Und der Chef verantwortet die KI

Zu den Pflichten der Vorstände und Geschäftsführer zählt die Überwachung des Unternehmensablaufs. Nachdem Hacks und Angriffe auf Unternehmensinfrastrukturen immer weiter zunehmen (oder zumindest mehr in das öffentliche und juristische Interesse rücken), gehört der Bereich der IT–Sicherheit zu den wichtigen zu überwachenden Gegenständen. Es geht nicht nur um die Abschottung gegen Angriffe von außen und es wird auch seltener ein Informationsdieb mit dem Fotoapparat über Zäune springen. Aber gerade die Verlockungen für Mitarbeiter am eigenen Arbeitsplatz neue Technik zu verwenden, die als künstliche Intelligenz bezeichnet wird, ist eine Gefahr. Die Unternehmensführer müssen sich klarmachen:

KI ist nicht „irgendeine Intelligenz“ im Netz. Sie beruht auf riesigen Datenmengen, die mittlerweile besser als früher verknüpft und rechnerisch verarbeitet werden können. Diese Datenmengen müssen von der KI beschafft werden. Auch und gerade aus Unternehmen und auch und gerade mit BYOD/eigenen Geräten der Mitarbeiter.

Die Mitarbeiter müssen die Funktionsweise der sogenennten KI verstehen. Ihnen muss klar sein, dass jede Anfrage Datenspuren hinterlässt. Nicht umsonst schreibt Snapchts my AI in hier: „Außerdem solltest du vermeiden, vertrauliche oder sensible Informationen mit My AI zu teilen.“ Die Möglichkeiten, die GPT 4 o bieten wird, um Lernen zu vereinfachen, kann als Spur hinterlassen, was als Lerndefizit beim Nutzer besteht. An solchem Wissen über Schwächen hat die Konkurrenz gelegentlich auch strategisches Interesse.

Unternehmensführer, die sich nicht mit den Hinweisen des BSI (und Verweisen auf gemeinsam mit anderen Staaten erarbeiteten Guidelines) auseinandersetzen, sind also künftig vermutlich häufiger in die persönliche Haftung zu nehmen.

Wo Unternehmen ihr eigenes KI – Modell trainieren, muss klar sein, dass eine Eingabe mit sinnlosen Daten (data poisoning) ein ernst zu nehmender Angriff im Wettbewerb ist. Ist Mist in der eigenen KI, kann diese nicht mehr zur Entscheidungsfindung entlastend herangezogen werden, siehe dazu Beispielhaft der Wortlaut des Aktiengesetzes:

§ 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

(1) Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden. Eine Pflichtverletzung liegt nicht vor, wenn das Vorstandsmitglied bei einer unternehmerischen Entscheidung vernünftigerweise annehmen durfte, auf der Grundlage angemessener Information zum Wohle der Gesellschaft zu handeln. Über vertrauliche Angaben und Geheimnisse der Gesellschaft, namentlich Betriebs- oder Geschäftsgeheimnisse, die den Vorstandsmitgliedern durch ihre Tätigkeit im Vorstand bekanntgeworden sind, haben sie Stillschweigen zu bewahren.

Soweit die Gesetzesnorm: Erkennbar ist daraus auch, dass das Vorstandsmitglied nicht in irgendeine fremde KI Betriebs- oder Geschäftsgeheimnisse eingeben darf. Die Praxis wird spannend werden.

24. November 202328. November 2023

AI and GPT for all?

Was in Deutschland seit Jahrzehnten z.B. am DFKI in Saarbrücken erforscht wird, „geht jetzt mainstream“ seit openai et alt. Large Language Models sieht der Jurist als spannende Themen – dabei geht es weniger um das ferne Szenario (dazu kann man den Film Matrix im Hinterkopf behalten), sondern es zeigen sich aktuelle juristische Haftungsthemen.

Wie intelligent und zuverlässig die künstliche Intelligenz ist, die mittelständischen Wirtschaftsunternehmen zugänglich ist, werden wir in der Praxis erfahren. Vermutlich wird sich das Erscheinungsbild von Unternehmen im Web (und drumrum elektronisch) drastisch verändern. Nutzer werden einfachere und schnellere Informationsvermittlung zu Produkten, deren Handhabung und Reparatur erwarten. Herausforderungen dabei liegen in der umfassenden Bereitstellung von präzisen, richtigen und nicht verwässerten Informationen. Für die Unternehmensführung – und grundsätzlich wegen der Überwachungspflicht nicht nur für den CTO – bedeutet das, dass Dritten und Mitarbeitern nicht gestattet wird, GPTs mit allen möglichen Daten zu trainieren.

Vordringlichste Aufgabe aller führenden Mitarbeiter ist den mit der IT Befassten klarzumachen, welche KI verwendet werden darf/soll und welche Systeme und Anbieter hinter der verwendeten KI stehen und wohin Daten abfließen. Und: was man dazu im Unternehmen nicht weiß und vor Einsatz herausfinden muss. Außerdem ist es wichtig, stets die Auswahl der Daten zu überwachen, mit denen die Modelle trainiert werden.

Geschäftsführer und Vorstände müssen erkennen, dass binnen Sekunden Haftungsrisiken entstehen, wenn den GPTs Daten zum Training als Scan-Material freigegeben werden, die unter Geheimhaltung stehen und deren Verbleib ungeklärt ist.

Auf ein deutsches Gütesiegel für Künstliche Intelligenz werden viele nicht warten wollen. Die Risiken des „volle Kraft voraus“ sind aber offensichtlich:

GPT schreibt deine E-Mail? Und auch die deines Konkurrenten?
(eine der Fragen)

Aus der juristischen, insbesondere anwaltlichen Warte wird verstanden, dass die Entwicklung künstlicher Intelligenz zu immensen Möglichkeiten und Geschäftschancen für Unternehmen führt. Der Trend setzt Marktteilnehmer unter Druck, KI einzusetzen. Ein ungeplanter Einstieg, ohne die Auswirkungen zu kalkulieren, welche fehlerhafte oder unberechtigt vermittelte Daten hervorrufen, ist extrem haftungsträchtig. Das Thema Datensicherheit bleibt aktuell: Don´t let them spy using AI.

23. September 202327. September 2023

Da meldet sich keiner?

Wenn plötzlich keiner mehr antwortet, ist das meist kein gutes Zeichen, das der Handels- oder sonstige geschäftsmäßige Vertragspartner setzt. Was also tun? Neben eigenen Ermittlungsschritten ist es möglich bei der Behörde nachzufragen. Kommen bei Gewerbebetrieben dort Zweifel auf, ob sie zuverlässig geführt werden, kann die Gewerbeaufsicht einschreiten und prüfen, ob eine Untersagung ausgesprochen werden muss. Die entsprechenden Vorschriften befindet sich in der Gewerbeordnung, insbesondere:

Gewerbeordnung § 35: Gewerbeuntersagung wegen Unzuverlässigkeit

(1) Die Ausübung eines Gewerbes ist von der zuständigen Behörde ganz oder teilweise zu untersagen, wenn Tatsachen vorliegen, welche die Unzuverlässigkeit des Gewerbetreibenden oder einer mit der Leitung des Gewerbebetriebes beauftragten Person in bezug auf dieses Gewerbe dartun, sofern die Untersagung zum Schutze der Allgemeinheit oder der im Betrieb Beschäftigten erforderlich ist.

15. Mai 202315. Mai 2023

Unternehmensverkauf

Share Deal: Wie erkennt man einen „gutes“ Angebot zum Unternehmenskaufvertrag?

Hier stellt sich natürlich erst die Frage, was aus Verkäufersicht als gut bewertet werden kann. Zu einem guten Vertrag gehört nicht nur ein guter Preis, sondern auch eine Abwicklung mit möglichst wenig Missverständnissen und natürlich mit möglichst wenig Risiken, welche die Freude am Kaufpreis (und diesen selbst manchmal) reduzieren.

Aus anwaltlicher Sicht ist der Preis ein kleiner Teil dessen, was für den Gesellschafter als Verkaufsinteressenten stimmen muss: Gerne würde der Anwalt den Mandanten sagen hören:

Der Käufer hat geprüft und ist zufrieden, wir haben die Garantien besprochen und reduziert, die Haftungsausschlüsse stimmen und es gibt keine Kaufpreiskorrekturklauseln.

Und natürlich – was nicht immer so der Fall ist – würde der Anwalt gerne sagen:

Wie von Ihnen mündlich mit dem Käufer besprochen, steht es auch in der letzten Version, die als notarieller Entwurf überlassen wurde.

Entscheidend ist beim Share-Deal was der Notar schließlich beurkundet. Der „Hammer“ kann auch in der letzten Version liegen – eventuell in der Auslegung der englischen Fassung eines internationalen Geschäfts. Erwarten Sie als Verkäufer Zeitdruck-Taktiken durch Erklärungen der Gegenseite, dass das Käufer-Budget nur kurz bereit stehe. Bleiben Sie frisch und lesen Sie als Verkäufer, was beurkundet werden soll.

Die Käuferseite hat natürlich ein Interesse an zahlreichen und breiten Garantie-Erklärungen des Verkäufers. Solche Klauseln sparen Kosten einer umfassenden Due Diligence durch den Käufer (auch wenn der Verzicht aus Anwaltssicht dem Käufer regelmäßig nicht zu raten ist).

Die Käuferseite wird vielleicht darauf hinweisen, dass Garantie- und Haftungsklauseln nur auf dem Papier bedeutend seien und es ja keine Probleme nach der Prüfung geben dürfte.

Tatsächlich ist es oft anders. Eine einzige schnell geschriebene Nachricht von vor Jahren kann eine Schadensersatz auslösende falsche Zusicherung bedeuten. Aus Sicht des Verkäufers darf der Wert eines Fragenkatalogs an den Verkäufer (als Anlage zum Vertrag) nicht unterschätzt werden. Dabei geht es nicht nur um die Richtigkeit, sondern auch um die Vollständigkeit der Erklärungen zu den Fragen des Käufers.

Wie so oft gilt auch hier: Man sollte in der Verhandlungszeit die Ruhe bewahren und das geschriebene Wort und seine Auslegungsmöglichkeiten immer wieder in den aktuellen Vertragsversionen überprüfen.

15. Februar 202325. Juli 2023

Security seit Cassidy und das Schweigen

Cassidy Wolf ist wohl das bekannteste Opfer der Übernahme einer Webcam durch einen Angreifer. Die ehemalige Miss Teen USA wurde 2013 mit ohne ihr Wissen angefertigten Aufnahmen erpresst. Remote access tools, kurz “RAT“, Programme die auch im Darknet gehandelt werden, ermöglichten und ermöglichen heute unberechtigte Übernahmen von Files und Streams – meist ohne, dass der Eigentümer des gehackten Geräts etwas ahnt.

Informationen über Hard- und Software verwendeter Zielsysteme können die Suche nach passenden RAT vereinfachen. Daraus folgt, dass die Mitteilung darüber, welche Technik verwendet wird, an die Öffentlichkeit oder Dritte ohne berechtigtes Interesse, die Gefährdung erhöht. In vielen Fällen dürfte das (in verschiedenen Bereichen der Informatik diskutierte) Prinzip der security by obscurity helfen: Nicht jeder muss ihre Geräte kennen.

Im Sinne der DSGVO ist das Schweigen darüber eine von vielen „geeigneten technischen und organisatorischen Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten“, vgl. Art. 32 DSGVO. Das gilt um so mehr als Chat GPT (oder eben der böse Bruder Brat GPT) und andere KI-Modelle Code generieren können: „Schreibe mir ein Programm, das Zugriff auf …“ -> es bleibt spannend.

23. Januar 202323. Januar 2023

Risikomanagementmaßnahmen im Bereich der Cybersicherheit

Was kommt da in NIS 2, insbesondere in Kapitel 4, auf Unternehmen zu?

Das wissen wir nicht sicher, aber der Rechtsrahmen ist abgesteckt. Hier in der Richtlinie können Sie nachlesen, was der Gesetzgeber umzusetzen hat.

Spannend ist z.B. die Bildungspflicht der Organe und der Mitarbeiter wesentlicher und wichtiger Einrichtungen. Es sollen regelmäßig Schulungen angeboten werden, um „ausreichende Kenntnisse und Fähigkeiten zur Erkennung und Bewertung von Risiken sowie Managementpraktiken im Bereich der Cybersicherheit und deren Auswirkungen auf die von der Einrichtung erbrachten Dienste zu erwerben.“

Artikel 3 zeigt übrigens, wer als wesentlich und wichtig gilt.

10. November 202210. November 2022

Und nochmal Social Media

Freundlicherweise hat mich der legal.social-Server angenommen und ich bin bei Mastodon zu finden.

28. Oktober 202210. November 2022

Twitter? Mastodon!

Die Mehrheit an Twitter wurde übernommen, die Führung ausgetauscht und Personal abgebaut. Nicht jeder teilt Elon Musks unternehmerische Ideen zu Änderungen bei Twitter. Plötzlich befassen sich viele Unternehmen mit den Alternativen und den möglicherweise bevorstehenden Abwanderungen. Eine solche Alternative könnten die Mastodon-Dienste im sog. Fediverse, einem dezentralen „Federated Universe“, sein.

Auf die Frage der Mandantschaft, wie das bei Mastodon läuft und wer das schon macht:

Zunächst sollte man sich nicht von den Begrifflichkeiten verwirren lassen. Das Fediverse kann man schlicht als Verbund von Kurznachrichten-Servern ansehen, die ihre Inhalte miteinander teilen. Zur Funktion schauen Sie doch mal z.B. beim für unser Bundesland zuständigen LfDI in Stuttgart – oder eher auf der behördeneigenen Mastodon-Instanz – vorbei:

Link LfDIBAWÜ auf Mastodon

Deutsche Mastodon Server – die also den Schutzvorschriften der DSGVO unterliegen – können Sie über diese Suchmaschine zu Mastodon finden:

Link zu den Instances

Wollen Sie eine eigene Instanz in Deutschland betreiben, achten Sie darauf, dass Ihre Datenschutztexte u.a. technisch zutreffend und vollständig sind.

25. Oktober 202226. Oktober 2022

Für Kollegen: beA und Ventura

Zur Funktion von beA auf Ventura (OS 13.0) ist aufgefallen, dass der Card-Reader Reiner SCT cyberJack RFID Comfort einen Fehler beim Connect-Versuch zum beA-Web warft.

Der Fehler ist beim vorherigen Betriebssystem bei selbem Hardware-Setup nicht aufgetreten. Durch Deaktivierung der RFID-Lese-Funktion ist das Verbindungsproblem im Card-Reader lösbar. In der Praxis hat sich gezeigt, dass ein System-Neustart und eine neue Verbindung des USB-Readers hilfreich sind.

Hier der Link zur RFID-Deaktivierung:

RFID-Deaktivierung: Anleitung des Herstellers

7. September 202214. November 2022

Lizenzeinräumung: Where on FB?

Wo befinden sich die Hinweise auf Facebook, die sich mit der Einräumung einer Lizenz des Nutzers für die hochgeladenen Bilder und anderen Inhalte befasst?

Z.B. hier in den AGB: Link zu Facebook Terms

Interessant ist – aus juristischer Sicht einiges – insbesondere der Punkt Nr. 3 unter 3., der auch die Einräumung einer Lizenz für abgeleitete Werke betrifft. Laut meta/Facebook dient die Lizenz lediglich dazu dem Nutzer Dienste bereitzustellen. Was das eines Tages für neuartige Dienste im „Metaverse“ bedeutet, bleibt spannend.

Es ist zu raten, die eigenen Einstellungen zur Nutzung von Inhalten auf Facebook in regelmäßigen Abständen zu prüfen und nach dem eigenen Willen anzupassen, damit meta, wie sie schreiben, die Dienste „im Einklang mit deinen Einstellungen“ wie sie schreiben erbringt.

Name	Domain	Purpose	Expiry	Type
wpl_user_preference	finklaw.de	Cookie acceptance (Annahme-Einstellungen bezüglich der Cookies)	1 year	HTTP
wpl_viewed	finklaw.de	Cookie-Zustimmung dargestellt (ja/nein)	1 year	HTTP
wp-postpass	finklaw.de	Mandantenbereich: Zum Login und folgender Bereitstellung der Inhalts-Sichtbarkeit notwendiger Cookie	10 days	HTTP
wordpress_test_cookie	finklaw.de	WordPress setzt ihn wenn zur Login-Seite navigiert wird und prüft so, ob Ihr Web Browser eigestellt ist, Cookies zu akzeptieren.	0 days	HTTP

Name	Domain	Purpose	Expiry	Type
wp-settings-1	finklaw.de	Browser (Browsereinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP
wp-settings-time-1	finklaw.de	Time (Zeiteinstellung bei erfolgten WordPress-Logins - die Zahl am Ende erlaubt verschiedene Nutzerprofile zu erkennen)	25 days	HTTP

§ 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

Diese Webpräsenz der Rechtsanwaltskanzlei und Gütestelle Fink verwendet Cookies.