Marian Härtel

Absolut, das Haftungsrisiko bei einem versehentlichen Überschreiten des festgelegten Testumfangs ist nicht zu unterschätzen. Empfehlenswert ist daher eine vertraglich klar definierte „Scope of Work“ mit eindeutigen Ausschlüssen. Sollten bestimmte Bereiche oder Systeme tabu sein, muss das Sicherheitsteam dies genau wissen und nachweislich bestätigen. Sie können zudem in den Verträgen festhalten, dass bei einem Verstoß gegen diese Regeln etwaige Schadenersatzpflichten oder Vertragsstrafen greifen. So schützen Sie sich vor ungewollter Ausweitung des Tests und wahren die Vertraulichkeit Ihrer sensiblen Daten.

Sobald personenbezogene Daten tatsächlich kompromittiert werden, kann das ein meldepflichtiger Datenschutzvorfall nach der DSGVO sein – konkret Art. 33 DSGVO. Ob eine Meldung nötig ist, hängt unter anderem von der konkreten Gefährdungslage ab: Wer hatte Zugriff, wurden die Daten weitergegeben, besteht ein Risiko für Betroffene? In vielen Fällen sollten Sie aber zumindest eine interne Dokumentation erstellen. Eine unmittelbare Meldung an die Aufsichtsbehörde kann entfallen, wenn sichergestellt ist, dass kein erhebliches Risiko für Betroffene besteht. Das ist jedoch eine Einzelfallabwägung und sollte juristisch geprüft werden.

Guten Tag, danke für die Frage. Grundsätzlich muss für Penetration Testing immer eine klare Rechtsgrundlage oder Einwilligung des Betreibers vorliegen. Ein formloses „Ja, testet mal“ kann zu Missverständnissen führen, besonders wenn bei der Durchführung Grenzen überschritten werden. Empfehlenswert ist daher ein detaillierter Vertrag, in dem sowohl Art und Umfang des Tests als auch Haftungsfragen geregelt werden. Dadurch wird klargestellt, dass das Test-Team im Rahmen eines autorisierten Sicherheitstests handelt und nicht gegen § 202a StGB (unerlaubtes Verschaffen von Daten) oder ähnliche Vorschriften verstößt.

Na gut, ich gebe zu, die Grenzen verschwimmen manchmal. Tatsächlich sind viele dieser Threads in letzter Zeit entstanden, und es könnte durchaus sein, dass sie – zumindest in Teilen – mit Unterstützung einer KI erstellt wurden. Zu meiner Verteidigung: So wie KI generierte Bilder meist nur Teilwerke sind, können auch textbasierte Diskussionen eine Mischung aus menschlichen und KI-generierten Passagen sein. Entscheidend ist, wie wir sie nutzen und kontrollieren. Also ja, Herr Fischer, ich fürchte, Sie haben den Verdacht leider bestätigt bekommen.

Hallo Herr Fischer, beim Einsatz einer KI, die automatisiert Texte oder Bilder erzeugt, stellen sich verschiedene rechtliche Fragen. Zunächst ist festzuhalten, dass die KI selbst kein Urheber im Sinne des Gesetzes sein kann, da dies nur natürlichen Personen vorbehalten ist. Das bedeutet, dass Nutzungsrechte und Haftungsfragen stets bei den Menschen oder Unternehmen liegen, die die KI einsetzen. Allerdings kann es vorkommen, dass eine KI unabsichtlich geschütztes Material übernimmt oder fremde Werke nachahmt, was zu urheberrechtlichen Konflikten führen kann. Zudem ist das Wettbewerbsrecht zu beachten, wenn etwa fremde Inhalte kopiert oder täuschende Elemente verwendet werden. Eine sorgfältige Überwachung der KI-Generierungen und eine klare vertragliche Regelung der Verantwortlichkeiten sind daher empfehlenswert, um rechtliche Risiken zu minimieren.

Im Wettbewerbsrecht ist vor allem das UWG relevant, hier kann es schnell um unlauteren Wettbewerb gehen, wenn falsche oder irreführende Angaben über Mitbewerber verbreitet werden. Grundsätzlich sind Bewertungen und Scoring-Ergebnisse zulässig, wenn sie auf einem sachlichen Fundament beruhen und korrekt dargestellt werden. Zeigen Sie zum Beispiel deutlich, wie der Score zustande kommt und ermöglichen Sie es dem bewerteten Händler, Stellung zu nehmen oder rechtswidrige Bewertungen melden zu lassen. Eine neutrale Gestaltung des Bewertungsportals verringert das Risiko einer Rufschädigungsklage. Schwierig wird es, wenn Sie absichtlich manipulierte oder unfaire Bewertungen veröffentlichen oder den Eindruck erwecken, der Score sei objektiver, als er ist.

Guten Tag und danke für die Frage. Sobald personenbezogene Daten verarbeitet werden – was bei Bewertungen in der Regel der Fall ist, da zumindest indirekt Rückschlüsse auf den Bewerter oder den Bewerteten möglich sind – spielt die DSGVO eine wesentliche Rolle. Ein automatisiertes Scoring kann zudem in den Anwendungsbereich von Art. 22 DSGVO fallen, insbesondere wenn daraus rechtliche oder ähnlich erhebliche Auswirkungen entstehen. Parallel ist auch das UWG (Gesetz gegen den unlauteren Wettbewerb) zu berücksichtigen, etwa wenn die Darstellung der Bewertungen und Scores für den Verbraucher irreführend sein könnte. Wichtig ist daher eine transparente Kommunikation gegenüber den Nutzern: welche Daten werden erhoben, wie wird der Score gebildet, und welche Rechte haben die Betroffenen?