062: KI, NIS2 und Whistleblowing - Diese Thema beschäftigen Unternehmen in 2024 (MKM + Partner Rechtsanwälte)

00:00:06: Hallo und willkommen zurück bei Blue Screen, dem Tech-Podcast.

00:00:09: Wir haben heute für euch gleich zwei Gäste hier bei uns im Interview.

00:00:14: Und da werden wir uns heute mit rechtlichen Themen mal auseinandersetzen und

00:00:19: die große Frage stellen, welche rechtlichen Themen sollte denn eigentlich 2024,

00:00:23: jedes Unternehmen so auf dem Schirm haben.

00:00:25: Ich habe mir dazu von der Firma MKM zwei Partner, Kollegen, mittlerweile auch,

00:00:32: wie soll ich sagen, Freunde eingeladen, die mit uns auch recht viel schon im

00:00:36: Pegasus-Umfeld mit und für unsere Kunden tun.

00:00:39: Und deswegen begrüße ich ganz herzlich bei uns heute hier im Studio einmal den

00:00:43: Thilo Mertin und den André Hönninger.

00:00:45: Und ich würde sagen, ihr beiden stellt euch doch einfach mal am besten kurz

00:00:48: selber vor und erzählt uns ein bisschen, was ihr bei MKM so macht.

00:00:52: Ja, sehr gerne, Alex. Mein Name ist Thilo Mertin. Ich bin Rechtsanwalt und einer

00:00:56: der Mitgründer von der kleinen MKM-Gruppe hier in Nürnberg.

00:01:00: Wir bestehen aus einer Rechtsanwaltskanzlei, aus Datenschützern und aus einer

00:01:05: kleinen Unternehmung, die auch Software im Legal Tech-Bereich vertreibt.

00:01:10: Und wir sind als Juristen und Rechtsanwälte, glaube ich, vor allen Dingen zu

00:01:15: Technikthemen und Datenthemen sehr affin aufgestellt.

00:01:18: Und das ist einer der Bereiche, in dem wir sehr viel arbeiten und auf die ich

00:01:22: mich als Rechtsanwalt schon ganz früh spezialisiert habe.

00:01:24: Ich brauche bereits Datenschutz seit 2004 und beschäftige mich als Rechtsanwalt

00:01:29: mit allem rund um das Thema Daten und Internet. Okay, danke dir.

00:01:34: Ja, mein Name ist André Hörninger. Ich bin jetzt seit 17 Jahren Rechtsanwalt.

00:01:38: Ich habe es nochmal nachgerechnet, mache aber allerdings schon seit 20 Jahren

00:01:41: ungefähr IT-Recht und bin jetzt seit 13 Jahren fast Fachanwalt auch für IT-Recht.

00:01:48: Das heißt also, bei MKM bin ich so maßgeblich zuständig für alle IT-Projekte

00:01:53: und Streitigkeiten, die so auftreten und bin sozusagen die Schnittstelle zum

00:01:57: Thema Datenschutz, weil ich auch für die Datenschutzbeauftragten dann als Ansprechpartner diene.

00:02:03: Ja, auch dir nochmal vielen Dank, André. Ja, kommt vielleicht die Frage auf,

00:02:08: wie passt denn das jetzt zusammen, die Pegasus und MKM?

00:02:10: Warum machen wir Dinge zusammen?

00:02:13: Und wir hatten jetzt tatsächlich neulich genau den Musterfall,

00:02:16: dass ein Kunde mich nach einer Thematik gefragt hat und ich habe dann gesagt,

00:02:20: also grundsätzlich glaube ich, ist das so und so im Bereich der Datenschutzgrundverordnung,

00:02:26: aber ich kann es dir nicht wirklich sagen.

00:02:28: Ich darf es dir auch nicht wirklich sagen, lieber Kunde, weil ich bin nicht

00:02:31: Anwalt. Ich habe hier keinerlei Kompetenz in dem Bereich.

00:02:34: Ich kann hier auch nichts Rechtsgültiges sagen dazu.

00:02:37: Aber wir haben eben MKM als unseren Partner und dann leiten wir eben solche

00:02:42: Anfragen dann auch entsprechend weiter.

00:02:44: Ganz häufig kommen da auch dann tatsächlich Beziehungen zwischen unserem Kunden

00:02:48: und MKM zustande oder auch, was auch schon passiert ist,

00:02:51: andersrum, wenn bei MKM halt Kunden sind, die halt vielleicht ein gesteigertes

00:02:55: Interesse an IT-Security haben oder auch eine Beratung rund um das ganze Thema,

00:02:59: vielleicht auch um sich vorzubereiten für die Versicherung,

00:03:03: wenn die eine Cyber-Risk-Versicherung haben wollen, dass man halt einfach dann

00:03:06: da gemeinsam in den Markt rausgeht.

00:03:08: Und das hat sich einfach für uns als sehr, sehr gut und sehr praktikabel einfach

00:03:13: herauskristallisiert.

00:03:14: Und deswegen kommt es immer wieder mal vor, dass wir halt sagen zum Kunden,

00:03:18: Mensch, frag doch mal bitte bei MKM, weil die können dir auch sagen, wie das geht.

00:03:21: Im Übrigen, MKM ist auch für die Pegasus zuständig. Das heißt,

00:03:24: wir arbeiten auch da im Bereich Datenschutz zusammen. Zusammen.

00:03:28: Kommen wir mal zu unserer Hauptfrage. Welche rechtlichen Themen sollten denn

00:03:32: Unternehmen in diesem Jahr hauptsächlich auf dem Schirm haben?

00:03:36: Und da gebe ich jetzt mal so direkt nochmal wieder zurück an den Thilo.

00:03:39: Klar. Also tatsächlich ist es so, dass die Digitalisierung in den letzten Jahren

00:03:44: wahnsinnig um sich gegriffen hat in der Praxis.

00:03:47: Das heißt, die Unternehmen arbeiten immer digitaler und digitaler Einsatz und

00:03:50: Daten werden de facto immer wichtiger.

00:03:53: Und der Gesetzgeber hat hier in den letzten Jahren nachgearbeitet.

00:03:57: Und da sind einige Gesetze und Richtlinien, die jetzt in Kraft getreten sind,

00:04:01: die schon im vergangenen Jahr und jetzt auch im neuen Jahr ihre Schatten vorauswerfen.

00:04:06: Und ich denke, wir haben uns heute ein paar der wichtigsten dafür ausgesucht,

00:04:09: über die wir sprechen wollen. Und keine Ahnung, ob ich die jetzt an der Stelle hier nennen soll.

00:04:14: Gerne machen. Ja, und zwar haben wir uns ausgesucht, dass wir über die Themen,

00:04:19: über die Gesetzgebung und das Recht im Bereich der KI, der künstlichen Intelligenz sprechen wollen.

00:04:23: Und dann über die sogenannte NIST-2-Richtlinie, die sich auch damit befasst,

00:04:28: welche kritische Infrastruktur, IT-Infrastruktur, welche Vorgaben die einhalten

00:04:33: muss, welche rechtlichen Vorgaben, um ausreichend geschützt zu sein.

00:04:35: Und als drittes den Bereich des Whistleblowings. Da gibt es eine europäische

00:04:40: Richtlinie und ein deutsches Gesetz dazu zum Whistleblowing,

00:04:43: wo Unternehmen verpflichtet sind, für Hinweisgeber Meldekanäle einzurichten.

00:04:49: Ja, das hört sich super an und ich denke, das sind auch genau die Themen,

00:04:52: die bei unseren Kunden eben auch immer wieder hochkommen.

00:04:55: Jetzt zum Bereich KI natürlich verstärkt immer mehr.

00:04:58: Wir haben jetzt ein bisschen länger als ein Jahr Chat-GPT und was da passiert

00:05:03: ist in der ganzen Zeit, ist natürlich schon Wahnsinn.

00:05:06: Aber halt auch teilweise Wahnsinn, wie dann mit diesem System gearbeitet wird,

00:05:09: weil aus datenschutztechnischer Sicht rollen sich da einem schon mal die Fußnägel

00:05:13: auf, wenn man sieht, was da Kunden für Daten alles reinkippen in diese verschiedenen

00:05:16: KIs, die halt sonst wo laufen.

00:05:18: Ja, NIST 2, definitiv auch ein wichtiges Thema, was angefragt wird von unseren Kunden.

00:05:23: Es herrscht da eine unglaubliche Unsicherheit in diesem Bereich,

00:05:26: weil man eigentlich überhaupt gar nicht weiß, was denn da jetzt eigentlich Phase ist.

00:05:30: Und ja, zum Thema Whistleblowing, da habt ihr mich darauf aufmerksam gemacht

00:05:34: tatsächlich, weil das hatte ich so gar nicht auf dem Radar.

00:05:37: Und damit würde ich sagen, starten wir doch direkt mal ins erste Thema rein,

00:05:40: nämlich rund ums Thema KI.

00:05:43: Welche Empfehlungen habt ihr denn dazu oder welche Gefahren seht ihr denn da?

00:05:47: Wenn ich dort mal anfangen darf.

00:05:49: Also diese Unsicherheit, von der du gesprochen hast, Alex, die bestand schon länger.

00:05:55: Also in dem Moment, wo KI größer aufgekommen ist, Chachiviti in aller Munde

00:06:00: war, war eine große Unsicherheit da.

00:06:02: Okay, was passiert mit den Daten? Es gibt keine Regelungen. und diese Unsicherheit

00:06:07: wird, glaube ich, abgelöst im Moment

00:06:09: von der Angst vor dem KI-Gesetz auf europäischer Ebene, weil man sagt,

00:06:14: jetzt wissen wir gar nicht, was das bedeutet und das wirkt so den ganzen Konjunkturmotor

00:06:19: ab, dass die Unternehmen haben große bürokratische Dinge zu berücksichtigen.

00:06:24: Also das wird so ein bisschen, die Unsicherheit wird quasi bleiben, sie verändert sich nur.

00:06:30: Ja, das Problem haben wir ja im Prinzip bei der DSGVO auch schon gehabt.

00:06:33: Bei der DSGVO letztes Jahr, fünf Jahre DSGVO, da habe ich eine Schlagzeile,

00:06:39: die ist mir im Hinterkopf geblieben bei Heise zum Thema eben fünf Jahre DSGVO.

00:06:44: Und da war eben die Überschrift, die Wirtschaft wettert gegen ein kategorisches Verbotsprinzip.

00:06:50: Und ja, ich meine, auf der einen Seite, klar, die Hersteller von KI-Lösungen

00:06:55: versuchen, suchen, das uns schmackhaft zu machen als Konsumenten.

00:06:59: Microsoft formuliert das so im Bereich Co-Pilot, das kostet ja nur einen Dollar pro Tag und Kopf.

00:07:04: Da muss ich sagen, ja gut, kommt natürlich dann on top zu den anderen Lizenzen,

00:07:08: die man bei Microsoft ja auch schon hat.

00:07:10: Aber ich sage mal so, wenn ich jetzt eine Firma habe mit 100 Leuten,

00:07:14: sind es 100 Dollar am Tag.

00:07:15: Ja, die kann man natürlich, wenn man KI sinnvoll einführt, durchaus wegsparen.

00:07:20: Wenn ich mich wirklich in der Effizienz so steigere oder auch die Qualität besser

00:07:25: wird durch die Verwendung künstlicher Intelligenzen, dann habe ich das Geld

00:07:28: natürlich schnell eingespart.

00:07:29: Ist natürlich andererseits auch eine Art Fliegenfänger, weil man natürlich da

00:07:34: einen Opt-in hat an der Stelle.

00:07:36: Man begibt sich in eine Abhängigkeit auf der einen Seite, aus der man vielleicht

00:07:40: gar nicht mehr so leicht rauskommt.

00:07:41: Auf der anderen Seite verwenden wir aber auf einmal Systeme,

00:07:44: die halt mit Daten arbeiten, die aus Sicht der DSGVO dort halt nichts verloren

00:07:48: haben, weil zum Beispiel der Datenstandort in den USA ist. Wie kann man denn

00:07:53: sich da jetzt vernünftig positionieren?

00:07:56: Ich habe ein schönes Beispiel dafür, der mir gerade auf dem Schreibtisch liegt,

00:07:59: dem, wo ich gerade eine Mandantin von uns berate.

00:08:02: Das ist ein Unternehmen, das möchte im Bereich der Personalentwicklung eine

00:08:06: VR-Brille, eine Virtual Reality-Brille einsetzen, um Vortragssprecher zu trainieren.

00:08:13: Das heißt, wenn ich einen Vortrag vor Publikum halte, nimmt diese Brille mich

00:08:16: auf, analysiert meine Gesten, meine Mimik, meine Worte.

00:08:19: Und diese Auswertung der Brille erfolgt unter anderem in dem Speech-to-Text-Modul

00:08:25: von Microsoft und bei einem kleinen tschechischen Start-up durch eine KI.

00:08:29: Und jetzt hat mich das Unternehmen als Rechtsanwalt gebeten zu prüfen,

00:08:32: welche Risiken dabei bestehen und welche Voraussetzungen getroffen werden müssen,

00:08:36: um diese VR-Brille problemlos einsetzen zu können.

00:08:38: Und da muss man sich vor Augen führen, was dieser an sich harmlose Fall denn

00:08:41: eigentlich bei alles beinhaltet. Ich bringe dort meine Stimme als der Sprechende

00:08:45: ein und erzähle Dinge im Zweifel über mich selber, werde über mich selber analysiert,

00:08:50: meine Gestik und mein Auftreten wird analysiert.

00:08:53: Das heißt, da geht sehr viel von meinem Persönlichkeitsrecht an Daten in die

00:08:56: KI hinein und wird ausgewertet und analysiert. Darüber hinaus kann man über

00:09:00: die VR-Brille PowerPoint-Präsentationen hochladen und redet über geschäftliche Inhalte.

00:09:04: Das heißt, wir reden auch über Betriebs- und Geschäftsgeheimnisse,

00:09:06: die hier auf einmal verarbeitet werden.

00:09:08: Und das heißt, man muss hier in dem Kontext im Auge behalten,

00:09:12: was mit den Daten hinten heraus passiert.

00:09:14: Und meine Anfrage an das tschechische Start-up, ob diese Daten zum Beispiel

00:09:17: auch zu Trainingszwecken, zu weiteren Trainingszwecken für die KI genutzt werden,

00:09:21: konnte mir bisher nicht verbindlich beantwortet werden.

00:09:24: Und gerade in Bezug auf Betriebs- und Geschäftsgeheimnisse ist das fatal.

00:09:27: Und naja, gut, wenn das Datenschutzrecht nicht eingehalten wird,

00:09:30: ergeben sie sich dort auch sehr schnell in die Rechtswidrigkeit.

00:09:32: Also man merkt, selbst bei so einem kleinen Anwendungsfall kommt man sehr schnell,

00:09:35: sehr konkret in solche Aspekte hinein.

00:09:38: Und ich habe ein weiteres Beispiel, das kann ich gleich danach ansetzen und

00:09:41: sagen, auch so ein bisschen auf dem Schreibtisch liegend, wenn man Verlage in

00:09:45: Deutschland berät, dann stellt man fest, die sind so ein bisschen dazwischen gefangen.

00:09:49: Also einerseits bündeln sie Werke von Urhebern, die natürlich alle auch gerade

00:09:54: derzeit etwas argwöhnisch sind und sagen, die klauen uns die ganzen Werke zum Training der KI.

00:10:01: Und zum anderen sind sie natürlich auch den großen Sprachmodellen ausgesetzt

00:10:05: und den großen Playern und versuchen sich in beide Richtungen etwas abzusichern.

00:10:11: Und das sind rechtliche Herausforderungen, auf die das Recht und auch das spätere

00:10:15: Recht in Form des KI-Gesetzes gar keine Antworten bietet.

00:10:19: Das ist gleichzeitig spannend. Und da liegt auch ein bisschen die Verunsicherung

00:10:23: aller Beteiligten drin.

00:10:26: In den USA gibt es gerade die erste Klage von der New York Times,

00:10:30: der Zeitung, gegen die Betreiber von ChatGPT, gegen OpenAI, wegen der rechtswidrigen

00:10:36: Nutzung der New York Times-Inhalte.

00:10:38: Und die haben die Klagesumme noch nicht hundertprozentig festgelegt,

00:10:42: sagen aber, er soll sich im Milliarden-US-Dollar-Bereich bewegen,

00:10:45: die Schadensersatzsumme, wo man darüber gestritten wird.

00:10:47: Also da zeigt sich, dass der Begriff des Urheberrechts und bei den Trainingsdaten,

00:10:50: die für die Trainingsdaten eingesetzt werden, wird da noch auszustreiten sein.

00:10:54: Da wird es sicherlich noch ein weites Feld des Streits geben.

00:10:57: Und Alex, du hast gefragt, wie sich Unternehmen schützen können oder was sie

00:11:00: beachten müssen im Umgang mit KI.

00:11:02: Und da gibt es zu dem europäischen Gesetzespaket, was es mittlerweile zur künstlichen

00:11:07: Intelligenz gibt, jetzt noch ein weiteres Gesetz, das dieses Jahr scharf zieht.

00:11:11: Und das ist die Produkthaftungsrichtlinie.

00:11:13: Die hat bisher nur geregelt die Haftung für körperliche Produkte,

00:11:17: die ich anfassen kann für physikalische Produkte.

00:11:19: Und die wird jetzt erweitert um den Begriff der Software und der künstlichen Intelligenz.

00:11:23: Und damit müssen Unternehmen, die als Hersteller oder in den Marktbringer in

00:11:28: der EU oder sogar nur als sogenannte Fulfillment-Dienstleister,

00:11:32: können damit in Anspruch genommen werden, wenn die KI oder KI-basierte Schäden entstehen.

00:11:39: Zum Beispiel, wie ich vorhin erklärt habe, wenn in der KI persönlichkeitsrechtliche

00:11:43: Daten ausgewertet werden und es entsteht jemandem dadurch einen Schaden im Bereich

00:11:46: des Persönlichkeitsrechts, entstehen da Haftungsansprüche, die sich nach der

00:11:49: Produkthaftungsrichtlinie richten.

00:11:51: Und das ist etwas, wo zum ersten Mal in der Europäischen Union echtes Haftungsrecht

00:11:55: im Bereich der künstlichen Intelligenz geregelt wird.

00:11:57: Und jeder, der das einsetzt, in den Markt bringt oder mit KI Geld verdienen

00:12:01: will, sollte das unbedingt auf dem Schirm haben.

00:12:04: Okay. Heißt aber im Grunde genommen für mich als, mal aus Sicht eines Konsumenten,

00:12:10: eigentlich sollte ich gerade grundsätzlich die Finger von diesen Sachen lassen.

00:12:14: Oder gibt es denn irgendwo gewhitelistete Hersteller, bei denen man sagen könnte,

00:12:19: also die Funktion, jetzt bleiben wir mal vielleicht bei dem populärsten Beispiel

00:12:23: bei ChatGPT, mir einen Text verarbeiten oder vorschlagen zu lassen,

00:12:28: den ich danach noch durch DeepL durchschiebe, damit es auch ein bisschen schöner sich liest.

00:12:33: Das ist okay, solange ich keine Daten dort eingebe, die irgendwo im Kontext

00:12:38: von persönlichen Daten oder Geschäftsgeheimnissen ist.

00:12:42: Macht es Sinn, ein Whitelisting dafür aufzubauen? Oder, weil es ist jetzt gerade,

00:12:47: wenn ich höre, es ist ein Gesetz am Start demnächst, wo es dann auch in Richtung Produkthaftung geht.

00:12:53: Ich kann ja eigentlich gar nichts jetzt davon einsetzen. Wie geht man damit um?

00:12:58: Ich bin kein Freund von generellen Verboten bei solchen Technologien und Innovationen,

00:13:04: wie sie hier im Markt stehen.

00:13:05: Ich mache jetzt seit fast 20 Jahren, berate ich im Bereich Datenschutz und die

00:13:08: Datenschützer waren immer verschrien als die Verhinderer, die immer nur alles verbieten.

00:13:12: Und deswegen sehe ich das Gegenteil schon ergebnisoffen. Ich denke,

00:13:16: man muss mit einem, selbst als jemand, der kein Fachmann ist,

00:13:19: mit einem gesunden Menschenverstand an die Dinge herangehen und sollte und kann sie nutzen.

00:13:23: Wir werden in Zukunft nach meiner eigenen Einschätzung um den Einsatz von KI

00:13:27: nicht drum herum kommen.

00:13:28: Also sich frühzeitig damit auseinanderzusetzen und zu trainieren,

00:13:31: halte ich für absolut sinnvoll.

00:13:32: Und in der Regel kann ich mit einem Bauchgefühl sehr relativ gut einschätzen,

00:13:37: ob ich jetzt Inhalte zum Beispiel bei Chat-GBT,

00:13:39: wo das Ganze komplett öffentlich ist, wenn ich dafür kein Geld bezahle und das

00:13:43: auch als Trainingsdaten weiterverwendet wird, dass da Dinge,

00:13:45: die zum Beispiel betrieblich heikel sind,

00:13:47: vielleicht einfach anonymisiere, wo ich Produktnamen, Personennamen vielleicht

00:13:51: nur auf einen Kürzel abkürze, wo ich eben keine heiklen Informationen reingebe,

00:13:56: sondern die entsprechend verändere.

00:13:57: Oder wenn ich mir etwas zusammenfassen lasse, dass ich weiß,

00:14:00: ich muss selber prüfen können, ob der Inhalt am Ende des Tages tatsächlich stimmt

00:14:03: und wie weit ich so einer Zusammenfassung vertrauen kann.

00:14:06: Also ich glaube schon, dass es wichtig ist, dass wir uns damit auseinandersetzen,

00:14:10: aber jeder, der ein bisschen darüber sich beliest, welche Risiken sich vielleicht

00:14:14: aus diesem sogenannten Halluzinieren von KIs ergeben,

00:14:17: dass da also Fehler auftauchen können, weil die sich einfach was ausdenkt,

00:14:21: die KI, oder eben darüber hinaus, weil ich Dinge, die ich da hineinschiebe an

00:14:25: Informationen und Daten, womöglich auch woanders genutzt werden.

00:14:28: Wenn ich das auf dem Schirm habe, denke ich, kann man schon die wichtigsten

00:14:32: Dinge als normaler Nutzer und Verbraucher damit einfangen. Ich weiß nicht,

00:14:34: André, ob du das anders siehst.

00:14:36: Nee, das sehe ich genauso. Und ich wollte noch ergänzen, dass das Thema Whitelist

00:14:41: natürlich schwierig ist, weil man sagen muss, wer beurteilt denn die Unternehmen?

00:14:45: Das müssten ja letztlich sie selbst sein. Und es gibt keine entsprechende übergeordnete

00:14:49: Behörde oder Instanz, die das machen könnte.

00:14:50: Was man machen kann, ist natürlich, die EU hat als Lückenfüller bis zu dem Zeitpunkt,

00:14:56: wo endlich das KI-Gesetz dann auch Wirkung zeitigt, einen KI-Pakt ins Leben gerufen.

00:15:02: Dazu gehören mittlerweile um die 100 Unternehmen, da sind die Namen sehr bekannt.

00:15:06: Und man könnte jetzt natürlich unterstellen, dass wer sich freiwillig auf die

00:15:10: EU eingelassen hat und auf die kommenden Normen, dann auch eine relativ weiße Weste hat.

00:15:14: Sodass man sagen kann, das ist dann schon so eine Art White List,

00:15:17: aber ganz so weiß wird sie nicht sein.

00:15:20: Und was wir ebenfalls bereits haben in der Europäischen Union,

00:15:22: ist die sogenannte KI-Verordnung.

00:15:24: Ein Rechtsrahmen, der auf der Welt einmalig ist, wo die USA sogar sagen,

00:15:29: wow, das wäre schön, wenn wir sowas auch mal hätten.

00:15:31: Also ein rechtlicher Verordnungsentwurf, der dem Ganzen einen Rahmen geben soll.

00:15:36: Und wenn jemand sich zum Beispiel hierauf auch beruft und auch in den Vordergrund

00:15:39: stellt, dass er das einhält, dass alle Inhalte, die KI generiert sind,

00:15:43: zum Beispiel kennzeichnet und ersichtlich macht, dass sie eben nicht so als

00:15:46: Enttäuschung benutzt werden können.

00:15:48: Da denke ich auch, dass wir da ein Stück Vertrauen schaffen in den Markt und

00:15:52: jeder, der sich daran hält und das zum Beispiel auch in den Vordergrund stellt.

00:15:55: Und ich kann mir durchaus vorstellen, dass sich da in dem Bereich in Zukunft

00:15:58: auch Zertifizierungen entwickeln werden, dass man damit dann auch Vertrauen

00:16:02: schaffen kann bei der Benutzung.

00:16:03: Impliziert natürlich jetzt aber, dass die Unternehmen sich dann für jede einzelne

00:16:07: KI-Anwendung auch in der Tiefe beschäftigen, nachschauen.

00:16:10: Ist denn der Anbieter jetzt zum Beispiel in dieser EU-Thematik dann auch auf

00:16:16: der Liste und beteiligen die sich damit?

00:16:18: Macht es denn vielleicht auch Sinn, das haben wir zumindest für uns gemacht,

00:16:22: kann man das als generelle Empfehlung sagen,

00:16:24: dass es sinnvoll wäre, dass Unternehmen für sich selbst eine Art von KI-Richtlinie

00:16:28: erstellen, wo einfach der Umgang innerhalb des Unternehmens mit KI mal definiert wird,

00:16:34: die Begriffsdefinition auch mal ausformuliert ist, man auch eben diese Sachen,

00:16:39: zum Beispiel keine Verwendung von Kundendaten dort.

00:16:43: Pseudonymisierung von Produkten, hast du auch gerade schon gesagt und eben auch

00:16:47: der ethische Umgang mit einer KI definiert ist, damit man als normaler Mitarbeiter,

00:16:52: der ja im Grunde genommen auch immer nur einen Klick weit weg ist von irgendeiner

00:16:56: der KIs, nachgucken kann, damit man zumindest eine Leitlinie hat,

00:17:00: an der man sich orientieren kann.

00:17:01: Also in der rechtlichen Beratung kann man jetzt schon feststellen,

00:17:04: dass der Bedarf dafür da ist.

00:17:05: Also unabhängig davon, ob wir als Berater sagen, das sollte man auf jeden Fall

00:17:09: tun, was wir tun, kommen die Mandanten von selbst auf uns zu und sagen,

00:17:13: wir möchten da gerne intern eine Regelung haben, weil wir ehrlich gesagt nicht

00:17:17: genau als Geschäftsführung, als Management wissen, ob nicht einzelne Abteilungen

00:17:20: anfangen, zum Beispiel im Bereich HR, schon KI einzusetzen.

00:17:24: Und bevor das ausartet und wir dann keine Compliance hinkriegen,

00:17:29: sollten wir doch eine Richtlinie aufstellen.

00:17:31: Und da sind wir tatsächlich auch dran an solchen Geschichten und beraten auch

00:17:35: schon in die Richtung, obwohl die entsprechenden Regelungen auf EU-Ebene noch gar nicht stehen.

00:17:39: Und wenn Unternehmen sich jetzt fragen, brauche ich das für mich und mein Unternehmen,

00:17:43: würde ich sagen, gilt der Leitfaden oder der rechtliche Rahmen,

00:17:47: wie häufig bei solchen Richtlinien, internen Richtlinien, die man entwirft.

00:17:51: Ich muss mich als Unternehmen fragen, entstehen durch den Einsatz der KI für

00:17:56: mich, also erstens setze ich überhaupt KI irgendwo ein, kommt es zur Anwendung

00:17:59: und zweitens entstehen dadurch für mein Unternehmen, für meine Mitarbeiter in

00:18:03: irgendeiner Art und Weise Risiken.

00:18:05: Wenn ich das bejahe, dann denke ich, macht es auch Sinn, sich selber einen eigenen

00:18:09: Leitfaden und eine Leitlinie dazuzugeben. Okay, vielen Dank.

00:18:12: Gibt es denn eine Art Vorlage, wenn jetzt ein Hörer, eine Hörerin heute sagt,

00:18:17: das würde mich doch sehr interessieren, kann man sich an euch dann wenden?

00:18:22: Unterstützt ihr die Unternehmen dabei bei der Erstellung so einer Richtlinie?

00:18:25: Selbstverständlich tun wir das. Wir sind mit den Themen im gesamten gesetzgeberischen

00:18:29: Weg jetzt schon gegangen und befassen uns mittlerweile,

00:18:33: ich will nicht sagen tagtäglich, aber doch regelmäßig damit und helfen selbstverständlich

00:18:36: den Unternehmen sehr gerne, hier entsprechende Vorgaben zu entwickeln,

00:18:39: Richtlinien anzulegen oder sei es auch nur eine kleine Checkliste zu machen,

00:18:42: zu sagen, was muss ich genau beim konkreten Einsatz beachten. Sehr gerne.

00:18:47: Ja, das ist super. Also erster Call to Action, wenn ihr die Folge jetzt gerade

00:18:50: hört. Unten in den Show Notes findet ihr natürlich auch die Kontaktinformationen von MKM.

00:18:54: Da könnt ihr natürlich dann auch mal direkt Kontakt aufnehmen,

00:18:58: wenn euch das jetzt interessieren sollte an dieser Stelle. Ja,

00:19:01: spannendes Thema, vor allem sehr dynamisches Thema.

00:19:04: Ich glaube, ich kann mich nicht erinnern, dass in der Historie der IT und Entwicklung

00:19:09: im Informatikbereich jemals irgendwas so polarisiert hätte auf der einen Seite

00:19:14: und auf der anderen Seite auch mit so einer Geschwindigkeit sich entwickelt hätte.

00:19:17: Ich glaube, da werden wir dieses Jahr auf jeden Fall noch sehr,

00:19:20: sehr viele Dinge sehen und viele Dinge erleben.

00:19:23: Und ja, ich bin da auf jeden Fall auch bei euch, was das angeht,

00:19:27: dass man sagt, ein grundsätzliches Nein zu KI, glaube ich, das kann man sich

00:19:31: heute auch nicht mehr leisten als Unternehmen. Es sind mittlerweile daraus sogar

00:19:36: ganze Berufe entstanden.

00:19:37: Ja, es gibt jetzt den Prompt Engineer, also Leute, die quasi verstehen,

00:19:41: wie hätte denn die KI gerne ihren Input, damit dann ein maximal guter Output

00:19:47: nachher rauskommt. Also auch sowas gibt es mittlerweile.

00:19:50: Ich denke, da wird noch eine Menge passieren in dem Segment und bleibt auf jeden

00:19:54: Fall spannend und sollte man dranbleiben.

00:19:57: Kommen wir direkt mal zum zweiten Punkt, dem NIS 2, Netzwerkinformationssicherheitsgesetz 2.

00:20:03: Ich habe diesen sperrigen, richtigen Abkürzungsnamen gerade nicht parat.

00:20:07: Das hat irgendwie einen typisch deutschen, abgekürzten, größeren Titel noch, das Ganze.

00:20:13: Was hat es denn damit auf sich und warum sollten Unternehmen denn das dieses

00:20:17: Jahr auch auf dem Radar haben? Ich fange mal hinten an.

00:20:21: Also warum sollten Unternehmen, vor allem die Geschäftsführung,

00:20:23: das auf dem Schirm haben? Letztlich ist es das ganze Bestreben auf EU-Ebene,

00:20:28: was dann letztlich auch in Deutschland jetzt umgesetzt werden muss durch zwei Gesetze.

00:20:31: Das dient dazu, ein absolutes hohes Maß an Cybersicherheit zu gewährleisten

00:20:37: und spricht direkt das Management, also die Geschäftsführung an.

00:20:40: Das heißt, die Aufgaben, die

00:20:42: da für die Unternehmen lauern, die kommen werden im Bereich Compliance.

00:20:46: Wir müssen nicht nur von der Geschäftsführung direkt umgesetzt werden,

00:20:49: sondern auch überwacht werden.

00:20:50: Und sollte es dabei zu Nachlässigkeiten kommen, ist das direkt ein Thema für

00:20:54: die Geschäftsführerhaftung.

00:20:55: Das bedeutet, da ist ein hohes Risiko drin, das vielleicht auch schlecht versichert werden kann.

00:21:00: Und es lohnt sich dann frühzeitig vor allen Dingen in die Beratung zu kommen

00:21:04: und zu fragen, was muss ich denn tun?

00:21:07: Und so ähnlich auch wie bei den anderen großen Vorhaben, die in den letzten

00:21:10: Jahren auch auf uns zugekommen sind, wie Datenschutz und Hinweisgeberschutz,

00:21:14: ist das ein Thema, beim Hinweisgeberschutz etwas weniger, aber es ist ein Thema

00:21:18: des Risikos, wo man risikobasiert schauen muss,

00:21:21: was gilt dann eigentlich für mich und es erinnert so ein wenig an die ISO-Zertifizierung.

00:21:25: Man muss also gewissen Punkten nachkommen.

00:21:28: Und vor allen Dingen, und das darf man an der Stelle nicht vergessen,

00:21:32: alle diejenigen, auch wir in der Beratung, die vorher mal gesagt haben,

00:21:35: naja, es gibt diese Kritis-Unternehmen.

00:21:37: Und da haben wir unsere Schablone gehabt und haben die angesetzt.

00:21:40: Wenn jemand gekommen ist, haben wir gesagt, naja, sie sind kein Kritis-Unternehmen,

00:21:44: deswegen können sie sich etwas entspannen. dann ja, IT-Sicherheit ist ein wichtiges Thema.

00:21:48: Da gibt es halt Unternehmen wie Pegasus, die sich dann da vorne bis hinten drum kümmern können.

00:21:52: Rechtliche Beratung kann man auch angedeihen lassen, ist aber nicht so relevant.

00:21:56: Also so, dass das jetzt ein Riesenthema wäre, ist damit gemeint.

00:21:59: Aber jetzt ist es so, dass der kleine Bereich von Kritis-Unternehmen,

00:22:02: den man so auf 4.000 bis 5.000 Unternehmen geschätzt hat, anwächst durch die

00:22:07: Umsetzung auf, man schätzt ungefähr 30.000 Unternehmen.

00:22:11: Einfach deswegen, weil der Kreis der betroffenen Unternehmen Unternehmen weitergezogen

00:22:14: wird und man ruckzuck als kritisches Unternehmen gesehen wird.

00:22:18: Man hat das tatsächlich auch schon gespürt während der Corona-Pandemie,

00:22:21: als es plötzlich hieß, okay, wer darf denn überhaupt nach seiner Arbeit nachgehen und wer nicht?

00:22:25: Und da hat man gesagt, okay, das sind wichtige Berufszweige.

00:22:29: Ich habe das persönlich auch gemerkt, als mein Kind in die Kita sollte,

00:22:32: da durfte man das nur machen, wenn man irgendwie ganz wichtige Tätigkeiten hat.

00:22:35: Und bei diesen kritischen Infrastruktur und anderen Unternehmen,

00:22:39: die kritisch sind als System, da war es ja auch ähnlich.

00:22:42: Das heißt, vielleicht ist das auch eine Erkenntnis daraus, dass man sagt,

00:22:45: wir müssen das Ganze weiterspannen und dann geraten jetzt Unternehmen in den

00:22:50: Fokus, die sich vorher darum nicht gekümmert haben.

00:22:54: Und deswegen ist da ein unglaublicher Beratungsbedarf bei den Unternehmen gegeben.

00:22:58: Wie kriege ich denn jetzt raus, ob mein Unternehmen von dem NES2 betroffen ist?

00:23:03: Ja, dazu muss man tatsächlich auch wieder eine Schablone erstellen und die hat

00:23:08: im Prinzip zwei wesentliche Punkte, die ich berücksichtigen muss.

00:23:11: Das eine ist so ein wenig die Größe.

00:23:13: Da unterscheidet man zum einen, wie gesagt, nach den großen Unternehmen.

00:23:17: Da geht es dann um die Frage, wie viele Beschäftigte und wie viel Umsatz macht

00:23:22: das Unternehmen. Da gibt es dann aber auch wieder Sonderfälle,

00:23:24: sonst wäre es viel zu einfach, dann könnte nämlich das jeder sich angucken und

00:23:27: bräuchte keine Beratung.

00:23:28: Und dann geht es natürlich darum, es gibt Anhänge zur Richtlinie,

00:23:33: dann später auch zum BSI-Gesetz, wenn es umgesetzt ist, wo man dann nachschauen kann und sagen kann,

00:23:39: da gibt es Sektoren und in den Sektoren gibt es gewisse Zweige,

00:23:43: wie zum Beispiel natürlich den IT-Bereich oder Strom und Gas und Wasserversorgung,

00:23:49: solche Geschichten. an die denkt man natürlich als erstes.

00:23:51: Die sind dort auch erfasst, aber auch natürlich herstellendes Gewerbe wie Kraftfahrzeugherstellung

00:23:57: ist auch davon umfasst, sodass man einfach durch Blick in diese Tabellen feststellen

00:24:02: kann, gehöre ich dazu oder nicht.

00:24:04: Und je nachdem, in welcher Größe ich auf dem Markt mitspiele,

00:24:08: ergeben sich dann mehr oder weniger Pflichten.

00:24:10: Ja, in der Tat ist es also auch so, dass da von der begrifflichen Unterscheidung

00:24:15: gegenüber der bisherigen Kritisverordnung jetzt unterschieden wird zwischen

00:24:19: besonders wichtigen Einrichtungen und wichtigen Einrichtungen.

00:24:22: Und gerade dieser Begriff der wichtigen Einrichtungen erweitert diese hohe Anzahl,

00:24:26: die Anwendungsbereiche auf eine sehr hohe Anzahl von Unternehmen,

00:24:29: wie es der André gerade schon kurz beschrieben hat.

00:24:30: Ich kann mal kurz einfach vielleicht um einen Einblick zu geben,

00:24:33: damit Unternehmen, die betroffen sein könnten, welche Sektoren oder welche Bereiche

00:24:37: denn da eigentlich aufgezählt werden.

00:24:39: Aber tatsächlich ist die Bestimmung, ob man letztlich dazugehört,

00:24:41: nicht ganz so einfach, muss ich gleich vorweg sagen.

00:24:43: Aber betroffen sind mittlere und große Unternehmen aus diesen Bereichen Energie.

00:24:48: Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur,

00:24:53: Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur,

00:24:57: Weltraum, Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung,

00:25:03: verarbeitendes Gewerbe, was ich besonders spannend finde, weil das könnte fast jedes sein.

00:25:07: Nein, Anbieter digitaler Dienste und Forschung, Vertrauensdiensteanbieter,

00:25:12: da könnten zum Beispiel meiner Meinung nach auch Rechtsanwälte drunter fallen.

00:25:15: Also tatsächlich ist hier ein Katalog, den man letztlich prüfen muss,

00:25:19: wo man sagen muss, fällt man grundsätzlich unter den Bereich der wichtigen Einrichtungen

00:25:23: und hat man gegebenenfalls auch eine kritische Anlage, die man betreibt.

00:25:26: Auch das ist ein Begriff, der dort definiert ist, dass beides Hand in Hand gehen

00:25:29: muss miteinander. Aber de facto zu sagen, ich habe jetzt hier den Online-Prüfer,

00:25:34: wo ich meine Kriterien eingebe und dann spuckt er am Ende aus,

00:25:36: ob ich da drunter falle, so einfach wird es leider im Moment noch nicht sein.

00:25:40: Ich denke, da werden sich jetzt noch weitere Papiere und Leitfäden entwickeln,

00:25:44: wie man sich diesem Thema annähern kann.

00:25:46: Aber im Moment gibt es leider noch nicht den einmaligen Bestimmer oder die Eingabemaske,

00:25:49: wo ich meine Kriterien eintippe und dann herausbekomme, ja, ich muss mich an

00:25:53: die neue NIST 2-Richtlinie halten oder muss es nicht.

00:25:55: Ja, ist natürlich ein bisschen kompliziert, weil wenn ich jetzt mal gucke,

00:26:00: bis wann das denn jetzt auch tatsächlich in geltendes Recht umgesetzt wird,

00:26:03: da reden wir von Oktober diesen Jahres.

00:26:05: Und ich kann jetzt aber noch gar nicht wirklich sagen, bin ich denn jetzt in

00:26:09: Zukunft davon betroffen oder nicht?

00:26:11: Und dem gegenübergestellt mal ein Realisierungsaufwand, der dahinter stecken

00:26:16: könnte, wenn ich jetzt einfach mal aus dem Blickwinkel ISO auf das Ganze schaue, ISO 27001 zum Beispiel.

00:26:23: Der André hatte gerade gesagt, das ist so ein bisschen wie ISO zu verstehen, das Ganze.

00:26:27: Mein Unternehmen, keine Ahnung, ich bin vielleicht jetzt der regionale Abfallentsorger.

00:26:32: Ich hatte bislang damit nichts zu tun, weil mein Unternehmen war zu klein.

00:26:35: Das hat alles gepasst. Aber theoretisch nach dem neuen Modell falle ich in einen der Sektoren rein.

00:26:41: Ich weiß aber nicht, betrifft es mich jetzt oder nicht.

00:26:44: Ich weiß aber durchaus, weil es eben Erfahrungswerte gibt im Markt,

00:26:48: dass die Einführung von einem ISO-Standard wie ISO 27001 zum Beispiel gern mal

00:26:52: ein Jahr oder mehr dauern kann, bis es denn dann passt,

00:26:56: dann laufen wir jetzt im Prinzip sehenden Auges in die Klinge.

00:27:00: Ja, man muss dazu sagen, es gibt schon noch so eine kleine Frist,

00:27:03: die man hat, die etwas versteckt ist.

00:27:06: Was auf die Unternehmen zukommt, die verpflichtet sind, dass sie gegenüber einer

00:27:09: entsprechenden Stelle Nachweis verpflichtet sind.

00:27:12: Das heißt, sie müssen schon nachweisen, dass sie die Maßnahmen,

00:27:15: die für sie gelten, auch eingesetzt haben.

00:27:18: Und die greift, also die erste Nachweispflicht greift erst 2027.

00:27:22: Da könnte man sich jetzt rücklehnen und sagen, ach, was erzählen die eigentlich

00:27:25: jetzt schon 2024 davon? Das ist ja noch ewig hin.

00:27:28: Also wer das sagt, der hat 2018 bei der DSGVO nicht aufgepasst,

00:27:32: weil der Vorlauf, den man braucht, um solche Dinge, du hast es gerade gesagt,

00:27:37: Alex, mit der Zertifizierung, der Vorlauf ist schon grundsätzlich erheblich,

00:27:40: wenn man mindestens mal ein Jahr.

00:27:42: Und ich glaube, dass auch das Thema allgemeine Compliance ja immer auch wichtig

00:27:47: ist, gerade für die etwas größeren Unternehmen. Und man kann ja nicht einfach

00:27:50: sagen, die Nachweispflicht greift erst 2027.

00:27:53: Die Umsetzungsfrist ist tatsächlich Oktober 2024 und das Umsetzungsgesetz wird

00:27:59: kommen im Laufe des Jahres irgendwann und dann entspricht das,

00:28:03: was man tut, einfach nicht dem Gesetz.

00:28:04: Und man kann nicht ausschließen, dass das am Ende des Tages auch tatsächlich

00:28:08: ein Haftungsthema schon ist, obwohl die Nachweispflicht nicht greift.

00:28:11: Weil wenn es heißt, naja, du bist doch verpflichtet, entsprechende Maßnahmen

00:28:15: der IT sicher zu machen, hast du nicht gemacht, jetzt ist ein Schaden entstanden, also bist du dran.

00:28:19: Das heißt, sich zurückzulehnen zu sagen, naja, in drei Jahren muss ich dann

00:28:23: erst was auf den Tisch legen, das wäre verkehrt und sehr gefährlich.

00:28:26: Naja, wenn wir bei dem Beispiel des Siedlungsabfallentsorgers mal bleiben.

00:28:31: Angenommen, die haben einen ungeschützten RDP-Zugang zu ihrem Server,

00:28:36: der hängt direkt am Internet und im Oktober geht das Recht dann los.

00:28:41: Das heißt, das Gesetz tritt dort in Kraft und ab dann gilt es.

00:28:44: Und im Dezember wird dieses Unternehmen eben angegriffen, diese Sprachstelle

00:28:48: wird ausgenutzt, das Unternehmen wird verschlüsselt und kann deswegen nicht

00:28:52: mehr den Siedlungsabfall entsorgen.

00:28:53: Dann haben wir ja genau schon die Situation, die du gerade gesagt hast,

00:28:56: André, das Recht gilt. Und auch wenn er den Nachweis erst in drei Jahren hätte

00:29:00: erbringen müssen, aber das Recht gilt jetzt und es kann dann eben.

00:29:04: Zu den ja teils doch sehr drakonischen Strafen führen.

00:29:08: An der Stelle vielleicht auch mal, um es mal in Zahlen zu backen,

00:29:11: was steckt denn da wirklich an Strafe dahinter?

00:29:14: Also jetzt nicht nur vielleicht an Bußgeldzahlungen, sondern welche Strafandrohungen

00:29:17: stecken denn da sonst noch drin?

00:29:19: Ja, du musst ja nur anfangen und über Ransom nachzudenken, die Zahlungen,

00:29:23: die dann erforderlich sind, um den Laden wieder ans Laufen zu bringen.

00:29:26: Wie gesagt, wenn die Geschäftsführung dafür sorgen muss, dass letztlich alles

00:29:30: getan wird, um das zu verhindern, Am Ende des Tages ist es natürlich keine hundertprozentige

00:29:35: Sicherheit, aber man muss es ja zumindest versuchen.

00:29:37: Wenn das nicht getan wird, dann könnte sein, dass dieses Lösegeld,

00:29:41: das man zahlen muss, als Schaden ersetzt werden muss.

00:29:43: Und diesen Schuh möchte sich, glaube ich, niemand anziehen. Und das alleine

00:29:46: reicht ja schon. Da müssen wir nicht mehr über Bußgelder oder Ähnliches reden.

00:29:50: Und Reputation, allein was man an Kunden verlieren kann.

00:29:53: Wir haben schon Unternehmen gesehen, die in die Insolvenz gegangen sind wegen

00:29:57: solcher Vorfälle, wegen der IT. Ich glaube aber auch, dass das im Management

00:30:01: bewusst ist, dass man hier in einem Risiko ständig läuft.

00:30:06: Und wir können kurz zurückspringen zum Thema KI.

00:30:08: KI ist natürlich auch ein Helfer bei der Herstellung von IT-Sicherheit,

00:30:13: aber auch natürlich ein Problem und sozusagen ein Punkt,

00:30:16: der steigert auch die Gefahr eines Angriffs, weil alles noch besser wird durch

00:30:21: KI und auch natürlich die Schadsoftware.

00:30:24: Und der Bußgeldrahmen, der ist ähnlich wie schon bisher im BSI-Gesetz,

00:30:28: in dem ja die NIST-2-Richtlinie umgesetzt wird in Deutschland,

00:30:31: wieder weiterhin gestaffelt.

00:30:33: Und es geht im Grunde genommen summenmäßig los in dem Bereich von 100.000 bis

00:30:37: 500.000 Euro und kann für die wichtigen und sehr wichtigen Einrichtungen bis

00:30:43: zu einem Bußgeldrahmen von 20 Millionen Euro hochgehen.

00:30:46: Also tatsächlich stehen hier durchaus beachtliche Summen im Raum für ein einzelnes

00:30:50: Unternehmen. Unternehmen und das, was André halt gerade schon gesagt hat,

00:30:53: bestimmte Schäden, die dem Unternehmen entstehen, wie zum Beispiel das Zahlen

00:30:57: von einem Zwangsgeld, wenn ich erpresst werde mit verschlüsselten Daten.

00:31:01: Ja, besteht ein Anspruch des Unternehmens gegen den Geschäftsführer,

00:31:06: wenn er seine Überwachungspflichten aus dem Gesetz nicht eingehalten hat,

00:31:08: dass der Geschäftsführer persönlich dieses Geld zum Beispiel erstatten muss

00:31:12: und dafür schaden, dass er es pflichtig ist.

00:31:13: Also da sind vielfältige Ansetzungspunkte gewesen im Gesetz,

00:31:17: die jetzt in das BSI-Gesetz gegossen sind und die sicherlich ernst zu nehmen

00:31:21: sind, die nicht auf die leichte Schulter zu nehmen sind.

00:31:23: Ja, zu guter Letzt geht es natürlich nicht nur dann um den Unternehmer und die

00:31:27: Firma, sondern es geht natürlich auch um das Personal.

00:31:30: Also müssen wir mal, wenn wir mal ehrlich sind, das sehen wir auch,

00:31:33: wenn wir Auditierungen bei den Kunden machen und dann eben auf Schwachstellen

00:31:37: hinweisen, dann kommt irgendwann logischerweise auch die Frage,

00:31:40: was kostet es mich denn, um das abzusichern, damit das nicht mehr da ist und dann sage ich,

00:31:45: keine Ahnung, 100.000 Euro. Und dann heißt es, ui, das ist aber teuer.

00:31:49: Dann sage ich, ja, aber was meinst du, was das erst kostet, wenn wir es nicht lösen?

00:31:53: Und genau das, was André eben gerade auch gesagt hat, Lösegeldzahlungen,

00:31:57: Reputationsverlust, Wiederanlaufkosten und, und, und, und, plus dem,

00:32:01: was jetzt in Zukunft dann ja eben durch das Gesetz auch noch geregelt ist.

00:32:05: Also eigentlich sollte es nicht mehr überhaupt zur Debatte stehen oder eigentlich

00:32:10: sollte sich keiner mehr wirklich fragen,

00:32:12: ob man es denn nicht einfach auch aussitzen kann, auch eine bekannte Schwachstelle,

00:32:16: ob man die nicht aussitzen kann, sondern eigentlich sollte das jedem Unternehmer

00:32:20: und jeder Firma klar sein.

00:32:22: Ich behaupte aber jetzt mal, das ist leider nicht der Fall.

00:32:25: Weil das sehen wir halt leider in der Praxis anders. Ich kann jeden Unternehmer

00:32:30: heutzutage verstehen, der über die ganzen Behördlichen und Auflagen und Pflichten,

00:32:35: die den Unternehmern auferlegt werden, stöhnt. Man hört das im Datenschutz ständig, höre ich das.

00:32:39: Wir kommen gleich noch zum Thema Whistleblowing, ist ein ähnliches Thema und

00:32:42: das gilt natürlich auch für den IS2.

00:32:43: Aber die Umsetzungen hier im Bereich der IT-Infrastruktur möchte ich da tatsächlich

00:32:47: explizit von ausnehmen, weil es halt wirklich kein behördlicher Krimskrams ist,

00:32:51: sondern tatsächlich etwas, das unsere Infrastruktur als Staat schützt.

00:32:56: Und wenn man sieht, wie angreifbar und wie verletzlich wir sind,

00:32:58: wenn nur einzelne Angriffe passieren und was alles ausfallen kann,

00:33:01: sieht man, wie wichtig hier ein Gesamtschutzkonzept ist.

00:33:04: Und ich begrüße es sehr, dass der deutsche Staat und auch der europäische Wirtschaftsraum

00:33:09: hier tätig geworden ist, um tatsächlich einen verlässlichen Rahmen zu schaffen,

00:33:13: der Unternehmen in diesem Bereich

00:33:15: lenkt, eine solide und vernünftige Sicherheitsinfrastruktur zu etablieren.

00:33:19: Und ich kann jedem Unternehmen nur empfehlen, das nicht nur aufgrund der Bußgelder

00:33:23: ernst zu nehmen, sondern tatsächlich, weil es auch existenzgefährdend fürs eigene

00:33:26: Unternehmen sein kann. Da sollte jedes Unternehmen eine Eigenmotivation haben, das zu tun.

00:33:30: Und wenn man sich jetzt unsicher ist, ob oder in welchem Umfang oder wie man

00:33:33: das Thema angeht, ist eigentlich die Pegasus und MKM anzusprechen genau der

00:33:37: richtige Weg, weil dann kann ich einerseits erstmal richtig prüfen,

00:33:40: falle ich überhaupt unter dem Bereich drunter und die Pegasus hilft dann,

00:33:43: das Ganze auch tatsächlich umzusetzen und fit zu machen.

00:33:45: Also insofern sind wir da schon die richtigen kombinierten Ansprechpartner für

00:33:48: sowas, um ein bisschen Eigenwirkung zu machen an der Stelle.

00:33:50: Ich will noch kurz ein Bild zeichnen. Wenn man es mal vergleicht mit dem Erwerb

00:33:54: eines Kraftfahrzeugs, dann kann man sagen, ich kann natürlich,

00:33:57: um Kosten zu sparen, sagen, na ja, okay,

00:33:59: ich brauche kein ABS und ich brauche kein Anschnallgurt und alles das,

00:34:03: was das Leben etwas sicherer macht, wenn man Auto fährt, auf das verzichte ich,

00:34:07: weil es günstiger ist, es ist mir zu teuer.

00:34:08: Ich weiß, dass es natürlich verpflichtend ist, solche Dinge zu haben mittlerweile,

00:34:11: aber angenommen, man dürfte darauf verzichten, dann kann man sagen,

00:34:15: beim Erwerb des Fahrzeugs spare ich mir halt das Geld und es wird schon nichts passieren.

00:34:18: Das ist ja so ähnlich dann, wenn ich sage, ich verzichte auf gewisse Maßnahmen,

00:34:22: egal ob ich verpflichtet bin oder nicht, ich lasse es einfach,

00:34:25: ich lasse es darauf ankommen. Aber wenn was passiert...

00:34:27: Wenn man auf der Autobahn fährt und es passiert was, dann ist der Schaden immens,

00:34:31: der körperliche, wenn man keine Sicherheitsmaßnahmen hat.

00:34:34: Und genauso ist es auch bei dem Thema IT-Sicherheit. Ich kann es darauf ankommen

00:34:38: lassen und erstmal Geld sparen, aber wehe, es passiert was.

00:34:41: Und gerade für den Fall sollte man gewappnet sein, weil den Totalschaden möchte man nicht erleiden.

00:34:46: Ja, absolut nicht. Wir haben zu dem Thema bei uns auf der Website,

00:34:51: findet ihr auch unten in den Shownotes, eine Frage-Antwort.

00:34:55: Wie soll ich sagen, Assistenten aufgebaut, der einfach diese Sektoren mal abfrägt

00:34:59: und auch diese grundsätzlichen Eckdaten aus dem Open Kritis heraus sozusagen

00:35:04: mal beleuchtet, damit Unternehmen mal für sich selber zumindest eine grobe Einschätzung machen können,

00:35:09: falle ich denn vielleicht in diese NES2-Sparte rein, bin ich in einem der Sektoren,

00:35:15: könnte mich das betreffen, ist aber an dieser Stelle einfach, muss ich dazu sagen,

00:35:19: von unserer Seite keine Rechtsberatung, sondern das ist einer der vielen Assistenten,

00:35:23: die jetzt in den letzten Monaten im Internet so aufgetaucht sind rund um das Thema.

00:35:26: Wenn ein Unternehmen aber wirklich wissen möchte, ob jetzt NES 2 dann in Zukunft

00:35:31: vielleicht entsprechend ein Thema sein sollte, dann natürlich,

00:35:35: wie es Thilo auch gerade gesagt hat, bitte mit MKM sprechen,

00:35:39: mit Leuten sprechen, die das juristisch auch bewerten können.

00:35:42: Und sollte man sich auf jeden Fall mit beschäftigen, ist meiner Meinung nach

00:35:46: die Top-Priorität dieses Jahr, Ja, was Unternehmen auf jeden Fall auf dem Radar haben sollten.

00:35:50: Was aber auch noch dazu kommt, und das muss man vielleicht an der Stelle auch noch ergänzen.

00:35:57: Sind Unternehmen, die zwar nicht aufgrund der Sektoren nach NIST 2 zu bewerten

00:36:01: sind ab Oktober, aber Unternehmen, die für NIST 2 Unternehmen tätig sind im

00:36:07: Rahmen der Lieferkette.

00:36:08: Denn die werden sich früher oder später von ihrem Unternehmen,

00:36:12: Geschäftspartner die Frage stellen lassen müssen, wie geht ihr denn eigentlich damit um?

00:36:16: Also kennt man aus dem Automotive-Bereich, die TISAX ist sowas ähnliches wie

00:36:21: eine ISO, die sich halt die Automotive-Industrie auf die Fahne geschrieben hat.

00:36:24: Und da ist es auch so, wenn ich Zulieferer bin, egal für was,

00:36:27: sei das jetzt eine Armlehne, Sitzpolster, Software fürs Auto,

00:36:32: Zündkerzen, whatever, muss ich als Unternehmen einen Standard nachweisen,

00:36:36: denn ansonsten darf ich den Autohersteller einfach nicht mehr beliefern.

00:36:40: Das ist hier im Grunde genommen ähnlich zu sehen.

00:36:43: Und auch wir haben für uns schon gesagt, wir sind in sehr vielen Unternehmen

00:36:47: unterwegs, die definitiv jetzt dann unter NIST 2 fallen.

00:36:50: Wir müssen für uns auch schon einen Antwortkatalog zur Verfügung stellen,

00:36:54: weil die Fragen werden definitiv kommen.

00:36:57: Also wir kennen das so ein bisschen aus der Beratung zum Gesetz,

00:37:01: was so schön heißt, Lieferketten-Sorgfaltspflichten-Gesetz, wo man auch sagen

00:37:04: könnte, was interessiert mich das?

00:37:06: Ich bin jetzt nicht Teil einer größeren internationalen Lieferkette.

00:37:09: Aber das betrifft tatsächlich mehr, als das Gesetz hergibt.

00:37:12: Und da ist bei so vielen Unternehmen Beratungsbedarf. Und es ist auch so medial

00:37:17: geworden, wie man an den Beispielen von Rewe und anderen gesehen hat,

00:37:20: dass es auch plötzlich ein Riesenthema wurde.

00:37:22: Und das ist genau das Gleiche hier. Als ich am Anfang sagte,

00:37:26: naja, 30.000 Unternehmen sind betroffen davon,

00:37:28: dann sind die in der Kette dabei gar nicht berücksichtigt, die letztlich auch

00:37:32: gezwungen werden, sich an entsprechende Maßnahmen zu halten oder für die das

00:37:35: am Ende des Tages auch irgendwie eine Rolle spielt. Ja, ganz genau.

00:37:39: Ja, Hand aufs Herz. Die Frage, ist es sinnvoll? Also Thilo hat gerade gesagt,

00:37:43: er begrüßt diese Entwicklung.

00:37:45: Aber ist es sinnvoll im Hinblick auf das Wirtschaftswachstum?

00:37:49: Weil ehrlich gesagt habe ich eher so ein bisschen die Befürchtung,

00:37:51: dass das der Tod für den kleinen Mittelstand bedeutet.

00:37:53: Ich glaube auch, dass der Anwendungsbereich, also die Vielzahl der Unternehmen,

00:37:57: die jetzt davon erfasst wird, dass die tatsächlich sehr groß ist und dass es

00:38:01: natürlich dort in Bereichen, wo das kleine und kleinere Einheiten betrifft,

00:38:06: zu weitgehend oder zu streng sein kann.

00:38:08: Hier wird sich aber in Zukunft zeigen, inwieweit ein Verhältnismäßigkeitsmaßstab

00:38:12: auch in die Details hineingelesen werden kann, wo man sagen muss,

00:38:16: okay, ich kann nicht einem 50-Mann-Unternehmen die gleichen Maßnahmen abverlangen

00:38:20: wie einem 1.000-Mann-Unternehmen oder einem Anbieter aus einem,

00:38:24: ich sage mal eher aus einem Randbereich.

00:38:26: Wir haben vorhin die gewerbliche Produktion und den ähnlichen Bereich gehabt,

00:38:30: die jetzt bisher vielleicht solche IT-Infrastruktur und kritische IT-Infrastruktur

00:38:33: noch viel weniger auf dem Schirm hatten als ein Rechenzentrumsanbieter.

00:38:37: Und ich denke, dass es da wird im Rahmen von Verhältnismäßigkeitsklauseln und

00:38:42: Auslegungen des Gesetzes wird Abstufungen geben müssen. Aber tatsächlich ist

00:38:46: es der Fall, dass sich das erst in der Praxis etablieren und bewähren wird müssen.

00:38:51: Das lässt sich so im Moment noch nicht eindeutig sagen, dass das im Gesetz vorgesehen

00:38:55: wäre, sondern das wird die Anwendung des Gesetzes und das Augenmaß,

00:38:58: das im Zweifel mit behördlichen und rechtlichen Auseinandersetzungen dann erst

00:39:01: entsteht, wird sich das erst etablieren müssen, fürchte ich.

00:39:05: Das Ganze ist ja letztlich eine rechtspolitische Diskussion,

00:39:07: die in allen Bereichen gilt, wo man sagt, überlasse ich dem Markt die Regelung,

00:39:12: also Selbstregulierung, funktioniert das oder bin ich doch gezwungen,

00:39:16: von oben entsprechende Maßnahmen vorzugeben.

00:39:19: Und wenn man auf die medialen Fälle der letzten Jahre blickt,

00:39:24: was Vorfälle angeht, bei der Deutschen Bahn zum Beispiel,

00:39:26: wo dann, wenn man gerade nicht gestreikt wird, dann trotzdem Ausfälle sind,

00:39:30: weil irgendwas bei der IT vorgefallen ist, aber auch in anderen Bereichen, Da muss man schon sagen,

00:39:35: es dient halt mehr als nur dem Unternehmen oder dem einzelnen Anwender,

00:39:39: dem Nutzer, dem Bürger, sondern das ganze System ist in Gefahr.

00:39:43: Und da glaube ich, ist es vollkommen richtig, anzusetzen und zu sagen,

00:39:46: wir brauchen erhebliche Regelungen, auch bis ins Kleinste. dass halt auch die

00:39:51: kleinen Unternehmen, dass sie betroffen werden, das dient den Unternehmen.

00:39:54: Man könnte auch sagen, das können die für sich selber regeln, wenn sie wollen.

00:39:58: Aber wenn dann doch irgendwie eine Bedeutung der Unternehmen da ist für die

00:40:03: Gesellschaft, für die Wirtschaft, dann ist das gerechtfertigt,

00:40:07: denen auch entsprechende Vorgaben zu machen.

00:40:08: Auch wenn es natürlich bedeutet, dass viel Aufwand, Bürokratie dahinter steckt.

00:40:12: Ja, vor allem die Kosten, ja. Aber ja, es ist kompliziert, mit einem Beziehungsstatus

00:40:19: ausgedrückt, es ist kompliziert.

00:40:21: Aber ich glaube, die Alternative wäre, wir schmeißen alles über Bord,

00:40:25: was an Regelungen existiert, führen WeChat ein und machen es dann wie in China.

00:40:28: Aber ich glaube, das kann auch nicht der richtige Weg sein.

00:40:31: Nein, ich glaube auch, dass das nicht zum Ziel führt. Dass es jetzt kompliziert

00:40:35: ist, ist es häufig so, bei den Gesetzgebungspaketen zu beginnen.

00:40:37: Ich möchte hier auch etwas dazu mahnen, zu sagen, zu schauen,

00:40:41: wo sich die Dinge hin entwickeln. Und in der Regel wird es schneller,

00:40:43: klarer auch für den Nichtfachmann.

00:40:47: Okay, wunderbar. Dann haben wir das zweite wichtige Thema damit eigentlich schon

00:40:52: durch. Und damit kommen wir zum letzten.

00:40:55: Das heißt das so, Hinweisgeberschutzgesetz, die Whistleblower-Richtlinie,

00:40:59: ist das das gleiche oder sind das zwei verschiedene Dinge? Das eine erwächst aus dem anderen.

00:41:05: Es ist so, es gibt eine EU-Whistleblower-Richtlinie. Und wie das bei den europäischen

00:41:10: Richtlinien der Fall ist, geben die einen Rahmen vor, der in einem nationalen

00:41:16: Gesetz in den europäischen Ländern jeweils konkret umgesetzt werden muss.

00:41:19: Und in Deutschland ist aus der Vorgabe der EU-Whistleblower-Richtlinie das deutsche

00:41:24: Hinweisgeberschutzgesetz entstanden, das letztes Jahr in Kraft getreten ist. Was bedeutet das?

00:41:31: Die Richtlinie ist gesetzgebungshistorisch daraus entstanden,

00:41:36: aus dem Gedanken entstanden, dass Whistleblower in Europa grundsätzlich in den

00:41:40: europäischen Ländern nicht besonders gut geschützt sind.

00:41:42: Das heißt, wenn ich als jemand, der einen Missstand in einem Unternehmen entdeckt,

00:41:46: der menschenrechtliche Aspekte,

00:41:49: der Umweltaspekte oder andere Dinge, die eben nicht nur das Unternehmen an sich

00:41:53: betreffen, sondern vielleicht auch Außenwirkungen haben,

00:41:55: entdecke und die an jemandem weitergebe, wie eine Behörde oder an die Öffentlichkeit,

00:42:01: dass ich dann als Whistleblower entsprechend häufig geächtet bin,

00:42:05: rechtlich verfolgt werde,

00:42:07: mir rechtlich geschadet werde, ich zu Schadenersatz verpflichtet werde,

00:42:09: meinen Arbeitsplatz verliere.

00:42:11: Und ähnliche andere Repressalien erfahre.

00:42:13: Und um diesen Schutz generell in der Europäischen Union zu verbessern,

00:42:17: wurde die EU-Whistleblower-Richtlinie geschaffen und hat jetzt dazu geführt,

00:42:23: dass die europäischen Länder jeweils in ihrer eigenen nationalen Gesetzgebung

00:42:28: ein Gesetz schaffen mussten, dass Unternehmen,

00:42:30: ich sage jetzt mal grob gesagt, ab 50 Mitarbeitern müssen Unternehmen Meldekanäle

00:42:35: einrichten, die es einerseits ermöglichen, den Whistleblowern solche Hinweise abzugeben.

00:42:41: Und andererseits dafür sorgen, dass die Whistleblower rechtlich geschützt sind,

00:42:45: dass sie in keiner Art und Weise, in irgendeiner Art und Form Repressalien erfahren

00:42:48: dürfen, dass denen also aus der Meldung heraus nichts Schlechtes,

00:42:52: keinerlei Nachteil erwachsen darf.

00:42:54: Heißt also, wenn ich jetzt einen Missstand im Unternehmen entdecke,

00:42:58: keine Ahnung, wir sind ein Industriebetrieb und ich weiß, mein Chef möchte sich

00:43:02: die Entsorgungskosten sparen und lässt deswegen nachts immer giftiges Zeug in die Donau laufen.

00:43:08: So, jetzt habe ich Angst, meinem Chef das zu sagen, beziehungsweise eigentlich

00:43:12: wissen es alle, aber keiner redet drüber.

00:43:14: Ich möchte, dass das aufhört, weil ich ja grundsätzlich halt für Umweltschutz

00:43:19: bin und es nicht gut finde, dass die Donauhalter verseucht wird.

00:43:22: Wie kann ich mir das dann konkret vorstellen? Wie würde so ein Meldeweg denn dann aussehen?

00:43:28: Das Hinweisgeberschutzgesetz sagt, dass solche Meldungen auf verschiedenen Wegen

00:43:32: grundsätzlich abgegeben werden können.

00:43:34: Das kann auf elektronischem Wege über sogenannte Hinweisgeberplattformen oder

00:43:38: Hinweisgebersysteme, die ein Unternehmen einführt, passieren.

00:43:41: Es kann aber auch sein, dass Unternehmen dort andere Möglichkeiten zur Abgabe

00:43:45: schaffen, wie in einem persönlichen Gespräch oder auf einem anderen textlichen Weg.

00:43:50: Wichtig dabei ist halt, dass das Gesetz die Unternehmen verpflichtet,

00:43:54: die Vertraulichkeit von Anfang an zu gewährleisten.

00:43:56: Das heißt, ich muss bei diesem Meldeweg, den ich als Unternehmen einrichte,

00:43:59: dafür sorgen, dass dem Whistleblower das transparent gemacht wird,

00:44:02: wie sein Hinweis weiter bearbeitet wird und dass dabei sichergestellt ist,

00:44:06: dass seine Hinweise vertraulich behandelt werden.

00:44:08: Es ist am Anfang im Gesetzgebungsprozess auch vorgesehen worden,

00:44:12: dass man eine verpflichtende Möglichkeit zur Abgabe von anonymen Hinweisen,

00:44:16: also ohne dass ich meine Identität offenlegen muss, machen kann.

00:44:19: Das ist aber im Rahmen des Gesetzgebungsprozesses wieder herausgefallen,

00:44:23: sodass jetzt es so ist, dass es noch eine Sollklausel gibt. Das heißt,

00:44:28: Unternehmen sollen auch anonym

00:44:30: abgegebene Hinweise, wo der Absender nicht erkennbar ist, bearbeiten.

00:44:34: Sie wären aber tatsächlich de facto nicht mehr verpflichtet, diese zu bearbeiten.

00:44:39: Als Hinweisgeber kann ich aber, und das ist ja das, worauf deine Frage abzielt,

00:44:43: kann ich auf jeden Fall diese Infrastruktur nutzen, um einen Hinweis abzugeben,

00:44:46: eben ohne meine Identität offenzulegen.

00:44:48: So oder so. Was das Unternehmen dann am Ende des Tages daraus macht,

00:44:51: ist dann wieder eine andere Frage.

00:44:53: Tatsächlich ist es aber auch so, wenn die Unternehmen ordnungsgemäß abgegebene

00:44:57: Hinweise nicht bearbeiten und da in angemessener Zeit nichts passiert,

00:45:01: dass ich dann am Ende des Tages eine Eskalationsmöglichkeit habe,

00:45:05: mich an eine öffentliche, an eine bundesweite Meldestelle zu wenden oder sogar

00:45:09: eine sogenannte Offenlegung zu machen und mich an die Öffentlichkeit zu wenden.

00:45:12: Also hier gibt es mehrere Eskalationsstufen hinten heraus.

00:45:16: Gibt es dann, also dafür bin ich vielleicht zu viel Techniker,

00:45:19: aber gibt es dann da gleich direkte Schnittstelle?

00:45:21: Also jetzt mal salopp gesprochen, mein Chef reagiert nicht, ich sehe in meiner

00:45:24: Plattform, jetzt sind schon sechs Monate vorbei, wir schicken immer noch giftige

00:45:28: Abfälle in den Fluss und jetzt drücke ich auf einen Knopf und dann wird es bei

00:45:32: bild.de veröffentlicht. Also jetzt komplett salopp gesprochen.

00:45:35: Ja, das wäre tatsächlich spannend, was das so an Ergebnissen liefern würde.

00:45:40: Aber also de facto ist es so, dass ich auf jeden Fall eine Meldeplattform habe

00:45:44: beim Bundesjustizministerium.

00:45:45: Und es gibt weitere Meldestellen beim Bundesdatenschutzbeauftragten und beim

00:45:49: Bundeskartellamt zum Beispiel.

00:45:50: Aber ich sage mal, die vom Bundesjustizministerium ist vielleicht die thematisch

00:45:54: neutralste, wo ich mich immer hinwenden kann, die Webseite des Bundesjustizministeriums

00:45:58: aufrufen kann und erneut dort die Meldung abgeben kann.

00:46:00: Und wenn das tatsächlich nicht zu einer entsprechenden Handlung führt,

00:46:05: ist es eben auch möglich, tatsächlich das Ganze mit an die Öffentlichkeit zu

00:46:08: gehen und die Dinge offen zu legen und zu sagen, okay, hier hat niemand drauf

00:46:12: reagiert, deswegen sehe ich mich jetzt gezwungen, das an die Presse zum Beispiel zu geben.

00:46:16: Da muss ich tatsächlich sagen, ist es ganz schön, dass das Hinweisgeberschutzgesetz

00:46:20: lesbar geschrieben ist. Das muss man dem Gesetz zugutehalten.

00:46:23: Selbst ein Laie, der hier liest, wie werde ich geschützt und was darf ich jetzt

00:46:28: eigentlich, versteht den Gesetzestext im Grunde genommen ganz gut.

00:46:31: Also jemand, der plant, eine solche Meldung abzugeben, dem empfehle ich tatsächlich

00:46:35: mal den Gesetzestext zu lesen.

00:46:36: Der ist auch nicht so lang, das Hinweisgeberschutzgesetz, sodass man da,

00:46:39: glaube ich, schon sehr viel auch als Laie daraus mitnehmen und verstehen kann.

00:46:42: Muss ich denn eine Frist wahren zwischen der Meldung zum Arbeitgeber hin und

00:46:48: eben dann bis zur Meldung an eine weitere Stelle? Gibt es da eine Regelung,

00:46:53: wie lange ich warten muss?

00:46:55: Also grundsätzlich gibt es keine Pflicht dieser Eskalationsstufen vom Arbeitgeber

00:47:00: an der öffentlichen Meldestelle und an die Öffentlichkeit in dieser Reihenfolge

00:47:04: einzuhalten, sondern es ist tatsächlich so, dass ich von Anfang an die Wahl habe,

00:47:07: ob ich mich an mein Unternehmen oder gleich an die öffentliche Stelle,

00:47:11: zum Beispiel an das Bundesjustizministerium zu wenden.

00:47:13: Der Gesetzgeber möchte natürlich, dass das erst mal innerhalb der Unternehmen behandelt wird.

00:47:17: Aber wenn du schon, wie du es gerade beschrieben hast, Alex,

00:47:20: dass ich womöglich etwas melden möchte, was die Geschäftsführung betrifft,

00:47:23: dann ist mir das vielleicht zu heikel oder zu heiß, das im eigenen Unternehmen zu melden.

00:47:27: Dann habe ich durchaus die Erlaubnis, mich da auch direkt an eine öffentliche

00:47:30: Meldestelle zu wenden. Da muss ich keine Fristen einhalten oder das abwarten.

00:47:33: Es kann halt sein, dass die Rückmeldung von dem Team, das an der öffentlichen

00:47:37: Meldestelle das Ganze behandelt, erst mal rückfragt und sagt,

00:47:40: hast du es denn schon intern gemeldet? Ja, nein.

00:47:41: Wieso, weshalb? Da muss man dann halt in den Dialog treten und schauen,

00:47:45: wohin dann die Ermittlungen und das weitere Prozedere dann führt,

00:47:48: die Behandlung und dann Umgang mit dem Hinweis.

00:47:52: Offenlegung hinten hinaus ist es so, dass wir eine Frist haben von sechs Monaten.

00:47:59: Das bedeutet, ich muss als Hinweisgeber, sollte ich nach spätestens drei Monaten

00:48:04: darüber unterrichtet worden sein,

00:48:05: ob und in welchem Umfang mein Hinweis nachverfolgt, bearbeitet wurde,

00:48:09: ob zum Beispiel Folgemaßnahmen ergriffen worden sind zur Behebung und Abstellung des Umstandes.

00:48:15: Und wenn ich hierzu keinerlei Rückmeldung erhalte, darf ich mich dann entsprechend

00:48:20: auch bei einer Offenlegung Gedanken machen.

00:48:23: Allerdings gilt dies nur für ordnungsgemäß abgegebene Hinweise,

00:48:26: heißt, die nicht anonym abgegeben worden sind.

00:48:29: Wenn ich das anonym abgegeben habe, kann zwangsläufig an mich ja keine Rückmeldung

00:48:33: gegeben werden, weil das Unternehmen gar nicht weiß, wohin es sich melden müsste.

00:48:35: Es sei denn, es gibt eine Meldeplattform innerhalb des Unternehmens,

00:48:39: ein Hinweisgebersystem, das auch anonyme Meldungen und eine Kommunikation mit

00:48:44: einem anonymen Hinweisgeber ermöglicht.

00:48:46: Diese Plattformen sehen also vor, dass man den Hinweis abgibt,

00:48:48: ohne Ross und Reiter zu benennen und sehen dann in einem anonymen Account eine

00:48:53: Chat- oder Kommentaraustauschfunktion vor, sodass meine Identität grundsätzlich geheim bleibt,

00:48:58: ich aber mich dann auch auf diesem Weg mit dem Unternehmen austauschen kann,

00:49:02: ohne meine Identität preisgeben zu müssen.

00:49:04: Gibt es denn Erfahrungswerte schon bei diesen Meldeprozessen in Richtung der

00:49:11: Öffentlichkeit oder auch in Richtung der Gerichte?

00:49:14: Wie groß dann da auch eine Ablehnungsquote vielleicht ist?

00:49:18: Weil ich könnte mir vorstellen, wenn man jetzt so ein bisschen diese Blockwart-Mentalität

00:49:23: mal impliziert bei Menschen,

00:49:26: dass da sehr häufig unter Umständen doch dann Dinge gemeldet werden,

00:49:31: die vielleicht aber entweder lapidar sind oder gar nicht wirklich dann auch

00:49:35: letzten Endes eine rechtliche Handhabe hätten, was natürlich auch wieder zu

00:49:40: einer zusätzlichen Belastung für unser Justizsystem führen kann.

00:49:45: Also de facto ist das Gesetz erst zu kurz in Kraft dafür, um dort bereits von

00:49:48: Erfahrungen sprechen zu können. Ich denke, die haben wir so noch nicht.

00:49:51: Unsere MKM Compliance GmbH ist selbst Anbieter von einer Hinweisgeberplattform,

00:49:56: der Plattform White Sparrow.

00:49:58: Und wir erfahren momentan dort bei den Kunden, die uns als Dienstleister,

00:50:03: Service-Dienstleister mit einbinden, wo wir also in die Hinweisbearbeitung mit einbezogen sind,

00:50:07: erfahren wir derzeit, dass aktuell durchaus erste ernstzunehmende Hinweise in

00:50:12: den Unternehmen eingehen, mit denen man sich auseinandersetzen muss,

00:50:14: mit denen zu arbeiten ist.

00:50:16: Aber die Hinweisgeber in Deutschland agieren da im Moment noch sehr vorsichtig.

00:50:20: Also das scheint nicht so zu sein, dass es hier eine Überflutung mit Hinweisen

00:50:25: oder Fake-Hinweisen gibt, wie das viele vor der Einführung von dem System befürchtet hatten,

00:50:30: sondern ganz im Gegenteil, das wird tatsächlich ziemlich vernünftig und in einem

00:50:34: sehr überschaubaren Umfang derzeit genutzt. Man muss schauen, wo es hinführt.

00:50:38: Es sind Themen, die die Whistleblower-Richtlinie adressiert,

00:50:41: die durchaus dazu geeignet sind, auch einen gewissen Missbrauch zu gewährleisten.

00:50:45: Das heißt zum Beispiel Datenschutzthemen können danach auch gemeldet werden

00:50:49: oder Arbeitssicherheit, Arbeitsplatz, Arbeitsgesundheitsthemen

00:50:52: und solche Meldemöglichkeiten können halt schnell,

00:50:56: zum Beispiel wenn ich mich in einer rechtlichen Auseinandersetzung befinde mit

00:50:59: einem Unternehmen, auch zum Missbrauch benutzt werden.

00:51:01: Denn das bleibt also abzuwarten, inwieweit hier ein Missbrauch der Regelungen

00:51:04: passiert, der dann auch vor Gericht führt und dann auch zu eigentlich unnötigem Aufwand.

00:51:08: Aber derzeit ist es zu früh, um das wirklich einschätzen zu können.

00:51:11: Jetzt hast du gerade interessanterweise gesagt, es gibt eine Lösung,

00:51:15: die ihr auch entsprechend anbietet, White Sparrow.

00:51:18: Hat das denn einen Standard oder gibt es denn einen Standard,

00:51:23: der erfüllt werden muss oder könnte man es sich auch selber bauen?

00:51:28: Warum oder was spricht für White Sparrow und ähnliche Systeme?

00:51:33: Ich denke, die größte Herausforderung aus dem Hinweisgeberschutzgesetz ist die

00:51:36: Wahrung der Vertraulichkeit.

00:51:38: Die ist auch am höchsten bewusst geltend, wenn ich die nicht einhalte und den

00:51:41: Hinweisgeber nicht ausreichend schütze.

00:51:42: Und ich muss mir halt bewusst machen, dass ich nicht von vorne als Unternehmer

00:51:46: nicht einschätzen kann, was wird eigentlich hier gemeldet, was wird mich bei

00:51:49: den Folgeermittlungen hinten raus ereilen, worum werde ich mich kümmern müssen.

00:51:53: Und da ist es einfach ein Riesenvorteil, ein beschlossenes System zu haben,

00:51:58: in dem ich alle Informationen sammeln,

00:52:00: bearbeiten und dezidiert nach einzelnen Rollen und Rechten Benutzer hinzuziehen kann,

00:52:05: die genau, punktgenau sich mit den Informationen auseinandersetzen und die innerhalb

00:52:09: des Systems behandeln, ohne dass die innerhalb des Unternehmens womöglich sogar

00:52:12: am schlimmsten Fall per E-Mail kursieren und da dann dazu führen,

00:52:16: dass die Vertraulichkeit verletzt wird.

00:52:17: Also gerade zur Einhaltung der Vertraulichkeit ist es meines Erachtens sehr

00:52:21: sinnvoll, ein digitales Hinweisgebersystem einzusetzen, das diesen Schutz gewährleistet.

00:52:25: Und das ist natürlich selbstverständlich bei Whitesparrow da auch der Fall.

00:52:29: Ja, das war nämlich jetzt auch so mein Gedanke, weil ich, während du das gesagt

00:52:33: hast, habe ich so kurz darüber nachgedacht, wie könnte man sowas denn intern

00:52:36: selber lösen, aber wenn man so ein System für sich selbst betreibt, egal,

00:52:41: das kann jetzt, was weiß ich, wie ein Sharepoint mit einem Formular davor,

00:52:45: aber da entsteht ja schon so viel Protokoll, dass ich ja technisch durchaus in der Lage sein könnte,

00:52:52: wenn man wollte, herauszubekommen, selbst wenn die Meldung anonym gewesen ist,

00:52:56: von welcher IP-Adresse oder Oder weitere Metadaten, kam denn die Meldung?

00:53:01: Also das Fingerpointing wäre da halt relativ schnell passiert.

00:53:04: Und ich glaube, das ist wahrscheinlich ein ganz großes Argument dafür,

00:53:08: eben für die Verwendung von einer dafür extra geschaffenen Plattform.

00:53:12: Finde ich auf jeden Fall eine gute Geschichte, ja. Dazu muss man sagen,

00:53:16: da geben wir zum Beispiel den Hinweisgebern,

00:53:17: bevor die sich ins Formular einloggen, einen expliziten Sicherheitshinweis,

00:53:21: dass sie dies schon nicht von firmeneigener Infrastruktur machen sollten oder

00:53:25: nicht eingeloggt machen sollten, wenn sie eingeloggt sind im VPN oder ähnliches.

00:53:29: Darüber hinaus werden die Metadaten nach der erfolgreichen Übermittlung des

00:53:32: Hinweises nach innerhalb von 14 Tagen bei Whitesparrow hinten heraus auch gelöscht.

00:53:36: Und dadurch, dass es ein Cloud-basiertes Plattform ist, haben auf diese Metadaten

00:53:41: in der Zeit, wo sie existieren, tatsächlich ja nicht das Unternehmen selbst,

00:53:44: sondern nur wir als Anbieter Zugriff, sodass hier also ein Missbrauch im Grunde

00:53:48: genommen ausgeschlossen ist.

00:53:49: Das hört sich vernünftig an. Finde ich gut und ist auch definitiv eine wichtige Thematik.

00:53:55: Wie kann ich denn jetzt als Unternehmen herausfinden, ob ich davon betroffen

00:53:59: bin? Da gibt es ja mit Sicherheit Eckdaten, ob ich so eine Richtlinie brauche.

00:54:03: Genau, das ist also tatsächlich geregelt im Hinweisgeberschutzgesetz.

00:54:06: Seit 17.12.2023 ist es so, dass in Deutschland alle Unternehmen,

00:54:13: die 50 Beschäftigte haben oder mehr,

00:54:16: verpflichtet sind, solche Meldekanäle einzurichten.

00:54:18: Das gilt mal so als ganz genereller Bereich.

00:54:21: Und dann gibt es einzelne Branchen, wie zum Beispiel Finanzmarktbereich,

00:54:24: Schifffahrt und ähnliche. Ein paar Exoten sind da dabei, die unabhängig von

00:54:28: der Mitarbeiterzahl tatsächlich sogar solche Meldekanäle einrichten müssen.

00:54:32: Aber das sind jetzt keine nennenswerten Größen. Ich denke mal,

00:54:34: diese Richtlinie ab 50 Mitarbeiter ist so das, was die große Masse draußen interessiert.

00:54:38: Tatsächlich sind hier, ähnlich wie bei der NIST-2-Diskussion,

00:54:41: die wir vorhin geführt haben, wieder eine ziemlich große Anzahl von Unternehmen

00:54:44: betroffen in Deutschland, die sich da darum kümmern müssen.

00:54:47: Und da kann man vielleicht aber auch sagen, dass es hier tatsächlich auch gesetzausreichend

00:54:53: Spielraum lässt, auch den kleinen Einheiten eine schmale Lösung zu finden,

00:54:57: die die gesetzlichen Anforderungen gut und sicher erfüllt.

00:54:59: Und da will ich jetzt auch nicht nur auf unserer Plattform zeigen,

00:55:02: sondern es gibt mittlerweile einige etablierte Anbieter am Markt,

00:55:05: die hier Lösungen gerade für ein kleines Unternehmen auch anbieten,

00:55:09: sodass das stemmbar ist und die ganze Sache leicht umzusetzen ist,

00:55:13: ohne dass große Kosten dazu entstehen.

00:55:15: Ganz niedrig angesetzt die Frage,

00:55:17: reicht auch ein anonymer Brief im Kummerkasten? Ist das schon gültig?

00:55:22: Nein, also im Grunde genommen nicht wirklich, weil es tatsächlich hinten heraus

00:55:26: dann mit der Kommunikation zum Hinweisgeber und der Wahrung der Vertraulichkeit

00:55:30: natürlich entsprechend schwierig ist.

00:55:31: Also de facto komme ich damit nicht klar und schon keinesfalls mit einer Einrichtung

00:55:35: einer E-Mail-Adresse, mit der etliche Unternehmen an uns herangetreten sind.

00:55:39: Also tatsächlich halte ich das für sehr schwierig.

00:55:42: Wenn ich mal was ergänzen darf. Ich denke, Unternehmen sollten verstehen,

00:55:45: dass das halt nicht wieder nur so eine Regelung ist, der ich mich unterwerfen

00:55:49: muss und wo ich wieder Pflichten habe, sondern dass darin auch die Chance liegt.

00:55:53: Und wenn ich tatsächlich einen Mitarbeiter habe, der entschlossen ist,

00:55:56: Missstände aufzudecken, die ich nun mal habe, egal ob ich sie kenne oder nicht.

00:55:59: Wenn ich sie nicht kenne, ist es gut, dass jemand sagt, ich habe da was entdeckt.

00:56:02: Kenne ich sie? Und dann gibt es aber jemanden, der das nach außen hin gerne

00:56:06: veröffentlichen würde, also der klassische Whistleblower.

00:56:09: Dann ist es ganz gut, wenn ich einen eigenen Kanal habe, dass der zunächst zu mir kommt.

00:56:13: Und das macht er aber nur dann tatsächlich, wenn das System,

00:56:16: wo er den Hinweis abgibt, auch vertrauenswürdig ist.

00:56:19: Und ich als Unternehmen muss ein Interesse daran haben, mit dem zu kommunizieren,

00:56:22: wenn ich nämlich nicht alles verstehe oder wenn ich, wie gesagt,

00:56:26: wenn ich es nicht ganz zuordnen kann.

00:56:27: Wenn ich das nicht habe, wenn ich ein ganz einfaches System habe,

00:56:30: dann kann sein, dass das dann doch am Ende des Tages versickert und dann das

00:56:35: doch höher aufgehängt wird und die zuständige Behörde vielleicht dann kommt

00:56:38: und mit einem Bußgeld droht.

00:56:40: Das heißt also, diese Chance sollte man nicht vertun und deswegen sollte man

00:56:45: schon, man muss gerade als kleines Unternehmen kann man tatsächlich die schlanke Lösung wählen.

00:56:49: Ansonsten ist es natürlich schon gut, wenn man sagt, ich stelle mich da richtig auf.

00:56:53: Vielleicht ein Tipp zur Umsetzung. Viele Unternehmen glauben,

00:56:57: dass wenn ich eine solche Plattform buche, ist das Thema durch und erledigt.

00:57:01: Das ist es beileibe nicht. Die Plattform hilft halt nur, bestimmte Kriterien

00:57:05: wie Vertraulichkeit und die Kommunikation über den Fall einzuhalten.

00:57:08: Was ich zwingend machen muss, und das ist der nicht finanzielle,

00:57:12: aber organisatorische Aufwand, den ich machen muss, ich muss mir überlegen,

00:57:15: wie gehe ich mit eingehenden Hinweisen um?

00:57:17: Wer bearbeitet die? Wer kümmert sich darum?

00:57:20: Wie ist die Kommunikation innerhalb des Unternehmens darüber geregelt?

00:57:24: Wann und in welchem Umfang wird die Geschäftsführung darin einbezogen?

00:57:27: Also tatsächlich da sich darüber Gedanken zu machen, wie der Prozess dahinter

00:57:32: abläuft, das ist das, das ist auch die Art von Aufwand, die ich auch nicht komplett

00:57:36: nach außen abgeben kann an Dienstleister wie uns.

00:57:39: Selbstverständlich würden wir komplett dabei unterstützen, bei der Hinweisbearbeitung,

00:57:43: bei der rechtlichen Einschätzung, bei der Beratung dazu, wie vorzugehen ist.

00:57:47: Aber am Ende des Tages müssen die Unternehmen selbst entscheiden,

00:57:50: was mache ich, wie mache ich es im eigenen Unternehmen, in welchem Umfang bearbeite

00:57:55: ich den Hinweis oder bearbeite ihn entsprechend nicht.

00:57:57: Um diese Gedanken, sich die zu machen, kommt kein Unternehmen herum und aus

00:58:02: der Pflicht komme ich auch aus dem Gesetz einfach nicht heraus am Ende des Tages.

00:58:05: Und das ist das, was jedes Unternehmen machen muss, unabhängig davon,

00:58:09: ob es jetzt eine Plattform einsetzt oder nicht.

00:58:11: Egal, was man tatsächlich dann anstellt, es kann auch sein, dass dann irgendwann

00:58:15: der interne oder externe Datenschutzbeauftragte klopft und sagt,

00:58:18: was genau habt ihr jetzt da eingerichtet?

00:58:20: Und da spätestens muss ich mich um die technisch-organisatorischen Maßnahmen

00:58:23: bemühen und sagen, das, was Thilo gerade gesagt hat, was passiert denn eigentlich

00:58:28: dann mit den Hinweisen? Wer darf die sehen und wie kann ich die Vertraulichkeit gewährleisten?

00:58:33: Das ist nicht nur ein Thema des Hinweisgeberschutzgesetzes, sondern natürlich

00:58:35: auch für den Datenschutz und das muss man entsprechend dokumentieren.

00:58:39: Das sind weitere Tätigkeiten, die da lauern.

00:58:42: Ebenfalls vielleicht noch als Tipp, der in der Öffentlichkeit noch nicht so bekannt ist.

00:58:45: Es gab schon vor dem Hinweisgeberschutzgesetz und vor der EU-Whistleblower-Richtlinie

00:58:49: in Deutschland eine DIN-ISO-Norm zu diesem Thema.

00:58:52: Und zwar gibt es die DIN-ISO 37002 zur Einrichtung von Hinweisgeber-Management-Systemen

00:58:59: im Unternehmen. nehmen. Und de facto ist es tatsächlich so, dass unser System

00:59:03: zum Beispiel auch danach entwickelt wurde nach den Vorgaben.

00:59:05: Und wenn wir die Kunden bei uns beraten in diesen Bereichen,

00:59:08: wir die Grundsätze, die prozessualen Grundsätze, die diese DIN ISO festlegt,

00:59:11: auch zur Anwendung bringen.

00:59:13: Aber wenn sich ein Unternehmen selbst damit auseinandersetzen möchte,

00:59:15: hilft ein Blick in diese DIN ISO, die DIN ISO 37002.

00:59:21: Ja, vielen lieben Dank dafür. Werde ich auch alles nochmal unten in den in Shownotes

00:59:25: entsprechend mit verlinken.

00:59:27: Da kann man sich das dann auch nochmal anschauen. Und ja, auf jeden Fall auch

00:59:31: ein mir neues Thema. Hatte ich, wie gesagt, gar nicht auf dem Radar.

00:59:35: Aber sollte man sich definitiv mit beschäftigen.

00:59:39: Ja, wir leben in einer Zeit des stetigen Wandels. Es passiert eine Menge derzeit.

00:59:46: Mal so die Glaskugel ausgepackt. Ich bin mir sicher, MKM hat auch eine,

00:59:50: weil Pegasus hat mehrere davon.

00:59:52: Wie geht das weiter? Was glaubt ihr, wie wird sich denn die Arbeitswelt oder

00:59:56: auch die IT-Welt in den nächsten fünf Jahren, vielleicht auch zehn Jahren noch

01:00:00: verändern oder verändern müssen?

01:00:02: Also die Vorstellung von manchen ist ja, dass man in zehn Jahren,

01:00:06: dass wir alle auf Liegestühlen liegen und Cocktails schlürfen und KI und Roboter

01:00:10: und wie sie alle heißen, erledigen unsere Jobs. Das gibt es nur bei Wall-E.

01:00:15: Ich habe auch an Wall-E gedacht tatsächlich. Die einen fürchten das,

01:00:18: die anderen sehen das dabei. Aber da muss man ganz ehrlich sein und schauen,

01:00:22: wie sieht eigentlich unsere digitale Infrastruktur aus in Deutschland?

01:00:26: Wie sieht es mit schnellem Internet und Mobilfunk aus?

01:00:30: Wir sind in vielen Bereichen noch weit hinterher. Das heißt,

01:00:32: ich habe die Befürchtung und gleichzeitig auch dann die Beruhigung,

01:00:37: dass ich sage, auch in zehn Jahren wird sich die ganze Arbeitswelt und die Wirtschaftswelt

01:00:42: nicht so stark entwickelt haben.

01:00:44: Das ist jetzt gerade eine Art

01:00:45: Hype, wo natürlich viele mitreden und wo tatsächlich auch viel passiert.

01:00:50: Aber diese Schritte werden nach und nach kommen. Und man wird sich genau wie

01:00:54: bei allen anderen Entwicklungen im IT-Bereich, man wird sich daran gewöhnen müssen.

01:00:59: Die Auswirkungen werden letztlich alle spüren, vom Anwender bis zum Entwickler

01:01:04: sprechender Systeme und die Management-Ebene wird viel mehr als früher noch

01:01:09: all diese Dinge auf dem Schirm haben müssen, das kann man sicherlich auch sagen.

01:01:13: Das Schöne ist, und das kann man sagen für unseren Berufsstand,

01:01:16: die Regulierung wird an der Stelle auch nicht aufhören.

01:01:19: Es wird immer weitergehen, es wird noch weitere Vorschriften geben und Beratungsbedarf

01:01:23: wird immer gegeben sein.

01:01:26: Ich möchte dir ein bisschen widersprechen, André. Gerne. Ich möchte sagen,

01:01:29: dass die KI schon ein bisschen tatsächlich als Game Changer,

01:01:33: als eine Entwicklung mit erheblichen Auswirkungen betrachte.

01:01:36: Ich glaube, dass wir aus dem Bereich der KI und was da im Hintergrund im Moment

01:01:40: schon läuft und entwickelt worden ist und was KI mittlerweile schon kann,

01:01:44: was aber noch gar nicht an die Öffentlichkeit dringt derzeit,

01:01:47: dass das enorm ist und dass das Arbeitsumfeld im digitalen Bereich tatsächlich

01:01:51: erheblich verändern wird in den nächsten, ich schätze, fünf Jahren.

01:01:54: Also durchaus mittelfristig.

01:01:57: Und ich glaube, dass wir da die Entwicklung neuer Jobs, wie die Prompter,

01:02:01: die du vorhin schon genannt hast, Alex, sehen werden.

01:02:03: Wir werden sehen, dass bestimmte einfache Tätigkeiten für Jobs,

01:02:08: die jetzt gemacht werden, durch KI erledigt werden.

01:02:11: Ich glaube, dass die Zahl der Jobs, die wegfallen, nicht so groß ist.

01:02:14: Ich glaube, dass bei diesen Jobs sich der Anwendungsbereich ändern wird.

01:02:17: Das betrifft auch uns Rechtsanwälte.

01:02:19: Heutzutage bezahlt keiner mehr einen Rechtsanwalt dafür, dass eine Datenschutzerklärung

01:02:22: mehrere Stunden lang manuell zusammenklöppelt.

01:02:24: Da gehe ich irgendwo auf datenschutzerklärung.de und lasse mir die machen.

01:02:28: Und das ist nur das einfachste Anwendungsbereich. Und so werden sich die Jobs

01:02:32: und die Tätigkeiten in diesen Bereichen verändern.

01:02:34: Und da wird KI meiner Meinung nach eine ganz entscheidende Rolle spielen.

01:02:38: Ich bin sehr gespannt, was da alles kommt.

01:02:40: Also Alex, du siehst, auch bei MKM hat man mindestens zwei Glaskugeln,

01:02:44: in die man gucken kann. Und je nachdem, welche man nimmt, kommt das Ergebnis entsprechend raus.

01:02:49: So habe ich mir das eigentlich gewünscht. Das ist schön. Ich sollte mal gucken,

01:02:52: dass ich des Öfteren mal Podcasts-Interview mache.

01:02:54: Mit mehreren Teilnehmern. Das ist gut, gefällt mir gut.

01:02:58: Ja, ich bin auch gespannt, was da noch so passieren wird.

01:03:03: Meine größte Befürchtung, die ich habe, ist, dass jetzt als nächstes das Thema

01:03:07: Quantencomputing uns treffen wird.

01:03:09: Das ist nämlich auch nicht mehr so weit weg. Das stimmt wohl, da gebe ich dir recht.

01:03:14: Ja, das ist tatsächlich das Thema. Und vor allen Dingen das Thema KI ist ja

01:03:17: so gestaltet, wenn wir in Europa mitreden wollen, brauchen wir passende Quantencomputer.

01:03:22: Und wir sind meilenweit davon entfernt, vernünftige Supercomputer zu haben.

01:03:26: Das heißt, sollte tatsächlich in der Entwicklung viel mehr gehen,

01:03:29: als jetzt absehbar ist, dann nehme ich dann meine Prognose auch wieder zurück

01:03:33: und dann passiert tatsächlich noch viel mehr, als wir uns vorstellen können. Ja, auf jeden Fall.

01:03:38: Wunderbar. Dann, wie immer in diesem Podcast, meine letzte Frage.

01:03:43: Habt ihr denn abschließend noch eine Nachricht oder eine Botschaft,

01:03:46: die ihr unserer Zuhörerschaft mitgeben möchtet?

01:03:50: Ja, ich halte es da so ein bisschen mit dem Abgedroschenen, was man immer wieder

01:03:53: hört zu dem Thema von Michael Gorbatschow, der gesagt hat, wer zu spät kommt, dem bestraft das Leben.

01:03:59: Ich sage lieber, früher ist besser. Das ist ein bisschen verkürzt und sage,

01:04:03: was Rechtsberatung angeht, wir haben es sehr gerne und beschweren uns nicht,

01:04:07: wenn jemand sehr frühzeitig auf uns zukommt und sagt, ich habe da was gelesen, ich habe was gehört.

01:04:12: Es gibt da entsprechende neue Regelungen auf EU-Ebene, da kommt was, da wird was umgesetzt.

01:04:17: Betrifft mich das? Da sind wir sehr offen und wir möchten das auch so haben,

01:04:21: weil tatsächlich der Vorlauf ist zwar meistens größer, aber der Aufwand ist

01:04:25: erheblich und man ist ja nicht alleine in seinem Bestreben nach Compliance.

01:04:29: Das heißt, je früher man sich darum kümmert, desto besser können wir den Mandanten aufstellen.

01:04:35: Ich möchte allen, die draußen zuhören, sagen,

01:04:38: lasst euch nicht frustrieren von komplexen technischen Anforderungen oder völlig

01:04:43: unverständlichen rechtlichen Regelungen und Normen,

01:04:46: sondern sucht euch einen pragmatischen Weg durch diesen Dschungel hindurch und

01:04:50: sucht euch Berater, die diesen pragmatischen Ansatz unterstützen.

01:04:54: Dann seid ihr damit gut unterwegs und findet auch, glaube ich,

01:04:57: einen guten Umgang damit. mit.

01:04:58: Dankeschön euch beiden und ja, wer jetzt denkt, diese ganzen,

01:05:03: ganzen Themen, die wir jetzt da so besprochen haben, das ist ja noch lange nicht alles.

01:05:08: MKM hat auch immer wieder schöne Webinare, hat auch Newsletter,

01:05:12: da kann man sich auch mal anmelden, da kann man auch mal ins Webinar gehen,

01:05:15: also um da auch mal am Ball zu bleiben oder im Thema zu sein.

01:05:19: Also auch da meine Empfehlung, mein letzter Call to Action für dieses Interview heute,

01:05:24: guckt euch das mal an, meldet euch da auch gerne mal an und ja,

01:05:27: haltet euch selber einfach informiert, weil es passiert einfach so viel und

01:05:32: es ist einfach heute wichtiger denn je, wirklich da am Ball zu bleiben.

01:05:36: Thilo, André, ich danke euch ganz herzlich, dass ihr euch heute die Zeit genommen habt.

01:05:39: Trotz Verkehrschaos, was bei euch da gerade so heute vorgeherrscht hat,

01:05:44: wir es trotzdem geschafft haben, zusammenzukommen.

01:05:46: Und ich glaube, das war mit Sicherheit nicht das letzte Mal,

01:05:48: dass wir uns im Rahmen des Podcasts gehört haben, weil das Thema rund um rechtliche

01:05:53: Themen, das möchte ich persönlich auch gerne gerne doch ein bisschen mehr noch im Podcast haben.

01:05:58: Und ja, in diesem Sinne wünsche ich euch noch einen schönen Tag.

01:06:03: Wann auch immer ihr als Hörer, Hörerin das Ganze hört, auch einen schönen Tag,

01:06:08: ein schönes Wochenende oder gute Nacht.

01:06:10: Und dann würde ich mich freuen, wenn wir uns auch zur nächsten Folge wiederhören

01:06:13: würden, hier bei Blue Screen. Macht's gut, bis dahin. Tschüss.

01:06:18: Music.