Fakultät Informatik (2009) / Technische Universität Dresden

Informationen über die Fakultät Informatik der TU Dresden, Daten und Fakten sowie eine Auswahl aktueller Forschungsprojekte, 2009Information about the Faculty of Computer Science of the Technische Universität Dresden, data and facts and a selection of current research projects, 200

Beeinträchtigung der Privatsphäre in der Informationsgesellschaft [Detraction of Privacy in the Information Society]

Digitizing, Minimizing and Networking are the prerequisites for the evolving Information-Society, whose most attracting features are gathering, storing, linking and providing of enormous amounts of data. Best-known advantages are easy communication via e-Mail, easy access to information via Internet, comfortable services in e-Commerce and e-Government. On the other hand there are substantial dangers for privacy coming along with these developments. This paper shows basic technological developments, different actors and their use of personal data and deals with short and long-term effects of detraction of privacy. Special emphasis is given to the analysis of existing trade-offs between efficiency and security on the one hand and privacy on the other. Based on existing privacy regulations some recommendations for further policy actions are given. -- Digitalisierung, Minia-turisierung und Vernetzung haben die Voraussetzungen für eine Informationsgesellschaft geschaffen, die durch Sammlung, Speicherung und Verknüpfung enormer Datenmengen und deren breite Verfügbarkeit gekennzeichnet ist. Das schafft für die meisten Staatsbürger erhebliche Vorteile, die durch Schlagworte wie e-Mail, Internet, e-Commerce, aber auch elektronische Erledigung von Behördenwegen umschrieben werden können. Die verfügbaren Datenmassen entfalten aber auch ein Eigenleben, das in die Privatsphäre der meisten Staatsbürger in vielfacher Weise eingreift; den meisten ist gar nicht bewusst, wieviel Informationen über sie verfügbar sind und z.T. auch gehandelt wer-den. Im Folgenden sollen zunächst die neuen technischen Möglichkeiten der Informationssammlung, -speicherung und -verknüpfung beschrieben werden; es wird aufgezeigt, welche dieser neuen Möglichkeiten vom wem genutzt werden, und mit welchen Konsequenzen. Dann wird das Janusgesicht der Informationsgesellschaft herausgearbeitet, die kritische Austauschbeziehung zwischen Effizienz und Sicherheit auf der einen Seite, die durch die intensive Informationssammlung und -verarbeitung überhaupt erst ermöglicht wird, und dem daraus resultierenden z.T. tiefen Eindringen in die Privatsphäre auf der anderen. Aus einer Diskussion der bestehenden Datenschutzbestimmungen wird versucht, erste Ansatzpunkte für Lösungen abzuleiten. Das stößt auf zahlreiche Schwierigkeiten: Die Dynamik des Sektors, ein in weiten Bereichen noch mangelndes Problembewusstsein, international erheblich differierende Vorstellungen über Art und Umfang der Schutzbedürftigkeit, aber auch die Tatsache, dass es einer ausgewogenen Kombination gesetzlicher Maßnahmen mit Selbstbeschränkung, also bewusstem Verzicht der Nutzer auf manchen Komfort bedarf.Privatsphäre, Privacy, Datenschutz, Informationsgesellschaft, problemorientierte Technikfolgenabschätzung

Der Access-Provider in der Zwickmühle

Die Rechtsordnung beinhaltet eine Reihe von Bestimmungen, die Access- Provider zur Auskunft bzw Mitwirkung verpflichten. Die Auskunftspflicht kann sowohl gegenüber Behörden (zB im Rahmen der §§ 134ff StPO) als auch gegenüber Privaten (zB aufgrund § 87b Abs 3 UrhG) bestehen. Die in dieser Arbeit abgehandelten Bestimmungen haben gemein, dass sie auf die Ermittlung personenbezogener Daten abzielen und somit einen Eingriff in die Privatsphäre des Kunden des Access-Providers darstellen. Der Schutz der Privatsphäre ergibt sich zum einen aus gesetzlichen Bestimmungen, die vor allem im TKG 2003 und im DSG 2000 zu finden sind. Zum anderen ist der Access-Provider seinem Kunden aufgrund des zwischen diesen bestehenden vinculum iuris überdies auch vertraglich zur Wahrung seiner Privatsphäre verpflichtet. Die vorliegende Arbeit konzentriert sich auf das Verhältnis zwischen dem Access-Provider und seinem Kunden und untersucht die vertraglichen Pflichten des Access-Providers zum Schutz der Privatsphäre seines Kunden. Die vertraglichen Verpflichtungen hinsichtlich des Schutzes der Privatsphäre des Kunden stehen in engem Zusammenhang zu den einschlägigen gesetzlichen Regelungen. Das TKG 2003 unterscheidet in Anlehnung an die EK- Datenschutzrichtlinie zwischen verschiedenen Datenkategorien, für die jeweils unterschiedliche Schutzbestimmungen bestehen. So ist die Vertraulichkeit des Inhalts von Nachrichten besonders gut geschützt und ein Eingriff nur „aufgrund eines richterlichen Befehls in Gemäßheit bestehender Gesetze“ zulässig (Art 10a StGG). Verkehrsdaten wie etwa IP-Adressen genießen nach einem (mE zutreffenden) Teil der Lehre und Rechtsprechung zwar nicht einen ganz so hohen Schutz, werden vom TKG aber stärker geschützt, als bloße Stammdaten wie etwa Name und Anschrift einer Person. Wird im Zuge der Erfüllung eines Auskunftsbegehrens zwischen Daten unterschiedlich hoher Schutzkategorien ein Zusammenhang hergestellt, sind mE stets die Bestimmungen der jeweils höheren Schutzkategorie zu beachten. Ist beispielsweise der Inhalt einer Nachricht bekannt (Inhaltsdaten) und soll der Name des Senders (Stammdaten) vom Access-Provider bekannt gegeben werden, ist ein richterlicher Befehl nötig, obwohl nur ein Stammdatum beauskunftet wurde. Dies ergibt sich aus teleologischen Erwägungen zu der Bestimmung, die das höher bewertete Datum schützt. Im genannten Beispiel wird durch die Auskunft bekannt, wer eine Nachricht mit bestimmtem Inhalt verschickte – eine Information die das Fernmeldegeheimnis mE auch schützen will. Die Bestimmungen des TKG 2003 zum Datenschutz beruhen weitestgehend auf der EK-Datenschutzrichtlinie und präzisieren die aus dem allgemeinen Datenschutzrecht bekannten Grundsätze auf dem Sektor der elektronischen Kommunikation. Zwei wichtige Prinzipien des Datenschutzrechts sind etwa der Grundsatz, dass jeder grundsätzlich über die ihn betreffenden Datenverwendungen umfassend im Bilde sein soll oder das Zweckbindungsprinzip. Nach Letzterem dürfen Daten nur für jene Zwecke verwendet werden, zu denen sie ursprünglich angelegt wurden. Diesen Prinzipien wurden bei der Entwicklung vertraglicher Schutzpflichten des Access-Providers besondere Beachtung geschenkt. Die vorliegende Arbeit hat einige Auslegungsschwierigkeiten aufgezeigt und einer Lösung zuzuführen versucht, die sich bei der Interpretation von Bestimmungen des TKG 2003 oder aus dem Regelungszusammenhang zu Auskunftsbestimmungen ergeben. So sind die für die meisten Auskunftsbegehren benötigten Verkehrsdaten in der Mehrzahl der Fälle unmittelbar nach Verbindungsbeendigung zu löschen oder zu anonymisieren, es sei denn, sie werden für Verrechnungszwecke benötigt. Ausnahmebestimmungen sind möglich, müssen jedoch, um als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie zu gelten, nach der aktuellen Entscheidung des OGH in der Sache LSG gegen Tele 2 eine ausdrückliche Speicheranordnung treffen. Die vorliegende Arbeit zeigt etwa, weshalb Auskunftsbestimmungen wie jene des SPG, die keine ausdrückliche Speicheranordnung treffen, dennoch als Ausnahmebestimmungen iSd Art 15 EK-Datenschutzrichtlinie gelten können und somit nicht leer laufen. Die den Access-Provider treffenden Schutzpflichten hinsichtlich der Privatsphäre seines Kunden lassen sich mittels ergänzender Vertragsauslegung unter Orientierung am Prinzip von Treu und Glauben konstruieren. Dabei wurden die erkennbaren Wertungen des Gesetz- bzw Richtliniengebers auf dem Gebiet des Datenschutzrechts berücksichtigt und der Vertragsergänzung zugrunde gelegt. Eine der wichtigsten in dieser Arbeit entwickelten vertraglichen Pflichten ist wohl die Benachrichtigungspflicht des Access-Providers. Soweit es ihm nicht verboten ist oder er das Risiko eingeht, sich straf- bzw haftbar zu machen, hat er seinen Kunden über die Erfüllung eines Auskunftsbegehrens zu informieren. Die Informationspflicht bringt für den Access-Provider keinen hohen Aufwand mit sich und ist daher wirtschaftlich zu rechtfertigen. Sie ergibt sich zudem aus einer – soweit ersichtlich – bislang noch nie erwogenen Auslegung des § 96 Abs 3 TKG 2003. Die Informationspflicht entfällt dort, wo den Auskunftswerber eine eindeutige Pflicht zur Information des Betroffenen trifft wie in der StPO. Sie entspricht dem erwähnten Prinzip, dass der Betroffene stets über die ihn betreffenden Datenverwendungen in Kenntnis sein soll, um seine Rechte wahrnehmen zu können. Eine Pflicht, sich im Interesse des Kunden gegen Auskunftsbegehren mittels Rechtsbehelfen zur Wehr zu setzen, trifft den Access- Provider aus Zumutbarkeitsgründen nicht. Je nachdem, wie die Begründungspflichten des Auskunftswerbers dem Gesetz nach beschaffen sind, sehen auch die Prüfpflichten des Access-Providers hinsichtlich des Auskunftsbegehrens unterschiedlich aus. Soweit das Gesetz eine Begründung des Auskunftsbegehrens verlangt, hat der Access-Provider das Auskunftsbegehren auf dessen Vollständigkeit zu prüfen und die Auskunft bzw Mitwirkung nötigenfalls zu verweigern. Weiters bestehen Verweigerungspflichten in jenen Fällen, in denen der Access-Provider die zur Auskunftserfüllung erforderlichen Daten zwar de facto noch vorrätig hat, sie aufgrund der Bestimmungen des TKG 2003 jedoch bereits hätte löschen müssen. Die gezeigten Schutzpflichten werden vom Access-Provider geschuldet wie jede andere vertragliche Pflicht. Diese Arbeit brachte das Ergebnis, dass für das Institut der positiven Vertragsverletzungen und dazu geltende Sonderregelungen im Gefüge des ABGB kein Platz ist. Das Institut der positiven Vertragsverletzung geht auf eine Erfindung des deutschen Juristen Hermann Staub zu Beginn des vergangenen Jahrhunderts zurück, der eine Lücke im BGB vermutete und diese mittels Analogie schloss. Wie gezeigt werden konnte, besteht diese Lücke weder im BGB und noch weniger im ABGB, weshalb die Verletzung von Schutzpflichten unter das positive Schadenersatz- und Leistungsstörungsrecht subsumiert werden kann. Die Schutzpflichten können stets nur auf eine endgültige (Unmöglichkeit) oder vorübergehende Art (Verzug) verletzt werden. Daher stehen bei Schutzpflichtverletzungen mE entgegen der hM grundsätzlich die in den §§ 918ff ABGB statuierten Rechtsbehelfe zu. Das gilt insbesondere auch für Rücktrittsrechte. Diese können jedoch ausnahmsweise ausscheiden, sofern sich deren Ausübung gemessen an der Schwere der Schutzpflichtverletzung als missbräuchlich erweist (§ 1295 ABGB). Die Schutzpflichten (etwa zur Benachrichtigung) können mE auch gesondert eingeklagt werden, sofern sie ausreichend bestimmt und fällig sind. Sofern die Verletzung der Schutzpflichten zu Vermögensschäden führt, ist der Access-Provider zu deren Ersatz verpflichtet. Die Prüfung von Ersatzansprüchen kann jedoch in einigen Fällen – etwa wenn die im Vermögen des Kunden eingetretene Vermögensminderung die Folge einer gegen ihn verhängten Strafe darstellt – ergeben, dass kein Rechtswidrigkeitszusammenhang vorliegt. Bei besonders erheblichen Verletzungen der Privatsphäre besteht gem § 1328a ABGB auch ein Anspruch auf den Ersatz des dadurch erlittenen immateriellen Schadens

Informationssicherheit und Persönlichkeit : Konzept, Empirie und Handlungsempfehlungen

[no abstract

Privacyrecht is code. Over het gebruik van Privacy Enhancing Technologies

Omgevingsanalyse van onze samenleving toont aan dat door de toenemende informatisering privacyproblemen (identiteitsfraude, datalekken) zullen toenemen. Door gegevensontdekkende-, gegevensvolgende- en gegevenskoppelende technologieën erodeert de privacy van de burger in onze risico-toezichtmaatschappij ernstig. Het vertrouwen in het gebruik van ICT en het elektronisch zaken doen komt hierdoor sterk onder druk te staan.Er bestaat uitvoerige Europese wet- en regelgeving om onze privacy te beschermen. In dit boek is deze wetgeving geanalyseerd. De wetsartikelen die direct betrekking hebben op de verwerking van persoonsgegevens kunnen beschouwd worden als de juridische specificaties voor het ontwerp van informatiesystemen. De wetgeving verplicht tot een privacyrisico analyse voorafgaande aan het gebruik van informatiesystemen. Dit vindt nauwelijks plaats. In dit boek worden zeven privacy bedreigingsanalyses (o.a PIA) besproken. Met de privacyrisicoanalyse kan opdrachtgevers en ontwerpers van informatiesystemen de potentiële risico’s voor de privacy van de burger in kaart te brengen. Uit onderzoek is duidelijk geworden dat persoonsgegevens het best beschermd kunnen worden als bij de verwerking van de persoonsgegevens de identificeerde gegevens direct worden scheiden worden van andere gegevens. Privacy Enhancing Technologies (PET), die de juridische vereisten omzetten in technische specificaties, kunnen hiervoor zorgdragen. De inhoud, reikwijdte en succesvolle toepassingen van PET worden in dit boek uiteengezet.Aan de hand van de Diffusion of Innovation (DOI) theorie van Rogers kunnen de positieve en negatieve factoren voor organisaties worden vastgesteld, die van invloed zijn op het invoeren van identity en access management, privacy bescherming en de adoptie van PET voor de bescherming van persoonsgegevens. Bovendien is gebleken dat de maturiteit van de organisatie bepalend is of de organisatie aandacht besteedt aan privacybescherming. Met de in dit boek toegelichte Return On Investment (ROI) formules kan de economische rechtvaardiging voor privacy beschermende investeringen worden onderbouwd. Het boek sluit af met een stappenplan om privacyveilige informatiesystemen in organisaties te implementeren en doet tien aanbevelingenLEI Universiteit LeidenEffective Protection of Fundamental Rights in a pluralist worl

Die Staatsrechtslehre und die Veränderung ihres Gegenstandes. Gewährleistung von Freiheit und Sicherheit im Lichte unterschiedlicher Staats- und Verfassungsverständnisse. Risikosteuerung durch Verwaltungsrecht. Transparente Verwaltung - Konturen...Berichte und Diskussionen auf der Tagung der Vereinigung der Deutschen Staatsrechtslehrer in Hamburg vom 1. bis 4. Oktober 2003

This volume presents the lectures and discussions held at the conference of the "Vereinigung der deutschen Staatsrechtslehrer" (the association of german professors for public law), October 1st - Ocober 3rd, 2003, Hamburg