8 research outputs found
Fakultät Informatik (2009) / Technische Universität Dresden
Informationen über die Fakultät Informatik der TU Dresden, Daten und Fakten sowie eine Auswahl aktueller Forschungsprojekte, 2009Information about the Faculty of Computer Science of the Technische Universität Dresden, data and facts and a selection of current research projects, 200
Beeinträchtigung der Privatsphäre in der Informationsgesellschaft [Detraction of Privacy in the Information Society]
Digitizing, Minimizing and Networking are the prerequisites for the evolving Information-Society, whose most attracting features are gathering, storing, linking and providing of enormous amounts of data. Best-known advantages are easy communication via e-Mail, easy access to information via Internet, comfortable services in e-Commerce and e-Government. On the other hand there are substantial dangers for privacy coming along with these developments. This paper shows basic technological developments, different actors and their use of personal data and deals with short and long-term effects of detraction of privacy. Special emphasis is given to the analysis of existing trade-offs between efficiency and security on the one hand and privacy on the other. Based on existing privacy regulations some recommendations for further policy actions are given. -- Digitalisierung, Minia-turisierung und Vernetzung haben die Voraussetzungen für eine Informationsgesellschaft geschaffen, die durch Sammlung, Speicherung und Verknüpfung enormer Datenmengen und deren breite Verfügbarkeit gekennzeichnet ist. Das schafft für die meisten Staatsbürger erhebliche Vorteile, die durch Schlagworte wie e-Mail, Internet, e-Commerce, aber auch elektronische Erledigung von Behördenwegen umschrieben werden können. Die verfügbaren Datenmassen entfalten aber auch ein Eigenleben, das in die Privatsphäre der meisten Staatsbürger in vielfacher Weise eingreift; den meisten ist gar nicht bewusst, wieviel Informationen über sie verfügbar sind und z.T. auch gehandelt wer-den. Im Folgenden sollen zunächst die neuen technischen Möglichkeiten der Informationssammlung, -speicherung und -verknüpfung beschrieben werden; es wird aufgezeigt, welche dieser neuen Möglichkeiten vom wem genutzt werden, und mit welchen Konsequenzen. Dann wird das Janusgesicht der Informationsgesellschaft herausgearbeitet, die kritische Austauschbeziehung zwischen Effizienz und Sicherheit auf der einen Seite, die durch die intensive Informationssammlung und -verarbeitung überhaupt erst ermöglicht wird, und dem daraus resultierenden z.T. tiefen Eindringen in die Privatsphäre auf der anderen. Aus einer Diskussion der bestehenden Datenschutzbestimmungen wird versucht, erste Ansatzpunkte für Lösungen abzuleiten. Das stößt auf zahlreiche Schwierigkeiten: Die Dynamik des Sektors, ein in weiten Bereichen noch mangelndes Problembewusstsein, international erheblich differierende Vorstellungen über Art und Umfang der Schutzbedürftigkeit, aber auch die Tatsache, dass es einer ausgewogenen Kombination gesetzlicher Maßnahmen mit Selbstbeschränkung, also bewusstem Verzicht der Nutzer auf manchen Komfort bedarf.Privatsphäre, Privacy, Datenschutz, Informationsgesellschaft, problemorientierte Technikfolgenabschätzung
Der Access-Provider in der Zwickmühle
Die Rechtsordnung beinhaltet eine Reihe von Bestimmungen, die Access-
Provider zur Auskunft bzw Mitwirkung verpflichten. Die Auskunftspflicht kann sowohl
gegenüber Behörden (zB im Rahmen der §§ 134ff StPO) als auch gegenüber Privaten
(zB aufgrund § 87b Abs 3 UrhG) bestehen. Die in dieser Arbeit abgehandelten
Bestimmungen haben gemein, dass sie auf die Ermittlung personenbezogener Daten
abzielen und somit einen Eingriff in die Privatsphäre des Kunden des Access-Providers
darstellen. Der Schutz der Privatsphäre ergibt sich zum einen aus gesetzlichen
Bestimmungen, die vor allem im TKG 2003 und im DSG 2000 zu finden sind. Zum
anderen ist der Access-Provider seinem Kunden aufgrund des zwischen diesen
bestehenden vinculum iuris überdies auch vertraglich zur Wahrung seiner Privatsphäre
verpflichtet. Die vorliegende Arbeit konzentriert sich auf das Verhältnis zwischen dem
Access-Provider und seinem Kunden und untersucht die vertraglichen Pflichten des
Access-Providers zum Schutz der Privatsphäre seines Kunden.
Die vertraglichen Verpflichtungen hinsichtlich des Schutzes der
Privatsphäre des Kunden stehen in engem Zusammenhang zu den einschlägigen
gesetzlichen Regelungen. Das TKG 2003 unterscheidet in Anlehnung an die EK-
Datenschutzrichtlinie zwischen verschiedenen Datenkategorien, für die jeweils
unterschiedliche Schutzbestimmungen bestehen. So ist die Vertraulichkeit des Inhalts
von Nachrichten besonders gut geschützt und ein Eingriff nur „aufgrund eines
richterlichen Befehls in Gemäßheit bestehender Gesetze“ zulässig (Art 10a StGG).
Verkehrsdaten wie etwa IP-Adressen genießen nach einem (mE zutreffenden) Teil der
Lehre und Rechtsprechung zwar nicht einen ganz so hohen Schutz, werden vom TKG
aber stärker geschützt, als bloße Stammdaten wie etwa Name und Anschrift einer
Person. Wird im Zuge der Erfüllung eines Auskunftsbegehrens zwischen Daten
unterschiedlich hoher Schutzkategorien ein Zusammenhang hergestellt, sind mE stets
die Bestimmungen der jeweils höheren Schutzkategorie zu beachten. Ist beispielsweise
der Inhalt einer Nachricht bekannt (Inhaltsdaten) und soll der Name des Senders
(Stammdaten) vom Access-Provider bekannt gegeben werden, ist ein richterlicher
Befehl nötig, obwohl nur ein Stammdatum beauskunftet wurde. Dies ergibt sich aus
teleologischen Erwägungen zu der Bestimmung, die das höher bewertete Datum
schützt. Im genannten Beispiel wird durch die Auskunft bekannt, wer eine Nachricht mit
bestimmtem Inhalt verschickte – eine Information die das Fernmeldegeheimnis mE
auch schützen will.
Die Bestimmungen des TKG 2003 zum Datenschutz beruhen
weitestgehend auf der EK-Datenschutzrichtlinie und präzisieren die aus dem
allgemeinen Datenschutzrecht bekannten Grundsätze auf dem Sektor der
elektronischen Kommunikation. Zwei wichtige Prinzipien des Datenschutzrechts sind
etwa der Grundsatz, dass jeder grundsätzlich über die ihn betreffenden
Datenverwendungen umfassend im Bilde sein soll oder das Zweckbindungsprinzip. Nach
Letzterem dürfen Daten nur für jene Zwecke verwendet werden, zu denen sie
ursprünglich angelegt wurden. Diesen Prinzipien wurden bei der Entwicklung
vertraglicher Schutzpflichten des Access-Providers besondere Beachtung geschenkt.
Die vorliegende Arbeit hat einige Auslegungsschwierigkeiten aufgezeigt
und einer Lösung zuzuführen versucht, die sich bei der Interpretation von
Bestimmungen des TKG 2003 oder aus dem Regelungszusammenhang zu
Auskunftsbestimmungen ergeben. So sind die für die meisten Auskunftsbegehren
benötigten Verkehrsdaten in der Mehrzahl der Fälle unmittelbar nach
Verbindungsbeendigung zu löschen oder zu anonymisieren, es sei denn, sie werden für
Verrechnungszwecke benötigt. Ausnahmebestimmungen sind möglich, müssen jedoch,
um als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie zu gelten, nach der
aktuellen Entscheidung des OGH in der Sache LSG gegen Tele 2 eine ausdrückliche
Speicheranordnung treffen. Die vorliegende Arbeit zeigt etwa, weshalb
Auskunftsbestimmungen wie jene des SPG, die keine ausdrückliche Speicheranordnung
treffen, dennoch als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie
gelten können und somit nicht leer laufen.
Die den Access-Provider treffenden Schutzpflichten hinsichtlich der
Privatsphäre seines Kunden lassen sich mittels ergänzender Vertragsauslegung unter
Orientierung am Prinzip von Treu und Glauben konstruieren. Dabei wurden die
erkennbaren Wertungen des Gesetz- bzw Richtliniengebers auf dem Gebiet des
Datenschutzrechts berücksichtigt und der Vertragsergänzung zugrunde gelegt. Eine der
wichtigsten in dieser Arbeit entwickelten vertraglichen Pflichten ist wohl die
Benachrichtigungspflicht des Access-Providers. Soweit es ihm nicht verboten ist oder er
das Risiko eingeht, sich straf- bzw haftbar zu machen, hat er seinen Kunden über die
Erfüllung eines Auskunftsbegehrens zu informieren. Die Informationspflicht bringt für
den Access-Provider keinen hohen Aufwand mit sich und ist daher wirtschaftlich zu
rechtfertigen. Sie ergibt sich zudem aus einer – soweit ersichtlich – bislang noch nie
erwogenen Auslegung des § 96 Abs 3 TKG 2003. Die Informationspflicht entfällt dort,
wo den Auskunftswerber eine eindeutige Pflicht zur Information des Betroffenen trifft
wie in der StPO. Sie entspricht dem erwähnten Prinzip, dass der Betroffene stets über
die ihn betreffenden Datenverwendungen in Kenntnis sein soll, um seine Rechte
wahrnehmen zu können. Eine Pflicht, sich im Interesse des Kunden gegen
Auskunftsbegehren mittels Rechtsbehelfen zur Wehr zu setzen, trifft den Access-
Provider aus Zumutbarkeitsgründen nicht. Je nachdem, wie die Begründungspflichten
des Auskunftswerbers dem Gesetz nach beschaffen sind, sehen auch die Prüfpflichten
des Access-Providers hinsichtlich des Auskunftsbegehrens unterschiedlich aus. Soweit
das Gesetz eine Begründung des Auskunftsbegehrens verlangt, hat der Access-Provider
das Auskunftsbegehren auf dessen Vollständigkeit zu prüfen und die Auskunft bzw
Mitwirkung nötigenfalls zu verweigern. Weiters bestehen Verweigerungspflichten in
jenen Fällen, in denen der Access-Provider die zur Auskunftserfüllung erforderlichen
Daten zwar de facto noch vorrätig hat, sie aufgrund der Bestimmungen des TKG 2003
jedoch bereits hätte löschen müssen.
Die gezeigten Schutzpflichten werden vom Access-Provider geschuldet
wie jede andere vertragliche Pflicht. Diese Arbeit brachte das Ergebnis, dass für das
Institut der positiven Vertragsverletzungen und dazu geltende Sonderregelungen im
Gefüge des ABGB kein Platz ist. Das Institut der positiven Vertragsverletzung geht auf
eine Erfindung des deutschen Juristen Hermann Staub zu Beginn des vergangenen
Jahrhunderts zurück, der eine Lücke im BGB vermutete und diese mittels Analogie
schloss. Wie gezeigt werden konnte, besteht diese Lücke weder im BGB und noch
weniger im ABGB, weshalb die Verletzung von Schutzpflichten unter das positive
Schadenersatz- und Leistungsstörungsrecht subsumiert werden kann. Die
Schutzpflichten können stets nur auf eine endgültige (Unmöglichkeit) oder
vorübergehende Art (Verzug) verletzt werden. Daher stehen bei
Schutzpflichtverletzungen mE entgegen der hM grundsätzlich die in den §§ 918ff ABGB
statuierten Rechtsbehelfe zu. Das gilt insbesondere auch für Rücktrittsrechte. Diese
können jedoch ausnahmsweise ausscheiden, sofern sich deren Ausübung gemessen an
der Schwere der Schutzpflichtverletzung als missbräuchlich erweist (§ 1295 ABGB). Die
Schutzpflichten (etwa zur Benachrichtigung) können mE auch gesondert eingeklagt
werden, sofern sie ausreichend bestimmt und fällig sind. Sofern die Verletzung der
Schutzpflichten zu Vermögensschäden führt, ist der Access-Provider zu deren Ersatz
verpflichtet. Die Prüfung von Ersatzansprüchen kann jedoch in einigen Fällen – etwa
wenn die im Vermögen des Kunden eingetretene Vermögensminderung die Folge einer
gegen ihn verhängten Strafe darstellt – ergeben, dass kein
Rechtswidrigkeitszusammenhang vorliegt. Bei besonders erheblichen Verletzungen der
Privatsphäre besteht gem § 1328a ABGB auch ein Anspruch auf den Ersatz des dadurch
erlittenen immateriellen Schadens
Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies
Omgevingsanalyse van onze samenleving toont aan dat door de toenemende informatisering privacyproblemen (identiteitsfraude, datalekken) zullen toenemen. Door gegevensontdekkende-, gegevensvolgende- en gegevenskoppelende technologieën erodeert de privacy van de burger in onze risico-toezichtmaatschappij ernstig. Het vertrouwen in het gebruik van ICT en het elektronisch zaken doen komt hierdoor sterk onder druk te staan.Er bestaat uitvoerige Europese wet- en regelgeving om onze privacy te beschermen. In dit boek is deze wetgeving geanalyseerd. De wetsartikelen die direct betrekking hebben op de verwerking van persoonsgegevens kunnen beschouwd worden als de juridische specificaties voor het ontwerp van informatiesystemen. De wetgeving verplicht tot een privacyrisico analyse voorafgaande aan het gebruik van informatiesystemen. Dit vindt nauwelijks plaats. In dit boek worden zeven privacy bedreigingsanalyses (o.a PIA) besproken. Met de privacyrisicoanalyse kan opdrachtgevers en ontwerpers van informatiesystemen de potentiële risico’s voor de privacy van de burger in kaart te brengen. Uit onderzoek is duidelijk geworden dat persoonsgegevens het best beschermd kunnen worden als bij de verwerking van de persoonsgegevens de identificeerde gegevens direct worden scheiden worden van andere gegevens. Privacy Enhancing Technologies (PET), die de juridische vereisten omzetten in technische specificaties, kunnen hiervoor zorgdragen. De inhoud, reikwijdte en succesvolle toepassingen van PET worden in dit boek uiteengezet.Aan de hand van de Diffusion of Innovation (DOI) theorie van Rogers kunnen de positieve en negatieve factoren voor organisaties worden vastgesteld, die van invloed zijn op het invoeren van identity en access management, privacy bescherming en de adoptie van PET voor de bescherming van persoonsgegevens. Bovendien is gebleken dat de maturiteit van de organisatie bepalend is of de organisatie aandacht besteedt aan privacybescherming. Met de in dit boek toegelichte Return On Investment (ROI) formules kan de economische rechtvaardiging voor privacy beschermende investeringen worden onderbouwd. Het boek sluit af met een stappenplan om privacyveilige informatiesystemen in organisaties te implementeren en doet tien aanbevelingenLEI Universiteit LeidenEffective Protection of Fundamental Rights in a pluralist worl
Die Staatsrechtslehre und die Veränderung ihres Gegenstandes. Gewährleistung von Freiheit und Sicherheit im Lichte unterschiedlicher Staats- und Verfassungsverständnisse. Risikosteuerung durch Verwaltungsrecht. Transparente Verwaltung - Konturen...Berichte und Diskussionen auf der Tagung der Vereinigung der Deutschen Staatsrechtslehrer in Hamburg vom 1. bis 4. Oktober 2003
This volume presents the lectures and discussions held at the conference of the "Vereinigung der deutschen Staatsrechtslehrer" (the association of german professors for public law), October 1st - Ocober 3rd, 2003, Hamburg