 Ja, lieber Chaos-Computer-Kongress, es ist mir eine Freude und Ehre, heute hier Oliver Fettermann vorstellen zu dürfen und auf die Bühne rufen zu dürfen, mit Risky Business, Rechte und Pflichten von IT-Sicherheitsforschern. Bittge gibt ihm einen warmen Applaus und lauscht seinen spannenden Worten über ein Thema, was uns alle betrifft. Danke. Gut, die Slides kommen, sehr schön. Ja, ich weiß gar nicht recht, wie ich anfangen soll, weil die Geschichte ist eigentlich die, also erst mal, ich bin Oliver, das wurde ja schon so ein bisschen angeteasert, aber um zum Punkt zu kommen, würde ich erst mal einleiten, mit warum halte ich diesen Vortrag, warum nenne ich das ganze Risky Business und oder stellt zumindest die Frage auf, warum ist es irgendwie manchmal ein bisschen schwierig in der Forschung irgendwie zu erklären, wann darf man was, wann nicht und welchen Weg ich da irgendwie gegangen bin in den letzten drei Jahren, würde ich sagen, denn um das Ganze so ein bisschen zu untermauern, ich mache jetzt keine große Vita oder so was auf, aber ich bin letzten Endes auf zwei Seiten Deutschland so ein bisschen beheimatet, in Leipzig und einem in Karlsruhe und in Leipzig mache ich eher die Lehre, da sitzen dann viele kleine Studierende da und dann muss man ein bisschen ein paar Sachen erklären und die dann einführen im ersten Semester, das ist so das, was ich da mache und in Karlsruhe ist eigentlich dann so die Forschung. Also da begleite ich jetzt drei Jahre schon Forschungsprojekte im Bereich der IT-Sicherheit und im Datenschutz so im rechtlichen Bereich. Also da geht es vor allem darum, was darf man, was darf man nicht und vor allem auch dabei, wenn dann Dinge entwickelt werden, wie implementiert man am besten irgendwelche Schutzmaßnahmen und bei diesen ganzen Prozedere und vor allen Dingen, das habe ich dann die letzten drei Jahre gemacht, das Forschungsprojekt, Entschuldigung, da kaffe ich was, für die effektive Information bei digitalen Identitätsdiebstahl, also ID kurz nennt sich das, so ein bisschen da so skizziert, dass wir da vor allem die Problematik hatten irgendwelche Informationspflichten untereinander einzuhalten im Datenschutzrecht und was da oft diskutiert wurde, waren dann auch so Sachen, wie wann implementiere ich irgendwas richtig, wann nicht, wie sieht sowas im Code aus, also ich habe mir dann zumindest gelegentlich, auch sehr oberflächlich leider, aber das lerne ich dann in den nächsten Jahren und bis dann nicht Zeit habe, den Sourcecode angeguckt und das ein oder andere dann nochmal nachgefragt vor allem mit des minutiös erklären lassen und dann zu sagen, das ja, das nein und dann gefragt, was könnt ihr noch und dann so ein bisschen nachjustiert, also sehr eng zusammengearbeitet, um vielleicht solche Konfusionen nicht zu vermeiden und wenn es dann doch mal passiert, dann gab es schon sehr hitzige Diskussionen, wann oder wie groß denn K ist, wenn es um eine K-Anonymität geht und um das ein bisschen zusammenzufassen, das waren so hitzige Diskussionen, dass die Leute danach eine Weile lang nicht miteinander geredet haben. Also das war dann schon so, dass das am Rande war, dass man sagt so, wie kommuniziert man das gut miteinander, das hitzt sich dann nun mal auf, weil der Jurist nicht sagen kann, wie groß K ist, das ist immer, es kommt drauf an, das ist die Standardausrede oder die Standardfloskel, die der Jurist dann bringt und der Informatiker will aber so, sag ich mal, mehr oder weniger, wie näher, dann sagen, wie groß ist das K, es muss doch einen Urteil geben oder so, dass das sagt, gibt es aber nicht und da komme ich dann nochmal zu, wie man das in etwa, ich sag mal, nicht bestimmen kann, aber wie man so ein bisschen Gefühl dafür kriegen kann, wann man das macht. Aber um erst mal dazu zu kommen, was ist überhaupt IT-Sicherheitsforschung, was gucken wir uns da an oder wie betrachte ich das Ganze in den letzten drei Jahren, sag ich mal, mehr oder minder und wie selbst das wahrgenommen. Ja, also um das so ein bisschen zusammenzufassen, ist, wenn man das auf einer rechtlichen Seite erst mal grob runter bricht, die Forschung, jede wissenschaftliche Tätigkeit, also das ist ein Zitat aus einem Bundesverfassungs-Richt-Urteil, das ist so sehr allgemein gehalten, den man ganz gut erkennen kann und was man auch erkennen kann, ist in diesem letzten Drittel, in dieser unteren Zeile, dass es vor allen Dingen darum geht, einen ernsthaften und planmäßigen Versuch zu unternehmen. Das heißt, es muss nicht irgendwie, ich probiere jetzt mal was und stecke das mal rein, sondern es sollte, also sehr formalistisch sollte es so nicht sein, dass ihr jetzt irgendwie noch Tabellen führt oder so, aber es sollte sozusagen eine Frage aufgestellt werden, das ist ja in den naturwissenschaftlichen Disziplin ja meistens bei den Papers so, so hat eine Frage aufgestellt, dann wird eine Studie gemacht und am Ende wird rausbekommen, wie das Ergebnis der Studie ist und das ist so ein bisschen auch das, was diese Definition aufhängt. Also von der rechtlichen grundlegenden Seite gibt es da erst mal nichts, dass man sagen kann, IT-Sicherheitsforschung ist da jetzt irgendwas ganz Besonderes, es zählt ganz normal auch zu dieser Forschung. Wenn wir das dann aber tatsächlich mal so ein bisschen skizzieren, dann haben wir auf der informatischen oder IT-Sicherheitstechnischen Seite, sage ich mal, diese drei Schutzziele, die in der IT-Sicherheit immer so ein bisschen sehr heilig sind, also man könnte da auch sagen, die haben so ein bisschen so naheilige Dreifeiligkeit, dass wir eine Verfügbarkeit, Vertaulichkeit und Unversehrheit haben, die alle irgendwie miteinander zusammenhängen. Also wenn ich eins wegnehme, wirkt sich das vielleicht unter Umständen, wie nach dem, was man macht, auch auf diese anderen Punkte aus. Es ist dann immer nicht so ganz einfach, das so zu bestimmen. Wenn man das dann auf der rechtswissenschaftlichen Seite macht und da wieder mal das Bundesverfassungsrecht so ein bisschen hinzuzieht, dann gibt es da kein Urteil, das direkt sagt, das ist IT-Sicherheit, aber wenn ich mal das Hardware nächste nehme, was dann das sogenannte Grundrecht auf Vertaulichkeit und Intelligentät der Informationstechnischen Systeme ist, wenn ich das nehme, dann ist das definiert als das Interesse des Nutzers, dass die von einem Schutzbereich erfassten Informationstechnischen System erzeugten, verarbeiten und gespeicherten Daten vertraulich bleiben. Das klingt schon sehr nach Kauderwäldsch, meint aber letzten Endes, dass wir ein Informationstechnisches System haben, das nicht selbst darunter fällt, sondern man sieht es oben ganz gut, das ist nur das Interesse des Nutzers daran und es geht vor allen Dingen um die Daten oder um Systeme, die Daten verarbeiten. Also normal, man könnte jetzt einerseits sagen, klar, jedes System verarbeitet Daten, aber dieses Urteil hat dieses Grundrecht dann eher in so ein persönlichkeitsrechtlichen Charakter eingebettet. Das heißt, diese Systeme sind vorwiegend Systeme, die irgendwie personenbezogten oder personenbezogene Daten verarbeiten. Auch wenn es nicht vorwiegend Datenschutzrecht ist in diesem Grundrecht, das ist ja dann eher dieses Grundrecht auf informationelle Selbstbestimmung, sondern bei dem geht es eher darum, sozusagen die Hülle um diese Daten in Form des Systems zu schützen. Und wenn man dann das verzweigt, so ein bisschen in diese einfach gesetzliche Schiene, also Datenschutzrecht und tatsächlich IT-Sicherheitsrecht, dann fehlt da relativ viel. Also im Datenschutzrecht gibt es dann tatsächlich nur sozusagen IT-Sicherheit als Mittel, um entsprechend die Informationen zu schützen. Also sozusagen als Maßnahme. Und wir haben im IT-Sicherheitsrecht das Problem, dass man da nur kritische Infrastrukturen und sogenannte digitale Dienste, zum Beispiel Online-Shops sind da genannt, direkt verpflichtet, aber alles andere ist sehr mittelbar. Das heißt, wenn man das versucht in Einklang zu bringen, hat man auf der einen Seite eine Möglichkeit, eine Verzierung zu machen und Audit, also eine wiederholte Überprüfung mit entsprechender Auszeichnung einzuholen. Aber das ist dann auch so ein bisschen schwierig, weil daraus schon mal keine Pflichten folgen können. Also es gibt keine Pflicht, diese Audits zu tun. Es ist natürlich vielleicht ein gesellschaftlicher Druck da, dass man sagen kann, cool, wir haben das, unser Produkt hat das, das wirkt besonders toll. Aber das Problem ist dann, wenn das nicht alle machen und keiner mitzieht, dann passiert halt nichts. Also fällt das schon mal weg. Und wie wir dann weitergehen, tatsächlich so ein bisschen in die Hardware-Richtung oder wie soll ich sagen, in diese Schutzmaßnahmen, dann gibt es da schon auf der einen Seite eine Verpflichtung, wenn man Datenschutzrelevante Systeme irgendwie bearbeitet bzw. dafür IT-Sicherheit irgendwie einbinden soll oder entwirft. Das heißt, da gibt es so ein bisschen eine Verpflichtung, aber die genaue Ausgestaltung kann ja auch wieder jedem selbst überlassen, weil da steht dann häufig da Stand der Technik und Stand der Technik ist dann das, was bei Juristen manchmal als Gummiparagrafen bezeichnet wird. Das heißt, es ist sehr weit dehnbar. Das heißt, man orientiert sich dann daran, was ein bisschen Best Practice ist, was gut funktioniert, was sich bewährt hat. Und das kann zu positiven Wirkungen führen. Das muss aber nichts langsläufig, weil wenn sich irgendwas, was nicht relevant ist, sondern was nicht gut schützt sozusagen, was der Technik etabliert hat und die anderen gut schützenden Sachen sich nicht durchsetzen, dann ist das Ganze ebenso auch nicht als Verpflichtung zu sehen, sondern man kann dann nur das nehmen, was am besten und am einfachsten funktioniert und vielleicht für den Anmender wenig Probleme bereitet. Also auch da keine unmittelbare rechtliche Verpflichtung. Und zu guter Letzt, mit dem Herrin oder dem Wesen mit Monoke skizziert, das BSI, das der letzten Endes eher eine Art Aufsicht hat für Hardwareherstellerinnen oder Anwenderinnen und Ähnliches. Also es hilft sozusagen, aber es gibt wenig unmittelbare Verpflichtungen. Auch das BSI-Gesetz enthält da nichts abgesehen, hat hier gesagt von diesen kritischen Infrastruktur. Außer es gibt da noch die eine kleine Ausnahme, aber die ist halt auch keine richtige Verpflichtung, wenn dann das BSI kommt und bestimmte Produkte überprüft. Das heißt, sich die genauer anschaut auf entsprechende Schutzziele, die man genannt hatte, die nimmt auch das BSI-Gesetz, also Vertraulichkeit, Intekrität und Unversehrtheit, das war doppelt, Entschuldigung, Vertraulichkeit, auf jeden Fall auch die Unversehrtheit, aber nichtsdestotrotz, nimmt es diese drei Schutzziele überprüft, ob die eingehalten werden und hilft dann entsprechend nachzustehen. Aber es gibt keine Pflicht, zum BSI zu gehen und zu sagen, hier überprüft unser tolles Programm, weil dann hätte auch das BSI glaube ich irgendwann so viel zu tun, ich glaube das explodiert. Und auf der anderen Seite eine Verpflichtung, das überprüfen zu lassen, besteht dann sozusagen höchstens mittelbar. Also auch das fällt mehr oder weniger weg und man kann sich dann fragen, mal abgesehen vom Zivilrecht, wo dann auch nichts ist, deswegen habe ich es nicht erwähnt, man wird eigentlich wahnsinnig, man weiß nicht, wo man anfangen soll, was das angeht, weil alles irgendwie nur mittelbar ist und man kann dann nur sagen, implementiert das irgendwie bestmöglich, wenn man so richtig ist, dass drin steht, das und das ist der Mindeststandard und alles, was drüber liegt, ist irgendwie schön, aber das müsst ihr selber gucken, so was gibt es nicht. Zumindest hat sich das meiner Kenntnis entzogen in der Vorbereitung. Gut, deswegen justiert sich dieser gesamte Vortrag jetzt ein bisschen viel ins Daken uns recht, weil das das nächste oder das meiste ist, was irgendwelche Verpflichtungen vorgibt oder zumindest relativ viele Anleihen gibt und wo wir dann ein bisschen gucken, dann fällt man da drunter. Deswegen erst mal so ein bisschen die Grundlagen. Wenn man jetzt, ich hoffe, man kann es einigermaßen gut lesen, ich glaube die letzten Reihen werden ein bisschen Probleme haben, deswegen paraphrasiere ich das jetzt ein bisschen. Wir haben den §1 des Bundesdatenschutzgesetzes mal so ein bisschen da, dass ihr auch seht, wie ich dann anfange zu arbeiten, weil im §1 eines Gesetzes steht meistens der Anwendungsbereich, das heißt, da könnt ihr gucken, ist das überhaupt für mich relevant? Wenn wir uns das jetzt für unsere Frelle angucken, können wir erst mal anschauen, also wenn wir davon ausgehen, wir haben Systeme, die irgendwie mit personenbezogenen Daten zu tun haben, dass wir das erst Richtschnur nehmen können, dann fallen wir erst drunter, wenn wir irgendwie zu einer öffentlichen Stelle des Bundes gehören. Und im Ausnahmefall des Landes, wenn und soweit, das ist dieser tolle Nachsatz da dran, das Land nicht selber geregelt hat. Und das kommt dann dazu, private Stellen fallen immer unter dieses Gesetz. Das heißt, wenn ihr unabhängige IT-Sicherheitsforscherin seid, dann ist das Bundesdatenschutzgesetz und natürlich das Grundverordnungen, die puzzeln sich immer so ein bisschen zusammen, denn sind die eure Richtschnur, und wenn ihr zu den Ländern gehört, zum Beispiel zu einer Universität, dann ist es tatsächlich, wenn es existiert, wovon in der Großteil der Länder natürlich auszugehen ist, dann nehmt ihr das Landesdatenschutzgesetz und dann die Datenschutzgrundverordnungen. Also so beides auch zusammen. Die Les ist ein bisschen ineinander. Aber das ist natürlich ein bisschen schwierig, weil ihr habt da in der Regel Juristen, für die ihr fragen könnt, wenn ihr was nicht versteht. Also nicht, dass ich jetzt irgendwie denke, ihr versteht alles nicht. Aber das ist so die Herangehensweise, wie ihr versuchen könnt, das ganze Dickicht erst mal zu durchdringen. Gut, wenn wir das wissen, dann müssen wir natürlich immer auch eine entsprechende Verarbeitungsgrundlage mitbringen. Wir können nicht einfach irgendwelche Daten nehmen oder zumindest Systeme bauen, die entsprechende Daten verarbeiten und dann sagen, pff, das ist mir egal. Wird schon irgendwie passen, berechtigtes Interesse sieht man da unten schon als Drittes, kann man immer gut vorbringen, könnte aber interessant werden. Und ich habe jetzt mal drei, also es sind mehrere, mehr als drei auf jeden Fall in der Datenschutzgrundverordnung. Ich habe mir jetzt aber mal die drei rausgegriffen, die so die Top drei sind, oder zumindest die, die sich am besten für Forschung eignen. Wenn uns jetzt die Einwilligung anschauen, die ist erstmal relativ simpel, man braucht von irgendwelchen den bestätigenden Willensakt. Der muss aber entsprechend freiwillig sein, der muss entsprechend auch in Kenntnis sein, daher auch das Gehirn. Es sollte natürlich ein entsprechender Gehirnschmalz da sein, der mit den Informationen gefüllt ist, worin ich einwillige und warum, weshalb, wieso und wozu das Ganze überhaupt verarbeitet wird. Wenn wir dann weitergehen zu der Verarbeitung zur Wahrnehmung einer öffentlichen Aufgabe oder am öffentlichen Interesse, dann ist das eher die Rechtfertigungsmöglichkeit oder die Verarbeitungsmöglichkeit die staatlichen Institutionen sozusagen zugetan ist. Das ist dann vor allen Dingen für akademische Mitarbeiterinnen der Fall, für Leute wie mich, wenn ich das im Forschungsauftrag der Uni oder eines Forschungsinstituts mache, das entsprechend als solches zu qualifizieren ist. Und wenn ich dann tatsächlich das außerhalb mache, also frei für mich, dann könnte ich tatsächlich dann dieses berechtigte Interesse bringen. Also da sind dann tatsächlich diese unabhängigen IT-Sicherheitsforscherinnen zu finden oder unter Umständen auch abseits von öffentlichen Aufgaben finanzierte Forschung. Also sag ich mal nicht staatlich gebundene oder in der Mehrheit des staatlich liegenden Institute. Was man davon aber trennen muss, ist tatsächlich diese Großforschung, die nur betriebsbezogen ist. Das heißt, wenn ich jetzt irgendwie ein großes Pharma-Unternehmen bin und irgendwas Tolles mit KI machen will und mache das nur um eine Produkte irgendwie toll herauszubringen oder Ähnliches, dann passt das nicht so ganz. Also diese Forschung ist dann nicht Forsch... Also das kann unter Umständen im berechtigten Interesse liegen, aber es ist dann zumindest kein Forschungsinteresse, sondern könnte dann ein betriebswirtschaftliches Interesse sein. Aber je nachdem diese ganzen Abwägungsgeschichten kann zumindest harisch werden. Nun aber erst mal zur Einwilligung. Was gibt es da irgendwie Besonderheiten, die man für die Forschung beachten muss? Wenn wir uns das... Na, wenn wir uns dann das Ganze mal von den Voraussetzungen her anschauen, dann müssen wir erst mal darauf achten, das hatte ich ja schon gesagt, dass das Ganze freiwillig geschieht. Das heißt, entsprechend muss geguckt werden, dass derjenige nicht unter... oder diejenige nicht unter Druck gesetzt wird und der Beruf eingerichtet wird. Das heißt nach Möglichkeit zumindest, dass der oder diejenige die Einwilligung auch wieder zurückziehen kann. Weil wenn ich das nicht kann, wird auch eine besondere Drucksituation aufgebaut und das macht ja keinen Sinn, weil die Einwilligung der informationellen Selbstbestimmung dient. Also man selber bestimmen kann, was, wann, wie, wo und noch ganz viele andere W-Worte entsprechend mit den Daten passieren. Dann kommt natürlich dazu, das hatte ich auch schon erwähnt, dass wir eine Informiertheit gewährleisten müssen. Das heißt, die Person immer wissen sollte oder zumindest Zugriff darauf haben sollte und vor allen Dingen, wenn sie einwillig auch das wissen sollte, was, wann, wie, passiert und das Ganze auch entsprechend begrenzt ist vom Zweck. Das heißt, man kann jetzt nicht irgendwie einmal alle Daten nehmen und dann damit machen, was man will, sondern man muss vorher auch immer den Zweck angeben natürlich, warum man das Ganze macht und was dabei möglichst auch rauskommen soll. Also möglichst transparent. Zur Form gibt es eigentlich nicht so viel zu sagen. Die ist formfrei. Das ist auch keine richtige Voraussetzung, aber was wichtig ist, ist, dass wenn ihr IT-Sicherheitsforschung auf Grundlage von Einwilligungen betreibt, dann dokumentiert das Ganze immer brav, denn wenn dann doch mal wer anklopft von der zuständigen Datenschutzbehörde, dann sollte das Ganze auch nachweisbar sein. Also ihr habt dann die Pflicht, Rechenschaft entsprechend ablegen zu können beziehungsweise zu müssen und das immer noch im Hinterkopf behalten. Aber was passiert eigentlich, wenn die Forschung dazu kommt? Die Forschung, es funktioniert hier immer so ein bisschen wie ein Alt-In. Das heißt, das, was wir uns jetzt angeguckt haben, eine Voraussetzung ist so der Grundstock, die Basis und dann gibt es so kleinere Modifizierungen, die entsprechend an den Stellschrauben drehen. Bei der Freiwilligkeit ist es zum Beispiel, dass wir den Widerruf dann nicht gewähren müssen, wenn der Forschungszweck, also den wir unter Drittens zum Beispiel herausgestellt haben, wenn der gefährdet ist. Das heißt, wenn das Forschungsziel schon nicht mehr erreicht werden kann, weil hinterher dann plötzlich alle feststellen, oh, die Einwilligung ist aber doch ein bisschen risky, die ziehe ich mal schnell wieder zurück und dann ist das Ganze ein bisschen doof, weil dann kann man das Ganze nicht mehr erforschen. Was aber man ganz gut erkennt, also diese Floskel unmöglich oder ernsthaft beeinträchtigt, deutet auch darauf hin, dass soweit wie möglich man ein Widerruf gewähren kann, soweit sollte man ihn dann auch gewähren. Das heißt, das ist so ein bisschen auch wieder so ein Ineinklang bringen, soweit man Daten zurückziehen kann. Okay, aber wenn es jetzt wirklich an den Kern geht, der entsprechend noch anonymisiert werden sollte und ähnliches, da komme ich dann gleich zu. Dann wird es eng. Dann bei der Informiertheit sollte man oder kann man beachten, dass man entsprechend die Speicherdauer nicht so genau angeben muss. Man muss jetzt nicht darüber aufklären, das Ganze ist dann in drei Wochen irgendwie gelöscht, sondern man kann das dann vielleicht eine Abhängigkeit mit dem Forschungszweck bringen. Man kann das ein bisschen lockerer halten oder entsprechend nicht gar nicht sagen, aber man kann dann sagen, man kann nichts genaues darüber sagen, weil man zum Beispiel nicht sagen kann, wann das Forschungsziel oder das eigentliche Forschungsergebnis eintritt. Es gibt ja dann vielleicht eine kritische Masse, die erreicht werden muss. Wenn man das also nicht sagen kann, oder sollte zumindest so transparent wie möglich sein, aber kann dann ja nicht genauso viel sagen, aber so ein bisschen zumindest nachjustieren und das Datensubjekt oder denjenigen, der einwillig darüber aufklären. Und man kann so ein bisschen nachträglich Zwecke ändern und erweitern, sofern sie nicht den eigentlichen Ursprungszweck, den man vorher gesagt hat, also diesen Forschungszweck und dann den noch ein bisschen eingrenzen, worüber forscht man, was soll dabei möglichst herauskommen, wenn man das so ein bisschen erweitert, weil man feststellt, okay, auf diesem Wege ist das Forschungsziel überhaupt nicht erreichbar, wir müssen so ein bisschen den Zweck ändern oder die Verarbeitungsweise ändern. Wenn man das macht, sollte man natürlich den oder diejenigen darüber aufklären, aber man kann entsprechend Zwecke ändern und das ist normalerweise nicht oder nur in sehr engen Grenzen der Fallen, in der Forschung sind die ein bisschen weiter. Was man dazu noch sagen kann, ist, dass man bei der Einwilligung gibt es sozusagen einmal die Seite, die eine große Einwilligung holt, also so einen sogenannten Broad Consent, die dann sagt, wir ziehen jetzt einmal alles und dann liegst du alles ein in normale Verarbeitung und Forschung und dies und das und jenes und dann machen wir ganz schöne Sachen mit. Das klingt ganz nett, aber das führt nicht dazu, dass so eine Datenschutzgrundverordnung, die ja so ein sehr großes Ballwerk ist, sage ich mal wirklich und die informationelle Selbstbestimmung natürlich auch wirklich gewährleistet werden kann, dass es wirklich funktioniert. Viel sinnvoller ist es dann das möglichst klein zu machen, nicht so klein, dass man für jedes Wort ein Haken braucht, aber dass man sagen kann, wenn es eine unabhängige oder eine normale Verarbeitung gibt, gibt die Trenden von der Forschungsverarbeitung und dann vielleicht für verschiedene Forschungszwecke nochmal untergliedern und sagen, ich möchte irgendwie Krebsforschung, ich möchte normale Gesundheitsforschung, ich möchte was weiß ich, über mein Blutbild aufgeklärt werden, dies das jenes, keine Ahnung, also in dem Bereich hatte ich noch nichts, aber was man sich darunter vorstellen kann, möglichst klein Aufschlüsse, möglichst transparent sein, das sieht man wieder, dass sich das schön durchzieht, dass man entsprechend möglichst viel oder demjenigen oder derjenigen die einwilligen muss oder nicht muss, aber möchte oder sollte, dass man da möglichst groß Handhabe liefert. So viel dazu. Dann komme ich zu der anderen Geschichte, die dann immer sehr beliebt ist, wir haben ja ein berechtigtes Interesse. Was versteht man darunter? Das ist der Wortlaut, wie ein berechtigtes Interesse in der Datenschutz-Grundverordnung definiert ist. Ihr könnt ja irgendwie mal versuchen, parallel, ich rede mal ein bisschen langsamer, zu gucken, wie viele Voraussetzungen ihr darunter so schätzt. In dem Moment hole ich mir, da trinke ich mal kurz was. So. Ja. Und dann löse ich das ganze mal auf. Es sind mehr oder weniger 3. Das ist das, wie ein berechtigtes Interesse brauchen. Das hat man eigentlich immer schnell. Man kann dann irgendwie sagen, gerade bei der Forschung, ja, wir machen ja Forschung, das ist gut für die Allgemeinheit, gut für die demokratische Willensbildung, was auch immer man an schönen Begriffen daneben kann. Aber dann muss man dazu noch beachten, dass das Ganze, das ist dann der zweite Schritt zur Verarbeitung dieser Daten, zur Wahrung dieser Interessen, also dass die aufrechterhalten die Daten, die erforderlich ist. Das heißt, es gibt kein milderes Mittel und ähnliches. Und es gibt nichts Besseres sozusagen, was möglichst wenig auch die Interessen der Betroffenen, also der jene, deren Daten verarbeitet werden, irgendwie beeinträchtigt oder sonst irgendwie behalligt. Und dann kommt die große Kühe. Man muss das Ganze abwägen. Das heißt, man muss gucken, ob die Interessen und Grundrechte und Grundfreiheiten der Betroffenen in der Abwägungsweise, wenn man die in Abwägung bringt, dann natürlich nicht überwiegend gegenüber den Interessen des Verantwortlichen. Das heißt, man hat da diese binäre Geschichte entweder diese oder diese Situation. Dieser Nachsatz, den man am Ende noch sieht mit dem Kind, ist dann so eine Art Besonderheit, die man in der Abwägung dann so ein bisschen einbringen will. Also das kann man nicht ganz als Kriterium sehen, zumindest in meinen Augen nicht, weil es gibt jetzt nicht so, oh Kind, jetzt noch mal höher gestellt werden in der Abwägung. Gut, dann kommen wir zu den Voraussetzungen so ein bisschen. Die hatte ich ja jetzt eben schon gesagt. Das berechtigte Interesse ist erstmal grundsätzlich jedes wirtschaftliche ideelle Interesse. Also da kann man relativ viel bringen. Und in Erforderlichkeiten muss man darauf achten, dass man möglichst wenig erfassendes oder eingreifendes Mittel hat. Und man entsprechend die Abwägung am Ende auch richtig absolviert. Also das heißt, bis zum zweiten Schritt kommt man ein paar Sachen beachtet. Aber beim dritten ist eigentlich der Punkt, wo man gucken muss und sehr Argumentationsaufwand bringen muss, sehr Dokumentation auch bringen muss eigentlich, dass wenn man sich auf diesen Grundberuf dann nicht sagen kann, wir haben ja ein berechtigtes Interesse, das ist ganz einfach. Dann muss man auch sagen, warum, was hat man berücksichtigt, wie ist die Abwägung, also was sind so die Argumente, die sollte man dann bereithalten. Das heißt, nicht nur sagen, wir haben den ersten Schritt, sondern komplett durchziehen. Sonst wird es in meinen Augen zumindest oder sehr streitig. Die Forschung macht mit diesem Grund nicht so viel in der ersten Linie. Wir haben, was den Erstpunkt angeht, wie gesagt, eher die private Forschung oder die privat finanzierte Forschung oder unabhängige IT-Sicherheitsforscherinnen. Wir haben da weniger diese Konstellationen, die in der öffentlich betriebenen Forschung, also durch Universitäten, durch öffentlich-rechtlich Institutionen oder entsprechende Forschungsinstitute, die durch diese entsprechend geschieht. Und wir haben eine entsprechende Schnittstelle bei der Erforderlichkeit, denn es gibt ja immer so dieses Grundkonzept. Das ist, glaube ich, hier allen mehr bekannt denn je, dass man entsprechend gucken muss, dass die Daten entweder pseudonymisiert oder anonymisiert sind. Und ich habe letztens auch nochmal ein Talk gesehen, wo dann nochmal sehr minutiös herausgearbeitet wurde, wie schwierig das ist eigentlich in bestimmten Kontexten dafür, irgendwie dafür zu sorgen, dass wir anonymisierte Daten haben, die entsprechend anonym bleiben und nicht durch irgendwelche Einkaufsituationen oder Linkage oder was weiß ich nicht noch, dass das Ganze nicht plötzlich ein Pseudonym wird und man dann wieder in die Datenschutzgrundverordnung reinrutscht, weil man irgendwen hat, der das Ganze dann wieder aufheben bzw. rückführen kann. Das heißt, wenn man von vornherein da bedenkt, dass man die Eingriffsfläche für die Betroffenen möglichst gering hält, indem man die Anonymisierung möglichst früh implementiert, gerade da sind dann diese Flosgern Privacy by Design und Default immer so die Schnittstelle. Wenn man das möglichst früh einbaut, dann ist die Angriffsstelle relativ gering. Das heißt, man ist da in der Erforderlichkeit ganz gut dabei. Wenn man von vornherein Klardaten hat, dann könnte man ja sagen, es gibt eine mildere Variante, dieses Ganze möglichst wenig beeinträchtig anonymisierte oder anonymisierte Daten. Und dann fliegt man da gerne mal raus. Oder kann man zumindest je nach Argumentationsaufwand rausfliegen. Wenn der Zweck durch solche Implementierung genauso gewährleistet wird. Wenn das nicht geht oder in gewissen Punkten nicht geht, dann kann man dann natürlich argumentieren, aber so halt nicht. Und beim letzten Punkt, wie gesagt, darf die Forschung mehr in der Abwägung, mehr oder minder, also man kann nicht sagen, jetzt alles und wir kicken diese Interessen weg. So geht das dann auch nicht. Aber man muss dann natürlich immer so ein bisschen, das ist ein bisschen wie eine Wachschale natürlich. Wenn man auf der einen Seite sagt, man erhebt Daten von Betroffenen, dann geht das Interesse natürlich hoch, weil das grundrechtliche Interesse ist natürlich entsprechend hoch zu bewerten. Dann sagt man, na ja, ist aber Forschung ein bisschen so. Dann sagt man, wir haben die Daten anonymisiert, dann geht das noch mal so ein bisschen höher oder entsprechend gewährleisteter weiter. Also man muss dann natürlich noch so ein bisschen bringen, nicht nur so Allgemeininteressen, von wegen diese Forschung ist gut für die Allgemeinheit, weil wir alle Smartphones haben und dann wird die Sicherheit gewährleistet, sondern man sollte dann entsprechend auch spezifisch auf diese grundrechtlichen Interessen eingehen, Schutzmaßnahmen einbauen, Schutzmaßnahmen berücksichtigen und ja, das Ganze sehr robust sozusagen aufbauen. Und dann ist aber sozusagen ein bisschen eine Lücke. Wir haben auf der Einwilligungsseite, wenn wir uns den Grund so ein bisschen wieder ins Gedächtnis rufen, muss man ja darauf achten, dass diese Betroffenen informiert werden. Jetzt könnte man ja sagen, na ja, beim berechtigten Interesse, du ist mir das egal, du brauchst keinen informieren, letztlich die Daten, ich habe ja ein Interesse, was der Rest macht, ist mir egal. Nein, so geht das auch nicht, denn es gibt auch dann eine Informationspflicht. Wir haben grundsätzlich eine Informationspflicht zu tun, die ist auch gesetzlich normiert, aber man muss dann beachten, dass die Forschung wieder diese wunderbare Ausnahme hat, wenn ihr Forschungszweck auf diese Art und, also wenn man die Informationen vornehmen will und man müsste jetzt zum Beispiel alle anonymisierten oder dann eigentlich pseudonym Daten wieder zurückrechnen oder irgendwie zurückführen um dann die entsprechenden Betroffenen zu informieren. Das geht so natürlich nicht. Das heißt selbst, wenn man Forschung betreibt, ist man nicht, also ist man je nachdem, was für ein Forschungszweck man hat oder wie diese ganze Forschung aufgebaut ist, nicht dazu verpflichtet zu informieren bzw. sollte man dafür sorgen, dass man entsprechend andere Möglichkeiten für Informationen bereithält. Und da bestehen jetzt mehrere Möglichkeiten. Man kann jetzt irgendwie sagen, wir versuchen irgendwie eine öffentliche Ausschreibung zu machen, mehr oder minder, also vielleicht, was weiß ich, eine News-Meldung in IT-Portalen und ähnliches, was weiß ich, heiße online oder so, dass das einmal überall durchgeht und vielleicht noch auf eine informierende Webseite verlinkt, dass man da möglichst viel tut. Je nachdem, ob es möglich ist vielleicht auch so eine Art Prüfungsdatenbank breithalten durch eine online Eingabe, dass man vielleicht eine E-Mail eingeben kann, die verhäscht wird, der überprüft wird oder ähnliches, dass man solche Ketten aufbaut oder sogar eine unabhängige Prüfungsinstanz wenn man sich das leisten kann, das ist als unabhängige Forschungsstelle manchmal schwierig, aber das heißt nicht, dass man davon frei ist, man muss halt tun, was man kann. Das ist das Wichtigste. Und dann kommen wir zu einem relativ spannenden Punkt, weil man ja irgendwie auch so ein bisschen den interdisziplinären Ansatz in der Datenschutzgrundverordnung so ein bisschen erkennt, nämlich der sogenannten Datenschutzfolgenabschätzung, also der DSFA. Und da kommen wir so zum eigentlichen Kern dieses gesamten Datenschutzrechts, denn das Ganze ist ja sehr risikobasiert. Ich hatte vorhin mal von diesem K gesprochen, K ist ja in entsprechende Variable, das heißt, man muss gucken, wie hoch man das wählt, um entsprechend die Anonymität anzupassen und was das angeht, kann man nun mal nicht aus Jurist sagen, wie hoch K ist, denn wie man an diesen Bereichen sehen kann, die vor allem wunderbare Wellen drin haben, man kann nicht sagen, an der Stelle ist jetzt K10, an der anderen Stelle ist es K15 und unten K1 aber K5 also so Stufen oder so, die gibt es nicht, es gibt auch zumindest meines Wissens kein Urteil, das irgendwann mal gesagt hat, da und da wird diese K-Stelle oder K-Höhe empfohlen, sondern ihr müsst entsprechend schauen, je nachdem zum einen auf der linken Seite sieht man das ganz gut, da geht ja die schwere des möglichen Schadens nach oben und unten ist dann die Eintritts-Wahrscheinlichkeit und je höher beides ein bisschen miteinander korreliert desto höher ist K zu wählen und das muss auch wieder, das kommt dann dazu entsprechend am Forschungszweck angepasst werden, das heißt wenn ihr mit vielen personenbezogenen Daten arbeitet, die entsprechend, wenn die geliegt werden hohes Potenzial haben, möglichst viele so was ja, also so war eine Frage bei uns im Forschungsprojekt wenn die geliegt werden, könnte man vielleicht damit Schindluder treiben, also mal Identitätsdaten, Diebstahl in ganz großem Maßstab wenn man das tatsächlich in einem breiten Maßstab dadurch machen könnte, ist man sofort im roten Bereich und dann muss man aber gucken, wie hoch ist die Eintritts-Wahrscheinlichkeit wenn man große Medienöffentlichkeit hat, natürlich groß wenn sie klein ist, man veröffentlicht nichts ist sie vielleicht geringer aber man muss dann natürlich gucken, es sind ja nicht nur öffentliche Angriffe, es könnte ja sein dass der eigene Schwager irgendwie auf den Rechner zugreifen kann dass man nicht darauf achtet den Rechner immer abzusperren, also entsprechend zu sperren mit Passwort und so weiter verschlüsselte Festplatten ähnliches also solche Szenarien müssen dann durchgeschaut werden und das funktioniert und man nicht nur in dem Jurist da sitzt und sagt ihr macht das und das und das und das und das und macht so ein Katalog durch sondern man spricht mit den vielen Disziplinen wenn man in der Forschung hat wenn es interdisziplinär ist und fragt dann wer hat darauf Zugriff wann kommt wer in die Räume rein habt ihr studentische Hilfstrefte zum Beispiel die damit arbeiten habt ihr die nicht wie lange sind die bei euch also besteht da so ein Vertrauensverhältnis was macht man wenn die nur sechs Monate da sind dass man entsprechende Vereinbarung in die Arbeitsverträge aufnimmt oder besondere Unterschriften fordert und ähnliches also alles solche Dinge sollten da in diese Datenschutzfolgenabschätzung entsprechend berücksichtigt werden das heißt oder der Witz ist aber dass diese Datenschutzfolgenabschätzung nur bei hohem Risiko ist also wenn wir uns an die vorige Slide erinnern das ist ja nur dieser hohe Eintrittsverscheinlichkeiten hohes Schadensqualität entsprechend wenn der Schaden hoch ist dann nur dann müsst ihr das machen oder ein Beispiel ist ja der Klassiker so ein bisschen ihr habt eine künstliche Intelligenz die kriegt viele Daten hier von Alice zum Beispiel und generiert aus den Daten von Alice immer und immer mehr ein digitales Profil oder ihre digitale Persönlichkeit und kommt ihrem Persönlichkeitsbild immer und immer näher und diese Nachahmung zum Persönlichkeitsbild kann ja dazu führen dass man sie unter mehreren zum Beispiel wenn das so ein Auswahlalgorithmus ist oder so entsprechend bevorzugt wenn das die okay, wenn das die Möglichkeit ist dann ist das Risiko sehr hoch also da ist man schnell im Hochrisikobereich nicht dass man drunter das nicht auch machen kann also wenn ihr so eine Datenschutzfolgenabschätzung macht die man am Anfang einmal macht um das Risiko zu minimieren und hinterher immer und immer so ein bisschen iterativ schaut ist das immer noch minimiert, ist das nicht mehr minimiert was können wir machen um es wieder möglichst gering zu halten das Risiko also in den grünen Bereich möglichst zu drücken und sich selber so zu überprüfen das ist gut zum einen für einen selber wenn man dann weiß was man beachten muss ein bisschen Traxiserfahrung gewinnt und zum anderen auch so ein bisschen wie soll ich sagen man schafft auch so ein bisschen nicht nur eine Rechenschaftspflicht die nicht, aber man ist gerüsteter wenn dann doch mal wer anklopft und fragt was macht ihr da eigentlich dann kann man das ein bisschen besser erklären und ein bisschen besser skizzieren das heißt nicht, dass ihr so ein Datenschutzfolgenabschätzungsbericht online stellen sollt oder müsst auf keinen Fall aber ihr wisst dann besser und kleinteiliger wann, wie, was, wo passiert und ihr könnt entsprechend besser antworten und es hilft auch mal, wenn so eine Datenschutzbehörde irgendwie nachfragt und ein bisschen kritisch ist und dann könnt ihr sagen, wir haben ganz viel gemacht wir binden das und das ein um das Risiko zu machen, denn sind die immer schon sehr glücklich kann ich auch aus Erfahrung sagen dass das gut ankommt was diese interdisziplinäre Arbeit angeht da habe ich jetzt mal einen Absatz rausgegriffen aus dem Artikel der Datenschutzgrundverordnung an dem erkennt man ganz gut wann oder in welchen Punkten eigentlich diese interdisziplinäre Arbeit so ein bisschen der Schlüssel ist denn ihr müsst zum einen so eine systematische Beschreibung machen ihr müsst Abhilfemaßnahmen einbauen Sicherheitsvorkehrungen und vor allem so eine Notwendigkeit entsprechender Maßnahmen erläutern beziehungsweise dann das klingt ein bisschen wie diese Abwägungsfloske diese Risiken bewerten und entsprechend diese Risiken für Betroffene klassifizieren also sagen wie hoch waren die wie hoch haben wir die etwa runter gebracht das ist alles sehr bauchgefühlig sag ich mal es gibt so ein paar Papiere also auch dieses Scala von vorhin die war von der Datenschutzkonferenz es gibt ein paar Papiere von der Artikel 29 Working Party und ähnliches also wenn ihr Juristen bei der Hand habt also gerade im Datenschutz fragt die man muss verstehen und arbeitet v.a. miteinander wenn ihr solche Juristen habt ich hoffe ihr habt die weil das glaube ich viel zum Erfolg der Forschung entsprechend beiträgt genau dann haben wir noch 2 relativ wichtige Informationspflichten zu denen ich noch kommen würde im Datenschutzbereich das ist zum einen mal die Meldung an die Aufsichtsbehörde und die Meldung an die Betroffenen die dann immer kommt deswegen war da jetzt ein bisschen eigentlich immer nur dann passiert wenn das Risiko relativ hoch ist oder wenn viel blöder Zeug passiert bei der Meldung an die Aufsichtsbehörde muss man beachten dass die nicht wirklich an Risiko gebunden ist und die entsprechend also genau man muss beachten dass die entsprechend innerhalb von 72 Stunden erfolgt und wenn die drüber ist oder drunter ist also drunter ist gut aber wenn die mal drüber ist dann könnte es unter Umständen eng werden sie sollte möglichst schnell eingehalten werden und man kann auch die ein oder andere Pflicht nicht die ein oder andere Pflicht sondern die ein oder andere Information nachliefern das heißt wenn ihr jetzt irgendwie nicht also es gibt so ein Katalog was man bringen muss was es passiert wie viel Daten wurden gelegt wenn man da aufgrund der engen Zeit nicht alles sagen kann dann kann man durchaus noch was nachliefern wichtig ist dass man dieser Pflicht nachkommt und bei der Meldung an die Betroffenen die ist tatsächlich nur zu bringen wenn wir ein hohes Risiko haben aber die dient vorrangig nicht dazu ein wie soll ich sagen dem Betroffenen die Möglichkeit zu geben irgendwas zu machen diese Information sollte tatsächlich auch so ein bisschen sagen was kann man machen um diese Lücke zu mindern was sind so Maßnahmen nicht nur jetzt zwei Faktor-Authentifizierung machen sondern das hättest du machen können mach sie bitte jetzt rein und auch solche klassischen Dinge wie Passwort ändern wenn du kannst eine E-Mail ändern ähnliches aber vielleicht auch nicht also das steht in der Datenschutzkomfortung nicht drin aber empfehlenswert ist es auch ein bisschen psychologisch zu machen und man hat das und das nicht gemacht sondern dass man das so ein bisschen vermenschlicht und mehr oder weniger vielleicht auch darauf hinweist dass 1, 2, 3, 4, 5, 6 zwar das beliebteste aber nicht das sicherste Passwort ist sondern dass man da noch ein bisschen nachjustiert oder ähnliches und auch diese Meldung im Falle eines hohen Risikos also wenn so ein Datenlieg passiert ist und die Möglichkeit besteht dass ein hohes Risiko für die Rechte für die Betroffenen also Grundrechte vor allem vorlegt, dann sollte oder das muss man dann machen weil sonst könnte das böse Folgen haben gut kommen wir zu dem spannenden Teil der eigentlich von angeteasert wurde wo ich dann vorhin schon sagte ich sag eigentlich gar nichts zu diesem genauen Heckerparagrafen an sich jetzt steht wahrscheinlich die Hälfte auf weil dieser, also es gibt einen Talk ich glaube der ist morgen zu diesem anderen drumherum denn es gibt mehr oder minder ich habe den Begriff ein bisschen lockerer gewählt solche digitalen Paragrafen das heißt es sind vor allen Dingen diese digitalen Straftaten und da haben wir dann zum Beispiel diese Ausspähungen von Daten die vor allen Dingen dazu dient oder die Situation beschreibt dass wir einen Zugang zu Daten haben die oder diese Daten entsprechend nicht dazu bestimmt sind für die Personen die diesen Zugang erhält und diese Informationen entsprechend gesichert sind das heißt man hat meistens irgendeine Hürde sei es eine Firewall oder ähnliches und diese Hürde wird dann entsprechend genommen das heißt man kommt dann an nimmt diese Hürde und verschafft sich dann irgendwie Zugang das ist so diese Situation das heißt Forschung die vorrangig oder nicht nur vorrangig die explizit darauf hinwirkt dass man diese Zugangsverschaffung hat ist dann entsprechend kritisch zu bewerten beziehungsweise ist es dann schwierig weil es auch die Vorbereitung und den Versuch gibt die entsprechend strafbar sind und da wird es dann eben eng weil man dann entsprechend sich so ein bisschen wie vorhin erklärt mit dem Bein am Rande des Gesetzes bewegt und dann haben wir aber noch das Abfang von Daten das ist ein bisschen eine andere Situation beschreibt das heißt hier geht es nicht darum diesen Zugang zu einem System zu haben sondern es geht vor allen Dingen um Kommunikation diese Datenübermittlung sei es durch Abstrahlung oder ähnliche Geschichten also normale Kommunikationsübertragung über Glasfaser oder wie auch immer wenn man da entsprechende Situationen hat die dazu führen also zum Beispiel der Computer der personenbezogene Computer der dann eine E-Mail abschicken will und die E-Mail ist verschlüsselt aber jetzt besteht natürlich die Möglichkeit dass man diese Verschlüsselung aufbrechen kann dann ist das eher dieses Abfang und dann entsprechend das Zugang verschaffen weil dieser Zugang ist natürlich nicht für die Öffentlichkeit bestimmt das sagt zum Beispiel die Verschlüsselung oder auch dass das nur an eine bestimmte Person adressiert ist im E-Mail-Header und wenn das aber so ein bisschen umgangen wird bisschen ist gut aber wenn das umgangen wird dann fällt das Ganze in die Kategorie das heißt auch alles was darauf abzielt ist ein bisschen schwierig und dann haben wir eine Paralle zur Sachbeschädigung ist glaube ich, muss ich nicht groß erklären und die Datenveränderung ist sozusagen das Pendant dazu, das heißt hier geht es darum dass man nicht irgendwelche Gegenstände zerstört oder beschädigt sondern Daten entsprechend löscht oder ähnliche Equivalente irgendwie herbeiführt und man dementsprechend auch da ist wieder Versuch und Vorbereitung strafbar, das hatte ich erwähnt aber da dann vor allen Dingen denjenigen der Computer oder diese Daten gehören aus seiner Position verdrängt und durch dieses Verdrängen auslöst dass man sich diese Situation aneignet und zwar rechtswidrig also da nicht irgendwie übergeben dir diese Daten sondern es kommt wirklich jemand und schmeißt den sozusagen aus seiner Eigentumsposition ich weiß es gibt kein Dateneigentum aber sozusagen die Bestimmung über die Daten aus der Position wird der oder diejenige verdrängt das ist so die Situation und die letzte ist dann die Klassische die wir auch im Forschungsprojekt diskutiert hatten dass wir den Computerbetrug haben der folgt im Strafgesetzbuch auf den normalen Betrug also man erkennt da schon ein bisschen Muster und hier geht es vor allen Dingen darum dass man diesen Computerbetrug deshalb macht mit der Absicht also mit vollstem Wissen und auch mit diesem dass man das Ziel vor Augen hat dass man einen entsprechenden rechtswidrigen Vermögensvorteil sich verschaffen will und sich selber möglichst viel Kohle auf das Konto schiebt weil man entsprechende Ergebnisse eines Datenverarbeitungsvorgangs irgendwie beeinflusst sei es jetzt irgendwie das Ergebnis selber oder den Weg dahin dass man das Ergebnis entsprechend für die eigene Begünstigung nutzen kann das heißt wenn wir jetzt ein Identitätsdiebstahl zum Beispiel haben und der ist jetzt aber mal im digitalen Raum ansonsten wäre es nicht der Computerbetrug sondern der normale dass Alice und Bob miteinander kommunizieren und Alice ist aber eigentlich gar nicht Alice sondern irgendeine andere Anonymenöse ist ein falsches Wort Entschuldigung eine ominöse Person und vielleicht auch anonymerweise sich unter diesem Deckmantel hält und die versucht dann natürlich irgendwie mit dieser Identitätsvorgabe an dieses Geld zu kommen und verschwindet dann das ist so der Klassiker der darunter fällt in diesem Bereich ist sozusagen es hilft das aufzudecken natürlich nicht an diesem strafrechtlichen Rande aber alles was irgendwie dazu hilft solche Situationen aufrecht zu erhalten oder zu begünstigen kann natürlich entsprechend auch kritisch bewertet werden was diese strafrechtliche Geschichte angeht um das einmal sozusagen noch zusammenzufassen zum Schluss kann man nicht so wirkliche Pflichten daraus ziehen außer dass man beachten muss diese Situation ich eben skizziert habe nehmen und gucken ob man da runter wann fällt man da runter helfen also machen wir das vor allen Dingen auch in der Kenntnis dass wir bewusst sozusagen zu diesen Situationen führen und nicht dazu dass wir jetzt Forschung betreiben und dann kann es dazu führen dass irgendwer kommt das ein bisschen umprogrammiert und dann zu böswilligen Zwecken nutzt also die Schwierigkeit besteht dass man nicht immer weiß dass jemand irgendwie diese Dinge nimmt und dann irgendwelche Schindluder damit treibt und man kann wie gesagt höchstens nur diese Situationen nehmen und gucken passt man da hin oder nicht und was kann man tun damit diese Schindluder möglichst vermieden werden bzw. diese Situationen nicht eintreten aber mehr kann man aus dem SCGB auch nicht ziehen zumindest was die Forschung betrifft und damit hätte ich diese Geschichte absolviert und bin mit meinem Vortrag am Ende ich bedanke mich sehr für eure Aufmerksamkeit dass du dieser frühen Stunde schon so viele da waren das ist mein Name erreicht mich über E-Mail natürlich mit dem Twitter-Händel und mit dem Magnus nicht Magnus-Cerebrum-Händel sondern mit dem Mastodon-Händel Magnus-Cerebrum könnte mich auch da irgendwie noch erreichen ich bin auch alle Tage noch da auf dem Kongress wenn irgendwas sein sollte ich bedanke mich sehr und jetzt kommt die langweiligste Slide aber die Quelle so, das war's Applaus, Applaus, Applaus, Applaus Oliver, normalerweise gibt's aber immer noch Fragen links und rechts wo öffnen sich gleich die Lampen das heißt jetzt könnt ihr sozusagen die Telefonjoker hier auf der Bühne direkt befragen weil Datenschutz ist ja immer ein spannendes Ding ich hoffe ihr habt allen Datenschutzbeauftragten in euren Firmen und das ist auch ein guter Freund von euch dass ihr in Zweifel immer mal und da kommt doch schon die erste Frage auf der anderen Seite bitte ganz relativ am Anfang kam dieses Auszug aus dem Datenschutz-Gesetz ist da der Begriff Nutzer genau definiert das hätte ich jetzt auch gesagt, muss ich nachgucken der Klassiker im Bundesdatenschutz-Gesetz in meines Wissens nicht weil sich die Definition, wenn ich richtig denke eben aus der Datenschutzgrundverordnung zieht da gibt es die Beschreibung also ich weiß nicht ob sie da doppelt drinsteht und man soll ja nichts doppelt nehmen auch wenn es im Bundesdatenschutz-Gesetz aber eigentlich müsste die in der Datenschutz-Grundverordnung stehen mein Wissens und nicht im Bundesdatenschutz-Gesetz und da steht eigentlich auch was aber was kann ich jetzt nicht aus dem Kopf aus sagen ich weiß nur wo es steht dann weiß ich wo ich nachschauen muss, danke also ich kann dir die Stelle auch dann genau rausholen und dann machen wir das danke für die Frage, haben wir noch eine Frage aus dem Internet vielleicht eine Frage aber jetzt hier zu rechten eine kleine Frage von Arbeit ein paar Kollegen und ich hatten eine App gehackt um an ein AP Schlüssel ranzukommen aber mit dem Schlüssel haben wir dann nur Daten abgefragt von dieser AP die die App ohnehin angezeigt hätte das heißt ich umgehe eine Sicherheitsmaßnahme um an Daten ranzukommen die aber für mich bestimmt sind natürlich auch über diese App verteilt ist es jetzt illegal oder nicht weil ich habe ja eine Sicherheitsmaßnahme umgang, aber die Daten sind für mich bestimmt also ich muss vorher zwei Sachen glaube ich sagen, das hätte ich am Anfang sagen sollen erstens hab ich kein zweites Examen das weiß ich die Welt das kann man ja auch nachgucken aber ich kann jetzt auch keine Rechtsberatung auf der Bühne oder so machen was ich dir sagen kann ist, dass ich relativ kritisch wäre zum einen weil es darum geht dass ich nicht weiß welche Daten ich gesagt habe dass wäre die erste Schnittstelle die zweite ist selbst wenn du diese AP nutzt und diese Daten ziehst dann sind sie ja deshalb nicht für dich bestimmt weil du diese Sicherheitsmaßnahme oder diese die gehackt hast das heißt du hast ja die Lizenz vielleicht nicht gekauft und deswegen ist es sozusagen das was du da abfängst eigentlich nicht für dich bestimmt weil du diese App oder diese AP nicht rechtmäßig nutzt da hätte ich jetzt gesagt das könnte schwierig werden aber wie gesagt also gerade im Strafrecht oder so da würde ich tatsächlich sagen vielleicht mal morgen dann nochmal bei den Kollegen nachfragen der weiß auch aus der Praxis weit aus mehr als ich aber ich hätte vorher hätte ich dir gesagt ich hätte lieber noch ein paar Sachen nachgeguckt bevor ich dir einwandfrei sagen kann ob du das machen solltest oder nicht alles klar vielen Dank danke dir wenn Neugier ein Verbrechen ist dann sind wir alle strafbar und nochmal einen herzlichen Dank an Oliver Fettermann für seinen tollen Vortrag und für die guten Übersicht über links