Datenschutzrechtliche Einwilligung zur Werbung: Opt-out ausreichend?

Zusammenfassung  Das Interesse der Unternehmen, an personenbezogene Daten zu gelangen und diese für Werbezwecke zu verwerten, ist gro?. An die Einholung von Einwilligungen zur Verarbeitung solcher Daten stellte die Rechtsprechung daher hohe Anforderungen. Die herrschende Meinung ging bislang davon aus, dass Einwilligungen in Werbema?nahmen, die mittels Opt-out-Verfahren erlangt wurden, unwirksam sind. Bereits im vergangenen Jahr hatte das Oberlandesgericht München erneut darüber zu entscheiden, ob eine Opt-out-Klausel den datenschutzrechtlichen Anforderungen nach § 4a BDSG entspricht — und bejahte überraschenderweise die Wirksamkeit der Einwilligung.     

Selbst-adaptive Software

Zusammenfassung Der Trend zum ,,Mobile“ und ,,Pervasive Computing“ führt zu einem wachsenden Bedarf an Softwaresystemen, die in der Lage sind, sich selbst an ihre sich dynamisch ver?ndernde Ablaufumgebung anzupassen. Dynamische Adaption findet zur Laufzeit der Anwendung aufgrund von ?nderungen des Kontexts oder Ressourcenzustands statt. Zum Beispiel k?nnte eine Anwendung sich an niedrigere übertragungsbandbreite, verminderte Batteriekapazit?t, neu hinzugekommene Ger?te und Dienste oder ver?nderte Benutzerpr?ferenzen anpassen. In diesem Beitrag geben wir einen überblick über die Technik selbst-adaptiver Softwaresysteme. Wir diskutieren zun?chst die verschiedenartigen Anforderungen an adaptive Software und stellen dann entsprechende Infrastrukturkonzepte vor, die für die Entwicklung adaptiver Systeme erforderlich sind. Auch Anforderungen an eine Entwicklungsmethodik für adaptive Anwendungen werden erl?utert. Als Beispiel für eine umfassende und allgemeingültige L?sung pr?sentieren wir die wichtigsten Ergebnisse des europ?ischen Forschungsprojektes MADAM (Mobility and ADaptation enAbling Middleware) und vergleichen diese mit verwandten Arbeiten.     

Zertifizierte Cloud durch das EuroCloud Star Audit SaaS

Es gibt wenige IT-Themen, die so kontrovers diskutiert werden wie Cloud Computing. Auf der einen Seite werden signifikante Einsparungen und eine flexible Nutzung von IT-Diensten prognostiziert, auf der anderen Seite sind die Bedenken zu Sicherheit, Datenschutz und der Ausgestaltung rechtlicher Anforderungen sehr ernst zu nehmen. Gerade für mittelst?ndische Unternehmen ist Cloud Computing eine h?chst attraktive M?glichkeit, ihre Wettbewerbsf?higkeit durch Einbinden von externen Serviceangeboten aufrecht zu erhalten und auszubauen. Jedoch verfügen diese Unternehmen oftmals nicht über ausreichende M?glichkeiten einer individuellen Prüfung potenzieller rechtlicher und technischer Problembereiche. Vor diesem Hintergrund bieten Zertifizierungen über das gesamte Spektrum der zu prüfenden Bereiche eine erhebliche Erleichterung bei der Auswahl von Anbietern. Hierzu hat EuroCloud Deutschland mit einer Vielzahl von Partnern das EuroCloud Star Audit System als Gütesiegel für die Cloud entwickelt.     

IT-Portfoliomanagement – Ein Konzept zur Bewertung und Gestaltung von IT

Zusammenfassung  Bei zunehmenden Investitionsausgaben für IT ist die aktuelle Situation, dass ca. 70% der IT-Investitionen die geplanten Ziele nicht erreichen, kaum tragbar. Dieser Zustand resultiert u. a. aus einer Fehlallokation von Ressourcen infolge unzureichender Methoden in der IT-Bewertung. Deshalb stellt sich die Frage, welche Anforderungen geeignete Methoden des IT-Portfoliomanagements zu erfüllen haben und welche IT-spezifischen Gestaltungsspielr?ume dabei zu berücksichtigen sind, um eine effiziente Ressourcenallokation zu gew?hrleisten.     

Sicherheitsservices für Service Oriented Architecture (SOA)

Die SOA gilt als die Zukunftstechnologie für erfolgreiche Unternehmen. Zur Erzielung der gesetzten Anforderungen sind jedoch eine entsprechende Betrachtung der Risiken und deren Minimierung mittels geeigneter Ma?nahmen notwendig. Folgender Artikel zeigt eine strukturierte Herangehensweise an diese Problematik auf und gibt Hinweise für besonders zu berücksichtigende Sachverhalte.     

Ein Requirements-Engineering-Referenzmodell

Zusammenfassung Requirements-Engineering zielt auf die systematische Erhebung der Anforderungen für ein zu entwickelndes Produkt oder System auf Basis genereller Gesch?ftsziele und Vorgaben ab. Angestrebt werden dokumentierte Anforderungen an Produkte oder Systeme, die optimal nutzbar und vermarktbar sind und in jeder Hinsicht m?glichst gut den Erwartungen aller Beteiligten entsprechen. Bedingt durch den hohen Innovationsgrad bei Software oder Produkten mit hohem Softwareanteil und den steigenden Ansprüchen in Hinblick auf Funktionalit?t kommt dem Requirements-Engineering eine Schlüsselstellung im Software und Systems Engineering zu. Vor diesem Hintergrund hat die Technische Universit?t München und Siemens Corporate Research in Princeton, USA, ein Requirements-Engineering–Referenzmodell (REM) entwickelt, das Struktur und Inhalte der Ergebnisse (,,Artefakte“) des Requirements-Engineering vorgibt. Es ist durch ,,Tailoring“ auf unterschiedliche Anwendungsdom?nen und Dokumentenvorgaben zuschneidbar. Es unterstützt iterative Prozesse und eine modellbasierte Entwicklung. Der Ansatz REM wurde bereits erfolgreich zur Analyse und Bewertung durchgeführter Entwicklungsprozesse eingesetzt. Hierzu wurden die im untersuchten Projekt erstellten Spezifikationsdokumente (beispielsweise Vision- & Scope-Dokument, Lasten- und Pflichtenhefte, Architekturdokumente, usw.) hinsichtlich der im Artefaktmodell festgelegten Inhalte und Beziehungen analysiert und bewertet. Gemeinsam mit der entsprechenden Untersuchung des eingesetzten Requirements-Management-Werkzeugkonzepts k?nnen hieraus Aussagen zur Vollst?ndigkeit und Qualit?t der betrachteten Spezifikationsdokumente und ihres Erarbeitungsprozesses gefolgert werden.     

Leitgedanken zur Einführung von E-Mail-Verschlüsselung im Unternehmen

Zahlreiche Fälle abgefischter Informationen aus E-Mails belegen, dass sensible Informationen nicht auf ?digitale Postkarten“ gehören. Viele Unternehmen und Organisationen haben dies erkannt. Bei der Einführung von E-Mail- Verschlüsselungslösungen sind jedoch unterschiedliche Anforderungen und mögliche Fallstricke zu beachten, die der folgende Beitrag überblicksartig beleuchtet.     

Kundenbasierte Produktkonfiguration

Zusammenfassung Immer mehr Unternehmen offerieren ihren Kunden die M?glichkeit, sich mit einem Produktkonfigurator ein individuelles Produkt zu erstellen. Gründe für den Einsatz sind die Realisierung von Alleinstellungsmerkmalen und die Weitergabe der Vorteile von sich immer mehr verbessernden Produktionsprozessen. Ein erfolgreicher Produktkonfigurator sollte eine Reihe von Anforderungen erfüllen, die in diesem Artikel vorgestellt werden.     

Protokollierung bei Identitätsmanagementsystemen

Wozu wird Protokollierung bei Identit?tsmanagementsystemen eingesetzt? Da Identit?tsmanagementsysteme sehr unterschiedliche Aufgaben erfüllen, sind auch die Anforderungen an die Protokollierung unterschiedlich. Dieser Beitrag gibt einen überblick über unterschiedliche Typen von Identit?tsmanagementsystemen, ihre Aufgaben und die daraus folgenden Anforderungen an die Protokollierung. Für nutzerkontrollierte Identit?tsmanagementsysteme werden der Stand der Technik und aktuelle Forschungsans?tze dargestellt.     

Die Zulässigkeit IT-gestützter Compliance- und Risikomanagementsysteme nach der BDSG-Novelle

EDV durchdringt in zunehmendem Ma?e die Unternehmen. Sie ist das Werkzeug des Managements für die Steuerung und überwachung s?mtlicher Prozesse. Sie kann unter anderem zur Unterstützung bei der Erfüllung von Risikomanagement- und Compliance-Pflichten eingesetzt werden und muss es abh?ngig von der Durchdringung des Unternehmens mit IT gesteuerten Prozessen auch. Mit dem IT-Einsatz verbinden sich neben einem m?glichen Nutzen aber auch Risiken, die es zu beachten gilt. Es ist sicherzustellen, dass rechtliche, insbesondere datenschutzrechtliche, Anforderungen an den IT-Einsatz beachtet werden. So gilt es das Interesse der Unternehmen an einer m?glichst umfassenden und effizienten Kontrolle von Unternehmensprozessen mit dem Interesse der Besch?ftigten an ihrer informationellen Selbstbestimmung in Einklang zu bringen. IT-gestützte Compliance- und Risikomanagementsysteme bewegen sich daher in einem Spannungsfeld zwischen Nutzen, Risiken und rechtlichen Anforderungen. Die geplante Novelle des BDSG nimmt sich dieses Spannungsfeldes an und soll bisher fehlende klare gesetzliche Regelungen schaffen, um Besch?ftigte zu schützen und Arbeitgebern eine verl?ssliche Grundlage für die Datenverarbeitung an die Hand zu geben.     

Privacy By Design und die Neuen Schutzziele

„Privacy by Design“ versammelt sieben Grunds?tze, die einen modernen proaktiven Datenschutz mit weltweiter Perspektive versprechen. Die „Neuen Schutzziele“ beanspruchen die Operationalisierbarkeit eines modernen, proaktiven Datenschutzes anhand sechs elementarer Schutzziele, die systematisch aufeinander bezogen sind und universell gelten sollen. W?hrend Privacy by Design von den zehn auf Praxis zielenden Anforderungen der Global Privacy Standards erg?nzt wird, fügen sich die Neuen Schutzziele in die bew?hrte Methodik der Risikoanalysen und Schutzma?nahmen nach BSI ein. Beide Paradigmen setzen auf Privacy-Enhancing-Technologies. Die Autoren argumentieren für eine Zusammenführung der Ans?tze zu einem umfassenden Gesamtkonzept.     

Der Bazar der Anforderungen

Traditionelles Requirements Engineering ist auf die Ermittlung, Festschreibung und Nachvollziehbarkeit von Anforderungen in den Informationssystemen einer Organisation fokussiert. Die fortschreitende Globalisierung und Vernetzung hat neue Formen der Zusammenarbeit und der informationstechnischen Unterstützung hervorgebracht. Auf Basis von zwei Fallstudien zu offenen Innovationsprozessen haben wir die Anforderungen an ein adaptives Requirements Engineering für emergente Communities ermittelt. Zur informatischen Unterstützung haben wir ein i*-Modell für die Beschreibung der wechselseitigen Abh?ngigkeiten zwischen den Communities und den von ihnen genutzten Informationssystemen aus der Sichtweise des adaptiven RE entwickelt. Wir unterstützen das adaptive RE durch einen Dienstbaukasten, der in die zu entwickelnden Informationssysteme integriert werden kann. Dadurch entsteht im Sinne der Open-Source-Bewegung ein Bazar von Anforderungen. Diesen Vorgang haben wir prototypisch in einen Store für webbasierte Widgets zur Gestaltung von personalisierten Lernumgebungen umgesetzt.     

Technische Richtlinie Biometrics for Public Sector Applications

Mit der Einführung neuer hoheitlicher Dokumente wie beispielsweise dem elektronischen Personalausweis, dem elektronischen Aufenthaltstitel oder Visa werden einheitliche Qualit?tsanforderungen und Anforderungen an die Interoperabilit?t bezüglich der eingesetzten Hard- und Softwarekomponenten für unterschiedliche biometrische Anwendungen gestellt. Der folgende Beitrag stellt die technische Richtlinie „Biometrics for Public Sector Applications“ des BSI vor, in der die verschiedenen Anforderungen strukturiert beschrieben und in Bezug zu verschiedenen hoheitlichen Anwendungen gesetzt werden.     

Software Controlling

Zusammenfassung  Die Entwicklung von gro?en Softwaresystemen erfordert ein effektives und effizientes Projektmanagement. Insbesondere muss im Hinblick auf die Softwarequalit?t in die Entwicklungsprozesse ein zielgerichtetes Risikomanagement integriert werden. Der bisher meist verfolgte ,,klassische“ Ansatz des Projektcontrollings fokussiert vielfach nur auf die Erreichung von externen Qualit?tseigenschaften des Endprodukts (wie der Erfüllung funktionaler Anforderungen, die vom Anwender wahrgenommen werden) und die Einhaltung von Zeit- und Budgetvorgaben. Die Erfahrung aus vielen lang laufenden Projekten zeigt, dass im Hinblick auf nachhaltige Entwicklung eine feink?rnigere und ganzheitlichere Betrachtung der Qualit?t von Softwaredokumenten und Entwicklungszwischenprodukten notwendig ist, um qualit?tsbezogene Projektrisiken frühzeitig zu erkennen und geeignete Steuerungsma?nahmen im Entwicklungsprozess ergreifen zu k?nnen. Bei Capgemini sd&m (München) wird deshalb gerade unter dem Begriff Software Controlling ein Bündel von technischen und organisatorischen Ma?nahmen zum ganzheitlichen qualit?tsbezogenen Risikomanagement in Softwareprojekten eingeführt. Wesentliche Komponenten sind ein Qualit?tsmodell auf der Grundlage eines aus bisherigen Projekterfahrungen gewonnenen Kennzahlensystems, das interne Produkteigenschaften mit Aufwands-, Test- und Fehlerdaten verknüpft, ein in die Entwicklungsumgebung integrierter Projektleitstand und spezifische Prozesselemente zur Qualit?ts- und Risikobewertung auf der Grundlage der Kennzahlen.     

Systemorientiertes Automotive Engineering

Zusammenfassung  Die Zunahme der durch Informations- und Kommunikationstechnologien erbrachten Funktionalit?ten in Automobilen stellt die Industrie vor neue Herausforderungen. Weitergehende Anforderungen zur Individualisierung, und damit zur Modell- und Variantenvielfalt, sowie der Zwang zu schnellen Modellwechseln bedingen eine steigende Komplexit?t, spezifische Kostenstrukturen und eine weitergehende Arbeitsteilung bei optimierter Produktivit?t in Entwicklung und Produktion. Dies und der wachsende Kostendruck sind der Hintergrund, vor dem das essenzielle Wechselspiel zwischen der Vielzahl der Funktionen und Systeme im Rahmen immer kürzerer Innovationszyklen beherrscht werden muss. Die dazu notwendige Zusammenarbeit unterschiedlicher Disziplinen wie Informatik und Informationstechnik mit traditionellen Ingenieurdisziplinen wie Maschinenbau und Elektrotechnik, erfordert zwingend die Herausbildung eines ganzheitlichen systemorientierten Automotive Engineerings.     

Zentraler Protokollservice

Der Umgang mit Protokolldaten war bisher stets das ungeliebte Stiefkind bei der Planung und dem Betrieb von automatisierten Verfahren. Die Autoren stellen ein Konzept zur zentralen Verwaltung und Auswertung von Protokolldaten vor, das auf Standardkomponenten aufbaut. Dabei zeigt sich, dass einige Anforderungen nur durch zus?tzliche Sicherheitsmechanismen auf dem Client erfüllt werden k?nnen.     

Visuelle Analyse medizinischer Daten

In der Medizin werden gro?e Mengen an Daten generiert, die sich auf diagnostische Prozeduren, Behandlungsentscheidungen und Ergebnisse der Behandlung beziehen. Medizinische Bilddaten, z. B. Computertomografie (CT) und Kernspintomografiedaten (MRT), werden h?ufig akquiriert. Diese Daten müssen effizient analysiert werden, um klinische Entscheidungen ad?quat zu unterstützen. Insbesondere müssen Bildanalysetechniken, wie die Segmentierung und Quantifizierung anatomischer Strukturen und die visuelle Exploration der Daten, integriert werden. Neben den Anforderungen der individuellen Behandlung ergeben sich weitere Herausforderungen für die Datenauswertung aus den Bedürfnissen der klinischen Forschung, der ?ffentlichen Gesundheitsvorsorge und der Epidemiologie. Die Rolle des Benutzers ist hier die eines Forschers, der Daten untersucht und dabei z. B. potenzielle Korrelationen zwischen Risikofaktoren und der Entstehung von Erkrankungen analysiert. Die visuelle Exploration, bei der oft mehrere koordinierte Ansichten genutzt werden, und statistische Analysen müssen dazu geeignet integriert werden. Oft sind dabei die r?umliche (geografische) Verteilung der Patienten und die zeitliche Entwicklung von Erkrankungsf?llen wesentlich. Daher müssen die medizinischen Daten in ihrem r?umlichen und zeitlichen Bezug repr?sentiert werden, sodass eine enge Verbindung zwischen geografischen Informationssystemen und der Datenvisualisierung entsteht.     

ACD-Anlagen und Arbeitnehmerdatenschutz

In Call-Centern werden zur Arbeitssteuerung und Ressourcenverteilung Automatic Call Distribution (ACD)-Anlagen eingesetzt. Der Beitrag er?rtert die Zul?ssigkeit solcher Anlagen im Lichte des Arbeitnehmerdatenschutzes, begründet insbesondere das Mitbestimmungserfordernis des Betriebsrates, zeigt die Anforderungen auf, die an eine wirksame Betriebsvereinbarung zu stellen sind und stellt überlegungen zu individualvertraglichen Vereinbarungen in F?llen ohne Mitarbeitervertretung an.     

Eine verteilte Autorisierungsinfrastruktur unter Berücksichtigung von Datenschutzaspekten

Traditionelle Verfahren der Rechtezuweisung (Autorisierung) und Zugriffskontrolle sind nur eingeschr?nkt geeignet, die Anforderungen an das Management der Nutzerprivilegien und an die Durchsetzung einer Sicherheitsstrategie in skalierbaren und hoch flexiblen verteilten Systemen umzusetzen. Dafür besser geeignet sind Sicherheitsinfrastrukturen, genauer AAIs – authentication and authorization infrastructures – und PMIs – privilege management infrastructures – die in der Lage sind, umfassende Sicherheitsdienstleistungen in einer F?deration von Systemen aus unterschiedlichen Dom?nen anzubieten. Dieser Beitrag enth?lt die Darstellung einer datenschutzorientierten AAI im Umfeld von eGovernment, die attributbasierte Zugriffskontrolle, eine XACML-Sicherheitsarchitektur zur Umsetzung und eine besondere Berücksichtigung der Datenschutzaspekte bei der Weitergabe der Nutzerattribute beinhaltet.     

Softwarekartographie

Anwendungslandschaften in Unternehmen sind langlebige hoch-komplexe Strukturen bestehend aus hunderten bis tausenden von miteinander vernetzten betrieblichen Informationssystemen, die von Personen mit sehr unterschiedlichen Interessen und Erfahrungshintergrund konzipiert, erstellt, modifiziert, betrieben, genutzt und finanziert werden. Die Softwarekartographie zielt darauf ab, die Kommunikation zwischen diesen Personen durch zielgruppenspezifische verst?ndliche graphische Visualisierungen zu unterstützen, die Gesch?fts- und Informatik-Aspekte gleicherma?en berücksichtigen, und die speziell für langfristige und strategische Management-Betrachtungen geeignet sind. In diesem Beitrag fassen wir zun?chst die in der betrieblichen Praxis wohlbekannten Probleme beim Management von Anwendungslandschaften zusammen und diagnostizieren erhebliche Kommunikationsdefizite. Da Anwendungslandschaften als Systeme von Systemen mit Menschen als integrale Systembestandteile zu verstehen sind, werden Karten als attraktiver L?sungsansatz identifiziert und die wesentlichen Konzepte der Softwarekartographie anhand von Beispielen vorgestellt. Dabei werden Querbezüge zu anderen Fachgebieten der Informatik und Wirtschaftsinformatik hergestellt, und die bisherige Nutzung der Forschungsergebnisse in der Praxis gezeigt.