062: KI, NIS2 und Whistleblowing - Diese Thema beschäftigen Unternehmen in 2024 (MKM + Partner Rechtsanwälte)

Shownotes

In dieser Folge unseres Tech-Podcasts haben wir zwei Gäste von der Firma MKM + PARTNER Rechtsanwälte PartmbB, Thilo Märtin und Andree Hönninger, die sich mit rechtlichen Fragen im Zusammenhang mit Technologie und Datenschutz beschäftigen. Wir besprechen die Themen Künstliche Intelligenz (KI), NIS2 und Whistleblowing, da diese auch bei unseren Kunden immer wieder auftauchen.

Die Fortschritte sind beeindruckend, die KI-Systeme wie Chat-GPT gemacht haben und wie sie eingesetzt werden. Dies bringt jedoch auch Bedenken hinsichtlich des Schutzes von Kundendaten mit sich. Es ist wichtig, sich über die Unsicherheiten im Zusammenhang mit dem Einsatz von KI bewusst zu sein, insbesondere im Hinblick auf Datenschutz und die DSGVO. Unternehmen müssen die neuen europäischen KI-Gesetze und die Produkthaftungsrichtlinie berücksichtigen, um für Schäden, die durch KI verursacht werden, nicht haftbar gemacht zu werden. Wir empfehlen Unternehmen, interne Richtlinien für den Umgang mit KI zu entwickeln und sensibel mit kritischen Informationen umzugehen.

Ein weiteres Thema, das wir besprechen, ist das neue IT-Sicherheitsgesetz und die Notwendigkeit, Sicherheitsmaßnahmen zu ergreifen, um Verstöße zu vermeiden. Unternehmen sollten sich rechtzeitig über die Anforderungen informieren und mögliche Schäden durch Verstöße gegen das Gesetz berücksichtigen. Wir zeigen auf, dass KI einerseits bei der IT-Sicherheit helfen kann, andererseits aber auch neue Angriffsflächen bietet. Es ist wichtig, dass Unternehmen sich darauf vorbereiten und geeignete Sicherheitsmaßnahmen ergreifen, um größere Schäden zu vermeiden.

Darüber hinaus sprechen wir über Hinweisgeberschutz und die Umsetzung der Whistleblower-Richtlinie in Deutschland. Unternehmen ab 50 Mitarbeitern sind verpflichtet, Meldekanäle einzurichten, um Whistleblowern eine sichere Möglichkeit zur Meldung von Missständen zu bieten. Dies ist ein wichtiger Schritt, um die Integrität und Transparenz in Unternehmen zu gewährleisten.

Abschließend betonen wir die Bedeutung der Regulierung und des Datenschutzes in der sich weiterentwickelnden IT-Welt. Unternehmen sollten sich von Beratern unterstützen lassen und auf dem neuesten Stand bleiben, um die Anforderungen zu erfüllen und ihre Daten und Systeme effektiv zu schützen.

Shownotes:

Transkript anzeigen

00:00:06: Hallo und willkommen zurück bei Blue Screen, dem Tech-Podcast.

00:00:09: Wir haben heute für euch gleich zwei Gäste hier bei uns im Interview.

00:00:14: Und da werden wir uns heute mit rechtlichen Themen mal auseinandersetzen und

00:00:19: die große Frage stellen, welche rechtlichen Themen sollte denn eigentlich 2024,

00:00:23: jedes Unternehmen so auf dem Schirm haben.

00:00:25: Ich habe mir dazu von der Firma MKM zwei Partner, Kollegen, mittlerweile auch,

00:00:32: wie soll ich sagen, Freunde eingeladen, die mit uns auch recht viel schon im

00:00:36: Pegasus-Umfeld mit und für unsere Kunden tun.

00:00:39: Und deswegen begrüße ich ganz herzlich bei uns heute hier im Studio einmal den

00:00:43: Thilo Mertin und den André Hönninger.

00:00:45: Und ich würde sagen, ihr beiden stellt euch doch einfach mal am besten kurz

00:00:48: selber vor und erzählt uns ein bisschen, was ihr bei MKM so macht.

00:00:52: Ja, sehr gerne, Alex. Mein Name ist Thilo Mertin. Ich bin Rechtsanwalt und einer

00:00:56: der Mitgründer von der kleinen MKM-Gruppe hier in Nürnberg.

00:01:00: Wir bestehen aus einer Rechtsanwaltskanzlei, aus Datenschützern und aus einer

00:01:05: kleinen Unternehmung, die auch Software im Legal Tech-Bereich vertreibt.

00:01:10: Und wir sind als Juristen und Rechtsanwälte, glaube ich, vor allen Dingen zu

00:01:15: Technikthemen und Datenthemen sehr affin aufgestellt.

00:01:18: Und das ist einer der Bereiche, in dem wir sehr viel arbeiten und auf die ich

00:01:22: mich als Rechtsanwalt schon ganz früh spezialisiert habe.

00:01:24: Ich brauche bereits Datenschutz seit 2004 und beschäftige mich als Rechtsanwalt

00:01:29: mit allem rund um das Thema Daten und Internet. Okay, danke dir.

00:01:34: Ja, mein Name ist André Hörninger. Ich bin jetzt seit 17 Jahren Rechtsanwalt.

00:01:38: Ich habe es nochmal nachgerechnet, mache aber allerdings schon seit 20 Jahren

00:01:41: ungefähr IT-Recht und bin jetzt seit 13 Jahren fast Fachanwalt auch für IT-Recht.

00:01:48: Das heißt also, bei MKM bin ich so maßgeblich zuständig für alle IT-Projekte

00:01:53: und Streitigkeiten, die so auftreten und bin sozusagen die Schnittstelle zum

00:01:57: Thema Datenschutz, weil ich auch für die Datenschutzbeauftragten dann als Ansprechpartner diene.

00:02:03: Ja, auch dir nochmal vielen Dank, André. Ja, kommt vielleicht die Frage auf,

00:02:08: wie passt denn das jetzt zusammen, die Pegasus und MKM?

00:02:10: Warum machen wir Dinge zusammen?

00:02:13: Und wir hatten jetzt tatsächlich neulich genau den Musterfall,

00:02:16: dass ein Kunde mich nach einer Thematik gefragt hat und ich habe dann gesagt,

00:02:20: also grundsätzlich glaube ich, ist das so und so im Bereich der Datenschutzgrundverordnung,

00:02:26: aber ich kann es dir nicht wirklich sagen.

00:02:28: Ich darf es dir auch nicht wirklich sagen, lieber Kunde, weil ich bin nicht

00:02:31: Anwalt. Ich habe hier keinerlei Kompetenz in dem Bereich.

00:02:34: Ich kann hier auch nichts Rechtsgültiges sagen dazu.

00:02:37: Aber wir haben eben MKM als unseren Partner und dann leiten wir eben solche

00:02:42: Anfragen dann auch entsprechend weiter.

00:02:44: Ganz häufig kommen da auch dann tatsächlich Beziehungen zwischen unserem Kunden

00:02:48: und MKM zustande oder auch, was auch schon passiert ist,

00:02:51: andersrum, wenn bei MKM halt Kunden sind, die halt vielleicht ein gesteigertes

00:02:55: Interesse an IT-Security haben oder auch eine Beratung rund um das ganze Thema,

00:02:59: vielleicht auch um sich vorzubereiten für die Versicherung,

00:03:03: wenn die eine Cyber-Risk-Versicherung haben wollen, dass man halt einfach dann

00:03:06: da gemeinsam in den Markt rausgeht.

00:03:08: Und das hat sich einfach für uns als sehr, sehr gut und sehr praktikabel einfach

00:03:13: herauskristallisiert.

00:03:14: Und deswegen kommt es immer wieder mal vor, dass wir halt sagen zum Kunden,

00:03:18: Mensch, frag doch mal bitte bei MKM, weil die können dir auch sagen, wie das geht.

00:03:21: Im Übrigen, MKM ist auch für die Pegasus zuständig. Das heißt,

00:03:24: wir arbeiten auch da im Bereich Datenschutz zusammen. Zusammen.

00:03:28: Kommen wir mal zu unserer Hauptfrage. Welche rechtlichen Themen sollten denn

00:03:32: Unternehmen in diesem Jahr hauptsächlich auf dem Schirm haben?

00:03:36: Und da gebe ich jetzt mal so direkt nochmal wieder zurück an den Thilo.

00:03:39: Klar. Also tatsächlich ist es so, dass die Digitalisierung in den letzten Jahren

00:03:44: wahnsinnig um sich gegriffen hat in der Praxis.

00:03:47: Das heißt, die Unternehmen arbeiten immer digitaler und digitaler Einsatz und

00:03:50: Daten werden de facto immer wichtiger.

00:03:53: Und der Gesetzgeber hat hier in den letzten Jahren nachgearbeitet.

00:03:57: Und da sind einige Gesetze und Richtlinien, die jetzt in Kraft getreten sind,

00:04:01: die schon im vergangenen Jahr und jetzt auch im neuen Jahr ihre Schatten vorauswerfen.

00:04:06: Und ich denke, wir haben uns heute ein paar der wichtigsten dafür ausgesucht,

00:04:09: über die wir sprechen wollen. Und keine Ahnung, ob ich die jetzt an der Stelle hier nennen soll.

00:04:14: Gerne machen. Ja, und zwar haben wir uns ausgesucht, dass wir über die Themen,

00:04:19: über die Gesetzgebung und das Recht im Bereich der KI, der künstlichen Intelligenz sprechen wollen.

00:04:23: Und dann über die sogenannte NIST-2-Richtlinie, die sich auch damit befasst,

00:04:28: welche kritische Infrastruktur, IT-Infrastruktur, welche Vorgaben die einhalten

00:04:33: muss, welche rechtlichen Vorgaben, um ausreichend geschützt zu sein.

00:04:35: Und als drittes den Bereich des Whistleblowings. Da gibt es eine europäische

00:04:40: Richtlinie und ein deutsches Gesetz dazu zum Whistleblowing,

00:04:43: wo Unternehmen verpflichtet sind, für Hinweisgeber Meldekanäle einzurichten.

00:04:49: Ja, das hört sich super an und ich denke, das sind auch genau die Themen,

00:04:52: die bei unseren Kunden eben auch immer wieder hochkommen.

00:04:55: Jetzt zum Bereich KI natürlich verstärkt immer mehr.

00:04:58: Wir haben jetzt ein bisschen länger als ein Jahr Chat-GPT und was da passiert

00:05:03: ist in der ganzen Zeit, ist natürlich schon Wahnsinn.

00:05:06: Aber halt auch teilweise Wahnsinn, wie dann mit diesem System gearbeitet wird,

00:05:09: weil aus datenschutztechnischer Sicht rollen sich da einem schon mal die Fußnägel

00:05:13: auf, wenn man sieht, was da Kunden für Daten alles reinkippen in diese verschiedenen

00:05:16: KIs, die halt sonst wo laufen.

00:05:18: Ja, NIST 2, definitiv auch ein wichtiges Thema, was angefragt wird von unseren Kunden.

00:05:23: Es herrscht da eine unglaubliche Unsicherheit in diesem Bereich,

00:05:26: weil man eigentlich überhaupt gar nicht weiß, was denn da jetzt eigentlich Phase ist.

00:05:30: Und ja, zum Thema Whistleblowing, da habt ihr mich darauf aufmerksam gemacht

00:05:34: tatsächlich, weil das hatte ich so gar nicht auf dem Radar.

00:05:37: Und damit würde ich sagen, starten wir doch direkt mal ins erste Thema rein,

00:05:40: nämlich rund ums Thema KI.

00:05:43: Welche Empfehlungen habt ihr denn dazu oder welche Gefahren seht ihr denn da?

00:05:47: Wenn ich dort mal anfangen darf.

00:05:49: Also diese Unsicherheit, von der du gesprochen hast, Alex, die bestand schon länger.

00:05:55: Also in dem Moment, wo KI größer aufgekommen ist, Chachiviti in aller Munde

00:06:00: war, war eine große Unsicherheit da.

00:06:02: Okay, was passiert mit den Daten? Es gibt keine Regelungen. und diese Unsicherheit

00:06:07: wird, glaube ich, abgelöst im Moment

00:06:09: von der Angst vor dem KI-Gesetz auf europäischer Ebene, weil man sagt,

00:06:14: jetzt wissen wir gar nicht, was das bedeutet und das wirkt so den ganzen Konjunkturmotor

00:06:19: ab, dass die Unternehmen haben große bürokratische Dinge zu berücksichtigen.

00:06:24: Also das wird so ein bisschen, die Unsicherheit wird quasi bleiben, sie verändert sich nur.

00:06:30: Ja, das Problem haben wir ja im Prinzip bei der DSGVO auch schon gehabt.

00:06:33: Bei der DSGVO letztes Jahr, fünf Jahre DSGVO, da habe ich eine Schlagzeile,

00:06:39: die ist mir im Hinterkopf geblieben bei Heise zum Thema eben fünf Jahre DSGVO.

00:06:44: Und da war eben die Überschrift, die Wirtschaft wettert gegen ein kategorisches Verbotsprinzip.

00:06:50: Und ja, ich meine, auf der einen Seite, klar, die Hersteller von KI-Lösungen

00:06:55: versuchen, suchen, das uns schmackhaft zu machen als Konsumenten.

00:06:59: Microsoft formuliert das so im Bereich Co-Pilot, das kostet ja nur einen Dollar pro Tag und Kopf.

00:07:04: Da muss ich sagen, ja gut, kommt natürlich dann on top zu den anderen Lizenzen,

00:07:08: die man bei Microsoft ja auch schon hat.

00:07:10: Aber ich sage mal so, wenn ich jetzt eine Firma habe mit 100 Leuten,

00:07:14: sind es 100 Dollar am Tag.

00:07:15: Ja, die kann man natürlich, wenn man KI sinnvoll einführt, durchaus wegsparen.

00:07:20: Wenn ich mich wirklich in der Effizienz so steigere oder auch die Qualität besser

00:07:25: wird durch die Verwendung künstlicher Intelligenzen, dann habe ich das Geld

00:07:28: natürlich schnell eingespart.

00:07:29: Ist natürlich andererseits auch eine Art Fliegenfänger, weil man natürlich da

00:07:34: einen Opt-in hat an der Stelle.

00:07:36: Man begibt sich in eine Abhängigkeit auf der einen Seite, aus der man vielleicht

00:07:40: gar nicht mehr so leicht rauskommt.

00:07:41: Auf der anderen Seite verwenden wir aber auf einmal Systeme,

00:07:44: die halt mit Daten arbeiten, die aus Sicht der DSGVO dort halt nichts verloren

00:07:48: haben, weil zum Beispiel der Datenstandort in den USA ist. Wie kann man denn

00:07:53: sich da jetzt vernünftig positionieren?

00:07:56: Ich habe ein schönes Beispiel dafür, der mir gerade auf dem Schreibtisch liegt,

00:07:59: dem, wo ich gerade eine Mandantin von uns berate.

00:08:02: Das ist ein Unternehmen, das möchte im Bereich der Personalentwicklung eine

00:08:06: VR-Brille, eine Virtual Reality-Brille einsetzen, um Vortragssprecher zu trainieren.

00:08:13: Das heißt, wenn ich einen Vortrag vor Publikum halte, nimmt diese Brille mich

00:08:16: auf, analysiert meine Gesten, meine Mimik, meine Worte.

00:08:19: Und diese Auswertung der Brille erfolgt unter anderem in dem Speech-to-Text-Modul

00:08:25: von Microsoft und bei einem kleinen tschechischen Start-up durch eine KI.

00:08:29: Und jetzt hat mich das Unternehmen als Rechtsanwalt gebeten zu prüfen,

00:08:32: welche Risiken dabei bestehen und welche Voraussetzungen getroffen werden müssen,

00:08:36: um diese VR-Brille problemlos einsetzen zu können.

00:08:38: Und da muss man sich vor Augen führen, was dieser an sich harmlose Fall denn

00:08:41: eigentlich bei alles beinhaltet. Ich bringe dort meine Stimme als der Sprechende

00:08:45: ein und erzähle Dinge im Zweifel über mich selber, werde über mich selber analysiert,

00:08:50: meine Gestik und mein Auftreten wird analysiert.

00:08:53: Das heißt, da geht sehr viel von meinem Persönlichkeitsrecht an Daten in die

00:08:56: KI hinein und wird ausgewertet und analysiert. Darüber hinaus kann man über

00:09:00: die VR-Brille PowerPoint-Präsentationen hochladen und redet über geschäftliche Inhalte.

00:09:04: Das heißt, wir reden auch über Betriebs- und Geschäftsgeheimnisse,

00:09:06: die hier auf einmal verarbeitet werden.

00:09:08: Und das heißt, man muss hier in dem Kontext im Auge behalten,

00:09:12: was mit den Daten hinten heraus passiert.

00:09:14: Und meine Anfrage an das tschechische Start-up, ob diese Daten zum Beispiel

00:09:17: auch zu Trainingszwecken, zu weiteren Trainingszwecken für die KI genutzt werden,

00:09:21: konnte mir bisher nicht verbindlich beantwortet werden.

00:09:24: Und gerade in Bezug auf Betriebs- und Geschäftsgeheimnisse ist das fatal.

00:09:27: Und naja, gut, wenn das Datenschutzrecht nicht eingehalten wird,

00:09:30: ergeben sie sich dort auch sehr schnell in die Rechtswidrigkeit.

00:09:32: Also man merkt, selbst bei so einem kleinen Anwendungsfall kommt man sehr schnell,

00:09:35: sehr konkret in solche Aspekte hinein.

00:09:38: Und ich habe ein weiteres Beispiel, das kann ich gleich danach ansetzen und

00:09:41: sagen, auch so ein bisschen auf dem Schreibtisch liegend, wenn man Verlage in

00:09:45: Deutschland berät, dann stellt man fest, die sind so ein bisschen dazwischen gefangen.

00:09:49: Also einerseits bündeln sie Werke von Urhebern, die natürlich alle auch gerade

00:09:54: derzeit etwas argwöhnisch sind und sagen, die klauen uns die ganzen Werke zum Training der KI.

00:10:01: Und zum anderen sind sie natürlich auch den großen Sprachmodellen ausgesetzt

00:10:05: und den großen Playern und versuchen sich in beide Richtungen etwas abzusichern.

00:10:11: Und das sind rechtliche Herausforderungen, auf die das Recht und auch das spätere

00:10:15: Recht in Form des KI-Gesetzes gar keine Antworten bietet.

00:10:19: Das ist gleichzeitig spannend. Und da liegt auch ein bisschen die Verunsicherung

00:10:23: aller Beteiligten drin.

00:10:26: In den USA gibt es gerade die erste Klage von der New York Times,

00:10:30: der Zeitung, gegen die Betreiber von ChatGPT, gegen OpenAI, wegen der rechtswidrigen

00:10:36: Nutzung der New York Times-Inhalte.

00:10:38: Und die haben die Klagesumme noch nicht hundertprozentig festgelegt,

00:10:42: sagen aber, er soll sich im Milliarden-US-Dollar-Bereich bewegen,

00:10:45: die Schadensersatzsumme, wo man darüber gestritten wird.

00:10:47: Also da zeigt sich, dass der Begriff des Urheberrechts und bei den Trainingsdaten,

00:10:50: die für die Trainingsdaten eingesetzt werden, wird da noch auszustreiten sein.

00:10:54: Da wird es sicherlich noch ein weites Feld des Streits geben.

00:10:57: Und Alex, du hast gefragt, wie sich Unternehmen schützen können oder was sie

00:11:00: beachten müssen im Umgang mit KI.

00:11:02: Und da gibt es zu dem europäischen Gesetzespaket, was es mittlerweile zur künstlichen

00:11:07: Intelligenz gibt, jetzt noch ein weiteres Gesetz, das dieses Jahr scharf zieht.

00:11:11: Und das ist die Produkthaftungsrichtlinie.

00:11:13: Die hat bisher nur geregelt die Haftung für körperliche Produkte,

00:11:17: die ich anfassen kann für physikalische Produkte.

00:11:19: Und die wird jetzt erweitert um den Begriff der Software und der künstlichen Intelligenz.

00:11:23: Und damit müssen Unternehmen, die als Hersteller oder in den Marktbringer in

00:11:28: der EU oder sogar nur als sogenannte Fulfillment-Dienstleister,

00:11:32: können damit in Anspruch genommen werden, wenn die KI oder KI-basierte Schäden entstehen.

00:11:39: Zum Beispiel, wie ich vorhin erklärt habe, wenn in der KI persönlichkeitsrechtliche

00:11:43: Daten ausgewertet werden und es entsteht jemandem dadurch einen Schaden im Bereich

00:11:46: des Persönlichkeitsrechts, entstehen da Haftungsansprüche, die sich nach der

00:11:49: Produkthaftungsrichtlinie richten.

00:11:51: Und das ist etwas, wo zum ersten Mal in der Europäischen Union echtes Haftungsrecht

00:11:55: im Bereich der künstlichen Intelligenz geregelt wird.

00:11:57: Und jeder, der das einsetzt, in den Markt bringt oder mit KI Geld verdienen

00:12:01: will, sollte das unbedingt auf dem Schirm haben.

00:12:04: Okay. Heißt aber im Grunde genommen für mich als, mal aus Sicht eines Konsumenten,

00:12:10: eigentlich sollte ich gerade grundsätzlich die Finger von diesen Sachen lassen.

00:12:14: Oder gibt es denn irgendwo gewhitelistete Hersteller, bei denen man sagen könnte,

00:12:19: also die Funktion, jetzt bleiben wir mal vielleicht bei dem populärsten Beispiel

00:12:23: bei ChatGPT, mir einen Text verarbeiten oder vorschlagen zu lassen,

00:12:28: den ich danach noch durch DeepL durchschiebe, damit es auch ein bisschen schöner sich liest.

00:12:33: Das ist okay, solange ich keine Daten dort eingebe, die irgendwo im Kontext

00:12:38: von persönlichen Daten oder Geschäftsgeheimnissen ist.

00:12:42: Macht es Sinn, ein Whitelisting dafür aufzubauen? Oder, weil es ist jetzt gerade,

00:12:47: wenn ich höre, es ist ein Gesetz am Start demnächst, wo es dann auch in Richtung Produkthaftung geht.

00:12:53: Ich kann ja eigentlich gar nichts jetzt davon einsetzen. Wie geht man damit um?

00:12:58: Ich bin kein Freund von generellen Verboten bei solchen Technologien und Innovationen,

00:13:04: wie sie hier im Markt stehen.

00:13:05: Ich mache jetzt seit fast 20 Jahren, berate ich im Bereich Datenschutz und die

00:13:08: Datenschützer waren immer verschrien als die Verhinderer, die immer nur alles verbieten.

00:13:12: Und deswegen sehe ich das Gegenteil schon ergebnisoffen. Ich denke,

00:13:16: man muss mit einem, selbst als jemand, der kein Fachmann ist,

00:13:19: mit einem gesunden Menschenverstand an die Dinge herangehen und sollte und kann sie nutzen.

00:13:23: Wir werden in Zukunft nach meiner eigenen Einschätzung um den Einsatz von KI

00:13:27: nicht drum herum kommen.

00:13:28: Also sich frühzeitig damit auseinanderzusetzen und zu trainieren,

00:13:31: halte ich für absolut sinnvoll.

00:13:32: Und in der Regel kann ich mit einem Bauchgefühl sehr relativ gut einschätzen,

00:13:37: ob ich jetzt Inhalte zum Beispiel bei Chat-GBT,

00:13:39: wo das Ganze komplett öffentlich ist, wenn ich dafür kein Geld bezahle und das

00:13:43: auch als Trainingsdaten weiterverwendet wird, dass da Dinge,

00:13:45: die zum Beispiel betrieblich heikel sind,

00:13:47: vielleicht einfach anonymisiere, wo ich Produktnamen, Personennamen vielleicht

00:13:51: nur auf einen Kürzel abkürze, wo ich eben keine heiklen Informationen reingebe,

00:13:56: sondern die entsprechend verändere.

00:13:57: Oder wenn ich mir etwas zusammenfassen lasse, dass ich weiß,

00:14:00: ich muss selber prüfen können, ob der Inhalt am Ende des Tages tatsächlich stimmt

00:14:03: und wie weit ich so einer Zusammenfassung vertrauen kann.

00:14:06: Also ich glaube schon, dass es wichtig ist, dass wir uns damit auseinandersetzen,

00:14:10: aber jeder, der ein bisschen darüber sich beliest, welche Risiken sich vielleicht

00:14:14: aus diesem sogenannten Halluzinieren von KIs ergeben,

00:14:17: dass da also Fehler auftauchen können, weil die sich einfach was ausdenkt,

00:14:21: die KI, oder eben darüber hinaus, weil ich Dinge, die ich da hineinschiebe an

00:14:25: Informationen und Daten, womöglich auch woanders genutzt werden.

00:14:28: Wenn ich das auf dem Schirm habe, denke ich, kann man schon die wichtigsten

00:14:32: Dinge als normaler Nutzer und Verbraucher damit einfangen. Ich weiß nicht,

00:14:34: André, ob du das anders siehst.

00:14:36: Nee, das sehe ich genauso. Und ich wollte noch ergänzen, dass das Thema Whitelist

00:14:41: natürlich schwierig ist, weil man sagen muss, wer beurteilt denn die Unternehmen?

00:14:45: Das müssten ja letztlich sie selbst sein. Und es gibt keine entsprechende übergeordnete

00:14:49: Behörde oder Instanz, die das machen könnte.

00:14:50: Was man machen kann, ist natürlich, die EU hat als Lückenfüller bis zu dem Zeitpunkt,

00:14:56: wo endlich das KI-Gesetz dann auch Wirkung zeitigt, einen KI-Pakt ins Leben gerufen.

00:15:02: Dazu gehören mittlerweile um die 100 Unternehmen, da sind die Namen sehr bekannt.

00:15:06: Und man könnte jetzt natürlich unterstellen, dass wer sich freiwillig auf die

00:15:10: EU eingelassen hat und auf die kommenden Normen, dann auch eine relativ weiße Weste hat.

00:15:14: Sodass man sagen kann, das ist dann schon so eine Art White List,

00:15:17: aber ganz so weiß wird sie nicht sein.

00:15:20: Und was wir ebenfalls bereits haben in der Europäischen Union,

00:15:22: ist die sogenannte KI-Verordnung.

00:15:24: Ein Rechtsrahmen, der auf der Welt einmalig ist, wo die USA sogar sagen,

00:15:29: wow, das wäre schön, wenn wir sowas auch mal hätten.

00:15:31: Also ein rechtlicher Verordnungsentwurf, der dem Ganzen einen Rahmen geben soll.

00:15:36: Und wenn jemand sich zum Beispiel hierauf auch beruft und auch in den Vordergrund

00:15:39: stellt, dass er das einhält, dass alle Inhalte, die KI generiert sind,

00:15:43: zum Beispiel kennzeichnet und ersichtlich macht, dass sie eben nicht so als

00:15:46: Enttäuschung benutzt werden können.

00:15:48: Da denke ich auch, dass wir da ein Stück Vertrauen schaffen in den Markt und

00:15:52: jeder, der sich daran hält und das zum Beispiel auch in den Vordergrund stellt.

00:15:55: Und ich kann mir durchaus vorstellen, dass sich da in dem Bereich in Zukunft

00:15:58: auch Zertifizierungen entwickeln werden, dass man damit dann auch Vertrauen

00:16:02: schaffen kann bei der Benutzung.

00:16:03: Impliziert natürlich jetzt aber, dass die Unternehmen sich dann für jede einzelne

00:16:07: KI-Anwendung auch in der Tiefe beschäftigen, nachschauen.

00:16:10: Ist denn der Anbieter jetzt zum Beispiel in dieser EU-Thematik dann auch auf

00:16:16: der Liste und beteiligen die sich damit?

00:16:18: Macht es denn vielleicht auch Sinn, das haben wir zumindest für uns gemacht,

00:16:22: kann man das als generelle Empfehlung sagen,

00:16:24: dass es sinnvoll wäre, dass Unternehmen für sich selbst eine Art von KI-Richtlinie

00:16:28: erstellen, wo einfach der Umgang innerhalb des Unternehmens mit KI mal definiert wird,

00:16:34: die Begriffsdefinition auch mal ausformuliert ist, man auch eben diese Sachen,

00:16:39: zum Beispiel keine Verwendung von Kundendaten dort.

00:16:43: Pseudonymisierung von Produkten, hast du auch gerade schon gesagt und eben auch

00:16:47: der ethische Umgang mit einer KI definiert ist, damit man als normaler Mitarbeiter,

00:16:52: der ja im Grunde genommen auch immer nur einen Klick weit weg ist von irgendeiner

00:16:56: der KIs, nachgucken kann, damit man zumindest eine Leitlinie hat,

00:17:00: an der man sich orientieren kann.

00:17:01: Also in der rechtlichen Beratung kann man jetzt schon feststellen,

00:17:04: dass der Bedarf dafür da ist.

00:17:05: Also unabhängig davon, ob wir als Berater sagen, das sollte man auf jeden Fall

00:17:09: tun, was wir tun, kommen die Mandanten von selbst auf uns zu und sagen,

00:17:13: wir möchten da gerne intern eine Regelung haben, weil wir ehrlich gesagt nicht

00:17:17: genau als Geschäftsführung, als Management wissen, ob nicht einzelne Abteilungen

00:17:20: anfangen, zum Beispiel im Bereich HR, schon KI einzusetzen.

00:17:24: Und bevor das ausartet und wir dann keine Compliance hinkriegen,

00:17:29: sollten wir doch eine Richtlinie aufstellen.

00:17:31: Und da sind wir tatsächlich auch dran an solchen Geschichten und beraten auch

00:17:35: schon in die Richtung, obwohl die entsprechenden Regelungen auf EU-Ebene noch gar nicht stehen.

00:17:39: Und wenn Unternehmen sich jetzt fragen, brauche ich das für mich und mein Unternehmen,

00:17:43: würde ich sagen, gilt der Leitfaden oder der rechtliche Rahmen,

00:17:47: wie häufig bei solchen Richtlinien, internen Richtlinien, die man entwirft.

00:17:51: Ich muss mich als Unternehmen fragen, entstehen durch den Einsatz der KI für

00:17:56: mich, also erstens setze ich überhaupt KI irgendwo ein, kommt es zur Anwendung

00:17:59: und zweitens entstehen dadurch für mein Unternehmen, für meine Mitarbeiter in

00:18:03: irgendeiner Art und Weise Risiken.

00:18:05: Wenn ich das bejahe, dann denke ich, macht es auch Sinn, sich selber einen eigenen

00:18:09: Leitfaden und eine Leitlinie dazuzugeben. Okay, vielen Dank.

00:18:12: Gibt es denn eine Art Vorlage, wenn jetzt ein Hörer, eine Hörerin heute sagt,

00:18:17: das würde mich doch sehr interessieren, kann man sich an euch dann wenden?

00:18:22: Unterstützt ihr die Unternehmen dabei bei der Erstellung so einer Richtlinie?

00:18:25: Selbstverständlich tun wir das. Wir sind mit den Themen im gesamten gesetzgeberischen

00:18:29: Weg jetzt schon gegangen und befassen uns mittlerweile,

00:18:33: ich will nicht sagen tagtäglich, aber doch regelmäßig damit und helfen selbstverständlich

00:18:36: den Unternehmen sehr gerne, hier entsprechende Vorgaben zu entwickeln,

00:18:39: Richtlinien anzulegen oder sei es auch nur eine kleine Checkliste zu machen,

00:18:42: zu sagen, was muss ich genau beim konkreten Einsatz beachten. Sehr gerne.

00:18:47: Ja, das ist super. Also erster Call to Action, wenn ihr die Folge jetzt gerade

00:18:50: hört. Unten in den Show Notes findet ihr natürlich auch die Kontaktinformationen von MKM.

00:18:54: Da könnt ihr natürlich dann auch mal direkt Kontakt aufnehmen,

00:18:58: wenn euch das jetzt interessieren sollte an dieser Stelle. Ja,

00:19:01: spannendes Thema, vor allem sehr dynamisches Thema.

00:19:04: Ich glaube, ich kann mich nicht erinnern, dass in der Historie der IT und Entwicklung

00:19:09: im Informatikbereich jemals irgendwas so polarisiert hätte auf der einen Seite

00:19:14: und auf der anderen Seite auch mit so einer Geschwindigkeit sich entwickelt hätte.

00:19:17: Ich glaube, da werden wir dieses Jahr auf jeden Fall noch sehr,

00:19:20: sehr viele Dinge sehen und viele Dinge erleben.

00:19:23: Und ja, ich bin da auf jeden Fall auch bei euch, was das angeht,

00:19:27: dass man sagt, ein grundsätzliches Nein zu KI, glaube ich, das kann man sich

00:19:31: heute auch nicht mehr leisten als Unternehmen. Es sind mittlerweile daraus sogar

00:19:36: ganze Berufe entstanden.

00:19:37: Ja, es gibt jetzt den Prompt Engineer, also Leute, die quasi verstehen,

00:19:41: wie hätte denn die KI gerne ihren Input, damit dann ein maximal guter Output

00:19:47: nachher rauskommt. Also auch sowas gibt es mittlerweile.

00:19:50: Ich denke, da wird noch eine Menge passieren in dem Segment und bleibt auf jeden

00:19:54: Fall spannend und sollte man dranbleiben.

00:19:57: Kommen wir direkt mal zum zweiten Punkt, dem NIS 2, Netzwerkinformationssicherheitsgesetz 2.

00:20:03: Ich habe diesen sperrigen, richtigen Abkürzungsnamen gerade nicht parat.

00:20:07: Das hat irgendwie einen typisch deutschen, abgekürzten, größeren Titel noch, das Ganze.

00:20:13: Was hat es denn damit auf sich und warum sollten Unternehmen denn das dieses

00:20:17: Jahr auch auf dem Radar haben? Ich fange mal hinten an.

00:20:21: Also warum sollten Unternehmen, vor allem die Geschäftsführung,

00:20:23: das auf dem Schirm haben? Letztlich ist es das ganze Bestreben auf EU-Ebene,

00:20:28: was dann letztlich auch in Deutschland jetzt umgesetzt werden muss durch zwei Gesetze.

00:20:31: Das dient dazu, ein absolutes hohes Maß an Cybersicherheit zu gewährleisten

00:20:37: und spricht direkt das Management, also die Geschäftsführung an.

00:20:40: Das heißt, die Aufgaben, die

00:20:42: da für die Unternehmen lauern, die kommen werden im Bereich Compliance.

00:20:46: Wir müssen nicht nur von der Geschäftsführung direkt umgesetzt werden,

00:20:49: sondern auch überwacht werden.

00:20:50: Und sollte es dabei zu Nachlässigkeiten kommen, ist das direkt ein Thema für

00:20:54: die Geschäftsführerhaftung.

00:20:55: Das bedeutet, da ist ein hohes Risiko drin, das vielleicht auch schlecht versichert werden kann.

00:21:00: Und es lohnt sich dann frühzeitig vor allen Dingen in die Beratung zu kommen

00:21:04: und zu fragen, was muss ich denn tun?

00:21:07: Und so ähnlich auch wie bei den anderen großen Vorhaben, die in den letzten

00:21:10: Jahren auch auf uns zugekommen sind, wie Datenschutz und Hinweisgeberschutz,

00:21:14: ist das ein Thema, beim Hinweisgeberschutz etwas weniger, aber es ist ein Thema

00:21:18: des Risikos, wo man risikobasiert schauen muss,

00:21:21: was gilt dann eigentlich für mich und es erinnert so ein wenig an die ISO-Zertifizierung.

00:21:25: Man muss also gewissen Punkten nachkommen.

00:21:28: Und vor allen Dingen, und das darf man an der Stelle nicht vergessen,

00:21:32: alle diejenigen, auch wir in der Beratung, die vorher mal gesagt haben,

00:21:35: naja, es gibt diese Kritis-Unternehmen.

00:21:37: Und da haben wir unsere Schablone gehabt und haben die angesetzt.

00:21:40: Wenn jemand gekommen ist, haben wir gesagt, naja, sie sind kein Kritis-Unternehmen,

00:21:44: deswegen können sie sich etwas entspannen. dann ja, IT-Sicherheit ist ein wichtiges Thema.

00:21:48: Da gibt es halt Unternehmen wie Pegasus, die sich dann da vorne bis hinten drum kümmern können.

00:21:52: Rechtliche Beratung kann man auch angedeihen lassen, ist aber nicht so relevant.

00:21:56: Also so, dass das jetzt ein Riesenthema wäre, ist damit gemeint.

00:21:59: Aber jetzt ist es so, dass der kleine Bereich von Kritis-Unternehmen,

00:22:02: den man so auf 4.000 bis 5.000 Unternehmen geschätzt hat, anwächst durch die

00:22:07: Umsetzung auf, man schätzt ungefähr 30.000 Unternehmen.

00:22:11: Einfach deswegen, weil der Kreis der betroffenen Unternehmen Unternehmen weitergezogen

00:22:14: wird und man ruckzuck als kritisches Unternehmen gesehen wird.

00:22:18: Man hat das tatsächlich auch schon gespürt während der Corona-Pandemie,

00:22:21: als es plötzlich hieß, okay, wer darf denn überhaupt nach seiner Arbeit nachgehen und wer nicht?

00:22:25: Und da hat man gesagt, okay, das sind wichtige Berufszweige.

00:22:29: Ich habe das persönlich auch gemerkt, als mein Kind in die Kita sollte,

00:22:32: da durfte man das nur machen, wenn man irgendwie ganz wichtige Tätigkeiten hat.

00:22:35: Und bei diesen kritischen Infrastruktur und anderen Unternehmen,

00:22:39: die kritisch sind als System, da war es ja auch ähnlich.

00:22:42: Das heißt, vielleicht ist das auch eine Erkenntnis daraus, dass man sagt,

00:22:45: wir müssen das Ganze weiterspannen und dann geraten jetzt Unternehmen in den

00:22:50: Fokus, die sich vorher darum nicht gekümmert haben.

00:22:54: Und deswegen ist da ein unglaublicher Beratungsbedarf bei den Unternehmen gegeben.

00:22:58: Wie kriege ich denn jetzt raus, ob mein Unternehmen von dem NES2 betroffen ist?

00:23:03: Ja, dazu muss man tatsächlich auch wieder eine Schablone erstellen und die hat

00:23:08: im Prinzip zwei wesentliche Punkte, die ich berücksichtigen muss.

00:23:11: Das eine ist so ein wenig die Größe.

00:23:13: Da unterscheidet man zum einen, wie gesagt, nach den großen Unternehmen.

00:23:17: Da geht es dann um die Frage, wie viele Beschäftigte und wie viel Umsatz macht

00:23:22: das Unternehmen. Da gibt es dann aber auch wieder Sonderfälle,

00:23:24: sonst wäre es viel zu einfach, dann könnte nämlich das jeder sich angucken und

00:23:27: bräuchte keine Beratung.

00:23:28: Und dann geht es natürlich darum, es gibt Anhänge zur Richtlinie,

00:23:33: dann später auch zum BSI-Gesetz, wenn es umgesetzt ist, wo man dann nachschauen kann und sagen kann,

00:23:39: da gibt es Sektoren und in den Sektoren gibt es gewisse Zweige,

00:23:43: wie zum Beispiel natürlich den IT-Bereich oder Strom und Gas und Wasserversorgung,

00:23:49: solche Geschichten. an die denkt man natürlich als erstes.

00:23:51: Die sind dort auch erfasst, aber auch natürlich herstellendes Gewerbe wie Kraftfahrzeugherstellung

00:23:57: ist auch davon umfasst, sodass man einfach durch Blick in diese Tabellen feststellen

00:24:02: kann, gehöre ich dazu oder nicht.

00:24:04: Und je nachdem, in welcher Größe ich auf dem Markt mitspiele,

00:24:08: ergeben sich dann mehr oder weniger Pflichten.

00:24:10: Ja, in der Tat ist es also auch so, dass da von der begrifflichen Unterscheidung

00:24:15: gegenüber der bisherigen Kritisverordnung jetzt unterschieden wird zwischen

00:24:19: besonders wichtigen Einrichtungen und wichtigen Einrichtungen.

00:24:22: Und gerade dieser Begriff der wichtigen Einrichtungen erweitert diese hohe Anzahl,

00:24:26: die Anwendungsbereiche auf eine sehr hohe Anzahl von Unternehmen,

00:24:29: wie es der André gerade schon kurz beschrieben hat.

00:24:30: Ich kann mal kurz einfach vielleicht um einen Einblick zu geben,

00:24:33: damit Unternehmen, die betroffen sein könnten, welche Sektoren oder welche Bereiche

00:24:37: denn da eigentlich aufgezählt werden.

00:24:39: Aber tatsächlich ist die Bestimmung, ob man letztlich dazugehört,

00:24:41: nicht ganz so einfach, muss ich gleich vorweg sagen.

00:24:43: Aber betroffen sind mittlere und große Unternehmen aus diesen Bereichen Energie.

00:24:48: Transport und Verkehr, Bankwesen, Finanzmarktinfrastruktur,

00:24:53: Gesundheitswesen, Trinkwasser, Abwasser, digitale Infrastruktur,

00:24:57: Weltraum, Logistik, Siedlungsabfall, Produktion, Chemie, Ernährung,

00:25:03: verarbeitendes Gewerbe, was ich besonders spannend finde, weil das könnte fast jedes sein.

00:25:07: Nein, Anbieter digitaler Dienste und Forschung, Vertrauensdiensteanbieter,

00:25:12: da könnten zum Beispiel meiner Meinung nach auch Rechtsanwälte drunter fallen.

00:25:15: Also tatsächlich ist hier ein Katalog, den man letztlich prüfen muss,

00:25:19: wo man sagen muss, fällt man grundsätzlich unter den Bereich der wichtigen Einrichtungen

00:25:23: und hat man gegebenenfalls auch eine kritische Anlage, die man betreibt.

00:25:26: Auch das ist ein Begriff, der dort definiert ist, dass beides Hand in Hand gehen

00:25:29: muss miteinander. Aber de facto zu sagen, ich habe jetzt hier den Online-Prüfer,

00:25:34: wo ich meine Kriterien eingebe und dann spuckt er am Ende aus,

00:25:36: ob ich da drunter falle, so einfach wird es leider im Moment noch nicht sein.

00:25:40: Ich denke, da werden sich jetzt noch weitere Papiere und Leitfäden entwickeln,

00:25:44: wie man sich diesem Thema annähern kann.

00:25:46: Aber im Moment gibt es leider noch nicht den einmaligen Bestimmer oder die Eingabemaske,

00:25:49: wo ich meine Kriterien eintippe und dann herausbekomme, ja, ich muss mich an

00:25:53: die neue NIST 2-Richtlinie halten oder muss es nicht.

00:25:55: Ja, ist natürlich ein bisschen kompliziert, weil wenn ich jetzt mal gucke,

00:26:00: bis wann das denn jetzt auch tatsächlich in geltendes Recht umgesetzt wird,

00:26:03: da reden wir von Oktober diesen Jahres.

00:26:05: Und ich kann jetzt aber noch gar nicht wirklich sagen, bin ich denn jetzt in

00:26:09: Zukunft davon betroffen oder nicht?

00:26:11: Und dem gegenübergestellt mal ein Realisierungsaufwand, der dahinter stecken

00:26:16: könnte, wenn ich jetzt einfach mal aus dem Blickwinkel ISO auf das Ganze schaue, ISO 27001 zum Beispiel.

00:26:23: Der André hatte gerade gesagt, das ist so ein bisschen wie ISO zu verstehen, das Ganze.

00:26:27: Mein Unternehmen, keine Ahnung, ich bin vielleicht jetzt der regionale Abfallentsorger.

00:26:32: Ich hatte bislang damit nichts zu tun, weil mein Unternehmen war zu klein.

00:26:35: Das hat alles gepasst. Aber theoretisch nach dem neuen Modell falle ich in einen der Sektoren rein.

00:26:41: Ich weiß aber nicht, betrifft es mich jetzt oder nicht.

00:26:44: Ich weiß aber durchaus, weil es eben Erfahrungswerte gibt im Markt,

00:26:48: dass die Einführung von einem ISO-Standard wie ISO 27001 zum Beispiel gern mal

00:26:52: ein Jahr oder mehr dauern kann, bis es denn dann passt,

00:26:56: dann laufen wir jetzt im Prinzip sehenden Auges in die Klinge.

00:27:00: Ja, man muss dazu sagen, es gibt schon noch so eine kleine Frist,

00:27:03: die man hat, die etwas versteckt ist.

00:27:06: Was auf die Unternehmen zukommt, die verpflichtet sind, dass sie gegenüber einer

00:27:09: entsprechenden Stelle Nachweis verpflichtet sind.

00:27:12: Das heißt, sie müssen schon nachweisen, dass sie die Maßnahmen,

00:27:15: die für sie gelten, auch eingesetzt haben.

00:27:18: Und die greift, also die erste Nachweispflicht greift erst 2027.

00:27:22: Da könnte man sich jetzt rücklehnen und sagen, ach, was erzählen die eigentlich

00:27:25: jetzt schon 2024 davon? Das ist ja noch ewig hin.

00:27:28: Also wer das sagt, der hat 2018 bei der DSGVO nicht aufgepasst,

00:27:32: weil der Vorlauf, den man braucht, um solche Dinge, du hast es gerade gesagt,

00:27:37: Alex, mit der Zertifizierung, der Vorlauf ist schon grundsätzlich erheblich,

00:27:40: wenn man mindestens mal ein Jahr.

00:27:42: Und ich glaube, dass auch das Thema allgemeine Compliance ja immer auch wichtig

00:27:47: ist, gerade für die etwas größeren Unternehmen. Und man kann ja nicht einfach

00:27:50: sagen, die Nachweispflicht greift erst 2027.

00:27:53: Die Umsetzungsfrist ist tatsächlich Oktober 2024 und das Umsetzungsgesetz wird

00:27:59: kommen im Laufe des Jahres irgendwann und dann entspricht das,

00:28:03: was man tut, einfach nicht dem Gesetz.

00:28:04: Und man kann nicht ausschließen, dass das am Ende des Tages auch tatsächlich

00:28:08: ein Haftungsthema schon ist, obwohl die Nachweispflicht nicht greift.

00:28:11: Weil wenn es heißt, naja, du bist doch verpflichtet, entsprechende Maßnahmen

00:28:15: der IT sicher zu machen, hast du nicht gemacht, jetzt ist ein Schaden entstanden, also bist du dran.

00:28:19: Das heißt, sich zurückzulehnen zu sagen, naja, in drei Jahren muss ich dann

00:28:23: erst was auf den Tisch legen, das wäre verkehrt und sehr gefährlich.

00:28:26: Naja, wenn wir bei dem Beispiel des Siedlungsabfallentsorgers mal bleiben.

00:28:31: Angenommen, die haben einen ungeschützten RDP-Zugang zu ihrem Server,

00:28:36: der hängt direkt am Internet und im Oktober geht das Recht dann los.

00:28:41: Das heißt, das Gesetz tritt dort in Kraft und ab dann gilt es.

00:28:44: Und im Dezember wird dieses Unternehmen eben angegriffen, diese Sprachstelle

00:28:48: wird ausgenutzt, das Unternehmen wird verschlüsselt und kann deswegen nicht

00:28:52: mehr den Siedlungsabfall entsorgen.

00:28:53: Dann haben wir ja genau schon die Situation, die du gerade gesagt hast,

00:28:56: André, das Recht gilt. Und auch wenn er den Nachweis erst in drei Jahren hätte

00:29:00: erbringen müssen, aber das Recht gilt jetzt und es kann dann eben.

00:29:04: Zu den ja teils doch sehr drakonischen Strafen führen.

00:29:08: An der Stelle vielleicht auch mal, um es mal in Zahlen zu backen,

00:29:11: was steckt denn da wirklich an Strafe dahinter?

00:29:14: Also jetzt nicht nur vielleicht an Bußgeldzahlungen, sondern welche Strafandrohungen

00:29:17: stecken denn da sonst noch drin?

00:29:19: Ja, du musst ja nur anfangen und über Ransom nachzudenken, die Zahlungen,

00:29:23: die dann erforderlich sind, um den Laden wieder ans Laufen zu bringen.

00:29:26: Wie gesagt, wenn die Geschäftsführung dafür sorgen muss, dass letztlich alles

00:29:30: getan wird, um das zu verhindern, Am Ende des Tages ist es natürlich keine hundertprozentige

00:29:35: Sicherheit, aber man muss es ja zumindest versuchen.

00:29:37: Wenn das nicht getan wird, dann könnte sein, dass dieses Lösegeld,

00:29:41: das man zahlen muss, als Schaden ersetzt werden muss.

00:29:43: Und diesen Schuh möchte sich, glaube ich, niemand anziehen. Und das alleine

00:29:46: reicht ja schon. Da müssen wir nicht mehr über Bußgelder oder Ähnliches reden.

00:29:50: Und Reputation, allein was man an Kunden verlieren kann.

00:29:53: Wir haben schon Unternehmen gesehen, die in die Insolvenz gegangen sind wegen

00:29:57: solcher Vorfälle, wegen der IT. Ich glaube aber auch, dass das im Management

00:30:01: bewusst ist, dass man hier in einem Risiko ständig läuft.

00:30:06: Und wir können kurz zurückspringen zum Thema KI.

00:30:08: KI ist natürlich auch ein Helfer bei der Herstellung von IT-Sicherheit,

00:30:13: aber auch natürlich ein Problem und sozusagen ein Punkt,

00:30:16: der steigert auch die Gefahr eines Angriffs, weil alles noch besser wird durch

00:30:21: KI und auch natürlich die Schadsoftware.

00:30:24: Und der Bußgeldrahmen, der ist ähnlich wie schon bisher im BSI-Gesetz,

00:30:28: in dem ja die NIST-2-Richtlinie umgesetzt wird in Deutschland,

00:30:31: wieder weiterhin gestaffelt.

00:30:33: Und es geht im Grunde genommen summenmäßig los in dem Bereich von 100.000 bis

00:30:37: 500.000 Euro und kann für die wichtigen und sehr wichtigen Einrichtungen bis

00:30:43: zu einem Bußgeldrahmen von 20 Millionen Euro hochgehen.

00:30:46: Also tatsächlich stehen hier durchaus beachtliche Summen im Raum für ein einzelnes

00:30:50: Unternehmen. Unternehmen und das, was André halt gerade schon gesagt hat,

00:30:53: bestimmte Schäden, die dem Unternehmen entstehen, wie zum Beispiel das Zahlen

00:30:57: von einem Zwangsgeld, wenn ich erpresst werde mit verschlüsselten Daten.

00:31:01: Ja, besteht ein Anspruch des Unternehmens gegen den Geschäftsführer,

00:31:06: wenn er seine Überwachungspflichten aus dem Gesetz nicht eingehalten hat,

00:31:08: dass der Geschäftsführer persönlich dieses Geld zum Beispiel erstatten muss

00:31:12: und dafür schaden, dass er es pflichtig ist.

00:31:13: Also da sind vielfältige Ansetzungspunkte gewesen im Gesetz,

00:31:17: die jetzt in das BSI-Gesetz gegossen sind und die sicherlich ernst zu nehmen

00:31:21: sind, die nicht auf die leichte Schulter zu nehmen sind.

00:31:23: Ja, zu guter Letzt geht es natürlich nicht nur dann um den Unternehmer und die

00:31:27: Firma, sondern es geht natürlich auch um das Personal.

00:31:30: Also müssen wir mal, wenn wir mal ehrlich sind, das sehen wir auch,

00:31:33: wenn wir Auditierungen bei den Kunden machen und dann eben auf Schwachstellen

00:31:37: hinweisen, dann kommt irgendwann logischerweise auch die Frage,

00:31:40: was kostet es mich denn, um das abzusichern, damit das nicht mehr da ist und dann sage ich,

00:31:45: keine Ahnung, 100.000 Euro. Und dann heißt es, ui, das ist aber teuer.

00:31:49: Dann sage ich, ja, aber was meinst du, was das erst kostet, wenn wir es nicht lösen?

00:31:53: Und genau das, was André eben gerade auch gesagt hat, Lösegeldzahlungen,

00:31:57: Reputationsverlust, Wiederanlaufkosten und, und, und, und, plus dem,

00:32:01: was jetzt in Zukunft dann ja eben durch das Gesetz auch noch geregelt ist.

00:32:05: Also eigentlich sollte es nicht mehr überhaupt zur Debatte stehen oder eigentlich

00:32:10: sollte sich keiner mehr wirklich fragen,

00:32:12: ob man es denn nicht einfach auch aussitzen kann, auch eine bekannte Schwachstelle,

00:32:16: ob man die nicht aussitzen kann, sondern eigentlich sollte das jedem Unternehmer

00:32:20: und jeder Firma klar sein.

00:32:22: Ich behaupte aber jetzt mal, das ist leider nicht der Fall.

00:32:25: Weil das sehen wir halt leider in der Praxis anders. Ich kann jeden Unternehmer

00:32:30: heutzutage verstehen, der über die ganzen Behördlichen und Auflagen und Pflichten,

00:32:35: die den Unternehmern auferlegt werden, stöhnt. Man hört das im Datenschutz ständig, höre ich das.

00:32:39: Wir kommen gleich noch zum Thema Whistleblowing, ist ein ähnliches Thema und

00:32:42: das gilt natürlich auch für den IS2.

00:32:43: Aber die Umsetzungen hier im Bereich der IT-Infrastruktur möchte ich da tatsächlich

00:32:47: explizit von ausnehmen, weil es halt wirklich kein behördlicher Krimskrams ist,

00:32:51: sondern tatsächlich etwas, das unsere Infrastruktur als Staat schützt.

00:32:56: Und wenn man sieht, wie angreifbar und wie verletzlich wir sind,

00:32:58: wenn nur einzelne Angriffe passieren und was alles ausfallen kann,

00:33:01: sieht man, wie wichtig hier ein Gesamtschutzkonzept ist.

00:33:04: Und ich begrüße es sehr, dass der deutsche Staat und auch der europäische Wirtschaftsraum

00:33:09: hier tätig geworden ist, um tatsächlich einen verlässlichen Rahmen zu schaffen,

00:33:13: der Unternehmen in diesem Bereich

00:33:15: lenkt, eine solide und vernünftige Sicherheitsinfrastruktur zu etablieren.

00:33:19: Und ich kann jedem Unternehmen nur empfehlen, das nicht nur aufgrund der Bußgelder

00:33:23: ernst zu nehmen, sondern tatsächlich, weil es auch existenzgefährdend fürs eigene

00:33:26: Unternehmen sein kann. Da sollte jedes Unternehmen eine Eigenmotivation haben, das zu tun.

00:33:30: Und wenn man sich jetzt unsicher ist, ob oder in welchem Umfang oder wie man

00:33:33: das Thema angeht, ist eigentlich die Pegasus und MKM anzusprechen genau der

00:33:37: richtige Weg, weil dann kann ich einerseits erstmal richtig prüfen,

00:33:40: falle ich überhaupt unter dem Bereich drunter und die Pegasus hilft dann,

00:33:43: das Ganze auch tatsächlich umzusetzen und fit zu machen.

00:33:45: Also insofern sind wir da schon die richtigen kombinierten Ansprechpartner für

00:33:48: sowas, um ein bisschen Eigenwirkung zu machen an der Stelle.

00:33:50: Ich will noch kurz ein Bild zeichnen. Wenn man es mal vergleicht mit dem Erwerb

00:33:54: eines Kraftfahrzeugs, dann kann man sagen, ich kann natürlich,

00:33:57: um Kosten zu sparen, sagen, na ja, okay,

00:33:59: ich brauche kein ABS und ich brauche kein Anschnallgurt und alles das,

00:34:03: was das Leben etwas sicherer macht, wenn man Auto fährt, auf das verzichte ich,

00:34:07: weil es günstiger ist, es ist mir zu teuer.

00:34:08: Ich weiß, dass es natürlich verpflichtend ist, solche Dinge zu haben mittlerweile,

00:34:11: aber angenommen, man dürfte darauf verzichten, dann kann man sagen,

00:34:15: beim Erwerb des Fahrzeugs spare ich mir halt das Geld und es wird schon nichts passieren.

00:34:18: Das ist ja so ähnlich dann, wenn ich sage, ich verzichte auf gewisse Maßnahmen,

00:34:22: egal ob ich verpflichtet bin oder nicht, ich lasse es einfach,

00:34:25: ich lasse es darauf ankommen. Aber wenn was passiert...

00:34:27: Wenn man auf der Autobahn fährt und es passiert was, dann ist der Schaden immens,

00:34:31: der körperliche, wenn man keine Sicherheitsmaßnahmen hat.

00:34:34: Und genauso ist es auch bei dem Thema IT-Sicherheit. Ich kann es darauf ankommen

00:34:38: lassen und erstmal Geld sparen, aber wehe, es passiert was.

00:34:41: Und gerade für den Fall sollte man gewappnet sein, weil den Totalschaden möchte man nicht erleiden.

00:34:46: Ja, absolut nicht. Wir haben zu dem Thema bei uns auf der Website,

00:34:51: findet ihr auch unten in den Shownotes, eine Frage-Antwort.

00:34:55: Wie soll ich sagen, Assistenten aufgebaut, der einfach diese Sektoren mal abfrägt

00:34:59: und auch diese grundsätzlichen Eckdaten aus dem Open Kritis heraus sozusagen

00:35:04: mal beleuchtet, damit Unternehmen mal für sich selber zumindest eine grobe Einschätzung machen können,

00:35:09: falle ich denn vielleicht in diese NES2-Sparte rein, bin ich in einem der Sektoren,

00:35:15: könnte mich das betreffen, ist aber an dieser Stelle einfach, muss ich dazu sagen,

00:35:19: von unserer Seite keine Rechtsberatung, sondern das ist einer der vielen Assistenten,

00:35:23: die jetzt in den letzten Monaten im Internet so aufgetaucht sind rund um das Thema.

00:35:26: Wenn ein Unternehmen aber wirklich wissen möchte, ob jetzt NES 2 dann in Zukunft

00:35:31: vielleicht entsprechend ein Thema sein sollte, dann natürlich,

00:35:35: wie es Thilo auch gerade gesagt hat, bitte mit MKM sprechen,

00:35:39: mit Leuten sprechen, die das juristisch auch bewerten können.

00:35:42: Und sollte man sich auf jeden Fall mit beschäftigen, ist meiner Meinung nach

00:35:46: die Top-Priorität dieses Jahr, Ja, was Unternehmen auf jeden Fall auf dem Radar haben sollten.

00:35:50: Was aber auch noch dazu kommt, und das muss man vielleicht an der Stelle auch noch ergänzen.

00:35:57: Sind Unternehmen, die zwar nicht aufgrund der Sektoren nach NIST 2 zu bewerten

00:36:01: sind ab Oktober, aber Unternehmen, die für NIST 2 Unternehmen tätig sind im

00:36:07: Rahmen der Lieferkette.

00:36:08: Denn die werden sich früher oder später von ihrem Unternehmen,

00:36:12: Geschäftspartner die Frage stellen lassen müssen, wie geht ihr denn eigentlich damit um?

00:36:16: Also kennt man aus dem Automotive-Bereich, die TISAX ist sowas ähnliches wie

00:36:21: eine ISO, die sich halt die Automotive-Industrie auf die Fahne geschrieben hat.

00:36:24: Und da ist es auch so, wenn ich Zulieferer bin, egal für was,

00:36:27: sei das jetzt eine Armlehne, Sitzpolster, Software fürs Auto,

00:36:32: Zündkerzen, whatever, muss ich als Unternehmen einen Standard nachweisen,

00:36:36: denn ansonsten darf ich den Autohersteller einfach nicht mehr beliefern.

00:36:40: Das ist hier im Grunde genommen ähnlich zu sehen.

00:36:43: Und auch wir haben für uns schon gesagt, wir sind in sehr vielen Unternehmen

00:36:47: unterwegs, die definitiv jetzt dann unter NIST 2 fallen.

00:36:50: Wir müssen für uns auch schon einen Antwortkatalog zur Verfügung stellen,

00:36:54: weil die Fragen werden definitiv kommen.

00:36:57: Also wir kennen das so ein bisschen aus der Beratung zum Gesetz,

00:37:01: was so schön heißt, Lieferketten-Sorgfaltspflichten-Gesetz, wo man auch sagen

00:37:04: könnte, was interessiert mich das?

00:37:06: Ich bin jetzt nicht Teil einer größeren internationalen Lieferkette.

00:37:09: Aber das betrifft tatsächlich mehr, als das Gesetz hergibt.

00:37:12: Und da ist bei so vielen Unternehmen Beratungsbedarf. Und es ist auch so medial

00:37:17: geworden, wie man an den Beispielen von Rewe und anderen gesehen hat,

00:37:20: dass es auch plötzlich ein Riesenthema wurde.

00:37:22: Und das ist genau das Gleiche hier. Als ich am Anfang sagte,

00:37:26: naja, 30.000 Unternehmen sind betroffen davon,

00:37:28: dann sind die in der Kette dabei gar nicht berücksichtigt, die letztlich auch

00:37:32: gezwungen werden, sich an entsprechende Maßnahmen zu halten oder für die das

00:37:35: am Ende des Tages auch irgendwie eine Rolle spielt. Ja, ganz genau.

00:37:39: Ja, Hand aufs Herz. Die Frage, ist es sinnvoll? Also Thilo hat gerade gesagt,

00:37:43: er begrüßt diese Entwicklung.

00:37:45: Aber ist es sinnvoll im Hinblick auf das Wirtschaftswachstum?

00:37:49: Weil ehrlich gesagt habe ich eher so ein bisschen die Befürchtung,

00:37:51: dass das der Tod für den kleinen Mittelstand bedeutet.

00:37:53: Ich glaube auch, dass der Anwendungsbereich, also die Vielzahl der Unternehmen,

00:37:57: die jetzt davon erfasst wird, dass die tatsächlich sehr groß ist und dass es

00:38:01: natürlich dort in Bereichen, wo das kleine und kleinere Einheiten betrifft,

00:38:06: zu weitgehend oder zu streng sein kann.

00:38:08: Hier wird sich aber in Zukunft zeigen, inwieweit ein Verhältnismäßigkeitsmaßstab

00:38:12: auch in die Details hineingelesen werden kann, wo man sagen muss,

00:38:16: okay, ich kann nicht einem 50-Mann-Unternehmen die gleichen Maßnahmen abverlangen

00:38:20: wie einem 1.000-Mann-Unternehmen oder einem Anbieter aus einem,

00:38:24: ich sage mal eher aus einem Randbereich.

00:38:26: Wir haben vorhin die gewerbliche Produktion und den ähnlichen Bereich gehabt,

00:38:30: die jetzt bisher vielleicht solche IT-Infrastruktur und kritische IT-Infrastruktur

00:38:33: noch viel weniger auf dem Schirm hatten als ein Rechenzentrumsanbieter.

00:38:37: Und ich denke, dass es da wird im Rahmen von Verhältnismäßigkeitsklauseln und

00:38:42: Auslegungen des Gesetzes wird Abstufungen geben müssen. Aber tatsächlich ist

00:38:46: es der Fall, dass sich das erst in der Praxis etablieren und bewähren wird müssen.

00:38:51: Das lässt sich so im Moment noch nicht eindeutig sagen, dass das im Gesetz vorgesehen

00:38:55: wäre, sondern das wird die Anwendung des Gesetzes und das Augenmaß,

00:38:58: das im Zweifel mit behördlichen und rechtlichen Auseinandersetzungen dann erst

00:39:01: entsteht, wird sich das erst etablieren müssen, fürchte ich.

00:39:05: Das Ganze ist ja letztlich eine rechtspolitische Diskussion,

00:39:07: die in allen Bereichen gilt, wo man sagt, überlasse ich dem Markt die Regelung,

00:39:12: also Selbstregulierung, funktioniert das oder bin ich doch gezwungen,

00:39:16: von oben entsprechende Maßnahmen vorzugeben.

00:39:19: Und wenn man auf die medialen Fälle der letzten Jahre blickt,

00:39:24: was Vorfälle angeht, bei der Deutschen Bahn zum Beispiel,

00:39:26: wo dann, wenn man gerade nicht gestreikt wird, dann trotzdem Ausfälle sind,

00:39:30: weil irgendwas bei der IT vorgefallen ist, aber auch in anderen Bereichen, Da muss man schon sagen,

00:39:35: es dient halt mehr als nur dem Unternehmen oder dem einzelnen Anwender,

00:39:39: dem Nutzer, dem Bürger, sondern das ganze System ist in Gefahr.

00:39:43: Und da glaube ich, ist es vollkommen richtig, anzusetzen und zu sagen,

00:39:46: wir brauchen erhebliche Regelungen, auch bis ins Kleinste. dass halt auch die

00:39:51: kleinen Unternehmen, dass sie betroffen werden, das dient den Unternehmen.

00:39:54: Man könnte auch sagen, das können die für sich selber regeln, wenn sie wollen.

00:39:58: Aber wenn dann doch irgendwie eine Bedeutung der Unternehmen da ist für die

00:40:03: Gesellschaft, für die Wirtschaft, dann ist das gerechtfertigt,

00:40:07: denen auch entsprechende Vorgaben zu machen.

00:40:08: Auch wenn es natürlich bedeutet, dass viel Aufwand, Bürokratie dahinter steckt.

00:40:12: Ja, vor allem die Kosten, ja. Aber ja, es ist kompliziert, mit einem Beziehungsstatus

00:40:19: ausgedrückt, es ist kompliziert.

00:40:21: Aber ich glaube, die Alternative wäre, wir schmeißen alles über Bord,

00:40:25: was an Regelungen existiert, führen WeChat ein und machen es dann wie in China.

00:40:28: Aber ich glaube, das kann auch nicht der richtige Weg sein.

00:40:31: Nein, ich glaube auch, dass das nicht zum Ziel führt. Dass es jetzt kompliziert

00:40:35: ist, ist es häufig so, bei den Gesetzgebungspaketen zu beginnen.

00:40:37: Ich möchte hier auch etwas dazu mahnen, zu sagen, zu schauen,

00:40:41: wo sich die Dinge hin entwickeln. Und in der Regel wird es schneller,

00:40:43: klarer auch für den Nichtfachmann.

00:40:47: Okay, wunderbar. Dann haben wir das zweite wichtige Thema damit eigentlich schon

00:40:52: durch. Und damit kommen wir zum letzten.

00:40:55: Das heißt das so, Hinweisgeberschutzgesetz, die Whistleblower-Richtlinie,

00:40:59: ist das das gleiche oder sind das zwei verschiedene Dinge? Das eine erwächst aus dem anderen.

00:41:05: Es ist so, es gibt eine EU-Whistleblower-Richtlinie. Und wie das bei den europäischen

00:41:10: Richtlinien der Fall ist, geben die einen Rahmen vor, der in einem nationalen

00:41:16: Gesetz in den europäischen Ländern jeweils konkret umgesetzt werden muss.

00:41:19: Und in Deutschland ist aus der Vorgabe der EU-Whistleblower-Richtlinie das deutsche

00:41:24: Hinweisgeberschutzgesetz entstanden, das letztes Jahr in Kraft getreten ist. Was bedeutet das?

00:41:31: Die Richtlinie ist gesetzgebungshistorisch daraus entstanden,

00:41:36: aus dem Gedanken entstanden, dass Whistleblower in Europa grundsätzlich in den

00:41:40: europäischen Ländern nicht besonders gut geschützt sind.

00:41:42: Das heißt, wenn ich als jemand, der einen Missstand in einem Unternehmen entdeckt,

00:41:46: der menschenrechtliche Aspekte,

00:41:49: der Umweltaspekte oder andere Dinge, die eben nicht nur das Unternehmen an sich

00:41:53: betreffen, sondern vielleicht auch Außenwirkungen haben,

00:41:55: entdecke und die an jemandem weitergebe, wie eine Behörde oder an die Öffentlichkeit,

00:42:01: dass ich dann als Whistleblower entsprechend häufig geächtet bin,

00:42:05: rechtlich verfolgt werde,

00:42:07: mir rechtlich geschadet werde, ich zu Schadenersatz verpflichtet werde,

00:42:09: meinen Arbeitsplatz verliere.

00:42:11: Und ähnliche andere Repressalien erfahre.

00:42:13: Und um diesen Schutz generell in der Europäischen Union zu verbessern,

00:42:17: wurde die EU-Whistleblower-Richtlinie geschaffen und hat jetzt dazu geführt,

00:42:23: dass die europäischen Länder jeweils in ihrer eigenen nationalen Gesetzgebung

00:42:28: ein Gesetz schaffen mussten, dass Unternehmen,

00:42:30: ich sage jetzt mal grob gesagt, ab 50 Mitarbeitern müssen Unternehmen Meldekanäle

00:42:35: einrichten, die es einerseits ermöglichen, den Whistleblowern solche Hinweise abzugeben.

00:42:41: Und andererseits dafür sorgen, dass die Whistleblower rechtlich geschützt sind,

00:42:45: dass sie in keiner Art und Weise, in irgendeiner Art und Form Repressalien erfahren

00:42:48: dürfen, dass denen also aus der Meldung heraus nichts Schlechtes,

00:42:52: keinerlei Nachteil erwachsen darf.

00:42:54: Heißt also, wenn ich jetzt einen Missstand im Unternehmen entdecke,

00:42:58: keine Ahnung, wir sind ein Industriebetrieb und ich weiß, mein Chef möchte sich

00:43:02: die Entsorgungskosten sparen und lässt deswegen nachts immer giftiges Zeug in die Donau laufen.

00:43:08: So, jetzt habe ich Angst, meinem Chef das zu sagen, beziehungsweise eigentlich

00:43:12: wissen es alle, aber keiner redet drüber.

00:43:14: Ich möchte, dass das aufhört, weil ich ja grundsätzlich halt für Umweltschutz

00:43:19: bin und es nicht gut finde, dass die Donauhalter verseucht wird.

00:43:22: Wie kann ich mir das dann konkret vorstellen? Wie würde so ein Meldeweg denn dann aussehen?

00:43:28: Das Hinweisgeberschutzgesetz sagt, dass solche Meldungen auf verschiedenen Wegen

00:43:32: grundsätzlich abgegeben werden können.

00:43:34: Das kann auf elektronischem Wege über sogenannte Hinweisgeberplattformen oder

00:43:38: Hinweisgebersysteme, die ein Unternehmen einführt, passieren.

00:43:41: Es kann aber auch sein, dass Unternehmen dort andere Möglichkeiten zur Abgabe

00:43:45: schaffen, wie in einem persönlichen Gespräch oder auf einem anderen textlichen Weg.

00:43:50: Wichtig dabei ist halt, dass das Gesetz die Unternehmen verpflichtet,

00:43:54: die Vertraulichkeit von Anfang an zu gewährleisten.

00:43:56: Das heißt, ich muss bei diesem Meldeweg, den ich als Unternehmen einrichte,

00:43:59: dafür sorgen, dass dem Whistleblower das transparent gemacht wird,

00:44:02: wie sein Hinweis weiter bearbeitet wird und dass dabei sichergestellt ist,

00:44:06: dass seine Hinweise vertraulich behandelt werden.

00:44:08: Es ist am Anfang im Gesetzgebungsprozess auch vorgesehen worden,

00:44:12: dass man eine verpflichtende Möglichkeit zur Abgabe von anonymen Hinweisen,

00:44:16: also ohne dass ich meine Identität offenlegen muss, machen kann.

00:44:19: Das ist aber im Rahmen des Gesetzgebungsprozesses wieder herausgefallen,

00:44:23: sodass jetzt es so ist, dass es noch eine Sollklausel gibt. Das heißt,

00:44:28: Unternehmen sollen auch anonym

00:44:30: abgegebene Hinweise, wo der Absender nicht erkennbar ist, bearbeiten.

00:44:34: Sie wären aber tatsächlich de facto nicht mehr verpflichtet, diese zu bearbeiten.

00:44:39: Als Hinweisgeber kann ich aber, und das ist ja das, worauf deine Frage abzielt,

00:44:43: kann ich auf jeden Fall diese Infrastruktur nutzen, um einen Hinweis abzugeben,

00:44:46: eben ohne meine Identität offenzulegen.

00:44:48: So oder so. Was das Unternehmen dann am Ende des Tages daraus macht,

00:44:51: ist dann wieder eine andere Frage.

00:44:53: Tatsächlich ist es aber auch so, wenn die Unternehmen ordnungsgemäß abgegebene

00:44:57: Hinweise nicht bearbeiten und da in angemessener Zeit nichts passiert,

00:45:01: dass ich dann am Ende des Tages eine Eskalationsmöglichkeit habe,

00:45:05: mich an eine öffentliche, an eine bundesweite Meldestelle zu wenden oder sogar

00:45:09: eine sogenannte Offenlegung zu machen und mich an die Öffentlichkeit zu wenden.

00:45:12: Also hier gibt es mehrere Eskalationsstufen hinten heraus.

00:45:16: Gibt es dann, also dafür bin ich vielleicht zu viel Techniker,

00:45:19: aber gibt es dann da gleich direkte Schnittstelle?

00:45:21: Also jetzt mal salopp gesprochen, mein Chef reagiert nicht, ich sehe in meiner

00:45:24: Plattform, jetzt sind schon sechs Monate vorbei, wir schicken immer noch giftige

00:45:28: Abfälle in den Fluss und jetzt drücke ich auf einen Knopf und dann wird es bei

00:45:32: bild.de veröffentlicht. Also jetzt komplett salopp gesprochen.

00:45:35: Ja, das wäre tatsächlich spannend, was das so an Ergebnissen liefern würde.

00:45:40: Aber also de facto ist es so, dass ich auf jeden Fall eine Meldeplattform habe

00:45:44: beim Bundesjustizministerium.

00:45:45: Und es gibt weitere Meldestellen beim Bundesdatenschutzbeauftragten und beim

00:45:49: Bundeskartellamt zum Beispiel.

00:45:50: Aber ich sage mal, die vom Bundesjustizministerium ist vielleicht die thematisch

00:45:54: neutralste, wo ich mich immer hinwenden kann, die Webseite des Bundesjustizministeriums

00:45:58: aufrufen kann und erneut dort die Meldung abgeben kann.

00:46:00: Und wenn das tatsächlich nicht zu einer entsprechenden Handlung führt,

00:46:05: ist es eben auch möglich, tatsächlich das Ganze mit an die Öffentlichkeit zu

00:46:08: gehen und die Dinge offen zu legen und zu sagen, okay, hier hat niemand drauf

00:46:12: reagiert, deswegen sehe ich mich jetzt gezwungen, das an die Presse zum Beispiel zu geben.

00:46:16: Da muss ich tatsächlich sagen, ist es ganz schön, dass das Hinweisgeberschutzgesetz

00:46:20: lesbar geschrieben ist. Das muss man dem Gesetz zugutehalten.

00:46:23: Selbst ein Laie, der hier liest, wie werde ich geschützt und was darf ich jetzt

00:46:28: eigentlich, versteht den Gesetzestext im Grunde genommen ganz gut.

00:46:31: Also jemand, der plant, eine solche Meldung abzugeben, dem empfehle ich tatsächlich

00:46:35: mal den Gesetzestext zu lesen.

00:46:36: Der ist auch nicht so lang, das Hinweisgeberschutzgesetz, sodass man da,

00:46:39: glaube ich, schon sehr viel auch als Laie daraus mitnehmen und verstehen kann.

00:46:42: Muss ich denn eine Frist wahren zwischen der Meldung zum Arbeitgeber hin und

00:46:48: eben dann bis zur Meldung an eine weitere Stelle? Gibt es da eine Regelung,

00:46:53: wie lange ich warten muss?

00:46:55: Also grundsätzlich gibt es keine Pflicht dieser Eskalationsstufen vom Arbeitgeber

00:47:00: an der öffentlichen Meldestelle und an die Öffentlichkeit in dieser Reihenfolge

00:47:04: einzuhalten, sondern es ist tatsächlich so, dass ich von Anfang an die Wahl habe,

00:47:07: ob ich mich an mein Unternehmen oder gleich an die öffentliche Stelle,

00:47:11: zum Beispiel an das Bundesjustizministerium zu wenden.

00:47:13: Der Gesetzgeber möchte natürlich, dass das erst mal innerhalb der Unternehmen behandelt wird.

00:47:17: Aber wenn du schon, wie du es gerade beschrieben hast, Alex,

00:47:20: dass ich womöglich etwas melden möchte, was die Geschäftsführung betrifft,

00:47:23: dann ist mir das vielleicht zu heikel oder zu heiß, das im eigenen Unternehmen zu melden.

00:47:27: Dann habe ich durchaus die Erlaubnis, mich da auch direkt an eine öffentliche

00:47:30: Meldestelle zu wenden. Da muss ich keine Fristen einhalten oder das abwarten.

00:47:33: Es kann halt sein, dass die Rückmeldung von dem Team, das an der öffentlichen

00:47:37: Meldestelle das Ganze behandelt, erst mal rückfragt und sagt,

00:47:40: hast du es denn schon intern gemeldet? Ja, nein.

00:47:41: Wieso, weshalb? Da muss man dann halt in den Dialog treten und schauen,

00:47:45: wohin dann die Ermittlungen und das weitere Prozedere dann führt,

00:47:48: die Behandlung und dann Umgang mit dem Hinweis.

00:47:52: Offenlegung hinten hinaus ist es so, dass wir eine Frist haben von sechs Monaten.

00:47:59: Das bedeutet, ich muss als Hinweisgeber, sollte ich nach spätestens drei Monaten

00:48:04: darüber unterrichtet worden sein,

00:48:05: ob und in welchem Umfang mein Hinweis nachverfolgt, bearbeitet wurde,

00:48:09: ob zum Beispiel Folgemaßnahmen ergriffen worden sind zur Behebung und Abstellung des Umstandes.

00:48:15: Und wenn ich hierzu keinerlei Rückmeldung erhalte, darf ich mich dann entsprechend

00:48:20: auch bei einer Offenlegung Gedanken machen.

00:48:23: Allerdings gilt dies nur für ordnungsgemäß abgegebene Hinweise,

00:48:26: heißt, die nicht anonym abgegeben worden sind.

00:48:29: Wenn ich das anonym abgegeben habe, kann zwangsläufig an mich ja keine Rückmeldung

00:48:33: gegeben werden, weil das Unternehmen gar nicht weiß, wohin es sich melden müsste.

00:48:35: Es sei denn, es gibt eine Meldeplattform innerhalb des Unternehmens,

00:48:39: ein Hinweisgebersystem, das auch anonyme Meldungen und eine Kommunikation mit

00:48:44: einem anonymen Hinweisgeber ermöglicht.

00:48:46: Diese Plattformen sehen also vor, dass man den Hinweis abgibt,

00:48:48: ohne Ross und Reiter zu benennen und sehen dann in einem anonymen Account eine

00:48:53: Chat- oder Kommentaraustauschfunktion vor, sodass meine Identität grundsätzlich geheim bleibt,

00:48:58: ich aber mich dann auch auf diesem Weg mit dem Unternehmen austauschen kann,

00:49:02: ohne meine Identität preisgeben zu müssen.

00:49:04: Gibt es denn Erfahrungswerte schon bei diesen Meldeprozessen in Richtung der

00:49:11: Öffentlichkeit oder auch in Richtung der Gerichte?

00:49:14: Wie groß dann da auch eine Ablehnungsquote vielleicht ist?

00:49:18: Weil ich könnte mir vorstellen, wenn man jetzt so ein bisschen diese Blockwart-Mentalität

00:49:23: mal impliziert bei Menschen,

00:49:26: dass da sehr häufig unter Umständen doch dann Dinge gemeldet werden,

00:49:31: die vielleicht aber entweder lapidar sind oder gar nicht wirklich dann auch

00:49:35: letzten Endes eine rechtliche Handhabe hätten, was natürlich auch wieder zu

00:49:40: einer zusätzlichen Belastung für unser Justizsystem führen kann.

00:49:45: Also de facto ist das Gesetz erst zu kurz in Kraft dafür, um dort bereits von

00:49:48: Erfahrungen sprechen zu können. Ich denke, die haben wir so noch nicht.

00:49:51: Unsere MKM Compliance GmbH ist selbst Anbieter von einer Hinweisgeberplattform,

00:49:56: der Plattform White Sparrow.

00:49:58: Und wir erfahren momentan dort bei den Kunden, die uns als Dienstleister,

00:50:03: Service-Dienstleister mit einbinden, wo wir also in die Hinweisbearbeitung mit einbezogen sind,

00:50:07: erfahren wir derzeit, dass aktuell durchaus erste ernstzunehmende Hinweise in

00:50:12: den Unternehmen eingehen, mit denen man sich auseinandersetzen muss,

00:50:14: mit denen zu arbeiten ist.

00:50:16: Aber die Hinweisgeber in Deutschland agieren da im Moment noch sehr vorsichtig.

00:50:20: Also das scheint nicht so zu sein, dass es hier eine Überflutung mit Hinweisen

00:50:25: oder Fake-Hinweisen gibt, wie das viele vor der Einführung von dem System befürchtet hatten,

00:50:30: sondern ganz im Gegenteil, das wird tatsächlich ziemlich vernünftig und in einem

00:50:34: sehr überschaubaren Umfang derzeit genutzt. Man muss schauen, wo es hinführt.

00:50:38: Es sind Themen, die die Whistleblower-Richtlinie adressiert,

00:50:41: die durchaus dazu geeignet sind, auch einen gewissen Missbrauch zu gewährleisten.

00:50:45: Das heißt zum Beispiel Datenschutzthemen können danach auch gemeldet werden

00:50:49: oder Arbeitssicherheit, Arbeitsplatz, Arbeitsgesundheitsthemen

00:50:52: und solche Meldemöglichkeiten können halt schnell,

00:50:56: zum Beispiel wenn ich mich in einer rechtlichen Auseinandersetzung befinde mit

00:50:59: einem Unternehmen, auch zum Missbrauch benutzt werden.

00:51:01: Denn das bleibt also abzuwarten, inwieweit hier ein Missbrauch der Regelungen

00:51:04: passiert, der dann auch vor Gericht führt und dann auch zu eigentlich unnötigem Aufwand.

00:51:08: Aber derzeit ist es zu früh, um das wirklich einschätzen zu können.

00:51:11: Jetzt hast du gerade interessanterweise gesagt, es gibt eine Lösung,

00:51:15: die ihr auch entsprechend anbietet, White Sparrow.

00:51:18: Hat das denn einen Standard oder gibt es denn einen Standard,

00:51:23: der erfüllt werden muss oder könnte man es sich auch selber bauen?

00:51:28: Warum oder was spricht für White Sparrow und ähnliche Systeme?

00:51:33: Ich denke, die größte Herausforderung aus dem Hinweisgeberschutzgesetz ist die

00:51:36: Wahrung der Vertraulichkeit.

00:51:38: Die ist auch am höchsten bewusst geltend, wenn ich die nicht einhalte und den

00:51:41: Hinweisgeber nicht ausreichend schütze.

00:51:42: Und ich muss mir halt bewusst machen, dass ich nicht von vorne als Unternehmer

00:51:46: nicht einschätzen kann, was wird eigentlich hier gemeldet, was wird mich bei

00:51:49: den Folgeermittlungen hinten raus ereilen, worum werde ich mich kümmern müssen.

00:51:53: Und da ist es einfach ein Riesenvorteil, ein beschlossenes System zu haben,

00:51:58: in dem ich alle Informationen sammeln,

00:52:00: bearbeiten und dezidiert nach einzelnen Rollen und Rechten Benutzer hinzuziehen kann,

00:52:05: die genau, punktgenau sich mit den Informationen auseinandersetzen und die innerhalb

00:52:09: des Systems behandeln, ohne dass die innerhalb des Unternehmens womöglich sogar

00:52:12: am schlimmsten Fall per E-Mail kursieren und da dann dazu führen,

00:52:16: dass die Vertraulichkeit verletzt wird.

00:52:17: Also gerade zur Einhaltung der Vertraulichkeit ist es meines Erachtens sehr

00:52:21: sinnvoll, ein digitales Hinweisgebersystem einzusetzen, das diesen Schutz gewährleistet.

00:52:25: Und das ist natürlich selbstverständlich bei Whitesparrow da auch der Fall.

00:52:29: Ja, das war nämlich jetzt auch so mein Gedanke, weil ich, während du das gesagt

00:52:33: hast, habe ich so kurz darüber nachgedacht, wie könnte man sowas denn intern

00:52:36: selber lösen, aber wenn man so ein System für sich selbst betreibt, egal,

00:52:41: das kann jetzt, was weiß ich, wie ein Sharepoint mit einem Formular davor,

00:52:45: aber da entsteht ja schon so viel Protokoll, dass ich ja technisch durchaus in der Lage sein könnte,

00:52:52: wenn man wollte, herauszubekommen, selbst wenn die Meldung anonym gewesen ist,

00:52:56: von welcher IP-Adresse oder Oder weitere Metadaten, kam denn die Meldung?

00:53:01: Also das Fingerpointing wäre da halt relativ schnell passiert.

00:53:04: Und ich glaube, das ist wahrscheinlich ein ganz großes Argument dafür,

00:53:08: eben für die Verwendung von einer dafür extra geschaffenen Plattform.

00:53:12: Finde ich auf jeden Fall eine gute Geschichte, ja. Dazu muss man sagen,

00:53:16: da geben wir zum Beispiel den Hinweisgebern,

00:53:17: bevor die sich ins Formular einloggen, einen expliziten Sicherheitshinweis,

00:53:21: dass sie dies schon nicht von firmeneigener Infrastruktur machen sollten oder

00:53:25: nicht eingeloggt machen sollten, wenn sie eingeloggt sind im VPN oder ähnliches.

00:53:29: Darüber hinaus werden die Metadaten nach der erfolgreichen Übermittlung des

00:53:32: Hinweises nach innerhalb von 14 Tagen bei Whitesparrow hinten heraus auch gelöscht.

00:53:36: Und dadurch, dass es ein Cloud-basiertes Plattform ist, haben auf diese Metadaten

00:53:41: in der Zeit, wo sie existieren, tatsächlich ja nicht das Unternehmen selbst,

00:53:44: sondern nur wir als Anbieter Zugriff, sodass hier also ein Missbrauch im Grunde

00:53:48: genommen ausgeschlossen ist.

00:53:49: Das hört sich vernünftig an. Finde ich gut und ist auch definitiv eine wichtige Thematik.

00:53:55: Wie kann ich denn jetzt als Unternehmen herausfinden, ob ich davon betroffen

00:53:59: bin? Da gibt es ja mit Sicherheit Eckdaten, ob ich so eine Richtlinie brauche.

00:54:03: Genau, das ist also tatsächlich geregelt im Hinweisgeberschutzgesetz.

00:54:06: Seit 17.12.2023 ist es so, dass in Deutschland alle Unternehmen,

00:54:13: die 50 Beschäftigte haben oder mehr,

00:54:16: verpflichtet sind, solche Meldekanäle einzurichten.

00:54:18: Das gilt mal so als ganz genereller Bereich.

00:54:21: Und dann gibt es einzelne Branchen, wie zum Beispiel Finanzmarktbereich,

00:54:24: Schifffahrt und ähnliche. Ein paar Exoten sind da dabei, die unabhängig von

00:54:28: der Mitarbeiterzahl tatsächlich sogar solche Meldekanäle einrichten müssen.

00:54:32: Aber das sind jetzt keine nennenswerten Größen. Ich denke mal,

00:54:34: diese Richtlinie ab 50 Mitarbeiter ist so das, was die große Masse draußen interessiert.

00:54:38: Tatsächlich sind hier, ähnlich wie bei der NIST-2-Diskussion,

00:54:41: die wir vorhin geführt haben, wieder eine ziemlich große Anzahl von Unternehmen

00:54:44: betroffen in Deutschland, die sich da darum kümmern müssen.

00:54:47: Und da kann man vielleicht aber auch sagen, dass es hier tatsächlich auch gesetzausreichend

00:54:53: Spielraum lässt, auch den kleinen Einheiten eine schmale Lösung zu finden,

00:54:57: die die gesetzlichen Anforderungen gut und sicher erfüllt.

00:54:59: Und da will ich jetzt auch nicht nur auf unserer Plattform zeigen,

00:55:02: sondern es gibt mittlerweile einige etablierte Anbieter am Markt,

00:55:05: die hier Lösungen gerade für ein kleines Unternehmen auch anbieten,

00:55:09: sodass das stemmbar ist und die ganze Sache leicht umzusetzen ist,

00:55:13: ohne dass große Kosten dazu entstehen.

00:55:15: Ganz niedrig angesetzt die Frage,

00:55:17: reicht auch ein anonymer Brief im Kummerkasten? Ist das schon gültig?

00:55:22: Nein, also im Grunde genommen nicht wirklich, weil es tatsächlich hinten heraus

00:55:26: dann mit der Kommunikation zum Hinweisgeber und der Wahrung der Vertraulichkeit

00:55:30: natürlich entsprechend schwierig ist.

00:55:31: Also de facto komme ich damit nicht klar und schon keinesfalls mit einer Einrichtung

00:55:35: einer E-Mail-Adresse, mit der etliche Unternehmen an uns herangetreten sind.

00:55:39: Also tatsächlich halte ich das für sehr schwierig.

00:55:42: Wenn ich mal was ergänzen darf. Ich denke, Unternehmen sollten verstehen,

00:55:45: dass das halt nicht wieder nur so eine Regelung ist, der ich mich unterwerfen

00:55:49: muss und wo ich wieder Pflichten habe, sondern dass darin auch die Chance liegt.

00:55:53: Und wenn ich tatsächlich einen Mitarbeiter habe, der entschlossen ist,

00:55:56: Missstände aufzudecken, die ich nun mal habe, egal ob ich sie kenne oder nicht.

00:55:59: Wenn ich sie nicht kenne, ist es gut, dass jemand sagt, ich habe da was entdeckt.

00:56:02: Kenne ich sie? Und dann gibt es aber jemanden, der das nach außen hin gerne

00:56:06: veröffentlichen würde, also der klassische Whistleblower.

00:56:09: Dann ist es ganz gut, wenn ich einen eigenen Kanal habe, dass der zunächst zu mir kommt.

00:56:13: Und das macht er aber nur dann tatsächlich, wenn das System,

00:56:16: wo er den Hinweis abgibt, auch vertrauenswürdig ist.

00:56:19: Und ich als Unternehmen muss ein Interesse daran haben, mit dem zu kommunizieren,

00:56:22: wenn ich nämlich nicht alles verstehe oder wenn ich, wie gesagt,

00:56:26: wenn ich es nicht ganz zuordnen kann.

00:56:27: Wenn ich das nicht habe, wenn ich ein ganz einfaches System habe,

00:56:30: dann kann sein, dass das dann doch am Ende des Tages versickert und dann das

00:56:35: doch höher aufgehängt wird und die zuständige Behörde vielleicht dann kommt

00:56:38: und mit einem Bußgeld droht.

00:56:40: Das heißt also, diese Chance sollte man nicht vertun und deswegen sollte man

00:56:45: schon, man muss gerade als kleines Unternehmen kann man tatsächlich die schlanke Lösung wählen.

00:56:49: Ansonsten ist es natürlich schon gut, wenn man sagt, ich stelle mich da richtig auf.

00:56:53: Vielleicht ein Tipp zur Umsetzung. Viele Unternehmen glauben,

00:56:57: dass wenn ich eine solche Plattform buche, ist das Thema durch und erledigt.

00:57:01: Das ist es beileibe nicht. Die Plattform hilft halt nur, bestimmte Kriterien

00:57:05: wie Vertraulichkeit und die Kommunikation über den Fall einzuhalten.

00:57:08: Was ich zwingend machen muss, und das ist der nicht finanzielle,

00:57:12: aber organisatorische Aufwand, den ich machen muss, ich muss mir überlegen,

00:57:15: wie gehe ich mit eingehenden Hinweisen um?

00:57:17: Wer bearbeitet die? Wer kümmert sich darum?

00:57:20: Wie ist die Kommunikation innerhalb des Unternehmens darüber geregelt?

00:57:24: Wann und in welchem Umfang wird die Geschäftsführung darin einbezogen?

00:57:27: Also tatsächlich da sich darüber Gedanken zu machen, wie der Prozess dahinter

00:57:32: abläuft, das ist das, das ist auch die Art von Aufwand, die ich auch nicht komplett

00:57:36: nach außen abgeben kann an Dienstleister wie uns.

00:57:39: Selbstverständlich würden wir komplett dabei unterstützen, bei der Hinweisbearbeitung,

00:57:43: bei der rechtlichen Einschätzung, bei der Beratung dazu, wie vorzugehen ist.

00:57:47: Aber am Ende des Tages müssen die Unternehmen selbst entscheiden,

00:57:50: was mache ich, wie mache ich es im eigenen Unternehmen, in welchem Umfang bearbeite

00:57:55: ich den Hinweis oder bearbeite ihn entsprechend nicht.

00:57:57: Um diese Gedanken, sich die zu machen, kommt kein Unternehmen herum und aus

00:58:02: der Pflicht komme ich auch aus dem Gesetz einfach nicht heraus am Ende des Tages.

00:58:05: Und das ist das, was jedes Unternehmen machen muss, unabhängig davon,

00:58:09: ob es jetzt eine Plattform einsetzt oder nicht.

00:58:11: Egal, was man tatsächlich dann anstellt, es kann auch sein, dass dann irgendwann

00:58:15: der interne oder externe Datenschutzbeauftragte klopft und sagt,

00:58:18: was genau habt ihr jetzt da eingerichtet?

00:58:20: Und da spätestens muss ich mich um die technisch-organisatorischen Maßnahmen

00:58:23: bemühen und sagen, das, was Thilo gerade gesagt hat, was passiert denn eigentlich

00:58:28: dann mit den Hinweisen? Wer darf die sehen und wie kann ich die Vertraulichkeit gewährleisten?

00:58:33: Das ist nicht nur ein Thema des Hinweisgeberschutzgesetzes, sondern natürlich

00:58:35: auch für den Datenschutz und das muss man entsprechend dokumentieren.

00:58:39: Das sind weitere Tätigkeiten, die da lauern.

00:58:42: Ebenfalls vielleicht noch als Tipp, der in der Öffentlichkeit noch nicht so bekannt ist.

00:58:45: Es gab schon vor dem Hinweisgeberschutzgesetz und vor der EU-Whistleblower-Richtlinie

00:58:49: in Deutschland eine DIN-ISO-Norm zu diesem Thema.

00:58:52: Und zwar gibt es die DIN-ISO 37002 zur Einrichtung von Hinweisgeber-Management-Systemen

00:58:59: im Unternehmen. nehmen. Und de facto ist es tatsächlich so, dass unser System

00:59:03: zum Beispiel auch danach entwickelt wurde nach den Vorgaben.

00:59:05: Und wenn wir die Kunden bei uns beraten in diesen Bereichen,

00:59:08: wir die Grundsätze, die prozessualen Grundsätze, die diese DIN ISO festlegt,

00:59:11: auch zur Anwendung bringen.

00:59:13: Aber wenn sich ein Unternehmen selbst damit auseinandersetzen möchte,

00:59:15: hilft ein Blick in diese DIN ISO, die DIN ISO 37002.

00:59:21: Ja, vielen lieben Dank dafür. Werde ich auch alles nochmal unten in den in Shownotes

00:59:25: entsprechend mit verlinken.

00:59:27: Da kann man sich das dann auch nochmal anschauen. Und ja, auf jeden Fall auch

00:59:31: ein mir neues Thema. Hatte ich, wie gesagt, gar nicht auf dem Radar.

00:59:35: Aber sollte man sich definitiv mit beschäftigen.

00:59:39: Ja, wir leben in einer Zeit des stetigen Wandels. Es passiert eine Menge derzeit.

00:59:46: Mal so die Glaskugel ausgepackt. Ich bin mir sicher, MKM hat auch eine,

00:59:50: weil Pegasus hat mehrere davon.

00:59:52: Wie geht das weiter? Was glaubt ihr, wie wird sich denn die Arbeitswelt oder

00:59:56: auch die IT-Welt in den nächsten fünf Jahren, vielleicht auch zehn Jahren noch

01:00:00: verändern oder verändern müssen?

01:00:02: Also die Vorstellung von manchen ist ja, dass man in zehn Jahren,

01:00:06: dass wir alle auf Liegestühlen liegen und Cocktails schlürfen und KI und Roboter

01:00:10: und wie sie alle heißen, erledigen unsere Jobs. Das gibt es nur bei Wall-E.

01:00:15: Ich habe auch an Wall-E gedacht tatsächlich. Die einen fürchten das,

01:00:18: die anderen sehen das dabei. Aber da muss man ganz ehrlich sein und schauen,

01:00:22: wie sieht eigentlich unsere digitale Infrastruktur aus in Deutschland?

01:00:26: Wie sieht es mit schnellem Internet und Mobilfunk aus?

01:00:30: Wir sind in vielen Bereichen noch weit hinterher. Das heißt,

01:00:32: ich habe die Befürchtung und gleichzeitig auch dann die Beruhigung,

01:00:37: dass ich sage, auch in zehn Jahren wird sich die ganze Arbeitswelt und die Wirtschaftswelt

01:00:42: nicht so stark entwickelt haben.

01:00:44: Das ist jetzt gerade eine Art

01:00:45: Hype, wo natürlich viele mitreden und wo tatsächlich auch viel passiert.

01:00:50: Aber diese Schritte werden nach und nach kommen. Und man wird sich genau wie

01:00:54: bei allen anderen Entwicklungen im IT-Bereich, man wird sich daran gewöhnen müssen.

01:00:59: Die Auswirkungen werden letztlich alle spüren, vom Anwender bis zum Entwickler

01:01:04: sprechender Systeme und die Management-Ebene wird viel mehr als früher noch

01:01:09: all diese Dinge auf dem Schirm haben müssen, das kann man sicherlich auch sagen.

01:01:13: Das Schöne ist, und das kann man sagen für unseren Berufsstand,

01:01:16: die Regulierung wird an der Stelle auch nicht aufhören.

01:01:19: Es wird immer weitergehen, es wird noch weitere Vorschriften geben und Beratungsbedarf

01:01:23: wird immer gegeben sein.

01:01:26: Ich möchte dir ein bisschen widersprechen, André. Gerne. Ich möchte sagen,

01:01:29: dass die KI schon ein bisschen tatsächlich als Game Changer,

01:01:33: als eine Entwicklung mit erheblichen Auswirkungen betrachte.

01:01:36: Ich glaube, dass wir aus dem Bereich der KI und was da im Hintergrund im Moment

01:01:40: schon läuft und entwickelt worden ist und was KI mittlerweile schon kann,

01:01:44: was aber noch gar nicht an die Öffentlichkeit dringt derzeit,

01:01:47: dass das enorm ist und dass das Arbeitsumfeld im digitalen Bereich tatsächlich

01:01:51: erheblich verändern wird in den nächsten, ich schätze, fünf Jahren.

01:01:54: Also durchaus mittelfristig.

01:01:57: Und ich glaube, dass wir da die Entwicklung neuer Jobs, wie die Prompter,

01:02:01: die du vorhin schon genannt hast, Alex, sehen werden.

01:02:03: Wir werden sehen, dass bestimmte einfache Tätigkeiten für Jobs,

01:02:08: die jetzt gemacht werden, durch KI erledigt werden.

01:02:11: Ich glaube, dass die Zahl der Jobs, die wegfallen, nicht so groß ist.

01:02:14: Ich glaube, dass bei diesen Jobs sich der Anwendungsbereich ändern wird.

01:02:17: Das betrifft auch uns Rechtsanwälte.

01:02:19: Heutzutage bezahlt keiner mehr einen Rechtsanwalt dafür, dass eine Datenschutzerklärung

01:02:22: mehrere Stunden lang manuell zusammenklöppelt.

01:02:24: Da gehe ich irgendwo auf datenschutzerklärung.de und lasse mir die machen.

01:02:28: Und das ist nur das einfachste Anwendungsbereich. Und so werden sich die Jobs

01:02:32: und die Tätigkeiten in diesen Bereichen verändern.

01:02:34: Und da wird KI meiner Meinung nach eine ganz entscheidende Rolle spielen.

01:02:38: Ich bin sehr gespannt, was da alles kommt.

01:02:40: Also Alex, du siehst, auch bei MKM hat man mindestens zwei Glaskugeln,

01:02:44: in die man gucken kann. Und je nachdem, welche man nimmt, kommt das Ergebnis entsprechend raus.

01:02:49: So habe ich mir das eigentlich gewünscht. Das ist schön. Ich sollte mal gucken,

01:02:52: dass ich des Öfteren mal Podcasts-Interview mache.

01:02:54: Mit mehreren Teilnehmern. Das ist gut, gefällt mir gut.

01:02:58: Ja, ich bin auch gespannt, was da noch so passieren wird.

01:03:03: Meine größte Befürchtung, die ich habe, ist, dass jetzt als nächstes das Thema

01:03:07: Quantencomputing uns treffen wird.

01:03:09: Das ist nämlich auch nicht mehr so weit weg. Das stimmt wohl, da gebe ich dir recht.

01:03:14: Ja, das ist tatsächlich das Thema. Und vor allen Dingen das Thema KI ist ja

01:03:17: so gestaltet, wenn wir in Europa mitreden wollen, brauchen wir passende Quantencomputer.

01:03:22: Und wir sind meilenweit davon entfernt, vernünftige Supercomputer zu haben.

01:03:26: Das heißt, sollte tatsächlich in der Entwicklung viel mehr gehen,

01:03:29: als jetzt absehbar ist, dann nehme ich dann meine Prognose auch wieder zurück

01:03:33: und dann passiert tatsächlich noch viel mehr, als wir uns vorstellen können. Ja, auf jeden Fall.

01:03:38: Wunderbar. Dann, wie immer in diesem Podcast, meine letzte Frage.

01:03:43: Habt ihr denn abschließend noch eine Nachricht oder eine Botschaft,

01:03:46: die ihr unserer Zuhörerschaft mitgeben möchtet?

01:03:50: Ja, ich halte es da so ein bisschen mit dem Abgedroschenen, was man immer wieder

01:03:53: hört zu dem Thema von Michael Gorbatschow, der gesagt hat, wer zu spät kommt, dem bestraft das Leben.

01:03:59: Ich sage lieber, früher ist besser. Das ist ein bisschen verkürzt und sage,

01:04:03: was Rechtsberatung angeht, wir haben es sehr gerne und beschweren uns nicht,

01:04:07: wenn jemand sehr frühzeitig auf uns zukommt und sagt, ich habe da was gelesen, ich habe was gehört.

01:04:12: Es gibt da entsprechende neue Regelungen auf EU-Ebene, da kommt was, da wird was umgesetzt.

01:04:17: Betrifft mich das? Da sind wir sehr offen und wir möchten das auch so haben,

01:04:21: weil tatsächlich der Vorlauf ist zwar meistens größer, aber der Aufwand ist

01:04:25: erheblich und man ist ja nicht alleine in seinem Bestreben nach Compliance.

01:04:29: Das heißt, je früher man sich darum kümmert, desto besser können wir den Mandanten aufstellen.

01:04:35: Ich möchte allen, die draußen zuhören, sagen,

01:04:38: lasst euch nicht frustrieren von komplexen technischen Anforderungen oder völlig

01:04:43: unverständlichen rechtlichen Regelungen und Normen,

01:04:46: sondern sucht euch einen pragmatischen Weg durch diesen Dschungel hindurch und

01:04:50: sucht euch Berater, die diesen pragmatischen Ansatz unterstützen.

01:04:54: Dann seid ihr damit gut unterwegs und findet auch, glaube ich,

01:04:57: einen guten Umgang damit. mit.

01:04:58: Dankeschön euch beiden und ja, wer jetzt denkt, diese ganzen,

01:05:03: ganzen Themen, die wir jetzt da so besprochen haben, das ist ja noch lange nicht alles.

01:05:08: MKM hat auch immer wieder schöne Webinare, hat auch Newsletter,

01:05:12: da kann man sich auch mal anmelden, da kann man auch mal ins Webinar gehen,

01:05:15: also um da auch mal am Ball zu bleiben oder im Thema zu sein.

01:05:19: Also auch da meine Empfehlung, mein letzter Call to Action für dieses Interview heute,

01:05:24: guckt euch das mal an, meldet euch da auch gerne mal an und ja,

01:05:27: haltet euch selber einfach informiert, weil es passiert einfach so viel und

01:05:32: es ist einfach heute wichtiger denn je, wirklich da am Ball zu bleiben.

01:05:36: Thilo, André, ich danke euch ganz herzlich, dass ihr euch heute die Zeit genommen habt.

01:05:39: Trotz Verkehrschaos, was bei euch da gerade so heute vorgeherrscht hat,

01:05:44: wir es trotzdem geschafft haben, zusammenzukommen.

01:05:46: Und ich glaube, das war mit Sicherheit nicht das letzte Mal,

01:05:48: dass wir uns im Rahmen des Podcasts gehört haben, weil das Thema rund um rechtliche

01:05:53: Themen, das möchte ich persönlich auch gerne gerne doch ein bisschen mehr noch im Podcast haben.

01:05:58: Und ja, in diesem Sinne wünsche ich euch noch einen schönen Tag.

01:06:03: Wann auch immer ihr als Hörer, Hörerin das Ganze hört, auch einen schönen Tag,

01:06:08: ein schönes Wochenende oder gute Nacht.

01:06:10: Und dann würde ich mich freuen, wenn wir uns auch zur nächsten Folge wiederhören

01:06:13: würden, hier bei Blue Screen. Macht's gut, bis dahin. Tschüss.

01:06:18: Music.

Neuer Kommentar

Dein Name oder Pseudonym (wird öffentlich angezeigt)
Mindestens 10 Zeichen
Durch das Abschicken des Formulars stimmst du zu, dass der Wert unter "Name oder Pseudonym" gespeichert wird und öffentlich angezeigt werden kann. Wir speichern keine IP-Adressen oder andere personenbezogene Daten. Die Nutzung deines echten Namens ist freiwillig.