stattfinden. Zum einen, weil das natürlich ein gutes Opfer ist, um möglicherweise auch an ein Lösegeld zu kommen, wenn wir jetzt von Cyberangriffen sprechen, mit dem Ziel, dass man entsprechende Gelder generiert oder eben auch für andere, vor allen Dingen staatliche Akteure aus Drittstaaten, die unser Zusammenleben. Hier in der Europäischen Union tangieren und zeigen wollen, dass wir angreifbar sind und dass man sich entsprechend fürchten muss vor diesen, und darauf möchte in erster Konsequenz die Dora reagieren, indem sie Unternehmen, die der Dora unterfallen. Darauf verpflichtet, entsprechende Sicherheitsmaßnahmen zu ergreifen, das heißt, im Ergebnis geht es zum einen um die Prävention von Cyberangriffen, aber falls diese sodann erfolgen, auch um die schnelle Reaktion. Und dadurch eine Stabilität im gesamten Finanzsektor zu gewährleisten.

Max
Ja, das klingt wirklich super wichtig. Olga, erstmal vielen Dank schon für diesen Beitrag, du hast jetzt viel von Unternehmen auch gesprochen, aber wer genau ist von der Dora betroffen? Sind das nur große Banken oder betrifft das auch andere Akteure, sage ich mal.

Olga
Nun, die Dora ist Recht weitreichend. Primär sind natürlich Banken, Versicherung, Zahlungsdienstleister, Wertpapierunternehmen betroffen. Das heißt, es geht nicht unbedingt so sehr um die Größe, sprich auch die kleine Regionalbank oder die Privatbank ist durchaus betroffen. Es gibt ein paar Milderungen in diesem Bereich, die jetzt zum Beispiel geringere Anforderungen an das Risikomanagement setzen, aber vom Grundsatz her ist der gesamte Finanzsektor damit angesprochen und, was besonders interessant ist im Gegensatz zu der Gesetzgebung, die wir bisher. So kannten ist, dass die IKT Dienstleister, sprich die Dienstleister, die vor allen Dingen für die IT zuständig sind, bei diesen Unternehmen auch mit einbezogen werden. Sprich damit wird gewährleistet, dass die gesamte Wertschöpfungskette im Finanzsektor sicher aufgestellt wird.

Leslie
Jetzt ist es ja nicht so, dass Digitalisierung erst gestern entstanden ist. Also IT, Sicherheit gibt es schon lange und auch Cybersicherheit, Cyber. Recht sind Themen, die schon lange besprochen werden, schon lange Thema sind. Was ist denn jetzt neu mit der Dora oder warum war die Reform jetzt noch mal so wichtig, was was, was hat diese Änderung gebracht, kannst du da mal ein Beispiel nennen oder ein bisschen konkreter werden?

Olga
Sehr gerne. Wir haben 2018 mit der DSGVO, einem Gesetz, was natürlich sehr, sehr viel Veränderung geschaffen hat in der Europäischen Union gesehen, dass der sogenannte risikobasierte Ansatz eingeführt ist. Das ist ein Möglichkeit für ein Unternehmen, die Risiken, die sich aus einzelnen Entscheidungen ableiten lassen, zu bewerten und sodann entsprechende Maßnahmen zu definieren, sprich. Es geht immer weiter Weg von einem Pflichtenkatalog. Man muss dies oder jenes, diese oder jene konkrete Maßnahme umsetzen. Zu ihr müsst die Risiken erkennen. Ihr müsst verstehen, wie diese Risiken sich möglicherweise im geschäftlichen Ablauf realisieren können. Was ist auch die Schwere von etwaigen Risiken, die sie realisieren, und was sind die adäquaten Maßnahmen, die das Unternehmen für sich definiert, um diese Risiken abzumildern? Das heißt, ein Unternehmen ist wesentlich freier darüber zu befinden, wo es Risiken sieht und beziehungsweise wie es auf diese adäquat reagiert, sodass wir von einem Pflichtenkatalog hinkommen zu einem dynamischeren System. Auf der anderen Seite aber hat man festgestellt, dass man gerade mit so einem Pflichtenkatalog schwerlich umgehen kann in einem Umfeld, was eben sich permanent technisch auch. Verändert und auch neue Angriffspraktiken beispielsweise sich etablieren, sodass es sehr viel sinnvoller ist, das ganze dynamisch auszugestalten. Den Banken Versicherungen die Möglichkeit zu geben, selbst für sich das Risikomanagement letztlich zu etablieren. Und sodann adäquat darauf zu reagieren. Ein flexiblerer Ansatz in Anbetracht der Bedrohungslage, wie sie jetzt haben, macht viel, viel mehr Sinn als ein statischer Ansatz an der Stelle, und das ist aus meiner Sicht eine der großen Veränderungen und die andere große Veränderung ist aus meiner Sicht, dass die IKT Dienstleister ganz konkret über die Wertschöpfungskette angesprochen werden, nämlich beispielsweise an dem Umstand. Dass die Bafin, das heißt der Deutsche Regulator, durchaus gegenüber einem kritischen IKT Dienstleister auch tätig werden kann, was ein Durchgriff letztlich darstellt, aber ein Durchgriff, der gerechtfertigt damit ist, dass eben die Stabilität des Finanzsektors möglicherweise gefährdet ist, wenn die Bafin eben hier nicht entsprechende Maßnahmen ergreift.

Max
Sehr, sehr spannend. Insbesondere der dynamische Ansatz finde ich mega spannend und gerne auch da noch mal weiter in die Tiefe gehend. Was heißt das denn konkret, also welche Handlungsbedarfe ergeben sich für Unternehmen und wer ist im Unternehmen dann tatsächlich auch verantwortlich dafür?

Olga
Ja. Ich denke, dass wir jetzt insgesamt in unserer gesamten europäischen Gesetzgebung, ob es jetzt Dora NIS, 2 DSGVO, Cyber Reserience Act und noch viele, viele andere Digitalgesetze, die wir gerade. Aus Brüssel quasi präsentiert bekommen auf diesen risikobasierten Ansatz setzen, das ist auf der einen Seite zwar sehr schön, weil dann kann man sagen, na ja, wir sind ein bisschen flexibler und dynamischer, auf der anderen Seite bedeutet das natürlich, dass ich nicht mich darauf verlassen kann, eine Checkliste abgearbeitet zu haben, sondern muss eben, und das ist auch das Ziel des Ganzen, ein entsprechendes Konzept, ein IKT Risikomanagement vorhalten, das heißt, ich muss. Regelmäßig meine Risiken mir anschauen, überlegen, ob es neue Risiken gibt, die hinzugekommen sind und wie ich diese sodann bewerte, welche Maßnahmen ich zur Abmilderung treffe und wie ich das Ganze letztendlich Manager, sprich das ist ein permanenter wiederkehrender Prozess, so wie wir es halt im Datenschutz sehen, so wie es in der Dora letztlich auch sein, das heißt. Wir müssen uns verabschieden von dem Gedanken, dass wir irgendwo eine Checkliste abgearbeitet haben und diese dann in der Schublade verschwinden lassen. Vielmehr geht es darum, dass wir immer uns das Unternehmen angucken und die Risiken und in einer permanenten Bewertungs und Handlungsphase uns bewegen, sodass. Dass ich natürlich das Ganze nur umsetzen kann in einem Unternehmen, wenn die Geschäftsführung dahinter steht und die IT Abteilung und vielleicht noch Informationssicherheit, der Datenschutz und die Abteilungen, die vielleicht auch mit dem Produkt zu tun haben, die Abteilungen, die möglicherweise auch die Kommunikation betreffen, sprich es sind viel, viel mehr Abteilungen angesprochen, weil letztendlich Risiken aus vielen verschiedenen Abteilungen kommen, nicht zu vergessen. Dann auch die Rechtsabteilung, denn die Dora möchte ja auch, was sie möchte. Dass diese ganzen Verpflichtungen in der Wertschöpfungskette durchgereicht werden, sodass die Dora mir ganz konkret auferlegt, welche Mindestinhalte in meinen Verträgen mit IKT Dienstleistern geregelt werden müssen, sprich auch die Rechtsabteilung muss hier mit Bedenken, dass Vertragsanpassung zum 17. Januar 2025, also dem Zeitpunkt, wo Dora verpflichtenden. Auftritt vorzunehmen sind.

Leslie
Jetzt hast du es offen angesprochen, dass da einige Abteilungen mit im im Boot sind, die gemeinsam daran arbeiten müssen, dass eben die ganzen Verpflichtungen umgesetzt werden, dass es nicht nur eine Checkliste ist, die dann irgendwann im Schreibtisch unterm Schreibtisch versinkt. Wie kann man denn das am besten Nachhalten, gibt es Sanktionen bei Verstößen oder wie wird es reguliert?

Olga
Das ist tatsächlich ein sehr spannender Punkt, denn per SE ist es in der Dora angelegt, dass man grundsätzlich Bußgelder verhängen kann, aber der Bußgeldrahmen im Gegensatz zum Beispiel zur DSGVO. Wenn man sich damals 2018 die Zeitung angeguckt hat, Kindergartenfotos werden geschwärzt, Klingelschilder abmontiert, man fürchtet DSGVO Bußgelder, so ist das zum Beispiel in der Dora gar nicht so sehr im Fokus, was viel mehr im Fokus ist, sind die sogenannten Zwangsgelder gegen Kriegetische EKT Dienstleister denn die bafin. Das heißt, der Regulator an der Stelle hat natürlich im Blick, dass gerade die kleinen Regionalbanken oder die Privatbanken meistens eine komplett ausgelagerte IT haben, ein ausgelagertes Kernbankensystem, sodass es gar nichts bringt, quasi an die Privatbank, an die Regionalbank ranzugehen. Es bringt viel, viel mehr an den Großen. Eben sogenannten kritischen IKT Dienstleister heranzutreten, der vielleicht eine Vielzahl dieser kleineren Banken betreut und diesen dann entsprechend zu zwingen über Zwangsgelder. Das ist ein Mittel, ein Ordnungsmittel, das, wenn jemand meiner Anweisung nicht folgt, ich gebe zum Beispiel auf, gewisse Sicherheitsstandards oder etwaiges zu implementieren. Jeden Tag ich ein Zwangsgeld verhängen kann, bis diese Person, das heißt zum Beispiel der KRITISCHE EKT Dienstleister, diese Anforderungen, die ich an ihn gesetzt habe, erfüllt, sprich da läuft sozusagen die Uhr, der Zins läuft und so lange, bis dieser kritische EKT Dienstleister die. Die Maßnahmen der Bafin nicht umsetzt, so lange werden Zwangsgelder gegen diesen EKT Dienstleister verhängt. Das heißt, daran sieht man, dass die Bußgelder und eine Sanktionierung in dem Sinne gar nicht so sehr im Fokus ist von der Europäischen Union, was im Fokus steht, ist, dass wir wirksame Methoden haben. Gerade eben auch gegen die KRITISCHEN EKT Dienstleister vorzugehen, sie zu zwingen, entsprechende Sicherheitsstandards zu etablieren, um wiederum dem Gedanken der Dora, nämlich der Stabilität des Finanzsektors, gerecht zu werden. Insofern. Fazit Es geht nicht darum, dass wir großartig sanktionieren. Es geht darum, dass wir stabil sind gegen Angriffe von innen und gegen Angriffe von außen und das entsprechend umsetzen. Und ich denke, dass das ein sehr, sehr wichtiger, häufig verkannter Mechanismus der Dora ist im Vergleich zum Beispiel zur DSGVO.

Leslie
Man versucht ja ganz oft bei Gesetzgebungen das Nachhalten zu regulieren, indem man eben Sanktionen und Verstöße verortet. Und irgendwo muss es ja auch passieren, dass man nicht nur irgendwie in einer gewissen Eigenverantwortung darauf achtet, sich gegenüber Cyberangriff zu schützen, sondern eben, wie du es auch schon gesagt hast. Dann eben sich dann selber dann die Ideen zu machen. Jetzt werden Gelder Bußgelder verhängt, bis eben die ja kritischen IKT Dienstleister alle Regulatorin Regulatorien in dem Sinne beachtet haben, dass sie entsprechend der Dora handeln können. Ich finde ehrlicherweise, dass sich das wie ein riesengroßes Mammutprojekt anhört, an dem alle Beteiligten eine gewisse Verantwortung haben. Und da es noch vieles gibt, worüber man sich noch Gedanken machen muss, Sprichwort eben die Sanktionen und Verstöße, aber eben auch die eigene Umsetzungspflicht, hast du zum Abschluss unseres Interviews noch einige praktische Tipps oder Beispiele, wie Unternehmen die Dora Anforderungen jetzt schon gut umsetzen können oder wie sie sich am besten darauf vorbereiten, weil ich gehe. Davon aus, da wird noch einiges auf uns zu kommen, oder?

Olga
Absolut. Und ich glaube, so wie ich es aus dem Markt gerade erkennen kann, dass vor allen Dingen die großen Banken und Versicherungen schon sehr tief in ihren Dora Projekten sind, aber sehr viele andere es noch gar nicht sind, vor allen Dingen nicht die Dienstleister. Zumindestens meine Beobachtung, wenn ich jetzt nicht von den kritischen IKT Dienstleistern, sondern von den in Anführungszeichen. Nicht kritischen normalen IKT Dienstleistern ausgehe. Ich denke, dass es wie immer sein wird bei einer neuen Verordnung, dass man natürlich wenig Praxisbeispiele hat, sodass ich immer empfehlen würde, auf die Handreichungen der bafin zu schauen. Die bafin macht da wirklich einen guten Job, man bietet verschiedene Webinare an, man hat verschiedene Präsentationen. Excel Sheets zu den Vertragsanforderungen et cetera. Das heißt, man kann sich immer gerne daran orientieren und von der praktischen Thematik her. Wenn ich jetzt eine vor allen Dingen kleinere Bank oder Versicherung wäre, würde ich erst mal gucken, was gilt für mich aus der Dora heraus und wie gehe ich das Ganze an, sprich dass ich mir einen Überblick darüber verschaffe, was sind meine ganz konkreten Verpflichtungen. Und ich mir so dann ansehe, was sind natürlich auch meine Risiken im Bezug auf die Operationelle Resilienz. Die meisten fangen ja nicht bei 0 an, man hat ja vorher schon ein entsprechendes Auslagerungsmanagement gehabt, man hat ja vorher schon seine Verträge mit den IT Dienstleistern gehabt, das heißt, ich denke, es ist einfach wichtig anzufangen, die Risiken im Unternehmen, in der Bank, in der Versicherung, wie auch immer zu sammeln. Und sich dann zu überlegen, welche mitigierenden Maßnahmen kann man dagegen ergreifen, dass man auch einen Prozess dafür etabliert, dass man diese Risiken regelmäßig sich anschaut, sie noch mal validiert, sie vielleicht auch anpasst, sich anschaut, ob die Maßnahmen, die vorab definiert worden sind zur Mitigierung überhaupt noch richtig und ausreichend adäquat sind. Und dass man halt diesen Prozess immer wieder und immer wieder durchläuft. Denn 1 ist aus meiner Sicht klar, so wie die Dora konzipiert ist mit dem Konzept. Zwangsgelder sind entscheidender, sozusagen als Bußgelder gegen die Banken und Versicherungen. Ist relativ eindeutig, dass es nicht darauf ankommen wird, alles in Perfektion zum Stichtag 17. Januar 2025 zu haben, sondern erst mal zu zeigen, dass man sich mit dem Thema beschäftigt hat und ein IKT Risikomanagement aufgesetzt hat. Wie das am Ende aussieht. Ist letztendlich egal, es muss nur funktionieren und man muss zumindestens in den ersten Monaten nach verbindlichem Inkrafttreten der Dora gezeigt haben, dass man sich redlich drum bemüht hat. Denn auch die bafin hat nur in Anführungszeichen eine Vorstellung, wie sie denkt, dass ein IKT Risikomanagement funktioniert, wie auch im Datenschutz ähnlich. Jeder hat seine eigene Methode gewiss haben sich über Jahre Best Practices und. Gebildet, aber eben über die Jahre. Und ich gehe davon aus, dass das auch bei der Dora der Fall sein wird. Insofern mein Tipp, einfach anfangen, sich der Anforderung bewusst werden, die Verträge anfangen anzupassen, die Risiken aufzulisten. Und dann zu sehen, wie sich das ganze Thema entwickelt. Definitiv nicht abzuwarten bis irgendwas herausgegeben wird und man aber selber noch gar nichts in der Sache gemacht hat.

Max
Ja, vielen dank, Olga. Insbesondere jetzt am Ende ist mir im Kopf geblieben, einfach anfangen, das kann man ja auch auf jegliche Lebensszenarien projizieren und ist super wertvoll. Vielen, vielen Dank für diesen wertvollen Einblick, ich habe sehr viel dazulernen können. Und für mich ist jetzt umso mehr klar, dass Dora keine Option ist, sondern quasi ein muss. Es ist eine Notwendigkeit und Unternehmen müssen handeln, um einfach auch zukunftsfähig zu bleiben.

Olga
Absolut. Dem kann ich nur beipflichten. Die Prüfungsdichte der bafin ist hoch, das heißt, man wird sich nicht verstecken können, entweder man ist klein, aber dann hat man meistens seine ganze IT beim kritischen IKT Dienstleister, der dann wiederum im Fokus steht, oder man ist eine Großbank und man ist sowieso im Fokus, das heißt Verstecken spielen wird über kurz oder lang nicht funktionieren und insofern kann ich nur sagen es ist ein großes Projekt. Aber jeden Weg wird nur derjenige schaffen, der ihn anfängt zu gehen.

Leslie
Wie du schon gesagt hast, da einfach machen und da ist unser Podcast, der ja jetzt passend kurz vorm Stichtag veröffentlicht wird, total gut. Sich in erster Linie darüber zu informieren und dann im zweiten Schritt noch mal tiefer zu gehen, in Beratungsangebote wahrzunehmen, sich einfach ein bisschen intensiver mit dem Thema Dora zu befassen und. Und damit auch von mir ein herzliches Dankeschön, liebe Olga, dass du da warst und uns Rede und Antwort gestanden hast. Zum Thema Dora und wenn ihr, liebe Zuhörerinnen und Zuhörer, jetzt das Gefühl habt, dass ihr euch ein bisschen intensiver mit dem Thema digitale Resilienz Dora beschäftigen solltet oder müsstet, dann schaut euch auch gerne die Seminare der TÜV Nord Akademie an. Dort lernt ihr alles zum Thema Dora und andere regulatorische Anforderungen, informiert euch da gerne über unsere Website und. Über unser aktuelles Seminarprogramm. Olga, Du hast ja auch sicher eine Dora Schulung, die du bei der TÜV Nord Akademie machst, oder?

Olga
Absolut.

Leslie
Die Links hierzu findet ihr in den Shownotes.

Max
Genau. Und wenn euch jetzt langsam der Kopf qualmt oder die Leitung brennt über die ganzen Cyber gefahren. Die so im Umlauf sind und über die wir auch heute gesprochen haben. Dann schaut auch gerne mal auf unseren Social Media Kanälen der TÜV Nord Akademie vorbei, auf linkedin, instagram und Facebook geben wir euch regelmäßig Einblicke von unserer Arbeit. Alle links zu unseren Kanälen findet ihr ebenfalls in den Shownotes.

Leslie
Und damit sind wir schon am Ende unserer Podcast Folge Olga noch mal vielen Dank, dass du da warst. Es war großartig, mit ihr über das Thema zu sprechen und man merkt eben, es ist n wichtiges Thema jetzt und ich glaube, es wird doch ein viel wichtigeres Thema in Zukunft sein, gerade in Hinblick. Blick auf ja, die Entwicklung mit KI Digitalisierung ist eigentlich sowieso kein Thema mehr. Wie schon eingangs gesagt, zu jedem Produkt, zu jeder Dienstleistung gibt es ja eine digitale Begleitung dazu, von daher extrem wichtig das Thema und da freue ich mich was auf die was in Zukunft noch auf uns ja zukommt.

Max
Und euch, liebe Zuhörerinnen und Zuhörer, danke fürs Einschalten und nicht vergessen, ob im Netz oder mit euren Finanzen, bleibt sicher.

Sprecher
Das war wissen kompakt, der Podcast für berufliche Weiterbildung der TÜV Nordakademie.

Vertraulich und geschützt digital kommunizieren

Podcast – Stärkzeugkasten Folge 5, Kontakt- und Informationsstelle für Selbsthilfegruppen (KIS)

Andrea
Stärkzeugkasten der Podcast mit Impulsen für die Selbsthilfe. Selbsthilfe macht stark. Wir stärken die Selbsthilfe. Der Stärkzeugkasten entsteht mit freundlicher Unterstützung der AOK, die Gesundheitskasse herzlich willkommen zu einer neuen Ausgabe vom Stärkzeugkasten, dem Podcast mit Impulsen für die Selbsthilfe. Mein Name ist Andrea These, Ich bin Mitarbeiterin der Selbsthilfe Kontaktstelle Kiss in Pforzheim und auch heute möchten wir wieder typische? Rund um das Engagement in Selbsthilfegruppen ausräumen. Im Fokus dieser Episode Datenschutz und Vertraulichkeit. Was in der Gruppe gesagt wird, bleibt in der Gruppe. Diese Vereinbarung zur gegenseitigen Verschwiegenheit ist ein zentrales Wesensmerkmal von Selbsthilfegruppen überhaupt und die Voraussetzung, damit sich die Teilnehmer untereinander vertrauensvoll öffnen und austauschen können im realen Leben, wenn die Gruppe sich persönlich vor Ort trifft, dann haben die einzelnen Teilnehmer noch ganz gut selbst in der Hand, was und wieviel sie von sich preisgeben. Ob sie sich mit dem Vornamen vorstellen oder mit dem gesamten Namen, was sie von sich erzählen und ob sie eine Gruppe in ihrem Wohnort besuchen oder vielleicht doch lieber etwas weiter weg, wo sie keiner kennt und vielleicht nicht dort zufällig entdecken kann, im digitalen Raum aber sieht die Sache schon etwas anders aus, wenn sich Selbsthilfegruppen nicht nur persönlich treffen, sondern auch per E Mail, Videokonferenzen oder whatsapp Chats kommunizieren. Dann hinterlässt das auch digitale Spuren persönlicher oder personenbezogener Daten. Und diese können manchmal auch für Dritte einsehbar sein und mitunter entstehen diese Spuren auch, ohne dass das dem Einzelnen vielleicht bewusst ist. Wir möchten daher heute der Frage nachgehen, wie Selbsthilfegruppen auch im digitalen Raum vertraulich und geschützt miteinander kommunizieren können und welche rechtlichen Rahmenbedingungen es dafür gibt. Und auch heute darf ich dazu wieder einen fachkundigen Interviewpartner beziehungsweise eine Gesprächspartnerin begrüßen, nämlich Frau Olgas Stepanova, ihres Zeichens Rechtsanwältin, Fachanwältin für It Recht, Fachanwältin für gewerblichen Rechtsschutz und in der Kanzlei Winheller zuständig für die Bereiche It, Recht, Schutz des geistigen Eigentums und Datenschutz. Ich sage Guten Morgen und herzlich willkommen beim stärkster Kasten, liebe Frau Stepanova.

Olga
Herzlichen Dank für die sehr nette Begrüßung Frau These. Ich freue mich sehr, heute hier dabei zu sein und allen Zuhörenden, Selbsthilfegruppen und Selbsthilfegruppen, Teilnehmerinnen und Teilnehmern wertvolle Informationen zum Datenschutz mitteilen zu können. Auch ein bisschen Tipps und Tricks rund um den Datenschutz, wo man beispielsweise wertvolle Informationen findet im Internet, die dann auch wirklich aus einer vertrauenswürdigen Quelle, beispielsweise den Landesdatenschutzaufsichtsbehörden stammt und. Und insbesondere einfach das Thema Datenschutz in einem positiven Kontext zu beleuchten, daneben aber auch die Sorgen und die Befürchtungen rund um die Bußgelder beispielsweise, die ja immer wieder kursieren in den ja, in den Nachrichten letztendlich zu nehmen, denn das Thema ist sehr wichtig. Nichtsdestotrotz sollte es uns aber nicht daran hindern, unserer Tätigkeit nachzugehen und für eine Selbsthilfegruppe beispielsweise auch den entsprechenden Raum für den Austausch, ob jetzt digital oder analog, zu schaffen.

Andrea
Wunderbar. Dann lassen Sie uns doch gerne loslegen, wenn man ganz grundsätzlich betrachtet, warum ist denn Datenschutz und Vertraulichkeit rechtlich gesehen überhaupt relevant für die Selbsthilfe?

Olga
Na gut, zum einen ist es ja so, dass die Selbsthilfegruppen an sich, wenn sie sich treffen, keinen rechtsfreien Raum darstellen. Das heißt, die DSGVO, das Bundesdatenschutzgesetz, die Landesdatenschutzgesetze et cetera sind ganz normal. Wie für jedes Unternehmen, wie für jeden Verein, wie für jede Organisation anwendbar, so dass man jetzt nicht sagen kann, nur weil mal eine Selbsthilfegruppe ist, würden diese Regelungen nicht Anwendung finden. Das andere ist natürlich wieder von der Perspektive des Betroffenen, der betroffenen Personen gedacht, weshalb sie auch die Anwendung finden. Die datenschutzrechtlichen Regeln, auch diese Personen benötigt im Kontext einer Selbsthilfegruppe den entsprechenden Schutz aus diesen beiden Gründen kommt man eben zu der Erkenntnis, ist auf jeden Fall die Regelung Anwendung finden und eben von der Selbsthilfegruppenleiterin vom Selbsthilfegruppenleiter auch entsprechend umzusetzen wären.

Andrea
Das heißt, eben, wenn eine Selbsthilfegruppe jetzt für sich entscheidet, wir machen noch einen whatsapp Chat auf, dann ist es in dem Sinne nicht eine private Veranstaltung, sondern fällt eben auch unter die Regelung der DSGVO. Richtig?

Olga
Genau also vom Grundsatz her wäre das so. Es gibt natürlich die sogenannte Haushaltsausnahme, beispielsweise wenn ich jetzt ein mit meinen Nachbarn ein. Whatsapp Chat habe und dann Fotos von uns reinstellen ist das eine Sache. Wenn es aber eine Selbsthilfegruppe macht, dann ist es durchaus anders zu bewerten, denn das hat halt eben diesen außer privaten Kontext, um es mal sozusagen, das heißt, es gibt diese Gruppe, man trifft sich zusammen um gewisse Problematiken oder Themen gemeinsam zu besprechen, es hat aber nicht nur einen rein privaten Charakter und insofern sind auf jeden Fall die Regelung der DSGVO anzuwenden, jetzt also beispielsweise bei dem whatsapp Chat, den sich die selbst. Aushilfegruppe dann die eigenen Besprechungen von etwaigen Themen oder Planung, Organisation, was man nebenbei whatsapp macht erstellt.

Andrea
Was sind denn konkrete Inhalte der DSGVO? Welche Vorgaben macht sie im Hinblick auf den Datenschutz?

Olga
Da sind einige zu nennen, denke ich. Im Wesentlichen ist es so, dass es bestimmte Grundsätze der Datenverarbeitung gibt. Die sind allesamt in Artikel 5 der DSGVO geregelt. Besonders prominent kann man glaube ich sagen, ist der Grundsatz der Datenminimierung, das heißt, darf nur so viele Daten erheben, wie ich sie auch wirklich benötige, um dem jeweiligen Verarbeitungszweck nachzukommen. Als Beispiel wäre hier ein Newsletter Anmeldung heranzuziehen, für diese brauche ich an sich nur die E Mail Adresse der Person die den Newsletter beziehen möchte, ich brauche aber nicht unbedingt Name, Geburtsdatum, Anschrift. Würde ich das Pflichtmäßig oder als Pflichtangabe erheben, würde ich einfach gegen diesen Grundsatz verstoßen. Da gibt es natürlich Möglichkeiten, aber das ist jetzt mal so als Beispiel, um sich vorzustellen, was das eigentlich bedeutet. Es gibt den sogenannten Grundsatz der Speicherbegrenzung. Auch ein sehr prominenter Grundsatz. Der bedeutet letztlich nichts anderes, als dass ich auf jeden Fall personenbezogene Daten nicht unendlich speichern und damit verarbeiten darf, das heißt, irgendwann ist ein Ende, irgendwann ist Schluss, irgendwann ist der Verarbeitungszweck erreicht und dann muss ich auch die Daten löschen. Das sind denke ich, die 2 wesentlichsten Grundsätze. Da gibt es noch ein paar mehr, aber das sind jedenfalls die, die am häufigsten zu Fragen führen. In 1 muss man sich vergegenwärtigen an der ganzen Geschichte, wenn man sich die DSGVO und den Datenschutz an sich vor Augen führt, dann bedeutet das eigentlich nur, ich habe ein Verarbeitungsverbot, darf keine personenbezogenen Daten verarbeiten, außer ich habe dafür eine Rechtsgrundlage und verfolge damit einen bestimmten Zweck. Was letztlich also klarstellt, dass wir hier ein Regelausnahmeverhältnis haben. Die Verarbeitung personenbezogener Daten ist an sich nicht zulässig, außer sie ist eben erlaubt, dann muss man sich immer wieder vergegenwärtigen, dass ich mir bei jedem Datum, welches ich verarbeite oder gedenke zu verarbeiten, eben die Frage Stelle, benötige ich das, ist das überhaupt erforderlich für den Zweck, für den ich diese Daten erhebe? Wenn man sich das aus der Perspektive anschaut, dann kommt man ganz oft eben zu der Erkenntnis, dass man sehr viele Daten einfach gar nicht benötigt, die man erheben wollen würde, sondern man kann die meisten Zwecke schon mit weitaus weniger personenbezogenen Daten genauso gut erfüllen.

Andrea
OK, also die Aspekte Zweckbindung und Speicherbegrenzung habe ich jetzt mal so mitgenommen als Stichworte Zweckbindung haben sie ja schon das Beispiel genannt, dass ich eben, wenn ich jetzt die e Mail Adresse mir geben lasse und sage, das ist jetzt die e Mail, über die ich einen Newsletter verschicke, dann darf ich diese E Mail Adresse eben nicht benutzen, um eine Veranstaltung zu bewerben oder einfach ungefragt weitere Infos an diese Adresse zu schicken. Zum Aspekt Speicherbegrenzung wenn ich jetzt an konkrete Beispiele oder Anwendungsbeispiele im Kontext der Selbsthilfe denke, dann fallen mir da eben auch Fälle ein, wenn Mitglieder aus der Gruppe ausscheiden oder sich vielleicht Interessenten für eine Gruppe melden und dann aber doch nicht zur Gruppe dazustoßen oder frühzeitig irgendwie sich dann doch irgendwie dagegen entscheiden. Einfach, dass man auf dem Schirm hat, diesen e mail Verkehr, diese Kontaktdaten, was da alles mit zusammenhängt, dann auch zu löschen, wenn eben der. Zweck nicht mehr gegeben ist oder die Notwendigkeit, diese Daten zu speichern.

Olga
Genau da gibt es halt natürlich noch ein paar weitere Grundsätze. Vielleicht ein wesentlicher Grundsatz, jetzt auch im Kontext dieses Podcasts. Heute ist natürlich Grundsatz der Integrität und Vertraulichkeit, das heißt, wenn ich als verantwortliche Stelle Daten verarbeite, muss ich auch tunlichst dafür Sorge tragen, dass diese Datenverarbeitung auch sicher abläuft, das heißt, ich, die personenbezogene. An Daten, die ich verarbeite, keinem Risiko aussetze. Dadurch, dass ich mich nicht um ausreichend sichere, beispielsweise technisch organisatorische Maßnahmen gekümmert habe. Als Beispiel wäre hier zum Beispiel zu nennen ein kuvertierter Brief und eine Postkarte, beides erreicht ihren Zweck erreicht, nämlich den Empfänger, und da stehen irgendwelche Informationen drin, die für den Empfänger wichtig sind. Nur bei dem Kuvertierten Brief kann man zumindest sagen, dass n Großteil hoffentlich alle Personen, die diesen Brief in der Hand hatten, diesen den Inhalt der. Da drin ist nicht gesehen haben. Bei einer Postkarte ist es ganz anders, den Inhalt wird zumindestens der Postamtsmitarbeiter, die Person, die die Post austrägt, vielleicht die, die die Post sortiert noch sehen, da haben wir eben die Thematik, beides erfüllt denselben Zweck, beides ist an sich gleich gut, aber eben nicht gleich sicher und ich denke das ist insbesondere auch im Kontext von Selbsthilfegruppen, die ja durchaus besondere Kategorien, personenbezogene Daten, das heißt. Heißt, sensible Daten verarbeiten. Sehr wichtig ist eben auch, auf die Sicherheit der Datenverarbeitung an dieser Stelle zu achten.

Andrea
Jetzt sind ja Selbsthilfegruppen in aller Regel eben getragen von privaten, ehrenamtlich engagierten und der eine oder andere hat vielleicht aus dem beruflichen Kontext oder hat vielleicht eine gewisse Affinität zur IT und kennt sich irgendwie ganz gut aus in Sachen Verschlüsselung oder Virenscanner. Alle möglichen Sicherheitsvorkehrungen was sind denn so Standard, Sicherheitsvorkehrungen oder die DSGVO nennt sie ja auch technisch organisatorische Maßnahmen, also was kann jetzt von einem Selbsthilfegruppensprecher sage ich mal erwartet werden an Maßnahmen, damit diesen Anforderungen dann auch Genüge getan ist. Also wieviel technischer Sachverstand, Sachkenntnis wird dort auch erwartet im Vergleich jetzt zum Beispiel zu unternehmen.

Olga
Ja, das ist eine sehr gute Frage, denn an sich würde die DSGVO nicht danach gehen, ob es jetzt hier eine ehrenamtlich betriebene Selbstgruppe ist oder aber ein Unternehmen, sondern sie würde immer vom Schutz des Betroffenen ausgehen, sprich hier schauen, mit welchen Risiken für die Rechte und Freiheiten des Betroffenen ist die konkrete Datenverarbeitung verbunden, unabhängig davon, wer diese Verarbeitung ausführt. Das heißt, eine DSGVO wird immer von einem angemessenen Schutzniveau gesprochen. Wichtig ist, denke ich, an dieser Stelle zu betonen, dass nicht alle Sicherheitsmaßnahmen mit einer hohen Budgetierung und einer hohen Ausgabe stehen. Ganz im Gegenteil kann man sagen, dass die allermeisten Datensicherheitsverletzungen klar gesagt, Integrität und Vertraulichkeit durch Unachtsamkeit passieren. Also der Klassiker, Ich habe zuletzt noch mir den Bericht Landesdatenschutzaufsicht NRW angeschaut und auch wie in vielen anderen Bundesländern sind die meisten Datenschutzverletzungen mit einem Fehlleiten von e Mails verbunden. Also der Klassiker, wenn ich mit einem offenen Verteiler statt mit einem geschlossenen Verteiler, sprich BCC, kommuniziere und das natürlich Maßnahmen, die Kosten an sich kein Geld, die Kosten nämlich genau 0€ sind aber hoch effektiv um eben sämtliche Personen, an die ich diese E Mail gebündelt adressiere zu schützen, das heißt? Man müsste 8 darauf geben, wenn man digital kommuniziert, was ja jetzt aufgrund von Corona und virtuellen Selbsthilfegruppen der Fall ist. Zumindestens die E Mail Adressen nicht offen kommuniziert, sodass sich alle Teilnehmerinnen und Teilnehmer der Selbsthilfegruppe gegenseitig sehen können. Das ist, denke ich, ein wichtiger Teil der ganzen Sache. Ein weiterer Teil ist natürlich Frage, falls es denn noch mal einen Lockdown geben sollte, was ja aktuell jedenfalls unklar ist. Wie möchte man mit der Thematik umgehen, dass sich die Selbsthilfegruppen möglicherweise nicht mehr persönlich treffen können? Viele Selbsthilfegruppen sind ja seit den letzten Maßnahmen in diesem Bereich sowieso umgestiegen auf die virtuelle Treffen. Und da ist das Thema Videokonferenz Tools natürlich sehr prominent und präsent. Das heißt die richtige Auswahl, wenn man so sagen kann, wie man eben virtuell miteinander kommunizieren möchte, whatsapp, wie gerade schon angesprochen, ist bestimmt nicht die beste Möglichkeit, auf der anderen Seite ist es natürlich so, dass man sich anschauen muss, wieviel darf die DSGVO mich regulieren. Und auf wieviel darf ich auch als Mensch an Schutz verzichten, um es jetzt mal sozusagen und letztlich meiner freien Entscheidung einer whatsapp Gruppe beizutreten, dann auch diese eben durchführen. Das ist so n bisschen immer die Frage im Datenschutz, das ist aber schon fast eine philosophische Fragestellung und ich denke jetzt an dieser Stelle fehl am Platz. Wichtig ist vielleicht zu sagen, welche konkreten Maßnahmen eine Selbsthilfegruppe treffen kann, um sich zumindest in mehr Sicherheit zu wähnen oder eben auch das wichtige Wissen aufzubauen, um zu wissen, wie sie die Entscheidung im Hinblick auf gewisse Kommunikationsmittel trifft.

Andrea
Genau. Also das ist auch, finde ich, der wichtige Punkt, dass man eben als. Selbsthilfe engagierter oder generell als Person einfach in der Lage ist, eine informierte Entscheidung zu treffen. Also einfach mit, welche Risiken sind mit bestimmten Tools mit bestimmten Kommunikationsformen verbunden und dann kann ich ja immer noch mich dagegen entscheiden, die die sicherere Variante zu wählen, weil ein anderes Tool vielleicht für mich bequemer ist. Aber dann habe ich es entsprechend informiert, die Entscheidung getroffen, aus einem aus einer bewussten Haltung und aus einem Wissen heraus und nicht aus einer. Unwissenheit also. Da geht es darum, geht es an der Stelle einfach da, ja, weil doch vieles manchmal einfach unübersichtlich ist und nicht immer klar ist, welches Tool macht jetzt vielleicht im Hintergrund, war es noch mit meiner E Mail Adresse, wo wird das gespeichert, wo werden IP Adressen irgendwie verarbeitet und so weiter und da einfach je mehr ich darüber weiß umso souveräner kann ich ja dann auch selbst eben mit meinen eigenen Daten umgehen.

Olga
Ja, da sprechen Sie einen sehr wichtigen Punkt an. Der für sehr wenig Freude unter den Datenschützern und Unternehmen und auch Organisationen geführt hat. Als nämlich die DSGVO in Kraft getreten ist. Am 25. Mai 2018, denn das war der Startpunkt für die sogenannten Informationspflichten, so in der Form. Gab es das nicht mit der alten Rechtslage, das heißt mit dem alten Bundesdatenschutzgesetz, aber eben ab Inkrafttreten der DSGVO? Das heißt, man muss über sehr viele Aspekte der Datenverarbeitung informieren, das ist bestimmt auch jedem Zuhörer, jeder Zuhörerin bekannt, dass man hier und da eben diese Hinweise zum Datenschutz bekommt, dass man immer informiert wird, die Datenschutzerklärung online, aber eben auch postalisch, beispielsweise von der Bank oder vom Telekommunikationsanruf. Anbieter und in diesen Datenschutz hinweisen sind ziemlich viele Informationen offenzulegen, beispielsweise eben auch, auf welchen Rechtsgrundlagen die Datenverarbeitung gestützt wird, welche Zwecke sie verfolgt wird. Die verantwortliche Stelle ist, welche Rechte man als Betroffene hat und vieles weitere, und das ist auch so ein Punkt, an dem Ich, glaube ich, viele. Unternehmen sogar scheitern, weil man eben gar nicht genau weiß, wo muss man denn überhaupt noch alles nachinformieren oder insgesamt informieren. Und das ist natürlich ein wichtiger Aspekt und auch eine große Aufgabe, die hier die Selbsthilfegruppen trifft. Insofern ist es ganz gut, bevor man sich selbst ans Werk setzt, sich vielleicht die Webseiten der einschlägigen Datenschutzaufsichtsbehörden anzuschauen, beispielsweise die Bayerische Aufsichtsbehörde ist sehr gut. Gute und großer Vorreiter was Formulare anbetrifft, aber auch weitere Webseiten, zum Beispiel von der Seco Bayern. Die liefern relativ viele Formulare und Erklärungshilfen, falls man sich unsicher ist. Bei einem bestimmten Thema, die man eben anwenden kann, um die Datenschutz Compliance, wie es neuerdings so schön heißt, eben sicherzustellen. Wichtig ist an der Stelle einfach. Der Umstand, dass man nicht sagen kann, ich bin eine Selbsthilfegruppe und da findet eben die DSGVO keine Anwendung, das ist definitiv nicht der Fall, solange eben personenbezogene Daten verarbeitet werden, wenn wir natürlich, weil die Schöne vor Corona Zeit uns Gedanken machen würden, wie es damals war, und man vielleicht beispielsweise komplett anonym einer Selbsthilfegruppe in Personen beiwohnen konnte, dann werden da natürlich keine personenbezogenen Daten in der Art verarbeitet, als dass die DSGVO Anwendung finden würde, weil. Einer elektronischen Datenverarbeitung ist diese aber nun mal leider der Fall. Man müsste schauen, welche Daten überhaupt verarbeitet werden und wie viele Daten man auch als Selbsthilfegruppenleiterin, als Selbsthilfegruppenleiter überhaupt annehmen möchte, sage ich jetzt mal, um eben die etwaige Haftung, die aus der DSGVO für Verstöße folgen könnte, von Anfang an zu minimieren. Vielleicht auch noch zum Thema der Haftung. Kann ich, wo wir schon dazu sprechen, ein bisschen den Wind aus den Segeln nehmen. Also ich vertrete auch eine größere Selbsthilfekontaktstelle aus dem Gebiet Rhein Main und kann sagen, dass bisher das Thema Selbsthilfegruppen, auf dem stehende Aufsichtsbehörden überhaupt nicht präsent ist, außer mit etwaigen Hilfsangeboten, Vorlagen, Formularen. Das heißt, Sie müssen da an sich nicht befürchten, dass sie, wenn sie jetzt zuhören, als Selbsthilfegruppe groß im Radar der Aufsichtsbehörden stehende DSG Foros für ganz andere Unternehmen geschrieben worden, für die großen Konzerne beispielsweise, eben auch aus den USA, und gerade nicht für sie. Nichtsdestotrotz ist das Thema Datenschutz, obschon jetzt vielleicht nicht unbedingt Bußgelder drohen, sehr wichtig, nicht nur für sie selbst, aber insbesondere auch für die Teilnehmerinnen und Teilnehmer. Teilnehmer, denn die müssen sich ja sicher fühlen, die müssen ja wissen, dass mit ihren personenbezogenen Daten vertrauensvoll umgegangen wird, denn nur so kann ja auch die Selbsthilfegruppe an sich ihren Zweck erreichen, wenn die Menschen offen und ohne Angst und Sorge vor etwaiger Vertraulichkeitsverletzung, vor etwaiger Stigmatisierung auch auftreten können. Im Rahmen von Selbsthilfegruppentreffen.

Andrea
Eine. Aussage, die man immer mal wieder trifft. Zu dem Thema ist so, dass Selbsthilfegruppensprecher berichten, wenn sie das Thema irgendwie ansprechen, dass dann die anderen Mitglieder sagen, naja, wenn ich nicht damit einverstanden wäre, dass du die E Mail Adresse hast, dann würde ich sie dir ja nicht geben. Reicht das denn aus?

Olga
Im Wesentlichen kann man das schon bejahen, denn natürlich ist es so, dass die DSGV auch keinen Selbstzweck erfüllt. In dem Sinne, sondern sie möchte durchaus die betroffene Person schützen, die betroffene Person also, von der ich gerade auch mehrmals gesprochen habe, ist im übrigen diejenigen diejenige, dessen personenbezogene Daten verarbeitet werden, das heißt, man möchte dieser Person eben den Schutz gewähren, man möchte verhindern, dass etwaige Einwilligung beispielsweise uneindeutig, unfreiwillig unklar erhoben oder eingeholt werden. Jetzt im konkreten Fall, wenn die Person von sich aus die Daten preisgibt, von sich aus eine E Mail schreibt, von sich aus etwas erzählt oder von sich aus ein Schriftstück mit diesen personenbezogenen Daten übermittelt, dann dürfte er klar sein, dass in dieser Handlung auch eine gewisse Ausdrücklichkeit steht oder zu sehen ist, die letztlich bedeutet, dass die Person damit durchaus einverstanden ist, dass diese personenbezogenen Daten nach außen gelangen. Diese Information und eben entsprechend verarbeitet werden. Man muss nicht notwendigerweise zu allem eine schriftliche Einwilligung haben. Das sieht die DSGV im Übrigen nicht vor. Das einzige, was sie vorsieht, ist eben, dass bei besonderen Kategorien personenbezogenen Daten, also den sogenannten sensiblen Daten, beispielsweise Daten zum Gesundheitszustand, Daten zu politischer oder auch weltanschaulicher Einstellung, Daten zum Sexualleben, Daten zur sexuellen Orientierung. Et cetera. Das sind eben diese sensiblen Daten, und wenn diese verarbeitet werden, dann brauche ich eine ausdrückliche Einwilligung und ich denke in dem Moment, wenn ich mich an eine E Mail setze und etwas schreibe und das dann an die Selbsthilfegruppe Abschicke, dann kann er wo, worin soll denn noch mehr ausdrücklichkeit bestehen als in diesem Moment?

Andrea
Dann würde ich anknüpfend an ihre Ausführung vielleicht gerne 2 Aspekte noch mal herausgreifen. Die. Denke ich praktisch noch mal ganz bedeutsam sind für Selbsthilfegruppen, und zwar einmal das Thema ja, welche Tools kann ich als Selbsthilfegruppe sinnvollerweise nutzen, gibt es da vielleicht Empfehlungen oder Tools, von denen man eher abraten würde mit im Hinblick auf Datenschutz und Vertraulichkeit, was jetzt Messenger, Dienste und Videokonferenzen angeht und. Danach vielleicht noch mal das Thema anschauen als Selbsthilfegruppensprecher, um welche Formulare Dokumente sollte ich mich da sinnvollerweise kümmern und auf welche Vorlagen kann ich da zurückgreifen? Genau, vielleicht können wir da noch mal anknüpfen.

Olga
Vom Grundsatz her kann man jetzt nicht sagen, welches Tool gut oder schlecht ist. Es kommt natürlich immer auf den Zweck des Einsatzes an. Das heißt, um mir jetzt das Beispiel zu geben mit meinen Nachbarn kann ich bestimmt durchaus über whatsapp kommunizieren, für eine Selbsthilfegruppe würde ich eine andere Empfehlung abgeben, ich denke, es gibt Tools, die sind gut in dem Sinne, dass sie auf jeden Fall gut handhabbar sind, das heißt, eine angenehme Benutzeroberfläche haben und intuitiv bedienbar sind. Auf der anderen Seite muss man aber natürlich auch schauen, welche Datenschutz rechtlichen Implikationen das hat. Das heißt, welche Vertraulichkeitsaspekte dieses Tool berücksichtigt. Es gibt Tools, die Nutzen die Daten, die sie erhalten, über diesen. Chat beispielsweise auch zu anderen Zwecken als ausschließlich zur Durchführung der Kommunikation. Das heißt auch beispielsweise zu Werbezwecken oder sonstigen Auswertung zu diesem Nutzer. Und das wäre insbesondere im Kontext einer Selbsthilfegruppe sehr schädlich. Deswegen kann ich Ihnen einfach. Erstmal solche Tools nennen, die ich insgesamt selber für empfehlenswerte Achte für die Kommunikation über Messenger Dienste würde ich Signal oder Threema ganz so gut finden, wenn man sich überlegt, was die Auswahl denn ist. Das muss man ja auch immer berücksichtigen, dass ich bestimmt an dem einen oder anderen Tool was auszusetzen habe, aber ich sollte zumindestens das beste Tool wählen, was mir aktuell am Markt zur Verfügung steht bei. Whatsapp, glaube ich, ist die Aussage relativ klar, dass das jedenfalls nicht für eine Selbsthilfegruppe gut wäre, das zu nutzen. Allein der Umstand, dass eine Selbsthilfegruppe beispielsweise einen bestimmten Bezeichnung hat, ich weiß nicht, die Anonymen Alkoholiker, um es als Beispiel zu nennen und zu wissen, dass eine Person Nutzer dieser Gruppe ist, bedeutet ja schon, dass mit einer sehr hohen Wahrscheinlichkeit feststeht, dass diese Person auch ein entsprechendes. Das Alkoholproblem hat oder hatte so, wenn whatsapp diese Information beispielsweise erhalten würde, könnte man sich vorstellen, was alles mit dieser Information passieren kann. Zumindestens kann man sich sicher sein, dass sie auch für andere Zwecke verarbeitet wird, deswegen ist es glaube ich schon auch in der Verantwortlichkeit des Selbsthilfegruppenleiters der Selbsthilfegruppenleiterin auch ein entsprechendes Tool auszuwählen. Es ist natürlich immer schwer die pflichtende Idee zu. Des GVO einem auferlegt, auf eine Person abzuwälzen oder zumindestens zu transferieren, die vielleicht eine Selbsthilfegruppe auch rein nebenberuflich beziehungsweise ehrenamtlich betreibt und dasselbe von ihr einzufordern wie von einem Unternehmen. Aber genau deswegen gibt es auch ein bisschen Informationen im Internet von den sogenannten vertrauenswürdigen Quellen, das heißt den Landesdatenschutzaufsichtsbehörden. Und man kann sich daran eigentlich ganz gut orientieren, was zumindestens das bessere Tool unter all den Tools ist. Und daher würde ich auf jeden Fall sagen, dass es nicht verantwortungsbewusst wäre, eine whatsapp Gruppe für eine bestimmte Selbsthilfegruppe einzurichten, sondern man sollte sich schon schauen, ob es da andere Wege gibt. Man könnte auch darüber nachdenken, ob es sinnvoll ist. Einfach nur noch über E Mail zu kommunizieren mit kleinen Informationen, ohne dass man jetzt also mit kleinen Informationen, meine ich jetzt mit seltenen Informationen, um es besser zu sagen, das heißt, man würde zum Beispiel ein Selbsthilfegruppentreffen ankündigen, aber keinen aktiven Austausch dann über das E Mail Tool pflegen, weil das auch ein bisschen und Hand nicht handlich ist. Aber. Aber zumindestens dann auf eine andere Ebene es verlagern, nämlich in ein sicheres Kommunikationstool, in ein sicheres Videokonferenztool oder eben in ein persönliches Treffen. Das heißt, der Fantasie sind ja eigentlich an der Stelle keine Grenzen gesetzt, es geht eher um die Frage, muss ich über eine Messengergruppe kommunizieren, ja oder nein, und wenn ich zu der Kenntnis komme, ja, das ist sinnvoll, insbesondere auch für meine Gruppe, dann sollte man zumindestens schauen, dass man das auf andere Messenger Dienste sowie. Wie Signal beispielsweise auch da einrichtet, was auch nicht gut wäre, ist denke ich Facebook Messenger. Ich glaube da sollten jetzt auch keine größeren Rückfragen bestehen, warum das der Fall ist und vielleicht sonstige Social Media Kanäle, weil man einfach von allen weiß, dass diese auch die Daten verarbeiten für eigene Zwecke, das heißt insbesondere eben für Analyse und Werbezwecke und dann kann man sich eben die Frage stellen, ob man das als Selbsthilfegruppe möchte. Das wäre zumindestens mal zu den gängigen Kommunikations Apps gesagt. Man hat natürlich die Möglichkeit oder man hat nicht nur die Möglichkeit um besser zu sagen, weil man sollte vielleicht auch in Zeiten eines wirklich strikten Lockdowns. Oder auch danach, wenn man möchte. Auch kann man ja virtuelle Selbsthilfegruppen auch durchführen durch entsprechende Videokonferenz Tools, dann gibt es ja mittlerweile einige um jetzt Zoom, Microsoft Teams webbags Google Meet hatte ich dann noch zuletzt go to meeting idu de big Blue Button GC um jetzt einfach nur ein Paar zu nennen, da gibt es ja auch eine große Auswahl und ich glaube es ist gar nicht einfach als jemand der selbst. Der Datenschützer ist sich ein Bild zu machen, teilweise was die Tools alles können und was sie alles verarbeiten, geschweige denn als jemand, der möglicherweise gar nicht fachkundig in diesem Bereich ist. Ich denke man kann wie auf wesentliche Aspekte das ganze herunterbrechen. Das heißt, dass eine große Thema, Vielleicht hat der eine oder andere, ist ja auch mitbekommen im Kontext der datenschutzrechtlichen Aufbereitung der Unterlagen für die Gruppe. Ist das Thema Drittstaat Transfer, das heißt die Transferierung von personenbezogenen Daten außerhalb der Europäischen Union, ganz klassisch eben in die USA, wo sehr viele Server eben der entsprechenden Videokonferenz Tool Anbieter stehen? Das ist ein Punkt und ein anderer Punkt ist natürlich auch, wie sicher ist die Kommunikation, wie sicher bin ich eigentlich in diesem Videokonferenz Raum. Ist es klar, dass meine personenbezogenen Daten ausschließlich in diesem Raum verbleiben und keine Aufzeichnungen oder sonstigen Verarbeitung stattfinden und vielleicht noch als dritter Aspekt ist natürlich die die Handlichkeit dieses Tools zu benennen, denn man möchte ja nicht nur ein Tool haben, was besonders sicher ist, sondern eben auch 1, mit dem ich gut klar komme in der Bedienung. Und je nach Selbsthilfegruppe, da gibt es ja sehr, sehr unterschiedliche Gruppen, kann das durchaus auch eine Rolle spielen. Und an der Stelle kann man, glaube ich, sagen, dass die meisten Tools mittlerweile festgestellt haben, also die meisten US amerikanischen Tools, weil die meisten kommen nun mal aus den USA, dass wir hier in Europa gewisse Datenschutzvorgaben haben, gewisse Regelungen und bieten es beispielsweise an. Dass man nur noch auf europäischen Servern die Datenverarbeitung stattfinden lässt und sie gar nicht in die USA transferiert. Dass man eine End to End Verschlüsselung hat, das heißt, dass die Daten unterwegs nicht einsehbar sind, sprich unterwegs vom Benutzer zum Server und zurück, dass man gewisse, Ja datenschutzrechtliche Features hat, wie das so halt so schön heißt, dass man nicht eben eine Aufzeichnung beginnen kann, ohne dass alle Teilnehmerinnen und Teilnehmer dieses Video. Dieser Videokonferenz Sitzung darüber informiert werden und auch aktiv einwilligen müssen. Nichtsdestotrotz ist es dennoch so, dass viele Aufsichtsbehörden monieren, dass die Tools auch Daten für eigene Zwecke verarbeiten, nicht besonders sicher verarbeiten, das stellt sich natürlich als Selbsthilfegruppe die Frage, wie komme ich denn in diesem ganzen Dschungel an Informationen zurecht. Ich denke, ich kann hier etwas empfehlen, was ihre Selbsthilfegruppen nutzen, zumindestens derart nutzen, dass sie damit zufrieden sind. Von der Handhabbarkeit. Natürlich ist das jetzt nichts, was von einem super Unternehmen aus den USA kommt, aber es ist zumindestens eingehend sicher, dass klar ist, dass möglichst wenig personenbezogene Daten verarbeitet werden und das sind die beiden Tools, die ich zuletzt genannt habe als Big Blue Button und Jitsy. Ich habe bisher damit ganz gute Erfahrungen gemacht, was die Selbsthilfegruppen zumindest mir angetragen haben. Und da kann man zumindestens sicher sein, dass man personenbezogene Daten in einem geschützten Umfeld hat. Warum ist das so? Naja, man kann bei diesen beiden Software Programmen, wenn man so nennen mag, handelt es sich um sogenannte Open Source Programme, das heißt? Es gehört jetzt nicht einem bestimmten Unternehmen, was es auf eigenen Servern irgendwo in den USA oder in Europa ablaufen lässt, sondern man könnte sogar das Ganze bei sich selber zu Hause machen. Das heißt, man könnte sogar zu Hause einen entsprechenden Server aufbauen und die Selbsthilfegruppe darüber teilnehmen lassen. Das möchte man vielleicht nicht, weil der. Der, der das Kostennutzverhältnis doch zu nutzen ausschlägt. Aber nichtsdestotrotz bedeutet es eigentlich, dass ich hier mit einer Software arbeiten kann, die jetzt an sich wo, wo kein Unternehmen dahinter ein Interesse an meinen personenbezogenen Daten hat. Jetzt, um das Beispiel mit der Selbsthilfegruppe beziehungsweise die Selbsthilfegruppe Kontaktstelle so zu benennen, die ich berate, da ist es, da war es zumindest in Frage, dass man als Selbsthilfekontaktstelle einen Big Blue Button Server betreibt, was ja möglich wäre, um dann den jeweiligen dazugehörigen Selbsthilfegruppen zu ermöglichen, darüber sich einzuwählen und eine besonders sichere Kommunikation zu pflegen. Da gibt es aber auch verschiedene Server von gewissen Ministerien beziehungsweise staatlichen Institutionen, die das auch anbieten. Das heißt, ich würde auf jeden Fall sagen, es lohnt sich, an dieser Stelle zu informieren, denn da kann man sich zumindestens sicher sein, dass kein größerer US Konzern, um es jetzt mal sozusagen, dass ich etwas gegen die USA habe, diese Daten erhält und sie dann für vielleicht doch unbekannte Zwecke eben verarbeitet.

Andrea
Haben wir jetzt einiges erfahren dürfen über mögliche Tools für Messenger, Dienste, Videokonferenzen und auch Informationsquellen. Kriterien, an denen sich Gruppen bei der Auswahl orientieren können die konkreten Hinweise dazu verlinken wir natürlich auch in den Shownotes, vielleicht ergänzend noch zur Frage, welche Tools eine Gruppe für sich nutzt, auch da vielleicht noch mal der Hinweis. Das ja auch ich als Gruppenmitglied selbst in der Nutzung dieser Tools zum Datenschutz beitragen kann. Nämlich wir haben ja vorhin über den Aspekt der Datenminimierung gesprochen, also die Frage, wieviel Daten gebe ich denn auch von mir rein, gebe ich bei der Videokonferenz meinen kompletten Namen an oder eben auch nur den Vornamen, solche Aspekte, also auch jedes Gruppenmitglied hat dann ja auch wiederum selbst in der Hand bewusst und minimiert quasi mit den eigenen Daten dort in den Austausch zu gehen. Lassen Sie uns doch gerne noch mal zu der Frage zurückkommen, welche Dokumente gruppenverantwortliche im Hinblick auf Datenschutz und Vertraulichkeit wirklich brauchen. Also gibt es Formulare, Dokumente, die ein Gruppensprecher zwingend von seinen Gruppenmitgliedern einholen sollte im Hinblick auf die DSGVO und wenn ja, welche sind das und wo finde ich die entsprechenden Formulare?

Olga
Ja, also vom Grundsatz her muss man sich 1 immer vergegenwärtigen, im Gegensatz zur alten Rechtslage bin ich nunmehr in der Rechenschaft, was den Datenschutz anbetrifft, das heißt, ich als Selbsthilfegruppe muss dafür Sorge tragen, dass im Fall der Fälle, wenn nämlich jemand nachfragt, beispielsweise auch eine Aufsichtsbehörde ich. Meine Rechenschaft ablegen kann dadurch, dass ich die entsprechenden Formulare vorlege. Das war einer der Kernpunkte der Änderung der Rechtslage und stellt natürlich sehr viele Unternehmen, Organisationen und erst recht vielleicht ehrenamtlich betriebene Selbsthilfegruppen vor eine große Herausforderung. Deswegen ist es, denke ich, wichtig zu betonen, welche Dokumente wirklich absolut erforderlich sind und welche vielleicht nicht so viel Aufmerksamkeit benötigen. Ich denke, wichtig ist es zum einen, dass die Rechtsgrundlagen, auf denen die Datenverarbeitung stattfindet, klar sind. Das heißt, wie ich schon eingangs gesagt habe, wir haben ja grundsätzlich ein Verbot der Datenverarbeitung, außer wir haben eine Rechtsgrundlage, die uns die Datenverarbeitung erlaubt und in den überwiegenden Fällen wird es bei einer Selbsthilfegruppe eben die Einwilligung sein, man hat ja keinen Vertrag beispielsweise mit den jeweiligen Teilnehmer und Teilnehmer, sondern. Muss sich da der Einwilligung behelfen? Das heißt, die Einwilligung kann entweder derart ausgestaltet werden, dass es eben ein schriftliches einwilligungs Dokument gibt, wo ich eben meine eine Einwilligung mit Unterschrift dieser Dokumente abgeben einräume. Es kann aber auch sein, dass ich das auch technisch durch eine E Mail löse, da gibt es eigentlich keine konkreten Vorgaben und der Fantasie sind keine Grenzen an der Stelle gesetzt, wichtig ist es nur, dass ich im Fall der. Der Fälle eben nachweisen kann, dass diese Person entsprechend eingewilligt hat. Um jetzt auch auf ein Beispiel einer elektronischen Einigungserklärung zu kommen. Der Klassiker sind auch hier Newsletter, wenn sie später eine Bestätigungsmail erhalten und dann den Link anklicken sollen, dann ist das eigentlich nur dazu da, um ihre Einwilligung jetzt nicht unbedingt datenschutzrechtlich in der Natur, aber jedenfalls um eine grundsätzliche Einwilligung zu dokumentieren. Und da ist es wirklich die Frage, wie groß ist die Selbsthilfegruppe, wie viel Aufwand lohnt es sich da rein zu stecken. Das heißt, wenn die Selbsthilfegruppe relativ klein ist, dann kann man das durchaus durch eine schriftliche Dokumentation, durch das Ausdrucken von diesen 5 oder 10 oder 15 einwilligungs Formularen. Die man beispielsweise auf der Webseite der Bayerischen Landesdatenschutzaufsicht befindet. Eben erstellen, einholen und entsprechend auch verwahren, damit man im Fall der Fälle nachweisen kann, dass man diese Einwilligung hat. Das braucht man allerdings auch nur, wenn man jetzt keine rein anonyme Gruppe hat, bei der man im Zweifel gar nicht weiß, ob die Person wirklich so heißt, wie sie sich wie sie vorgibt zu heißen. Das heißt, das bräuchte man in der Stelle, wenn man vielleicht eine Anschrift erhebt, wenn man eine E Mail Adresse erhebt, eine Telefonnummer, weil man nur dann sicher ist, dass in diesem Moment eben personenbezogene Daten dieser ganz konkret individualisierten Person erhoben und sonst eben verarbeitet werden. Werden. Ein weiterer Punkt ist natürlich die sogenannten Informationspflichten, auf die ich ganz kurz vorher Bezug genommen habe. Das heißt, die Information darüber, wie personenbezogene Daten der betroffenen Person verarbeitet werden, auch da gibt es beispielsweise von der bayerischen Landesdatenschutzaufsicht, aber auch von von der SECO Bayern. Eine Formulierungshilfe, ein Muster, ein Formular, dessen man sich bedienen kann und wo man sich zumindestens anschauen kann, welche Informationen ich einer betroffenen Person zu übermitteln habe. Also. An der Stelle beispielsweise Name der verarbeitenden Stelle, das heißt diese Selbsthilfegruppe, welche Zwecke die Datenverarbeitung verfolgt, was die Rechtsgrundlage ist, wie lange die Daten gespeichert werden. Ganz wichtiger Punkt und auch vor allen Dingen, welche Rechte ich als betroffene Person habe, also beispielsweise Auskunftsrechte, ein Recht auf Löschung, recht auf Einschränkung der Verarbeitung, recht auf Beschwerde und weiter. Das heißt, diese Informationen sind aus meiner Sicht die wichtigsten. Zum einen habe ich eine Rechtsgrundlage geschaffen, auf der anderen Seite habe ich ordnungsgemäß informiert, dazu könnte man natürlich Formulare nehmen, die eine Datenschutz Leitlinie darstellen, das heißt, ich als Selbsthilfegruppe würde beschreiben, wie ich personenbezogenen Daten grundsätzlich verarbeiten möchte, wie ich mich an die Grundsätze, die wir eingangs erörtert haben, also Grundsatz der speicherbegrenzung Grundsätze da. Datenminimierung Grundsatz der Identität und Vertraulichkeit und weitere einhalte, wie ich auftragsverarbeiter einsetze, also etwaige Dienstleister, die mir dabei helfen, personenbezogene Daten zu verarbeiten, das ist noch ein sinnvolles Dokument, und dann gibt es natürlich auch solche Dokumente wie die Aufzählung der technisch organisatorischen Maßnahmen, das heißt Maßnahmen. Die ich treffe, um die Sicherheit der Datenverarbeitung herzustellen. Da gibt es auch eine Vielzahl von Mustern, und wichtig ist vielleicht an dieser Stelle auch zu betonen, es gibt nicht das eine Muster, das heißt, sie werden im Internet viele verschiedene Muster finden und die DSGVO gibt kein konkretes Muster, oder? Format vor. Ob es jetzt in Word oder in Excel ist, das ist dann eher eine Glaubensfrage. Statt dass es jetzt wirklich eine Auswirkung hätte auf die Erfüllung der Pflicht nach der DSGVO. Vielmehr ist es wichtig, dass sie sich damit gut fühlen und auch das Dokument verstehen, deswegen referenziere ich immer wieder auf die Aufsichtsbehörden, weil die eigentlich immer ganz gute Muster parat haben. Es ist nicht nur Bayern, Bayern ist besonders gut und vorn dran. Aber auch die hessische Aufsichtsbehörde oder auch die Aufsichtsbehörde aus Niedersachsen haben wirklich sehr gute Vorlagen, selbst wenn sie jetzt in einem anderen Bundesland sitzen. Angenommen, Sie wären in Schleswig Holstein, heißt es nicht, wenn sie ein Muster aus Bayern oder Hessen nehmen, dass es falsch wäre, ganz im Gegenteil, das sind jetzt alles so ganz grundsätzliche Fragestellungen der DSGVO, bei denen sich die Aufsichtsbehörden an sich alle sehr, sehr einig sind, das heißt, wenn ihnen ein Muster aus einem anderen Bundesland zu. Dazu sagt dürften sie es selbstverständlich auch nutzen. Mir ist nur wichtig, dass wenn sie im Internet nach Mustern suchen, Sie das Ganze auch aus einer vertrauenswürdigen Welle beziehen und ich denke, wenn man diesen Kanon aus aus diesen 3 Dokumenten eine Einwilligungserklärung, einem Informationsblatt und vielleicht noch den technisch organisatorischen Maßnahmen hat, ist man schon vorn dran als Selbsthilfegruppe. Selbstverständlich gibt es noch ganz viele andere tolle Dokumente, aber die Frage ist, an der Stelle, ist das wirklich A für Sie verpflichtet? Und B. Ist das überhaupt sinnvoll, das alles zu haben? Man könnte jetzt über ein Notfallkonzept sprechen, man könnte über eine Daten pannenmelderichtlinie sprechen, man könnte bei einer Beschäftigtenrichtlinie sprechen, aber beispielsweise gehe ich nicht davon aus, dass überhaupt Beschäftigte gibt, die bei der Selbsthilfegruppe wirklich aktiv beschäftigt sind, das heißt, es gibt Vielzahl von Dokumenten, aber man muss anschauen, auf was man sich dann beschränkt, und ich denke, wenn sie da auf der sicheren Seite sein wollen, die 3 Dokumente sind. Das heißt Einbildungserklärung, Datenschutz, Hinweise, technisch organisatorische Maßnahmen. Die sollten auf jeden Fall da sein, daneben bestenfalls noch eine Datenschutz Leitlinien, da gibt es auf jeden Fall auch einige Vorlagen für und wenn sie das haben, dann gehe ich sehr stark davon aus, dass sie auf einer sicheren Seite und auch mit sind und eine gute datenschutzrechtliche Dokumentation gepflegt haben, denn es ist ja nicht nur so, dass ich jetzt an. Ganz viele Dokumente habe die ich einmal erstellt habe. Ich muss diese Dokumente natürlich auch pflegen und aktualisieren, und man vernachlässigt manchmal den Aufwand, der in dieser Arbeit steckt, das heißt auch da einfach der Tipp, möglichst alles so viel wie nötig, aber auch so wenig wie möglich zu dokumentieren. Nicht, weil ich Ihnen da die Arbeit ersparen will, sondern sie müssen ja damit gut arbeiten können letztendlich. Und wenn sie auf zig Seiten Sachen dokumentiert haben, dann ist es vielleicht auch schwer für sie nachvollziehbar und schwer auch handhabbar, das später auch zu aktualisieren und dann wird es halt. Eine aufwändige Aufgabe und manchmal so wie der Alltag ist, hat man dafür auch vielleicht keine Zeit oder auch andere Sorgen. Das heißt, das Dokument muss gut handhabbar für sie sein, weil ansonsten wird er dem eigentlichen Sinn der ganzen Geschichte, das heißt dem Schutz der personenbezogenen Daten der dahinter stehenden betroffenen Personen, ja auch nicht gerecht.

Andrea
Kein Aspekt, würde ich vielleicht noch gerne herausgreifen beziehungsweise sie haben es ja schon anklingen lassen, wieviel man jetzt an Dokumentationen und Formularen für sich beschafft, als Selbsthilfegruppe ja auch davon abhängt, wie groß ist die Gruppe, welchen Rahmen hat die und damit verbunden ist ja auch die Frage der Rechtsform und wenn ich sie jetzt auch richtig verstanden habe oder worüber wir jetzt die meiste Zeit gesprochen haben, ist quasi so die Selbsthilfegruppe von nebenan, wenn ich es mal so nennen darf, also die Gruppe, die. In aller Regel rechtlich gesehene Gesellschaft bürgerlichen Rechts ist, was vielleicht auch manche Gruppen gar nicht so klar ist, welchen rechtlichen Status sie haben. Und wenn es jetzt jetzt eine Selbsthilfegruppe ist, die als Verein, als eingetragener Verein oder in einer größeren Trägerschaft agiert, dann können sich noch mal weitergehende Verpflichtungen ergeben, oder da müsste man da einfach noch mal genauer hinschauen, aber das wäre jetzt, wie gesagt, nicht unser Fokus heute.

Olga
Genau. Also man muss sich einfach auch so ein bisschen die Position der Aufsichtsbehörde vergegenwärtigen. Natürlich ist das ein Unterschied, wenn ich als Aufsichtsbehörde gegen eine kleine Selbsthilfegruppe ermittelt, sage ich jetzt mal. Und irgendwelche Informationen haben möchte, oder aber mir steht eine große gemeinnützige Stiftung oder ein großer gemeinnütziger Verein, eine Groß gemeinnützige g GmbH entgegen, das heißt, auch da ist eine. Meine Erfahrung mit den Aufsichtsbehörden der verschiedenen Bundesländer eben, dass man ganz genau sich anschaut, wen hat man da eigentlich, denn auch die Aufsichtsbehörden sind ja keine Unmenschen, sie wenden ja eigentlich nur das geltende Recht an, und im Rahmen ihres Ermessens schauen sie natürlich, welche Maßnahmen sie im Fall der Fälle treffen würden, und es ist, glaube ich, relativ evident. Zu sagen, dass man Google anders behandeln würde als die Selbsthilfegruppe von nebenan. Genauso würde man aber auch eine große gemeinnützige Organisation anders behandeln als eben in die Selbsthilfegruppe von nebenan. Das heißt, man hat da schon ein gewisses Augenmaß, was die Erfahrung zeigt, darf aber nur nicht sagen, naja, wir sind ja gemeinnützig oder klein oder Sonstig, deswegen müssen wir uns an nichts halten, das ist, glaube ich, ein Trugschluss. Man muss auf jeden Fall schauen, dass man im Rahmen dessen, was einem möglich ist, dann diese wichtigsten Dokumente, die ich soeben aufgezählt habe, durchaus parat hat und alles darüber hinausgehende. Man muss man dann schauen, ob es überhaupt möglich ist, es zu erbringen. Ich weiß nicht, ob der eine oder andere Zuhörer auf behördlicher Seite oder. Auf anwaltlicher Seite vielleicht auch das Ganze anders sieht. Ich denke nur, man muss dem Thema Datenschutz auch irgendwo pragmatisch begegnen. Selbstverständlich kann man die DSGVO in allen Punkten übererfüllen, aber das ist eben nicht der Selbstzweck, sondern der Selbstzweck oder der Zweck an sich ist der Schutz personenbezogener Daten und der dahinter stehenden Person und ich denke, wenn man eine Rechtsgrundlage hat, wenn man die Person ordnungsgemäß informiert hat und sie in Kenntnis dessen, was mit ihren Daten passiert, auch entsprechend agiert, dann hat man. Dann auch einen sehr wichtigen Schritt in die richtige Richtung getan.

Andrea
Für den Fall der Fälle, dass nun doch etwas schief läuft, was wir alle natürlich nicht hoffen wollen, aber es vielleicht doch mal vorkommt, dass der Laptop geklaut wird, auf dem die Gruppendaten gespeichert sind, oder das Handy wird verloren. Was mache ich denn dann?

Olga
Ich denke, im wesentlichen wird es sich um eine Frage drehen, und zwar um die Meldepflicht. Gegenüber der Aufsichtsbehörde und die Benachrichtigungspflicht gegenüber der betroffenen Person, deren personenbezogene Daten auf diesem Endgerät gespeichert waren. Das heißt, wenn ich jetzt beispielsweise eine Excel Tabelle habe, wo sämtliche Informationen zu dieser Person stehen, Name, Anschrift, vielleicht noch eine E Mail Adresse im Zusammenhang mit einem entsprechenden sensiblen Datum, also jetzt um noch mal auf die Anonymalkolika oder die gewisse Form von von Krebs oder aber auch auf eine sonstige, vielleicht psychische Erkrankung zu in Bezug zu nehmen, wenn in diesem Zusammenhang ganzer Datensatz steht und. Und dieser Laptop unverschlüsselt war, das heißt, jegliche Person, die diesen Laptop oder dieses Endgerät findet, dann eben darauf Zugriff hat, dann müsste man definitiv über eine Meldepflicht gegenüber der zuständigen Datenschutzaufsichtsbehörde nachdenken. Insofern. Als das eben ein hohes Risiko für die oder ein Risiko für die Rechte und Freiheiten der betroffenen Personen im Raum steht, gegebenenfalls bei einem hohen Risiko, was hier wahrscheinlich anzunehmen wäre, wäre auch die betroffene Person zu informieren, das heißt, sämtliche Personen, deren Datensätze in dieser sage ich jetzt mal Excel Datei vorzufinden wäre, dem Ganzen kann man aber sehr gut entgegenwirken und diese ganzen Meldungen benachrichtigungspflichten von Anfang an ab verneinen. Wenn man beispielsweise die Festplatte des Endgeräts, auf dem diese Daten gespeichert worden sind, verschlüsselt hat, so dass selbst der Finder dieses Laptops keine Möglichkeit hat, Zugriff zu nehmen auf diese Daten, dann besteht nämlich nun mal kein Risiko. Voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen. Das heißt, wir sind in diesem Meldetatbestände und Benachrichtigungstatbestände raus, denn die Person, die es findet, kann eben nicht darauf zugreifen. Ja, und so ähnlich verhält es sich auch bei jedem anderen Endgerät. Es kann Smartphone sein, es kann aber auch ein USB Stick sein, das heißt, Verschlüsselung rettet relativ viel an dieser Stelle, man kann auch darüber nachdenken, ob man die Daten gar nicht auf diesem Rechner hat, sondern bei einem sicheren Cloud Anbieter sicheren ist. Das Stichwort, dass man sie gar nicht eben lokal auf der Festplatte gespeichert hat, da ist auch. Viel möglich, und das ist Teil der technisch organisatorischen Maßnahmen, die entsprechenden Datensicherheit herzustellen. Also ich hab es schon paar mal gesehen in den Jahren, in denen ich Datenschutz mache. Dass Endgeräte abhanden gekommen sind, das ist ein relativ natürlicher Vorgang. Die Frage war dann immer sofort nach der Verschlüsselung in den meisten Fällen war eine Verschlüsselung gegeben, was eben dazu geführt hat, dass es halt schade um das Endgerät ist, aber jedenfalls keine melde oder benachrichtigungspflichten sich aus der DSGVO ergeben und ich kann nur appellieren, sich ganz klar Gedanken zu machen, wie man diese personenbezogenen Daten aufbewahrt, weil man sich möglicherweise von Anfang an sehr viele Probleme. Probleme erspart wenn nämlich diese Datenträger abhanden kommen.

Andrea
Gut, dann sind wir wieder eigentlich bei den technisch organisatorischen Maßnahmen, die vorhin schon angeklungen sind und. Würde da an dieser Stelle gerne noch mal an unsere Shownotes verweisen, wo unter anderem eben auch in der Arbeitshilfe Datenschutz der Segis Baden Württemberg noch mal auch ganz praxisnahe Tipps aufgeführt sind, was die Handhabung und technische Speicherung von personenbezogenen Daten im Kontext der Selbsthilfe angeht. Also. Nach dem Gespräch mit Ihnen, Frau Stepanova, würde ich sagen, genau ein sorgsamer Umgang ist angebracht. Panik muss nicht sein. Und ja, die DSGVO ist ja 2018 in Kraft getreten, also es haben sich schon viele schlaue Köpfe Gedanken gemacht, mit welchen Formularen, Hilfsmitteln und Tipps das Thema praktisch umgesetzt werden kann. Und wir alle, die uns dem Thema heute stellen wollen, dürfen gerne auf diese guten Ideen und Vorlagen zurückgreifen. Von daher würde ich sagen, haben wir hoffentlich viele Fragezeichen um das Schreckgespenst DSGVO Datenschutz ausgeräumt und. Und dazu beigetragen, dass Selbsthilfegruppen auch im virtuellen Raum vertraulich und geschützt in Kontakt sein können. Ich sage dafür ganz herzlichen Dank, liebe Frau Stepanova.

Olga
Ganz herzlichen dank, Frau These. Es hat mir sehr viel Spaß gemacht. Ich hoffe, dass dieser Podcast heute dazu geführt hat, dass die eine oder andere Selbsthilfegruppe ein bisschen wissen in diesem Bereich aufbauen konnte, aber vor allen Dingen eben auch Angst und Sorge abbauen konnte, denn. Das Wichtigste ist ja zu wissen, wie man mit der Herausforderung umgeht, wo man sich die entsprechenden Formulare besorgt und sich insgesamt bei den Fragen der Datenverarbeitung hinterfragt. Was ist wirklich erforderlich und was ist vielleicht etwas, was ich kann, ich verarbeiten brauche?

Andrea
Das war’s für heute beim Stärkzeugkasten. Wir sagen ganz herzlichen Dank fürs Zuhören und freuen uns wie immer über Feedback, Fragen oder auch Themenwünsche für zukünftige Folgen an Kiss @Enzkreis de Stärkzeugkasten ist ein Podcast, der Kiss Kontakt und Informationsstelle für Selbsthilfe und Selbsthilfegruppen Pforzheim Enzkreis was. Weitere Infos unter www.enzkreis. De. Selbsthilfe, eine Produktion von Tonbildschau. De mit uns können Sie sich hören und sehen lassen.

Blockchain and GDPR – tackling the biggest issues with Olga Stepanova

The Blockchain Lawyer, 11.02.2020

“Welcome to The Blockchain Lawyer, a podcast on technology and law. Dennis Hillemann is an accomplished lawyer with over 13 years of experience and a passion for creating a better future through blockchain technology, cryptocurrency and other disruptive innovations. All statements expressed in this podcast are the opinions of the host and his guests only and are in no way legal or financial advice.
And now, here is your host, Dennis.

Hi, everyone, this is Dennis speaking. Before we head into the interview, I want to recommend to you to join the Blockchain Lawyers Network. It’s a social network running on money networks where lawyers, entrepreneurs and blockchainers from all over the world connect and discuss blockchain and regulation.”
We discuss matters like blockchain and privacy or the regulation of cryptocurrencies. I’d love for you to join, it’s totally free. If you want to join, go to www.blockchainlawyersnetwork.com
That’s one word, blockchainlawyersnetwork.com. Or you can also reach the network via the blockchain.lawyer. So either www.blockchainlawyersnetwork.com or the blockchain.lawyer.
Happy to see you there. Hello, everyone, welcome to the new episode of the Blockchain Lawyer. My name is Dennis Hillemann and today I’ve got Olga Stepanova, a German lawyer with me.
I know Olga from the German Institute of Standardization. She’s a fabulous lawyer working in the crypto and blockchain field, and she’s especially working on the matters of privacy. Hello, Olga. Thank you for coming on the show.
Hello, Dennis. Nice to be once again in your podcast today, the English podcast and not only the German one, which is also really recommendable for all those who are able to speak German. So, yeah, I’m very happy to be hosted today by you, and I’m really looking forward to our conversation today on privacy matters, which are relevant in the blockchain ecosystem.
Thank you, Olga. Yes, Olga has already been on my German podcast Recht im Ohr, and like I said on that podcast, now she’s on the English podcast. So, let’s start.
Olga, can you give us a little bit about your background? What are you doing? How did you come into blockchain?And why do you like the technology?
Yes. So, actually, when I started working here at WINHELLER, a lot of my colleagues were really deep into cryptos. So, they were into crypto taxation and also into banking law.
So, into all this regulatory frameworks from a banking perspective. And my aim or my interest was always in a bit of different direction. So, I was not too much into crypto in the way that I was looking how to sell or how to buy cryptos and how it is regulated from the buffing, for example.
I was more or less into the technology itself because I’ve seen that there is a lot of use cases behind or beside the crypto. And this is where I started to get more and more acquainted with this technology. And pretty soon, I’ve seen the first articles or opinions of people working in this field who said that there is an issue with data protection.And that is the starting point for me to start to investigate, to research on how this technology really works and what are the threats for data protection or also the advantages for data protection. And step by step for about like two years, I think I’m into this field. And yes, I’m searching for solutions.
And I think one of the solutions is which we found while working with you together, Dennis, on the German standardization for this field. So yes, I’m really, really interested how the future will be since we have more or less a solution for the privacy problem.

Very good. We’ll go into these details. But first of all, would you like to give the listeners an overview. What issues are there? What issues are there discussed between blockchain and GDPR?
So there are lots of different issues. I don’t like to call them problems, actually, I like to call them issues, depending on which kind of blockchain technology you’re using, because a lot of people just say, well, this is the blockchain technology, and they do not consider that there are several different blockchains, like the public blockchain, the permissioned blockchain, or, for example, the private blockchain. So depending on the technology, also the issues differ. So mostly, one can say that controllership is an issue for all of them. And also the question, who is who? So who are the actors in the concrete blockchain scenario?

Who is the controller? Who is the processor? Where is the joint control given?
Does this one want.
Another point? Of course, the right to rectification and the right to ratio or the right to deletion. This is, I think, the most prominent point.
And last but not least, a point where I’m deeply doing research on the third country data transfer. So imagining we have got a public blockchain like the Bitcoin blockchain, where the miners are spread all over the world, having copies of the whole blockchain. “And this also leads to the question, well, we are facing a third country data transfer because the GDPR has got special prerequisites for such a transfer and how we can handle this point, because actually we never can say where a user, a blockchain user, a blockchain miner appears or disappears, it can happen all over the world.
So these are the three things I deem most important, but of course, there are lots of other things, but this is more or less a question of the concrete blockchain scenario and perhaps not correct to address this issue here, because we are talking about the general issues we should call in the most blockchain scenarios.
Thank you very much. Let us start with the first issue, and I like how you call it issue, not a problem. I’ll switch to that now.”Let us talk about the first issue. What is the issue of controllership and processorship in an EOGDPR scenario? First of all, can you explain in general what it means to be a controller or processor under EOGDPR before we refer to blockchain?
So one can say that the roles in the GDPR are determined by the GDPR. So that means that there are only a limited role. So whether you’re a controller or you are a professor or, for example, a joint controller ship is given.
But at least the point is that the GDPR when it was written, it doesn’t have in mind that another scenario like the blockchain scenario can be given. So all the regulations in the GDPR, they are tailored for centralized solution and not for decentralized solutions. So this is the main issue about GDPR and blockchain. So who is a controller? Controller is the natural or a legal person or an agency or other public body, for example, who determines the purposes and means of the process. So for example, a company, you are working at the company and I’m working at the company and this company is the controller because this company determines why they are processing data and how they are processing data. And of course, not everybody can do everything. So of course, we use so-called processors, so companies who are helping us to process personal data. For example, we use a hoster. So our website is hosted by a hoster. And this hoster of course processes personal data, for example, of website users who try to get access to our website. So this is a processor for us, and it’s pretty clear also your company is also hosting the website somewhere.” “It also makes use of a processor. So you’re the controller, because it’s your data, obviously, it’s your website, but somebody helps you in processing this data. And now we have got this very special setup with the blockchain. That means that in a decentralized queue, everybody and none of them is controlling and determining the means and purposes. So that means you can’t say, well, this is you, you are the controller, because you are the one and you’re the only one who is determining the means and purposes. No, this is obviously not the case. There are everybody who is somehow processing this data. So we can’t say that there is a concrete legal or natural person who is in charge of this processing. And on the other hand, we also can’t say who is the processor, because everybody is in a way like, well, helping or not helping, like who are the miners, are the processors for somebody else. So you can see obviously that the text of the GDPR and the concrete roles given by the GDPR don’t fit the decentralized system, which leads to the question how we want to handle this case.
I see. And of course, this is a very big issue. But can you just tell us, why is it important who is the controller or processor? We have listeners from all over the world. I’m not sure if everyone is actually in knowledge about these questions. Can you just enlighten us why it’s important to know who is the controller or processor under EOGDPR?

The point is that being a processor or controller is not only the question who you are, but it is also the question which obligations you have got under the GDPR. So one can see that there are lots of duties to be fulfilled by the controller. It starts with the duty to have all the necessary documentation on the one hand, and of course, which is also important, you have as controller, you are liable for everything which is happening while you are processing personal data. So these are the two main questions or the two main issues for being a controller. And this is also the question actually where the data subject has to ask for right to access or right to rectification because everything is in a way like a pyramide. So there is one person handling all the processes from above and everything goes in this direction. And here we don’t have this person in a decentralized scenario. So who is liable in the Bitcoin blockchain or who needs to fulfill all the obligations towards the data subject in this blockchain scenario. So these are all questions which are raising because we just don’t know how to handle this first determination or definition of a controller and in the second step, how to handle all the obligations related to being a controller.

Okay, thank you very much. At the beginning, you underlined, but it’s when you ever you’re facing such a question, it’s very important to look at the different blockchains. For example, let’s start with the permission based private blockchain. Do we have an issue with a question of who’s controller and who’s the processor here?
Yes and no. Of course, all the blockchain scenarios are different, but in a closed permission blockchain, this is easier because we can see, okay, we have got the user, we have got the validators, and there we can address who is fulfilling which tasks, which are more or less similar to those being in the GDPR. So there we can say, okay, we have got, for example, controllers and we also have got the gatekeeper, for example, who may be a processor. And this is easier in this scenario because we have got actors who fulfill special purposes, and that is why it makes us easier also to address all the liabilities and the duties.

Okay, I understand. Okay, so there we can maybe handle the issue. And then you, of course, talked about the permissionless public blockchains, and you already named the Bitcoin blockchain. So what do we do there?

Well, this is a pretty good question. I’m known for asking pretty good questions. I’m known for that. Well, from a lawyer’s perspective, I would say as long as no data protection authority is finding, we don’t have a problem.

That’s a good approach.

But actually, from my point of view, this is pretty hard to say that we can get it somehow compliant for two reasons. One of the reasons is, well, we have got the inutability of the blockchain. So in case we would like to change something, we like to implement GDPR in some way, this would definitely mean that we need to change the Bitcoin blockchain. And this would be really interesting how we would like to do that. On the one hand, and on the other hand, our approaches. When I come back, for example, to the DIN spec, we have written together this standard for processing in a more or less compliant way in the blockchain scenario. We can apply it for this kind of blockchain perhaps. So there are solutions, but the point is, and this is also one of the things that GDPR is asking us for, it’s privacy by design. So it means before we are launching a blockchain application, before we are coding a blockchain, we also should take into account what kind of data shall be processed on this blockchain, and how do we want to safeguard that we are obeying all the rules. And now we have got the product, which is running for several years with a lot of information on that, the Bitcoin blockchain. And from my point of view, we can’t get it compliant from the way how the GDPR is interpreted now. The only thing, and I don’t think that this will ever happen, is that the legislator says the GDPR is not applicable for the Bitcoin blockchain, for example. But I don’t think that this is happening because many people also say, well, Bitcoin, this is kind of an anonymized financial instrument or, I don’t know, possibility to pay something or to get money or to receive it, whatever. This is not the case. This is pseudonymized data. And that is why the GDPR is definitely applicable. And this should be kind of a legislator’s will to exclude GDPR, public blockchain from the GDPR. But I don’t think this will ever happen.So we keep the fingers crossed that the DPA, the Data Protection Authorities, won’t have a too close look on that. And we’ll just say, okay, this happened and that’s fine. And we don’t have a legislator’s exemption, but we just don’t care about it.

So this is how I think this will be solved. But for the new applications and for any kind of new use cases, I don’t think that they won’t have a look on that and say, well, this is happening and we don’t care about it. This is what I don’t think.

Thank you so much. Of course, I could imagine that some of the listeners are now a little worried that the bitcoins they purchased in Europe might be invalid because to EOGDPR reasons, but I think we should underline one thing. When you’re in Europe and you use, for example, an exchange like Binance Jersey or whatever to buy Bitcoin, the gate opener to Bitcoin, the Bitcoin blockchain, the on-ramp mechanism, it has to be fully GDPR compliant, right? You agree, right?

Definitely.That is maybe the issue where the supervisor authorities will look at the exchanges, at the on-ramps mechanisms. But I understand, of course, also the point that the blockchain, the Bitcoin blockchain as such, as an example for permissionless public blockchain, really puts up some challenges.

One thing that maybe interests some of the listeners, can you explain why Bitcoin is only pseudonized and not anonymized?

Well, despite the prejudice or the false information that it is anonymized, it is not. Because you need at least to register on, as you said, like, for example, Binance or another trading platform, you need to register. So one can see that it was, well, your public key, it was your wallet that is you who has been registered, and at least in case some fraudulent action happened or whatever, the prosecutor has got a claim towards this, towards Binance or any kind of other trading platform. So they need to share your data. So definitely it is only in a way encrypted that, or not encrypted, it is pseudonymized in a way that behind, you only have got the public key, for example, and nobody can see from an obvious point of view that it’s Dennis or it’s Olga, but you can find it out. And as long as the re-identification is possible, the data is definitely pseudonymized and it is not anonymized. And that’s why the GDPR is applicable, because for anonymized data, the GDPR is not applicable, obviously because the GDPR wants to save the privacy of a person. And when you can’t even identify who the person is, there is no need to save something. So that’s why anonymized data is out of the scope of the GDPR and pseudonymized data is in the scope of GDPR. So for all of those who might think, but I even don’t think that your listeners think that it is anonymized, it is not.
Thank you very much. Okay, so we see there’s a challenge and so far there’s no ideal solution for that. Of course, Olga and me worked on a standard at the German Institute for Standardization and we might have figured out some solutions. Would you like to say, I mean, we will, it’s not yet published, it’s not yet officially published, so we need to keep it a little secret. But maybe you can say a few or three sentences about it, Olga, if you like.

Yes. Well, first of all, I would like to say that I really enjoyed the cooperation of technics and lawyers because I think that was really cool.
Thank you for mentioning that. Go on, please.
Yes. So I think this is the step in the right direction because, well, the technies have a different understanding, for example, of erasure. And that’s why the right to erasure or rectification is different in their way of understanding. This is one point. And the lawyers, well, they can’t claim that they know everything and everywhere because most of the people, except those who work on the standards, or most of lawyers are not really deep into technical questions. So I thought that it was a really good approach to bring both groups together to start working because we had really interesting conversation, especially on the question of what is deleted and what is not deleted, for example. And one of the solutions I personally like is the question of hashing and how to do it in a way that the data is deemed not pseudonymized but anonymized in a way. And here we can see that in Europe, we have got some guidelines of the CNIL of the French Data Protection Authority and also one really important paper of the Spanish Data Protection Authority published together with the European Data Protection Officer. And this is what I really, really like. So it was a really great day when it was published because they have got kind of a bypass solution in a way. So they use salt and pepper. I will explain.Wait a second. What’s that? In order to get data in a way not accessible, that they are deemed deleted. So what does this mean? This paper is actually dealing with the question of how to use the hash function for certainization. For example, the hashing function which gives you 200, the SHA 256.

Yes. And in a way, it gives you the hash. This is the outcome.
And this hash may be supplemented by a random, well, random numbers. This is the so-called salt, for example. And in the end, the hash looks different than before.

So when we are hashing, for example, your name, Dennis Hillemann, and we put in the end like 3, 4, 5, 6, 7, the hash will be different than your name. And by using this technique, also by using a so-called pepper, we kind of we change the hash. And when we delete this specially added salt or pepper, then we receive the hash, which we can’t re-identify anymore because something is missing.” “And this is a really, yes, a really not a straightforward solution, but in a way it is helping because we have what the GDPR is asking us for. We have the non re-identification, and that is the same actually as erasing from like, I don’t know, like just erasing, like just deleting. So in case you can’t see who is behind, this is the same like it is deleted.
So this is a legal question on the one hand, and of course in a technical one, this is the solution which is possible, but definitely not applicable for all and every blockchain ecosystem. But this is one point. At another point, I also like the so-called zero knowledge proof.
That means that you are asking the blockchain a question, and it doesn’t give you the concrete information, the concrete data, but it is giving you an answer. So for example, somebody wants to purchase alcohol, and in Germany, you need to be over 18 for that, and you want to do it, I don’t know, whatever, on the Internet. And the website is asking, well, are you over 18 or under 18?”
And they don’t say, how old are you? They don’t say that you are 40 or 35 or 30. They just say over 18 or under 18.
And this is also a really interesting thing and a good solution for achieving data minimization, because the solution only gives you the data, or the information which is necessary for you, and no additional information, because obviously when you want to buy alcohol, it doesn’t matter whether you are 40 or 35, as long as you’re over 18. So just like two things I really like, which we were working on, but yes, there are lots of other things. And hopefully you can read them soon when the Dean’s Standard will be published.

I will absolutely inform the listeners about it. And there probably will be another podcast show then with Christian Wirth, who was working, who was the initiator of the whole Dean’s Standard with Michael Collane, who was already on this podcast. And thank you very much, Olga. That was a very good summary of very good solutions for tackling GDPR issues and blockchain in general. But we have other issues that you already started at the beginning. The second subject of the day is the right to rectification of the right to erasure and blockchain. Can you first of all tell us a little about what does it mean the right to rectification, the right to erasure in a general GDPR context?

Well, the GDPR has got the focus that data can’t be processed for all and every time. That means that after the legal basis is not applicable anymore, and the purpose for the processing someday is not current anymore, you need to stop processing personal data. Just to give you an example, today somebody is buying something at any kind of online platform. He or she receives the purchase goods, and the platform needs to keep this data for the payment for 10 years because this is written in the German taxation legislation. So after these 10 years, they need to destroy the invoice and all data related to this person. Of course, there are also different things to take into account, but however, this is a general idea.We have got the storage limitation, so someday you need to delete this data. And who needs to do that? This needs to be done by the controller. So we see, okay, first issue, who is the controller? Who is the one being obliged to comply with this right to erasure? And that is one question. The other question is the imutability, the general imutability of the blockchain, which means that the blockchain can’t be, I don’t know, can’t be switched in a way, can’t be amended, can’t be altered in a way. And here we have got kind of a clash of cultures. So on the one hand, someone who needs to be the controller has to comply with the right to the erasure. And on the other hand, we have got imutability. So this is a really, really big threat, because it is obviously that we have got a problem in here. And for complying with the right to erasure, right to rectification, we have built some kind of solutions, as I mentioned previously, for example, by using salt and pepper while hashing, or, for example, somehow with the zero knowledge proof in case, we don’t have any kind of plain data.

And this is really technological when we go deep inside. But this is actually the question. And we can’t solve it only on the legal way, but saying, well, the GDPR is not applicable for blockchain scenarios.

Well, everybody would start a blockchain scenario in order to circumvent the obligations under the GDPR. And on the other hand, we need to take the privacy into account. And of course, when we are applying blockchain solutions for whatever use cases, we also want to be customer friendly and to rectify data or to erase data when the obligation to do so is given. So these are the two things. And as I mentioned before, there are solutions depending on the concrete blockchain scenario.
Yeah, thank you very much. And of course, this was tackled in the German standard where we worked on as well, right?
Yes, sure. And I only want to emphasize that there is not the one solution. This is really important.
There are different solutions depending on what kind of use case you are faced with. But in general, there are a few things which are really recommendable for everyone who has got ever in mind of setting up a blockchain. We have got the principle of privacy by design, which means first of all, think about privacy before doing something.”
So first of all, check whether you need to have personal data at all, because in case no personal data is involved, the GDPR is not applicable. So perhaps there are kind of solutions where you just don’t need all these questions. For example, in case you want to track, you want to do tracking in the maritime industry, you want to know where the goods are which are delivered from whatever from China to Hamburg, for example, there, perhaps you even don’t need to have personal data, just as giving a kind of an example.
And of course, there are use cases where you definitely need like, for example, I was working on a case recently where I was providing legal advice to a university in Germany, which wanted to have all the certificates, degrees, master degrees, whatever on the blockchain. And of course, you can’t, you can’t, you need to have personal data, but you can ask yourself, do I need to have plain personal data on the blockchain? What kind of blockchain I’m building? Is it a public blockchain I’m building? Is it a permissioned blockchain I’m building? And who are the actors in the concrete scenario?
So there is a really, really great planning process before starting to code something. And I really want to emphasize the point that the resolution, but it is really important to take care about the planning, planning beforehand how you want to treat personal data in this scenario.
That’s a very good solution, very good hint for any listener working on the blockchain to plan very well. Let’s tackle the third issue, the transfer to third countries. You gave a very interesting presentation at an event in November that was organized by Jörn Erbgut, which I attended as well, and you gave a very good presentation on transfer to third countries. First of all, can you tell us what’s the general approach of GDPR when it comes to transfer of data to third countries that are not subject to GDPR?

Well, the general approach is not to tackle this really, to answer questions. There was a brilliant court decision, I think it was in 2003, the so-called Lindquist decision.
And as you see, well, 2003, so it was under the old law and not under the GDPR. And since the GDPR did not provide us any kind of special or different rules on that, we just assumed that this former decision is still in force for all the third country transfers. So what happened in this case?
There was a Swedish person who uploaded data on the European server, for the website which was hosted on this European server. And the question was whether this constituted a third country data transfer. Because in case it would be the case, this person violated the relevant data protection rules because this third country data transfer was not safeguarded under the mechanisms provided by the relevant data protection law.”
So in the end, the court said, well, it is not sufficient to upload something on the Internet. You need to have the intent that it is going to be assessed somewhere in the third country. So here it was a website of a church, and there was some kind of data with regards to people who worked for this church being uploaded on this website.
And the court said, well, there is no real intent that it will be assessed somewhere abroad, out of the borders of the European Union. So that means that taking this decision into account, we need to ask how this may apply for the blockchain scenario. So in case we have got a blockchain which is public, like the Bitcoin blockchain, we definitely can say, well, there is a real intent that it will be, it can be assessed worldwide, depending on where the person is situated or where somebody wants to start mining, for example. “So it can be China, it can be Japan, it can be Canada, it can be USA, whatever. And you have no real influence where the person will try to access it. So just to give you another example, in case you and me would like to offer, I don’t know, to offer kind of a guide services in Germany for Chinese persons, for Chinese tourists.
And we would upload our photos on this website and use the Chinese top level domain so people from China directly can access this website. And we would also provide all the information on this website in Chinese language. There we rarely can say, well, this is an intent of ours to provide this website to Chinese citizens, people being situated in China just because the website is in Chinese language, the top level domain is Chinese, and it is clearly that we want to, I don’t know, market our services in China so that people from China come as tourists to Germany and ask us for our services.”
So this was not the case in this Lindquist decision, but again, applying this to the blockchain scenario for public blockchain, we can say that in the end, applying consequently this Lindquist decision, we would have a third country data transfer to all the countries in the world where there is internet and that’s why there is a possibility to access this public blockchain. And of course, we need to take into account how to solve this issue. For example, by, I don’t know, by not having personal data, for example, so we are out of the scope of the GDPR, or by having a permissioned blockchain and by limiting access, for example, out of the European Union or countries which were deemed adequate.
So we don’t need to have a special safeguarding mechanisms, like European standard contractual clauses or binding corporate rules. So there are lots of questions and I can’t say that there is a general solution, but one can see that we can dig every and any article of the GDPR and we will find a problem related to blockchain just because this legal framework, which I really adore by the way, was not written by having blockchain or other technology in mind.
Thank you so much. That was a very good summary. Like me, you attended the roundtable of the German government on your GDPR and blockchain.
I already made an episode about it, but can you tell us what was your impression of the roundtable and its outcome?
Well, first of all, my impression is it is great that there was a roundtable, because I think that on the one hand it is pretty cool that you, me and a few other people from the techie or the lawyers are into this topic and are trying to build solutions for it. However, it is hard for us to do it on our own because we are not a governmental body so far. It is hard for us and it is quite good that there are governmental bodies who have this issue in mind and who see the potential of the blockchain technology on the one hand and also the issues of the blockchain technology.
So all in all, I am happy about this first step towards a really compliant solution. My point is perhaps that we need to raise the awareness on the one hand and also the knowledge on the other hand. Because I see that there is a pretty huge gap between people who are into this topic on the one hand and the governmental. So they say, well, we want, first of all, to tackle the GDPR compliance topic itself, because a lot of companies who don’t use blockchain technology are not compliant themselves. So this is something, a general question. And on the other hand, I think there is a lack of knowledge and also a lot of knowledge about possibilities for blockchain applications.
So what I really like is the statement of the representative of Bitcoin, who said, well, there are lots of, according to our surveys, or questionnaires, a lot of companies are interested in blockchain solutions and even think about implementing them. However, they are afraid of, well, the point that there is no regulatory framework itself. So there are a lot of other different questions, not only data protection questions when it comes to blockchain technology. And there is nothing so far being presented by the legislature, data protection authorities or any kind of other governmental authorities. And that’s why they’re a bit reluctant to use this technology. And this is what I say.
Well, we have got lots of companies who would like to use it. And of course, this will make a lot of processes more efficient. And on the other hand, we have got people like you and me and others who are willing to provide kind of a regulatory framework.
So I think in order to bring both of them together under the rooftop of the Ministry of Economics or whatever, a governmental body would be a great idea and also a great step towards the kind of a regulatory framework and a compliant solution for all of these companies. So I think we’re going in the right direction, but I also think that it will take time to discuss all and everything to achieve a basic understanding on what’s going on and also the chances of blockchain technology. And another thing is what I see is that both Spain or France are kind of, yeah, they’re more into this topic. And I would wish and I think this needs to be the claim or the ambition of Germany to be the leader in creating a regulatory framework and creating business opportunities for blockchain application and blockchain use cases, because I think there are lots of people who are into this topic, especially in Berlin. And it would be very, very, very nice to establish a kind of a compliance structure, which will lead to the development of great solutions and, of course, which will lead to kind of economic growth in this branch.

Thank you very much. I think that are perfect last words to closing this great episode with you. Olga, how can people reach out to you if they want to have a blockchain project and need counsel on privacy or any other matter concerning privacy, even if it’s not blockchain? How can we reach out to you?

Well, in general, my data is publicly accessible. So that means that you can write an email or drop me a line on LinkedIn. So, yes, this is actually, I think, the most simple solution. Or, I don’t know, ask Dennis. No, I’m joking. So I think it’s the easiest to drop me an email, and then I will be happy to answer your questions and also to be part of your really cool blockchain project, because I think that there are really, really, really great solutions which just need more confidence when it gets to compliance issues.

Thank you so much. And also, Olga is, of course, one of the founding members of the Blockchain Lawyers Network, which you can read, reach under the web address www.blockchainlawyersnetwork.com. So reach out to her as well on there.

Thank you, Olga, for being on the podcast. And I’m sure we will keep in touch, and we will also hopefully have you as a guest back on this podcast in the future.

Thank you for your time and also for your questions. So I really hope that the listeners will get a kind of overview on the issues between blockchain and GDPR. And yes, thank you once again, Dennis, that you are the one heading, hosting and creating this podcast.” Because this is, in my opinion.

Also a way into making this topic more prominent and more important to people. So thank you all for being with us.

Thank you so much, Olga. So bye for now, and until soon.

If you want to learn more about Dennis, please visit his website, theblockchain.lawyer or connect with him on LinkedIn or Twitter. Until next time, everyone.”

Blockchain im Zivilprozess – „War stories“ und Ideen für die Zukunft

Podcast Recht im Ohr, 16.01.2020

“In dieser Folge von Recht im Ohr spreche ich mit Olga Stepanova von der Kanzlei Winheller, einer Anwältin, die sich intensiv mit dem Thema Blockchain im Zivilverfahren beschäftigt. Ein total spannendes Interview mit einer ganz charmanten Interviewpartnerin.
Herzlich willkommen zu Recht im Ohr, dem Podcast zu aktuellen Rechtsthemen mit Dennis Hillemann. Dennis ist Fachanwalt für Verwaltungsrecht und Partner einer international tätigen Rechtsanwaltskanzlei. Seine Gäste und er sprechen vor allem über neue Gesetze und zukunftsweisende Technologien.
Alle in diesem Podcast geäußerten Meinungen sind ausschließlich Meinungen von Dennis und seinen Gästen und stellen keine Rechts- Steuer- oder Finanzberatung dar. Wir wünschen euch viel Spaß.

Herzlich willkommen zu Folge 10 von Recht im Ohr. Mein Name ist Dennis Hillemann und ich freue mich, dass ihr dabei seid. Es ist heute der 16.01.2020 und ich habe ein tolles Interview mit Olga Stepanova geführt.
Olga ist Rechtsanwältin bei Winheller, ist eine absolute Expertin im Bereich Blockchain und tritt tatsächlich auch in Blockchain-Fällen vor Gericht auf. Das heißt, sie hat also War Stories aus dem Gerichtssaal und kann darüber berichten, ob unsere deutschen Richter Blockchain verstehen. Sie hat aber auch tolle Ideen dazu, wie Blockchain unsere Zivilverfahren verändern könnte.
Und für alle Crypto-Händler wird sie am Ende auch noch einmal auf ein wichtiges Thema, nämlich die Frage des Wiederrufsrechts, hinweisen. Also es ist ein tolles Interview mit einem ganz charmanten und sehr kompetenten Interviewgast im Thema Blockchain. Und ich freue mich, dass Olga dabei war.
Nun aber genug der Vorrede, hier geht’s los. Olga und ich im Interview.
Hallo Olga.
Hallo Dennis.
Hallo, schön, dass du dabei bist. Olga, würdest du dich einmal kurz vorstellen? Gerne. Ja, mein Name ist Olga Stepanova, ich bin Rechtsanwältin und externe Datenschutzbeauftragte. Schwerpunktmäßig beschäftige ich mich mit dem Datenschutz, und zwar nicht nur im allgemeinen Bereich, sondern insbesondere interessiert an Blockchain und dahingehend auch an zielrechtlichen Gesichtspunkten, was die Blockchain-Technologie anbetrifft, was sowohl, ja, was letztlich alles drum um das Blockchain-Ökosystem geht.
Und da gibt es sehr viele spannende Themen. Und auch das, was wir heute besprechen werden, ist auf jeden Fall etwas, was nicht von der Hand zu weisen ist.
Ja, und wir haben uns ja auch damals kennengelernt im Rahmen des Deutschen Instituts für Nominierung, wo wir dann bei der Dienst Beck 4997 Privacy bei Blockchain Design zusammengearbeitet haben. Und da haben wir ja immer viel Spaß da auch miteinander gehabt im Austausch. Weil du wie ich so ein paar, du hast vor allen Dingen viel mehr Warstories auch zum Thema Blockchain.
Das finde ich mal ganz spannend. Vielleicht magst du, bevor wir noch mal ganz kurz dann auf deinen Werdegang und warum die Blockchain interessiert eingehen, was zu Winheller erzählen, der Kanzlei, bei der du bist. Ich finde das mal ganz toll. Ihr seid da ja wirklich im Kryptobereich auch ziemlich weit vorne.

Ja, also bei Winheller gibt es letztlich so ein bisschen den Ansatz, auch wenn er vorher unausgesprochen war, dass wir letztlich Full Service für alles, was um die Blockchain herum anbieten wollen, mit Ausnahme von Programmierung.
Das heißt, wenn zum Beispiel früher noch ICOs gestartet werden sollen, heute eher STOs, gehen wir voll in die bankaufsichtsrechtliche Beratung, BaFin-Lizenz, falls erforderlich. Genauso sind wir dabei, auch Kryptobesteuerung zu machen, haben auch unsere eigenen Tech-Lösungen entwickelt, bei der wir insbesondere auch gewerblichen Krypto-Händlern, aber auch dem üblichen Trader helfen, seine Gewinne ordnungsgemäß zu versteuern. Darüber hinaus gibt es natürlich auch den Bereich, wir wollen ja nicht nur irgendwie Coins imitieren lassen, sondern auch wirklich Blockchain-Geschäftsmodelle an den Markt bringen. Und das hat natürlich nicht nur aufsichtsrechtliche oder gegebenenfalls aufsichtsrechtliche Aspekte, sondern auch sehr viel Datenschutz, weil letztlich kaum ein Geschäftsmodell ohne Daten funktioniert. Und natürlich auch sonstige Fragestellungen von Urheberrecht und zivilrechtlichen Bezügen. Das heißt, eigentlich alles, was man sich so vorstellen kann und unser Anspruch ist, es lässt sich das dann auch zu bedienen.
Das finde ich echt spannend und also wirklich ganz beeindruckend. Eure Internetpräsenz, eure Newsletter in dem Bereich, dass ihr da wirklich super aktiv seid. Finde ich immer ganz toll und man hört es auch immer bei deinen Warstories, dass ihr da wirklich Ahnung habt und eben auch an vorderster Front mit im Kryptobereich kämpft.
Wie bist du denn persönlich jetzt in diesen Bereich geraten, in der Blockchain? Und was fasziniert dich an dem Bereich Blockchain und Krypto?
Ja, also ich war letztlich schon immer sehr technikaffin. Ich habe mich schon immer sehr für Software interessiert, für Softwareentwicklung, aber natürlich auch für die Hardware-Komponenten und ganz ursprünglich komme ich aus dem IP-Bereich, also dem Bereich des gewerblichen Rechtsschutzes, hatte da aber auch schon immer mal wieder mal geschaut, wie sieht es denn aus, Software-Urheberrecht und so weiter. Und als ich dann bei Winheller angefangen habe zu arbeiten, war das Thema Blockchain schon relativ groß.
Wir haben damals als die ersten eigentlich in Deutschland eine Krypto-Stiftung, die Jota-Stiftung gegründet. Wir waren sehr aufsichtsrecht und natürlich auch in der Kryptobesteuerung. Da hab ich gesagt, Mensch, Blockchain und Datenschutz ist doch eigentlich, das funktioniert ja so nicht. Das ist ja dann das erste, was man damals 2017 gelesen hat, wenn man die beiden Schlagwörter zusammen bei Google eingegeben hat. Und ich hab immer daran geglaubt, dass das eigentlich nicht sein kann, weil die Rechtspositivisten unter uns sind vielleicht anderer Meinung oder auch gerade meiner Meinung jedenfalls, denke ich, dass das Recht der Menschen wegen geschaffen worden ist. Und warum soll man eine neue Technologie, die auf den Markt ist und die natürlich auch für den Menschen, für das Unternehmen und die dahinterstehenden Menschen aktiv ist, aber auch für Kunden, warum soll man die verbannen mit dem Totschlag-Argument DSGVO? Und ich war mir schon immer sicher, dass es einfach einen gesetzgeberischen Willen benötigt oder auch eine technische Lösung, um diesem Problem in Anführungszeichen gerecht zu werden. Und das hat mich letztlich auch motiviert, mich da mehr einzulesen, weil ich es ungern habe pauschal etwas zu verbieten oder als nicht kompatibel oder nicht fake darzustellen. Ich gehe dann schon gerne ins Detail und gucke mir das dann wirklich an und bild mir dadurch meine Meinung und eben nicht durch die ganzen reißerischen Artikel.
Und ja, damals war das Thema 2017 noch gar nicht groß, da war eher so die Bitcoin-Euphorie da und peu à peu hat es sich dann gesteigert. Auch letztlich dadurch, dass wir uns dann beim Dean getroffen haben und ich gesehen habe, Mensch, es gibt dann irgendwie ein Konsortium, was sich sehr stark damit beschäftigt, aus Techies und Juristen. Und ich denke, wir sind auf einem sehr guten Weg gerade in Deutschland, das Thema zu beackern.

Es hat mich vor allen Dingen auch sehr gestört, dass beispielsweise die französischen Aufsichtsbehörden da viel, viel schneller waren, als die Deutschen, die das Thema letztlich nur noch totgeschwiegen haben. Und ich bin sehr, sehr guter Hoffnung, dass wir jetzt auch den gesetzgeberischen Willen vielleicht dahinter haben, Blockchain und Datenschutz zu verbinden und insbesondere auch Datenschutz durch Blockchain Technologie zu steigern und zu gewährleisten.
Ja, sehr gut, sehr schön. Das hast du sehr gut zusammengefasst, kann ich alles nur so unterschreiben. Und für alle Zuhörer, die es gerade auch das Thema interessiert, die Olga wird noch mal in meinen englischen Podcast kommen, The Blockchain Lawyer. Und zwar machen wir das nach dem Roundtable der Bundesregierung zum Thema Datenschutz, der findet am 30.01. statt. Da sind wir beide auch eingeladen. Danach werde ich die Olga noch mal auf dem englischen Podcast zum Gast haben. Und dann werden wir uns noch mal ganz verschärft dem Thema Datenschutz widmen. Denn heute wollen wir uns mal einem ganz anderen Ansatz widmen, den ich genauso spannend finde. Du bist ja eine wirkliche Anwältin, die noch tatsächlich so vor Gericht geht. Du bist also nicht nur so eine Gutachtenschreiberin und die Bankberaterin, die immer nur Vermerke macht, sondern du bist noch so eine richtige Anwältin, die vor Gericht für ihre Mandanten eintritt. Und du hast gesagt, hey, das Thema Blockchain und Zivilprozessrecht, das finde ich eigentlich total spannend, insbesondere im Bereich der Beweisführung. Erzähl doch mal, was erlebst du da vielleicht auch mal vor Gericht, überhaupt so vom Zifferstädten Blockchain? Und wieso ist dir das Thema Beweisführung durch Blockchain besonders wichtig?
Letztlich ist es ja so, dass im Blockchain-Business, damit meine ich jetzt nicht nur Coins, sondern auch Blockchain-Geschäftsmodelle, wie auch in jedem anderen Bereich Streitigkeiten entstehen. Es ist jetzt noch, wenn überhaupt, relativ viel Anleger-Schutz, prozentual jedenfalls gesehen, von den Verfahren, die Blockchain-Bezug aufweisen, wobei ich beispielsweise weder auf der einen noch auf der anderen Seite Anleger-Schutz betreibe, ab und an werden vielleicht noch Strafverfahren da sein. Wir hatten ja gesehen die Entscheidung des KG Berlin zum Handel mit Kryptowährungen. Aber so der klassische Zivilprozess mit klassischen Ansprüchen jetzt nicht unbedingt ins Deliktsrecht gehen, der ist noch relativ selten. Und ich habe mich dann mit der Frage einerseits beschäftigt, wie gut sind die Gerichte, also letztlich die dahinterstehenden Spruchkörper im Bilde, was diese Technologie anbetrifft, auf der einen Seite und auf der anderen Seite, wie könnte man die ZPO im Sinne des Klägers beispielsweise revolutionieren, anpassen, verändern, um da durch Blockchain-Technologie einfachere Verfahren zu schaffen, Beweise zu vereinfachen und insbesondere dadurch auch Zivilprozesse zu verschlankenß? Fangen wir ruhig mit der ersten Frage an. Also bei der ersten Frage natürlich, wie gut verstehen Richter Blockchain? Ja, wenn einer von den Zuhörern schon mal bei einem Gericht war, dann wird es vermutlich kein super modernes Hochhaus gewesen sein, wo alles wie einem Smart Home funktioniert. Nein, es ist eher so, dass da noch alte Toiletten sind, mit sehr altem Linolium ausgelegt und das Ganze so ein bisschen altbacken ausschaut.
Deswegen kann man sich durchaus die Frage stellen, wie weit verstehen Richter, was Blockchain anbetrifft. Ich hatte letztes Jahr einen relativ großen Zivilprozess und das hat sehr viel Kraft auf der einen Seite gekostet, aber es war auch sehr spannend zu erläutern, was ist eigentlich Blockchain, was ist ein Token, was ist eine Transaktion und was ist genau passiert in diesem Fall, wo eben Coins vom Entwickler dieses Coins auf seine eigene Wallet, nennen wir es mal, abgezwackt worden sind. Und das war schon eine große Herausforderung, weil die meisten Personen natürlich hier bei uns in der Kanzlei, wenn man sich zu dem Thema unterhält, die haben natürlich ein bestimmtes Grundverständnis.” Manche programmieren auch selber, deswegen ist das gar kein größeres Problem, aber so einem Richter, der jetzt in der Kammer für Handelssachen sitzt und meistens ganz andere Fälle zu begutachten hat, der hat dann vielleicht eher ein Problem damit. Das heißt, das ist so ein bisschen schon mal spannend auf der einen Seite, auf der anderen Seite ist natürlich auch die Frage der Beweiswürdigung. Die Zivilprozessordnung hat ja bestimmte Beweismittel und die Blockchain an sich ein Auszug aus Transaktionen würde nach gegenwärtigen Verständnissen ein Augenscheinsbeweis darstellen.
Das heißt, man legt erstmal was vor, das hätte jetzt ein Augenscheinsbeweis, das ist auch irgendwie, weiß ich nicht, ein Gegenstand, der einfach wichtig ist für das Verfahren. Es könnte jetzt irgendwie die Pistole sein, mit der ich jemanden erschossen hätte, das wäre auch ein Augenschein. Und ich habe mich halt gefragt, ob das wirklich als Augenscheinsobjekt so perfekt ist, wie gehen damit Richter insgesamt um und wie lösen die das? Wie verstehen die überhaupt, was jetzt in so einem Transaktionsauszug drinsteht? Was passiert, wenn Coins von der einen Wallet zu einer anderen Wallet geschoben werden, um dann das Ganze zu verschleiern und an die Börse zu kommen, um die Coins zu verkaufen? Manche Richter lösen das, denke ich, auch über Substanzierung, wenn nämlich die Gegenseite das nicht ordentlich bestreiten kann, weil es eben so stattgefunden hat.
Ich hatte mich beispielsweise gefragt, ob man das besser vielleicht als Urkundbeweis nehmen sollte, dass der Auszug aus einer Blockchain, also Transaktionsauszug, vielleicht eine Urkunde sein könnte im Zivilprozess und man dadurch viel bessere Chancen hätte und es vielleicht einfacher wäre, gewisse Sachen zu gestalten im Zivilprozess. Natürlich auch im Hinblick auf den Urkunden- und Wechselprozess, was auch zu einer Verschlankung der Rechtsstreitigkeit und eine entsprechende Prozessökonomie fühlen könnte.
Vielleicht kannst du einmal an dieser Stelle für die Zuhörer, die jetzt nicht so viel mit Blockchain bisher zu tun hatten, neugierig sind, einmal kurz erklären, warum aus deiner Sicht die Blockchain als Beweismittel so gut geeignet ist, dass sie den Charakter einer Urkunde haben sollte. Vielleicht auch gerade, ich hatte das mal als Beispiel gehört, wenn man dagegen den Augenschein beweist, ist hier zum Beispiel auch ein Foto. Warum ist die Blockchain aus deiner Sicht ein mehr als ein bloßes Foto?
Naja, man muss ja so ein bisschen das Zustandekommen dessen sehen. Was natürlich die Urkunde vom Augenschein unterscheidet, also eine Urkunde könnte zum Beispiel ein Vertragsdokument darstellen, das jetzt von beiden Seiten unterschrieben worden ist und deswegen möchte der Kläger jetzt nachweisen, dass er einen Anspruch auf Zahlung des vereinbarten Kaufpreises hat. Ich meine letztlich, dass ein Auszug aus der Blockchain letztlich dasselbe oder das gleiche darstellt.” Es ist so sicher und so gewichtig, dass ich meine, dass man es der Urkunde an sich gleichstellen könnte. Wenn man überlegt, dass man Blockchains, das haben wir gelernt, jedenfalls gewisse Arten von Blockchains, die man nutzen würde für so einen Fall, nicht mehr verändern kann, dann ist das noch viel viel mehr als ein unterschriebener Vertrag. Ich meine, so eine Unterschrift kann man ja letztlich fälschen.
Und wenn man überlegt, dass man die Blockchain nicht fälschen kann, ich spreche jetzt von den permissionless Blockchains beispielsweise, dann sollte man sich überlegen, ob das nicht noch sogar ein mehr an Beweiskraft gegenüber einer Urkunde darstellt, als ein Vertragsdokument. Weil angenommen, beim Vertrag könnte man sagen, na gut, ist gefälscht, dann würde man zu einem Sachverständigen gehen und der würde dann prüfen, ob diese Unterschrift wirklich korrekt ist oder nicht. Aber selbst da ist immer noch ein menschlicher Faktor dazwischen, nämlich der Sachverständige, der Grafologe, der dann sagen konnte, na ja, sehe ich jetzt so oder so. Und bei der Blockchain entfällt eben diese menschliche Komponente. Man hat ein viel mehr an Sicherheit und deswegen meine ich, dass man hier das Mindeste wäre, es der Urkunde gleichzustellen.
Toll, ja danke, dass du das nochmal so ausgeführt hast. Für alle Zuhörer, die jetzt neu dabei sind und gar nicht eben ganz so sicher sind in der Blockchain, da mache ich mal eben ganz kurz Eigenwerbung Folge 1 dieses Podcasts Recht im Ohr. Da habe ich die Blockchain einmal in den Basics erklärt. Und da habe ich insbesondere das betont, was die Olga eben auch gerade unterstrichen hat, die Unveränderlichkeit der Blockchain, dass die Blockchain tatsächlich in ihrem Kern fälschungssicher ist. Und das macht eben auch diesen Charme aus, den Olga hier gerade hervorhaben möchte, die Blockchain als fälschungssicheres Beweismittel. Und das ist dann der Unterschied auch natürlich genau, wie Olga betont hat, gegenüber dem Foto oder sogar der EU-Kunde, wo es alle möglichen Fälschungsmöglichkeiten entsprechend gibt.

Olga, dankeschön. Aber sag mir, was müssten wir denn dann in der ZPO und vielleicht auch in unserem Zivilprozessverfahren ändern, damit wir die Blockchain als Beweismittel tatsächlich in das Zivilverfahren bekommen? Was siehst du da an Notwendigkeiten zur Änderung?

Ja, also ich sehe insgesamt mehrere Anwendungsfelder. Zunächst natürlich müsste man die ZPO dadurch ändern, dass man ja den Urkundsbegriff daran, würde ich jetzt nicht rütteln, sondern einfach das aufnehmen, dass zumindest Transaktionsauszüge aus Blockchains der Urkunde gleichstehen. Aber trotzdem müsste man halt überlegen, ob der Auszug an sich dann wiederum körperlich ist und wie man das dann genau ins Gesetz reinfassen würde.

Das ist dann ja auch nicht mein Anspruch, sondern der der Bundesregierung hoffentlich. Aber an sich haben wir alles, was wir benötigen in der Zivilprozessordnung zu den Urkunden, das heißt, man müsste eigentlich nur noch einen Absatz einfügen, dass eben Transaktionsauszüge, Urkunden von ihrer rechtlichen Wirkung, prozessualen Wirkung gleichstehen. Ich würde jetzt nicht am Urkundsbegriff an sich rütteln.

Ja, und dadurch eröffnen sich noch ganz andere Wege. Ich weiß, unter den Zuhörern dieses Podcasts sind auch einige Juristen, zumindest denke ich so, aber vielleicht für die Nicht-Juristen. Als Erläutung, so ein Zivilverfahren ist ja oftmals lang.

Man muss erst mal hin, jetzt angenommen, sie haben ein Auto verkauft. Der Käufer des Autos hat aber keine Lust, ihn das Geld zu bezahlen. Sie haben ganz normal einen Vertrag geschlossen. Das Ganze dann auch schriftlich, beide unterschrieben. Das heißt, sie gehen jetzt damit zum Anwalt. Der Anwalt sagt, okay, sie haben ihn gemahnt. Sie haben gesagt, lieber Käufer, bitte bezahle. Er hat nicht darauf reagiert. Das heißt, uns steht jetzt nichts anderes.

Wir haben jetzt keine andere Möglichkeit, als zu klagen. Und da gäbe es verschiedene Möglichkeiten, ob man jetzt einen Bahnbescheid erst mal beantragt oder direkt das Ganze bei Gericht geltend macht. Jedenfalls wäre das eine Überlegung, nicht ein ganz klassisches Zivilverfahren zu starten, sondern, weil die Sachlage ja relativ klar ist, das Auto hat der Käufer bekommen, bezahlt hat er nicht. Es gibt aber eine Urkunde, nämlich den Kaufvertrag, auf dem beide unterschrieben haben und woraus sich dann ja auch der Anspruch herleitet. Dann muss man nicht unbedingt ein volles Zivilverfahren machen, sondern man könnte auch in den Urkundenprozess gehen. Das ist ein etwas beschnittener Zivilprozess.

Was besonders daran ist, ist der Umstand, dass man nicht sich aller Beweismittel bedienen kann, die die ZPO so vorsieht, sprich Sachverständigen oder aber auch Zeugenbeweise, sondern da ist man streng reglementiert, nur mit Urkunden seinen Anspruch nachzuweisen. Und das wäre ja hier relativ einfach. Weil man wüsste, naja, der andere kann es ja auch nicht so richtig bestreiten.” “Und vielleicht hört er dann auf und geht nicht in das sogenannte Nachverfahren. Das wäre möglich, wenn jemand also sagt, er ist mit dem Ergebnis des Urkundenverfahrens nicht zufrieden. Sowas Ähnliches könnte man lässig für Blockchains machen.

Weil ich natürlich sehe, dass die Blockchainökonomie an sich, auch blockchainbasierte Geschäftsmodelle, dieses Feld wächst stark und das heißt auch, dass wir mit stark wachsenden Rechtsstreitigkeiten zu rechnen haben, weil das einfach normal ist. Und dann könnte man sich überlegen, ob man jetzt so einen ganzen vollen Gerichtsprozess machen möchte mit Augenschein. Weil im Urkundenprozess wäre das dann in dem Sinne nicht möglich, da kann man sich nur bekriegen quasi mit Urkunde gegen Urkunde.” “Und das Ganze dann halt auf den Urkundenprozess zu leiten. Das würde zu einer extremen Verschlankung des Zivilprozesses an sich führen. Und für den Kläger natürlich sehr charmant.

Der müsste viel, viel weniger machen und viel, viel weniger vielleicht auch Termine wahrnehmen vor Gericht. Und hätte dann die Möglichkeit, relativ einfach zu seinem Recht zu gelangen. Dafür, aber wie ich schon vorher sagte, müsste man die ZPO entsprechend anpassen.

Die Anpassung der ZPO würde auch deswegen wahrscheinlich notwendig werden, weil die Bundesregierung ja gern in die Tokenökonomie möchte. Das heißt, wenn man sich also sagt, man wird Sachverwerte digitalisieren, man möchte Eigentumsrechte, Besitzrechte, Pfandrechte digitalisieren und auf die Tokenökonomie umstellen, dann muss man auch aus meiner Sicht das Zivilprozessrecht, genauso wie du sagst, da anpassen, dass Rechte entsprechend auch so ihre Durchsetzung finden können.

Das setzt aber auch voraus, dass wir wahrscheinlich die Richter dazu schulen, um das alles zu verstehen, oder? Was meinst du?

Ja, also Schulungen auf jeden Fall. Man muss sagen, wie immer in juristischen, es kommt drauf an, es gibt Richter, die sind selber total interessiert an dieser neuen Technik. Es gibt natürlich aber auch Richter, die kaum genau wissen, wie BeA funktioniert, wobei das viele Anwälte selber auch nicht wissen, muss man ja sagen.

Das heißt, ja, wie auch wenn ich…

Da wäre auf jeden Fall…

Ich hab dich aus dem Konzept gebracht, weil ich gerade über BEA lachen musste. Ich hab auch BeA ist echt so ein Theater, da können wir beide ja was zu sagen.

Aber gut, sorry. Ich hab dich aus dem Konzept gebracht.

Ja, nee, alles gut. Also ich denke, da wären auf jeden Fall viele Schulungen nötig. Insbesondere muss man ja wirklich den Kern des Ganzen verstehen, wie das Ganze funktioniert, um es dann letztlich zu bewerten.

Und ein anderer Punkt ist ja auch, den ich meine, den man in der ZPO irgendwie ändern bzw. dem gerecht werden müsste. Es bringt ja erst mal nichts, einen Titel zu haben.Das heißt, Titel bedeutet, sie haben den Prozess gewonnen. Sie haben einen Urteil beispielsweise bekommen oder irgendwie im einstweiligen Verfügungsverfahren einen Beschluss, wie auch immer. Und sie können damit jetzt was machen.

Sie können jetzt ihr Recht bekommen, vollstrecken, was auch immer drin steht. Nur, wenn wir jetzt von Tokenökonomie und Tokenisierung sprechen, kann es ja durchaus sein, angenommen, jemand schuldet ihnen Coins. Sie möchten eine Herausgabe von Coins haben. Oder aber sie wollen Coins einstweilig sicher lassen. Oder aber sie sagen, ich möchte jetzt gegen Sicherheitsleistungen vollstrecken. Und der andere sagt, ja okay, ich kann entweder zu meiner Bank gehen, aber eigentlich gibt die mir nichts.

Ich habe aber total viele Token. Kann ich nicht die vielleicht als Sicherheit hinterlegen? Das heißt, wir haben auch extrem viele Anwendungsfälle, die noch gar nicht so richtig durchdacht sind im Bereich der Zwangsvollstreckung.

Weil das ist ja letztlich das, was wir am Ende wollen. Und ich kann mich da sehr gut an das Gerichtsverfahren letztes Jahr
erinnern. Das war ein einstweiliges Verfügungsverfahren.

Wir wollten in einem sehr hohen Bereich, Geldbereich Coins sichergestellt wissen. Und zwar, weil es nur ein einstweiliges Verfügungsverfahren ist, also für die Zuhörer erläutert, können wir da nur in den seltensten Fällen die Herausgabe an uns verlangen. Das wäre nämlich ein Leistungsbegehren.

Das ist seltenst möglich, die Hauptsache vorwegzunehmen. Deswegen muss man das an einen Gerichtsvollzieher beispielsweise herausgeben. Und dann dem Gericht zu erläutern, dass der Gerichtsvollzieher sich eine Wallet anlegen muss, auf die das Ganze dann überwiesen wird.” “Und er muss dann die Wallet natürlich auch vorhalten, für den Fall, wenn es schlussendlich über das Ganze entschieden ist. Das ist auch super komplex. Das heißt, wir müssen schon überlegen, dass wir das auch infrastrukturell korrekt aufziehen und beispielsweise auch Gerichtsvollzieher mit Wallets ausstatten.

Man müsste jetzt überlegen, nicht dass diese Wallet auf einmal wegkommt, weil die irgendwie auf der Festplatte ist, wie man dieses ganze Ökosystem hat. Da ist viel, viel mehr dahinter, als einfach zu sagen, wir schulen die Richter. Da hängt eigentlich die ganze Gerichtsjustizinfrastruktur dahinter und das ist ein richtiges Mammutprojekt.

Aber unumgänglich.

Ja, aber das ist ja echt spannend und das ist natürlich wirklich ein Aspekt, über den man so gar nicht nachdenkt. Man denkt natürlich immer so Blockchain, Tokenökonomie, super, da müssen wir viel machen. Aber wenn man sich dann immer diesen ganzen Rattenschwanz an Sachen, die sich ändern müssen, dann mit vor Augen führt, dann wird einem erst die Reichweite bewusst, mit der man sich hier auseinandersetzen muss.

Denn das, was du jetzt gerade sagst, da hab ich ja noch nie drüber nachgedacht. Klar, wenn ich jetzt zu jemandem verklage, auf Bitcoin herausgebe oder jetzt auf M1, 2 in Verfügung zu fahren, und das muss erstmal beim Gerichtsvollzieher gesichert werden, also wenn ich mir vorstelle, ich gehe hier zum Hamburger Amtsgericht und sag dem, du musst mal meine Bitcoins hier sichern, die würden mich hier angucken, als hätte ich gerade gesagt, hier sind Aliens bei euch draußen vor der Tür gelandet. Hattet ihr den Titel und war das tatsächlich so, dass der Gerichtsvollzieher sich dann eine Wallet angelegt hat?

Leider nein, es kam am Ende zu einem außergerichtlichen Vergleich und deswegen ist es leider leider leider nicht dazu gekommen, dass der Gerichtsvollzieher sich eine Wallet anlegen durfte. Ich glaube, der Gerichtsvollzieher war sehr froh drum.

Das glaube ich auch, ja.

Man muss aber sagen, dass das natürlich einfach praktische Punkte sind, wenn man A sagt, dann muss man B sagen und wahrscheinlich auch C. Und das ist natürlich dann ja, ob man dann sich überlegt, irgendwie eine Ausschreibung zu einer Machbarkeitsstudie von einem Ministerium, also irgendwie die Staatswallet, ja, weil der Gerichtsvollzieher wird ja nicht irgendwie tätig als Privatperson in dem Moment, sondern er handelt ja schon für den Staat, wenn er Sachen in Gewahrsam nimmt und dann wäre das vielleicht nicht so super, wenn es irgendwie eine dahergelaufene Wallet ist, auf der dann vielleicht riesige Vermögenswerte gespeichert werden, da müsste man sich überlegen, ob man dann halt nochmal so eine ja, also BR 2.0, also die Justizwallet schaffen würde.

Spannend, Wahnsinnsthema, also da wüsste ich zumindest jetzt schon mal eine Expertin, die den Staat dazu beraten kann. Du hast vorhin das Thema BR angesprochen. Siehst du da auch die Möglichkeit mit Blockchain zu arbeiten in dem Bereich?

Ja, ich denke jeder, der im rechtsberatenden Beruf tätig ist und ab und an mal ein Gericht auf der, ja, zu Gesicht bekommt, der ist natürlich mit dem leidigen Thema BR äußerst vertraut. Ich will jetzt nicht sagen, dass das bei uns in der Kanzlei kein Thema ist, ganz im Gegenteil. Ich glaube, das ist in jeder Kanzlei ein riesen Thema.

Also es ist tatsächlich so sehr mit Humor zu nehmen, dass ich bei Facebook eine BEA Selbsthilfegruppe mit über 2000 Leuten gefunden habe, wo Rechtsanwälte, Rechtsfachangestellte etc. ihre Probleme melden. Finde ich super, zeigt ja, dass wir total auf dem Weg sind, unsere Justiz zu digitalisieren auf eine gute Art und Weise.

Das Problem bei BeA ist zweierlei. Einerseits der Anwender von BeA, andererseits, dass es halt auch nicht so ganz super sicher ist und was mein Problem immer bei sowas ist für jemanden, der eben an Fristen gebunden ist. Ich bin immer unsicher, ob dieses BeA wirklich da angekommen ist mit den Anhängen, mit der Nachricht etc.

Das sei beim Faxen, wenn man sehr lange Faxe hat, schon immer so ein Problem. Aber wenn ich überlege, ich muss um 10 vor 12 noch mal fristwarend irgendwas einlegen. Wenn ich dann anfange, den PC hochzufahren und das BEA-Gerät fängt an zu rattern, dann werde ich grau.

Deswegen wäre vielleicht auch eine Überlegung, dass man sagt, naja, man kann ja auch vielleicht Schriftsätze auf die Blockchain packen, weil dann hat man auf jeden Fall ein Timestamp. Man weiß dann ganz genau, um 10 vor wurde das ganz konkret mit dem Inhalt eingelegt und da sind eigentlich keine Möglichkeiten mehr zu sagen, das war nicht so. Weil es gibt oftmals Probleme entweder mit dem Postweg oder mit dem Behr oder mit dem Fax, dass irgendwelche Sachen nicht ankommen.

Und dann heißt es, naja, was machen wir jetzt, ja, irgendwie nochmal das Ganze aufrollen oder nicht wieder Einsetzung. Das hätten wir dann vielleicht gar nicht, weil wir dann glasklar auf der Blockchain nachweisen könnten, wann das genau eingereicht worden ist.

Das ist eine super Idee, da habe ich noch gar nicht drüber nachgedacht. Auch klasse Idee. Ich meine, das müsste ja dann so eine Art Gerichts-Blockchain sein, oder?

Also das müsste man vielleicht dann bundesweit machen, aber eigentlich dürfte da echt wenig Gegensprechen, das zu machen, oder? An der Logik drin. Klar, der Staat betreibt das dann, das finden die Blockchain-Puristen nicht so super.

Aber es ist ja in der Tat Timestamp nicht veränderlich, klar nachweisbar. Der Schriftatz war auf der Blockchain um 10 vor 12 mit allen Anlagen oder eben nicht. Und vor allem natürlich dann nicht irgendwie beim Fax wartete man dann da immer eine Stunde neben Faxgerät und, also ich kenne das noch früher, als ich so Stühlenplatzklagen gemacht habe und dann so Fristwand irgendwie wirklich so um halb 12 gefaxt habe und das waren dann irgendwie so 30 Seiten und dann man zitterte sozusagen mit, geht das wirklich durch halt dann, ne?

Und dann kam dann immer kein Faxbericht und dann hat man bis morgens früh gezittert, bis man beim Gericht angerufen hat und die dann gesagt haben, jo, ist alles durchgegangen. Und klar, hier könnte man das mit einer Blockchain einfacher machen. Also würdest du sagen, das ist so eine Bundes-Blockchain dann, wie funktioniert das, wie würde es dir funktionieren aus deiner Idee heraus?

Naja, also ich denke, schon sollte eine zentrale Infrastruktur sein. Man sieht ja auch, dass es sowas gibt, zum Beispiel das zentrale Schutzschriftregister. Das ist ein Register, da kann man sogenannte, wie der Name schon sagt, Schutzschriften einstellen.

Das heißt, wenn man befürchtet, dass gegen einen eine einzelne Verfügung beantragt werden könnte, dann legt man da schon mal präventiv seine Argumente vor. Und das hat gewisse Vorteile, also es wird dann vielleicht nicht ohne mündliche Verhandlungen entschieden, etc. ohne da jetzt ins Detail zu gehen.

Das heißt, es ist jetzt nicht unbekannt im Gerichtskosmos, Justizkosmos. Ich meine, dass einfach aus Sicherheitsaspekten hier definitiv eine bundesweite Lösung zu präferieren wäre, auch einfach aus, ja, im Hinblick auf den Umstand, dass das ja auch zentral administriert und gewartet werden sollte. Das wäre schlecht, wenn jedes kleine Gericht, also ich komme aus dem Ruhrgebiet und da ist relativ viel Bevölkerung und das heißt, es gibt sehr viele kleine Amtsgerichte.

Wenn ich mir vorstelle, dass das Amtsgericht Lünen, ja, was irgendwie über vier Sitzungssäle verfügt und quasi vier Richter oder so, da auf einmal eine eigene Blockchain betreiben würde, also das Gericht ist sehr sehr schön holzvertäfelt, aber das passt da einfach nicht rein. Das heißt, es muss schon ein zentral administriertes System sein, wegen auch etwaiger Sicherheitsfragestellung und ja, ich denke, das könnte man auch DSGVO konform, um den Schlenker zurückzuschlagen, aufstellen. Wir haben ja gelernt, während wir an der DIN gearbeitet haben, dass da gewisse Möglichkeiten durchaus bestehen, das Ganze dann bei Ablauf von Aufbewahrungsfristen dann auch zu löschen.” Das heißt, auch von der Perspektive aus würde ich kein Problem sehen. Und man müsste sagen, das spart viel sonstiger Infrastruktur, die man hat, also die Bundesnotarkammer, die das BEA betreibt, dann irgendwie Faxgeräte, die 30 Regenwälder, die permanent irgendwie in Beschlag genommen werden, weil alles ausgedruckt wird und gefaxt wird und keine Ahnung. Also ich denke, da wäre auch aus Umwelts-Gesichtspunkten, falls das für die Zuhörer relevant ist, auf jeden Fall was da, was man verbessern könnte, ungeachtet dessen natürlich, dass die Blockchain auch an sich dann Strom verbraucht. Aber das kriegt man ja alles in den Griff.

Das ist wirklich eine schöne Idee und darüber könnte man wirklich mal nachdenken. Wird in die Justiz hineinzutragen zu sein, wird sicherlich natürlich eine Weile dauern, bis das dann in der Justiz tatsächlich so ankommt, dass es für alle verständlich ist. Aber ein Projekt für die Zukunft.

Du hattest auch mal mir gesagt, dass du mal drüber nachgedacht hast, Sicherheitsleistung durch Stablecoins. Ist das richtig?

Ja, auch, genau Vollstreckung ist ja so ein großes Thema. Und heute wird ja Vollstreckung gerne dadurch betrieben, dass man entweder das Geld einzahlt, um ein Urteil zu vollstrecken, wenn es ein Urteil ist, das nur gegen Sicherheitsleistung vollstreckbar gemacht wurde, oder eben Bankbürgschaft. Und ich meine, warum sollte man dann wirklich dann irgendwo noch Geld deponieren auf einem Bankkonto?

Ja, wenn wir jetzt schon mal so in der Tokenökonomie sind und wir meinen, dass wir auch mit unseren Bitcoins auf der Wallet bezahlen, warum soll das beim Gericht eigentlich nicht funktionieren?

Ja, es wäre halt natürlich schlecht, wenn man da eine volatile Währung hinterlegen würde, das wäre wahrscheinlich nicht so Sinn der Sache, weil der Sinn der Sicherheitsleistung ist, sollte sich der Anspruch doch als nicht gegeben erweisen und dich also zu Unrecht vollstreckt haben, dann soll das Vollstreckungssubjekt quasi, also derjenige, gegen den ich vollstreckt habe, keinen Schaden dadurch tragen und dann würde er sein Geld plus, ja es sind meistens so 10 bis 20, 30 Prozent, was noch an Zuschlag draufkommt, für etwaige Schäden dann zurück bekommen. So und ich meine, wenn wir darüber diskutieren, dass es halt auch vielleicht Stablecoins geben sollte und dass wir unsere Bankenökonomie auch verändern, warum sollte das nicht in der Justiz ähnlich sein?

Weil ich stelle mir vor, ich habe beispielsweise, wenn es irgendwann mal dazu kommt, Stable Coins, warum soll ich die denn nicht hinterlegen dürfen? Warum sollte das hier anders behandelt werden?

Das ist natürlich auch wieder die Idee, wenn jetzt der E-Euro schon diskutiert wird, dann wäre das ja nur der nächste Schritt dann, dass man entsprechend dann durch den E-Euro am Ende auch die Sicherheitsleistung hinterlegen kann.

Das sind erstmal ganz tolle ZPO-Themen und die kann ich hoffentlich zum Nachdenken anregen. Jetzt hast du allerdings auch noch ein Thema und jetzt möchte ich mal kurz aus der ZPO rausgehen. Das finde ich als Jurist super sexy und gerade wo wir jetzt mit einer Veränderung des KWG unterwegs sind, wo jetzt die Rechtssicherheit eigentlich da ist hinsichtlich Kryptowertehandel.

Du hast mal einen Aussatz geschrieben zum Widerrufsrecht beim Handeln mit Krypto. Ganz grob jetzt gesagt, du kannst das gleich viel besser erklären. Und da habe ich auch mal drüber nachgedacht und da könntest du ja ein ganz heißes Thema entdeckt haben.

Magst du das einmal vielleicht ein Stück ausführlicher erklären, damit das wirklich die Zuhörer einmal verstehen können? Ich glaube, es sind nämlich auch so aus meiner Community ab und zu Nichtjuristen dabei, die eben auch Kryptowertehandel und Kryptowertehandel, Tausch etc. alles ermöglichen mit ihren Firmen.

Für die könnte das echt ein Thema sein, was du da entdeckt hast. Da würde ich mich freuen, wenn du dazu was sagst.

Letztlich geht es darum, dass man als Verbraucher, wenn man bei einem Unternehmen Waren oder Dienstleistungen erwirbt, dass man dann ja ein Widerrufsrecht erhält. Meistens sind das halt vom Gesetz. Deswegen sind das 14 Tage vorgesehen.

Kann man natürlich dann auch länger gestalten. Jedenfalls ist klar, wenn sie bei Ebay was kaufen oder in einem Online-Shop, dann wissen sie, sie haben eben diese 14 Tage Widerrufsfrist, indem sie den Widerruf ausüben können und damit so vom Vertrag zurücktreten. Das Thema flächendeckender Widerruf von Verträgen ist zuletzt hochgekommen vor ein paar Jahren, als Verträge bei der Immobilienfinanzierung widerrufen worden sind, und zwar sehr, sehr viele, weil nicht ordnungsgemäß über das Widerrufsrecht belehrt worden ist.

Das heißt, wenn ich als Unternehmer alles richtig machen möchte und dann auch entsprechend als Kryptobörse beispielsweise, wenn ich also Kryptowährung verkaufe oder ankaufe, dann muss ich natürlich mir auch Gedanken machen, dass ich das regulatorisch alles korrekt ausgestalte und insofern auch über das Widerrufsrecht informiere. Jetzt ist das natürlich nicht immer einfach. Wenn es einfach wäre, dann müsste man als Jurist nicht so lange studieren.

Bei jeder Regel gibt es natürlich auch eine Ausnahme. Und zwar gibt es auch eine Ausnahme für das gesetzliche Widerrufsrecht. Stellen Sie sich vor, Sie würden jetzt bei, weiß ich nicht, nennen wir es mal, Sie würden jetzt Essen, ja, okay, Sie würden jetzt irgendwie online bei Lieferando Essen bestellen.

Ich mache jetzt übrigens keine Werbung. Es kann auch Delivery Hero oder irgendwas anderes sein.
Wir sind Freunde aller Lieferdienste als Juristen, weil wir meistens spät arbeiten und uns eher noch was liefern lassen. Deswegen, wir machen Werbung für alle, aber bitte mit deinem Beispiel weiter.

Ja, und Sie würden jetzt irgendwie sich was bestellen lassen. Es ist ja irgendwie über das Internet erfolgt. Sie haben bezahlt über das Internet, Sie haben Ihre Bestellung aufgegeben über das Internet und dann kommt die Salami-Pizza und die sieht irgendwie nicht so gut aus.

Dann ist halt die Frage, können Sie das widerrufen? Und das ist dann halt nicht möglich. Sie können schon sagen, Mängelgewährleistung, nehme ich nicht an, das sieht aus wie tote Katze.

Aber Sie können eben nicht widerrufen. Dieses klassische, ich gebe es jetzt weg und schicke es zurück. Und da hat nämlich genau der Gesetzgeber bestimmte Ausnahmetatbestände vorgesehen, warum Sie nicht widerrufen können.

So was Ähnliches ist es auch, wenn Sie Computersoftware einkaufen, die versiegelt ist, Sie dann die Versiegelung abmachen und beispielsweise über das Programm Ihres Vertrauens das Ganze brennen würden. Also ich hab früher noch CDs gebrannt und dann das Ganze zu Saturn zurückgeben, dann wäre das auch nicht gut und deswegen gibt es da auch kein Widerrufsrecht. Und jetzt komme ich zu dem Punkt, es gibt kein Widerrufsrecht bei Waren oder bei Dienstleistungen einschließlich Finanzdienstleistungen, deren Preis von Schwankungen auf dem Finanzmarkt abhängt, auf den der Unternehmer, also hier beispielsweise der Kryptowährungshändler, keinen Einfluss hat.

Das ist halt deswegen gedacht, damit nicht sie heute eine Aktie kaufen, über das Internet, über ihren Broker und übermorgen ist die nur noch ein Drittel wert und dann sagen sie, nee, nee, ich widerrufe. Das heißt, hier hat sich der Gesetzgeber klar entgegen, das soll nicht zum Nachteil des Brokers, des Händlers gereichen. Da muss man eben das Risiko eingehen.

Und wir haben uns, mein Kollege Benjamin Kirschbaum und ich haben uns eben mit der Frage beschäftigt, wie ist das eigentlich bei Kryptowährung? Weil wir wissen ja alle, dass das nicht so ganz klar war. Zumindest ist der Aufsatz letztes Jahr im Juni erschienen.

Und es war sehr wenig klar, wie das regulatorischen Deutschland weiter vorangetrieben wird, insbesondere auch, ob jetzt der Bitcoin, nenne ich es jetzt mal, Finanzdienstleistung im Sinne konkret dieser Vorschrift ist. Und Sie können sich ja vorstellen, der Bitcoin ist jetzt knapp, ich glaube, um die 7.000 Euro. Ich bin jetzt gar nicht so sehr im Bild.

Ich gucke nochmal nach. 7.789 Euro ist da heute laut Kurswert. Und es gab ja auch Zeiten, da war der Bitcoin auch sehr viel höher.

Und stellen Sie sich vor, Sie hätten es gekauft kurz vor dem kleineren Crash. Und eine Woche später ist der Bitcoin nur noch die Hälfte wert. Dann hätten Sie natürlich sehr großes Interesse, das gegenüber der Börse ihres Vertrauens zu widerrufen.
Klar, wir können ja sagen, der war mal bei 20.000 Dollar Ende 2017. Und dann ist er glaube ich Anfang 2019 war er dann noch irgendwie bei 3.200 Dollar. Wir reden ja nicht mal über die Hälfte.

Wir reden aber einen Wert, der ein Sechstel von dem ist, was er vorher war. Und da kann sich jeder ausmalen, dass dann jeder natürlich das Interesse hat. Hey, ich bin mal wieder auf dem Höhepunkt des Bullmarktes eingestiegen und dann kam der Bärmarkt.

Ich wurde Richtigkeit erwischt und dann möchte ich widerrufen.

Genau und deswegen ist es sehr wichtig zu überlegen, wie man das korrekt aufsetzt, damit nämlich niemand daherkommt und sagt, ich möchte widerrufen. Und zwar bei der diese Regelung, dass das für die Finanzdienstleistungen so gilt und dass man da kein Widerrufsrecht hat, basiert auf der Finanzdienstleistung Fernabsatzrichtlinie, der FINFAL. Und aus der ist jetzt nicht so hundertprozentig ersichtlich, wie genau das jetzt im konkreten Einzelfall gemeint ist, weil da auch einfach sehr viel regulatorische Unsicherheit im Sinne des KWGs ist, was damit reinspielt

Also ich möchte das gar nicht zu juristisch aufziehen. Letztlich ist das Ergebnis, dass man gar nicht unbedingt darauf.

Antun muss, vor Gericht zu argumentieren, dass die Richtlinie ganz anders gemeint ist und dass man hier auf jeden Fall zu einem Ausschluss des Widerrufs gelangen würde, weil der Punkt ist ja der, wenn das Widerrufsrecht ausgeschlossenes Kraftgesetz ist, dann muss ich darüber informieren. Oder aber ich muss ein Widerrufsrecht einräumen, wenn es denn nicht Kraftgesetzes ausgeschlossen ist. Das heißt, irgendeine Information muss auf jeden Fall kommen und deswegen der Tipp an alle gewerblichen Händler von Kryptowährungen, gucken sie sich das genauer an, was sie da ganz genau betreiben, weil nichts wäre schlimmer.

Sie, ja, das werden sie wahrscheinlich nicht tun. Sie informieren über das bestehende Widerrufsrecht, weil sie wollen ja nicht von 20.000 auf drei fallen und die Risiken des Traders mittragen. Andererseits wollen sie auch nicht unterrichten und sich dann gefallen zu lassen, dass jemand noch Jahre später kommt und widerruft, weil wenn ich nicht ordnungsgemäß informiert habe über das nicht bestehende Widerrufsrecht, dann läuft die Frist letztlich auch unendlich.

Und deswegen ist es wichtig zu schauen, dass man die Plattform, das Interface ordentlich darstellt, dass man dazu gelangt, dass der Verbraucher auf sein Widerrufsrecht im konkreten Fall verzichtet bzw. sich damit bereit erklärt, dass dieses Widerrufsrecht eben mit dem Zeitpunkt, wo die Dienstleistung erbracht wird, dann einfach nicht mehr existiert. Das ist so ähnlich bei digitalen Inhalten, wenn sie zum Beispiel Musik kaufen würden, da ist das lässig genauso geregelt.

Das Ergebnis ist, man muss sich gar nicht unbedingt die Frage stellen, besteht das Widerrufsrecht oder nicht. Man muss nur dazu gelangen, in der praktischen Umsetzung, dass man es zum Erlöschen gebracht hat, weil dann müssen sie sich definitiv nicht mehr mit der Frage beschäftigen, kann hier noch ein Verbraucher widerrufen oder auch nicht. Ich denke, dass das auf jeden Fall für sehr viele Krypto-Händler, die sich einfach dessen nicht bewusst sind, weil wir einfach wahnsinnig viele regulatorische Vorgaben haben, dass die sich auf jeden Fall aber damit mal beschäftigen sollten, weil das sehr stark das eigentliche Geschäftsmodell angreifen könnte.

Das finde ich super spannend. Das betrifft ja jetzt auch die Banken, die jetzt ja mit Kryptowährungen handeln dürfen. Da weiß ich nicht, ob so alle Bankberater, die da üblicherweise unterwegs sind, das auch im Blick haben, was du gerade gesagt hast.
Also wenn ich jetzt irgendwo im Blockchain-Bereich wirklich unternehmerisch tätig werden würde, ich hätte jetzt gelernt, dich als Anwältin anrufen bzw. Winheller kontaktieren, wäre glaube ich eine echt gute Idee. Echt immer beeindrucken, was du machst.

Was glaubst du denn, was passiert so 2020 im regulatorischen Bereich im Bereich Blockchain? Erwartest du was, worauf sich Zuhörer einstellen sollten? Oder bist du auch selbst nur ganz gespannt, ob was passiert?

Ja, also ich sehe, dass das Thema mehr in den Fokus gerät, aber fernab von, oh mein Gott, der Bitcoin steigt weiter und wir müssen jetzt kaufen oder nicht kaufen, weil das ist ja das, was so ein bisschen die Schlagzeilen 2017, 2018 geprägt hat, sondern mehr hin zu dem, was ich auch präferiere an der ganzen Geschichte, Blockchain als Technologie zu sehen und nicht nur als ein Mittel von Werte durch die Gegend zu schieben. Dafür ist meiner Meinung nach, es ist dann zu kurz gegriffen. Die Blockchain-Technologie kann einfach viel, viel mehr als nur das.

Und ich denke, dass wir mit der Bundesregierung, die jetzt anfängt, da aktiver zu werden, also auch der Roundtable, den du jetzt angesprochen hattest, bei dem wir uns dann hoffentlich in zwei Wochen sehen, dass da einfach der gesetzgeberische Wille anfängt zu entstehen. Wir haben jetzt gewisse gesetzgeberische Regelungen gesehen, die jetzt anfangen, zum Beispiel Kryptoverwahrung etc. aber das ist jetzt allein nur auf den Kryptobereich gemünzt, aber eben was die Technologie anbetrifft.

Weil letztlich muss man es ja klar sagen, Deutschland ist ein Land, was in erster Linie natürlich davon lebt, dass es Dinge erschafft, die digital sein möchte und digital sein muss, was jetzt selten noch Schuhe an sich produziert, sondern eher eben IP-Rechte oder auch sonstige Technologie, die dahinter steckt. Und wenn wir natürlich als Standort hier in Deutschland sexy sein wollen für Investoren von außen beispielsweise, dann sollten wir uns wirklich überlegen, ob wir den Standort Deutschland auch dadurch stärken, dass wir ein gewisses Niveau an Rechtssicherheit schaffen für so blockchainbasierte Geschäftsmodelle. Man könnte natürlich sagen, man geht in irgendein Land, wo nichts reguliert ist.

Wo nichts reguliert ist, ist ja super, solange man selber der Ganove ist vielleicht. Wenn man aber sein Rechtssichtgesetz wissen möchte, dann ist es schon ganz gut, wenn man Regulierungen hat. Deswegen auch Gerichtsstandort Deutschland.

Wenn man wüsste, blockchainbasierte Geschäftsmodelle und ZPO vertragen sich super, dann könnte man sich durchaus überlegen, seinen Vertriebs-GBH oder sowas in Deutschland zu gründen und von hier aus die Geschäfte zu betreiben. Und ich denke, das ist auch das, was die Bundesregierung mittlerweile sieht, dass das Thema zu groß ist, um sich nicht darum zu kümmern. Deswegen bin ich eher wahrscheinlich gespannt, was uns erwartet.

Es ist ja meistens so, dass man als Jurist irgendwie dann am Ende so ein Gesetz vorgesetzt bekommt, dass es dann jetzt in Kraft getreten lebt damit und arbeite. Ich finde es aber genauso schön, gerade bei diesem Thema, dass man die Möglichkeit hat, meine ich jedenfalls, auch seine Stimme mitzugeben, auf gewisse Entwicklungen vielleicht hinzuweisen, die einem, weil sie eben im tagtäglichen Geschäft eher über den Weg laufen, als jetzt zum Beispiel der Bundeskanzlerin oder auch jemand vom Ministerium einfach die Eindrücke zu teilen und auch wirklich aktiv mitzuwirken an unserer Blockchain-Ökonomie hier in Deutschland. Deswegen, ich möchte jetzt keine Prognosen treffen.
I
ch denke, wenn wir in dem Tempo weitermachen, wie wir es jetzt sind, denke ich, dass wir auf einem guten Weg sind, auch wenn es natürlich wichtig ist, sich nicht darauf auszuruhen, sondern immer weiterzugehen und auch Blockchain so ein bisschen als, ja, Missionarstätigkeit. Blockchain im Ministerium als Missionarstätigkeit wahrzunehmen.

Das machen wir beide ja auch halt dann und du hast schön gesagt, ich kann das alles nur so unterschreiben. Ganz tolle Aussagen. Was darf ich zum Abschluss noch ganz kurz für unsere Zuhörer?

Dass du jetzt eine absolute Blockchain- und Krypto-Expertin im rechtlichen Bereich bist, das haben wir glaube ich jetzt hier eindrucksvoll dargestellt und ich kann nur jedem Zuhörer raten, der da Probleme hat oder was lernen möchte, meldet euch bei Olga. Ihr seht, das ist eine absolute Expertin, die das sehr charmant und auch in der Tat immer sehr entertaining rüberbringt
Wenn ich jetzt noch andere Bereiche schauen möchte, was berätst du ansonsten noch? Wo kann ich dich als absolute Expertin beauftragen?

Ja, also ich denke, wichtiger Bereich, den ich immer wieder gerne mache, ist natürlich Big Data Unternehmen, also Datenschutz in Big Data Unternehmen, also alles, was letztlich digital und neu ist. Natürlich Old Economy ist immer ein Thema, das ist einfach da und das ist immer noch überwiegend da. Aber insbesondere reizt es mich einfach, in Rechtsbereiche zu gehen, die jetzt noch nicht so determiniert sind, durch eine Vielzahl von Rechtssprechen, sondern wo man wirklich, und das finde ich eigentlich das Schönste an der Juristerei, sagen kann, das sind meine vier Auslegungsmethoden, Wortlaut, Sinn und Zweck, Systematik und Historie.

Und ich setze mich da wirklich dran nach dem Motto, wie würde meine Oma das entscheiden? Das finde ich viel charmanter als im Kommentar nachzugucken, welche Meinungen es dazu gibt. Und deswegen reizt es mich insbesondere in Bereiche von KI zu gehen oder auch in Bereiche von Big Data, Data Mining, Crawling etc.

Das ist ein Punkt. Und ein anderer Punkt, den ich sehr gerne mache, ist tatsächlich, der vielleicht, weiß jetzt nicht, ob der jetzt so richtig passend ist, ich begleite in dem Bereich auch sehr gerne M&A Transaktionen, sprich ich bin diejenige, die lässt sich darum kümmert, dass eine M&A Transaktion, wenn sie zum Beispiel von Mandanten von uns durchgeführt wird, der jetzt auf der Verkäuferseite steht oder gerade Venture Capital bekommen möchte, dass wir die Transaktion datenschutzkonform aufstellen von A bis Z, also wirklich von der Verhandlung der ersten Schritte, vom Termsheet bis hin zum Closing.

Das finde ich immer ganz spannend, weil dieses Thema eigentlich ja totgeschwiegen wird auf der einen Seite, aber ich finde es auch sehr spannend, so ein bisschen im Games-Bereich mal zu schauen, was man da aufstellen kann.

Also sehr viel im Software-Urheberrecht, letztlich Transaktionen mit digitalem Inhalt. Und ein anderer Punkt, der so ein bisschen noch darauf zurückkommt, dass ich insgesamt gerne blockchain-basierte Geschäftsmodelle berate, ist natürlich auch AGB und Vertragsrecht. Also das macht mir richtig viel Spaß.

Zum Beispiel, wir haben für diverse Krypto, nenne ich es jetzt mal Automaten, auch schon mal AGB erstellt. Und das ist einfach sehr spannend, auf der einen Seite zu sehen, der regulatorische Rahmen. Ich muss dir über alles den Verbraucher informieren.

Wie kommt der Vertrag zustande? Wer speichert die Daten vom Vertrag? In welchen Sprachen kann man es abschließen, Et cetera. So dieser Wulst an Regelungen. Und das Ganze dann auf die Blockchain.

Man muss dann dem Verbraucher erklären, wie das Ganze funktioniert. Wenn er sich z.B. Kryptowährungen und Automaten kaufen würde.

Das ist eine richtige Herausforderung. Das sind dann die Sachen, die mir am meisten Spaß machen.

Toll, das waren schöne Schlussworte. Man könnte hier wahrscheinlich stundenlang und deinen War Stories zuhören. Aber du bist ja schon in kürzerer Zeit wieder bei mir auf dem englischen Podcast.

Dann widmen wir uns den Ergebnissen des Roundtables und dem Thema Blockchain und Data Privacy nochmal. Olga, das war ein tolles Gespräch. Vielen Dank, dass du die Zeit genommen hast.

Danke dir, Dennis, auch für deine Zeit und auch natürlich für die Einladung. Ich freue mich immer wieder, bei dem Thema zu sprechen, aber auch insbesondere mit Kolleginnen und Kollegen, die selber sehr stark in dem Thema drin sind. Insbesondere auch, weil sie sich dafür begeistern.

Deswegen freue ich mich sehr auf unser Treffen in zwei Wochen und natürlich auch auf den Podcast, den wir danach aufnehmen. Und ich hoffe, dass das heute nicht allzu juristisch war und zumindestens die Entertaining-Komponente nicht zu kurz gekommen ist. Insofern freue ich mich natürlich auch gerne über Zuhörerfeedback und bin gerne auch das nächste Mal dabei.

In diesem Sinne, beste Grüße nach Hamburg aus Frankfurt und bis bald.

Beste Grüße zurück und vielen Dank und bis bald.

Auf Wiedersehen, tschüss.

Zum Schluss noch einmal der Appell, wenn ihr mal auf meinen Podcast kommen wollt als Gast, dann schreibt mich an über LinkedIn, über Xing, über E-Mail, lasst was von euch hören. Ich freue mich über Gäste. Das Interview funktioniert relativ einfach über die App Zoom, wir müssen nicht zusammensetzen.

Und wie ihr gehört habt, ist da wirklich eine gute Qualität bei. Also meldet euch bei mir. Bis dann, bis zum nächsten Mal.” “Habt ihr Themenvorschläge? Wollt ihr Gast einer Folge sein? Dann schreibt Dennis einfach auf LinkedIn oder auf Xing.

Er freut sich von euch zu hören. Bis zum nächsten Mal bei Recht im Ohr.