Im CIO-Erfahrungsaustausch am 20.03. stellten Dr. André Schmidt und Angelika Maria Szalek von der Anwaltskanzlei Lutz|Abel die Auswirkungen des kürzlich verabschiedeten europäischen Data Acts vor. Diese Verordnung kann durchaus tief in den Alltag vieler Unternehmen eingreifen. Schon die Zielrichtung des Acts hat es in sich. So sollen Nutzer vernetzter Produkte (also allen IoT-Devices) oder verbundenen Diensten zeitnah auf die Daten zugreifen können, die die Produkte und Dienste während der Nutzung produzieren. Das betrifft zum Beispiel Autohersteller, die die Telemetriedaten von Fahrzeugen auswerten oder Maschinenbauer, die ihre Maschinen monitoren, um zum Beispiel Predictive Maintenance oder digitale Services anzubieten. Das betrifft aber auch Cloud-Anbieter, die ihren Kunden weder technische, kommerzielle, organisatorische oder vertragliche Hürden mehr in den Weg stellen dürfen, wenn ihre Kunden zum Beispiels eine Multi-Cloud-Strategie fahren wollen oder schlicht weg den Anbieter wechseln wollen. Gerade für Anbieter von IoT-Devices kann die Erfüllung der Data Act-Vorgaben herausfordernd sein. Oft haben sie bisher gerade im Konsumentenbereich gar keine direkte Beziehung zu ihren Kunden. Schmidt und Szalek rechnen hier mit einer Lernkurve bei den Anwenderunternehmen, die genauso steil sein könnte wie bei der Einführung der DSGVO. Weil das Thema sehr komplex ist, bietet VOICE im April, Mai und Juni auch drei einstündige kostenlose Webinare zu dem Thema an. Wer Interesse hat, meldet sich bitte beim Kollegen Grischa Thoms.
Kündigungsfallen bei SAAS-Verträgen vermeiden
Sonderkündigungsrecht sehen diese Verträge nicht vor. Das bedeutet: Wenn die Implementierung aus welchen Gründen auch immer schief geht, muss das Anwenderunternehmen im Zweifelsfall den SaaS-Vertrag dennoch über die gesamte Laufzeit erfüllen. Bäumer empfiehlt außerdem darauf zu achten, dass der Implementierungsvertrag als Werksvertrag mit Erfolgskomponente ausgestaltet ist. Das gibt dem Kunden das Recht, unentgeltliche Nachbesserungen zu verlangen, wenn das vertraglich geregelte Resultat nicht erreicht wird.
Der russische Fancy-Bear macht wieder von sich reden
Den Anfang des CIO EA macht aber wie fast immer Dirk Ockel mit seinem Security-Update. Unter anderem ging es dabei um die verstärkten Phishing-Kampagnen von Fancy Bear, der dem russischen Geheimdienst nahestehenden Hackergruppe. Sie imitieren in ihren Phishing-Mails NGOs und Regierungsorganisationen und verstecken ihre Angriffsvektoren hinter legitim erscheinenden Links. Außerdem machte Ockel auf mehrere kritische Schwachstellen aufmerksam, unter anderem in Produkten/Services von Fortra und Juniper networks. Außerdem ist bekannt geworden, dass Plugins für ChatGPT genutzt werden können, um dem LLM Zugriff auf Third-Party-Applikationen und Repositories zu gewähren.