Kunden- und Mitarbeiterdaten im weltweiten Fluss

Zusammenfassung  Globalisierungsbedingt ist es für internationale Unternehmen unerl?sslich, personenbezogene Daten von Kunden und Mitarbeitern ins EU-Ausland zu übermitteln. Es stellt sich daher die Fragen, ob und unter welchen Voraussetzungen eine solche übermittlung nach dem Bundes-datenschutzgesetz (BDSG) zul?ssig ist. Zur Autorin: Silke Martin ist Rechtsanw?ltin in der auf IT-Themen spezialisierten Kanzlei PRW Rechtsanw?lte in München, ihre Fachthemen sind Datenschutz und Arbeitsrecht im IT-Umfeld.     

Sicherung der Netzneutralität

Die Geschichte des Internets ist eine Erfolgsgeschichte. Dieser Erfolg beruht u.a. auf einer neutralen Datenübermittlung, die dadurch gekennzeichnet ist, dass Netzbetreiber Datenpakete von und an ihre Kunden unver?ndert und gleichberechtigt übertragen, unabh?ngig davon, woher diese stammen und welche Anwendungen die Pakete generiert haben. In jüngster Zeit werden Forderungen nach Verkehrsregelungen im Internet lauter. Begründet wird diese Initiative mit einer drohenden Netzüberlastung, die durch die wachsende Popularit?t von Videoangeboten wie YouTube oder Streaming-Angeboten wie Hulu entsteht. Kritiker befürchten, dass durch den Einsatz neuer Netzwerkmanagementtechniken die Innovationsoffenheit und die freie Kommunikation im Internet gef?hrdet werden. Der Beitrag analysiert die M?glichkeiten und Grenzen der Gew?hrleistung von Netzneutralit?t durch das deutsche Telekommunikations- und Medienrecht.     

Die Subsidiarität der Einwilligung im Arbeitsverhältnis

Zusammenfassung  Die übermittlung von Besch?ftigtendaten innerhalb eines internationalen Konzerns wirft in der Regel eine Reihe von Datenschutzbedenken auf. Der Beitrag setzt sich vor dem Hintergrund der Stellungnahmen der Art. 29 Gruppe kritisch-konstruktiv mit der Frage der Reichweite der Einwilligung des betroffenen Mitarbeiters auseinander: Im Mittelpunkt steht die These, dass eine Einwilligung im Arbeitsverh?ltnis gegenüber den gesetzlichen Befugnisnormen nachgelagert ist. Rechtsanwalt Dr. Michael Schmidl Ma?tre en Droit, LL.M. Eur. Kanzlei Baker & McKenzie, Fachanwalt für IT-Recht Lehrbeauftragter für IT-Recht an der Universit?t Augsburg.     

Perspektiven der IT-Sicherheits-Zertifizierung für Europas Märkte

Die Europäische Kommission hat im September 2017 ihren Vorschlag für einen ?Rechtsakt zur Cybersicherheit“ im Rahmen des ?Cybersecurity Package“ veröffentlicht. In diesem wird ein permanentes ENISA-Mandat sowie ein europäischer Zertifizierungsrahmen für Cybersicherheit beschrieben. Es verbindet die etablierte Zertifizierung für ITSicherheit mit dem New Legislative Framework. Auch wenn derzeit noch offen ist, wie sich Europa in den weltweiten Rahmen der Zertifikatsanerkennung einbringt, so ist abzusehen, dass die Informationssicherheit Europas sowie Märkte für Hersteller und Anbieter durch klare Anforderungen an Produkte bzw. Dienstleistungen und deren Prüfung in harmonisierten Märkten profitieren werden. Maßgeblich hierfür sind jedoch konkrete Implementierungsgrundsätze, wie sie in diesem Artikel beschrieben werden.     

Zertifizierte Cloud durch das EuroCloud Star Audit SaaS

Es gibt wenige IT-Themen, die so kontrovers diskutiert werden wie Cloud Computing. Auf der einen Seite werden signifikante Einsparungen und eine flexible Nutzung von IT-Diensten prognostiziert, auf der anderen Seite sind die Bedenken zu Sicherheit, Datenschutz und der Ausgestaltung rechtlicher Anforderungen sehr ernst zu nehmen. Gerade für mittelst?ndische Unternehmen ist Cloud Computing eine h?chst attraktive M?glichkeit, ihre Wettbewerbsf?higkeit durch Einbinden von externen Serviceangeboten aufrecht zu erhalten und auszubauen. Jedoch verfügen diese Unternehmen oftmals nicht über ausreichende M?glichkeiten einer individuellen Prüfung potenzieller rechtlicher und technischer Problembereiche. Vor diesem Hintergrund bieten Zertifizierungen über das gesamte Spektrum der zu prüfenden Bereiche eine erhebliche Erleichterung bei der Auswahl von Anbietern. Hierzu hat EuroCloud Deutschland mit einer Vielzahl von Partnern das EuroCloud Star Audit System als Gütesiegel für die Cloud entwickelt.     

Datenschutzrechtliche Anforderungen an innereuropäische Personaldatenübermittlungen in Matrixorganisationen

Zusammenfassung  Für die innereurop?ische übermittlung von Personaldaten zwischen Konzerngesellschaften hat der Düsseldorfer Kreis strenge Vorgaben entwickelt. Dieser Beitrag zeigt, wie diese Vorgaben mit einem Datenschutzvertrag erfüllt werden k?nnen. Dr. Michael Schmidl, Ma?tre en Droit, LL.M. Eur., Partner bei Baker & McKenzie Partnerschaft von Rechtsanw?lten, Solicitors und Steuerberatern und dort Mitglied der IT Practice Group. Dr. Schmidl ist Fachanwalt und Lehrbeauftragter für IT-Recht an der Universit?t Augsburg.     

Zertifizierungskriterien für das Datenschutzgütesiegel EuroPriSe

Qualitativ hochwertige Zertifizierungskriterien sind eine fundamentale Voraussetzung für den Erfolg und die Reputation eines Gütesiegels. Dies gilt auch und gerade für das zurzeit im Rahmen des Projekts EuroPriSe (European Privacy Seal) konzipierte und erprobte europ?ische Datenschutzgütesiegel. Der Beitrag beschreibt, wie bei der Entwicklung der EuroPriSe-Kriterien vorgegangen worden ist, und stellt die einschl?gigen Zertifizierungskriterien in einem überblick vor.     

Ganzheitlicher Datenschutz geht jeden an

Der Datenschutz ist für deutsche Internetnutzer ein ambivalentes Thema. Einerseits halten sie ihn für sehr wichtig. Andererseits sind sie immer h?ufiger bereit, pers?nliche Daten im Netz preiszugeben. Neuartige Internet-Anwendungen wie Cloud Computing, Web 2.0 und Software plus Services bei gleichzeitig zunehmender Kontrolle durch Aufsichtsbeh?rden und strengere Compliance-Vorschriften stellen auch die Unternehmen vor immer neue Herausforderungen. Ein einziger technischer Ansatz kann den Schutz pers?nlicher und gesch?ftlicher Daten heute nicht mehr gew?hrleisten. Dieser Artikel soll ganzheitliche L?sungen und neue Denkans?tze aufzeigen.     

Der reale Wert einer IP-Adresse

Die Hauptargumentation seitens der Regierung und der Strafverfolgungsbeh?rden für die Vorratsdatenspeicherung ist der Kampf gegen den internationalen Terrorismus und die Schwerstkriminalit?t. Ich zeige am Beispiel von IP-Adressen im Umfeld von Kabel Netzwerken, wie einfach man eine fremde Identit?t annimmt oder anonym agieren kann, weshalb der Nutzen einer IP-Adresse für Strafverfolgungsbeh?rden gering ist.     

Cloud-Entwicklungsmethoden überblick, Bewertung und Herausforderungen

Gegenw?rtig wird das Cloud-Computing für die dienstbasierte Nutzung skalierbarer Computerressourcen, wie z. B. Speicher, Rechenleistung oder Anwendungen, h?ufig diskutiert. Der Anbieter ist verantwortlich für die zuverl?ssige Bereitstellung, w?hrend der Konsument die Dienste nach Bedarf nutzt und vergütet. Für die Entwicklung von Cloud-Anwendungen stellen die Anbieter oft eigene Entwicklungsumgebungen bereit, die dazu tendieren, den Kunden früh im Entwicklungsprozess an sich zu binden. Dieser Beitrag untersucht die Entwicklungsmethoden bestehender Cloud-Angebote für gesch?ftsorientierte Webanwendungen und bewertet sie anhand der Anforderungen eines modernen Entwicklungsprozesses.     

Standards für Trusted Clouds

Die aktuellen Entwicklungen von Cloud Services werden haupts?chlich von gro?en Unternehmen vorangetrieben, dies ist aus unterschiedlichen Gründen für das Vertrauen in die Cloud Computing nicht nur f?rderlich. Ein wichtiges Werkzeug für die Vertrauenswürdigkeit sind Standards. Doch in welchen Bereichen sind welche (neuen) Standards erforderlich? Der Artikel gibt einen ersten überblick.     

Widersprüchliche Ziele bei Daten- und Verbraucherschutz?

Der Datenschutz ist ein immer wieder neu diskutiertes Thema. Sein grundlegendes Ziel ist, dass der Bürger selbst über seine personenbezogenen Daten bestimmen kann. Für Unternehmen, die zur Unterstützung des Kundenkontakts Informationssysteme einsetzen, besteht daher bereits die Herausforderung, von ihren Kunden die Einwilligung zur automatisierten Verarbeitung deren personenbezogener Daten einzuholen. Der Artikel stellt dar, wie neue Vorschriften im Bereich des Verbraucherschutzes bei Finanzdienstleistungen (Vermittlerrichtlinie und MiFID (engl. Markets in Financial Instruments Directive)) nun sogar vorschreiben, dass bestimmte personenbezogene Daten des Kunden zu dokumentieren sind. Es wird erl?utert, weshalb hierdurch Kunde und Finanzberater in ein Dilemma geraten und welche Herausforderungen sich für Finanzdienstleister bzgl. des Umgangs mit Kundendaten aufgrund dieser Vorgaben ergeben. Zudem werden resultierende Fragestellungen für die Informatik diskutiert.     

Widersprüchliche Ziele bei Daten- und Verbraucherschutz?

Zusammenfassung Der Datenschutz ist ein immer wieder neu diskutiertes Thema. Sein grundlegendes Ziel ist, dass der Bürger selbst über seine personenbezogenen Daten bestimmen kann. Für Unternehmen, die zur Unterstützung des Kundenkontakts Informationssysteme einsetzen, besteht daher bereits die Herausforderung, von ihren Kunden die Einwilligung zur automatisierten Verarbeitung deren personenbezogener Daten einzuholen. Der Artikel stellt dar, wie neue Vorschriften im Bereich des Verbraucherschutzes bei Finanzdienstleistungen (Vermittlerrichtlinie und MiFID (engl. Markets in Financial Instruments Directive)) nun sogar vorschreiben, dass bestimmte personenbezogene Daten des Kunden zu dokumentieren sind. Es wird erl?utert, weshalb hierdurch Kunde und Finanzberater in ein Dilemma geraten und welche Herausforderungen sich für Finanzdienstleister bzgl. des Umgangs mit Kundendaten aufgrund dieser Vorgaben ergeben. Zudem werden resultierende Fragestellungen für die Informatik diskutiert.     

Sichere Verknüpfung von Mashup Widgets durch Identity Based Encryption

Mashups erm?glichen Nutzern die einfache Verknüpfung von Dienst- und Informationsressourcen aus verschiedenen Quellen im Web. Diese Kombination von Ressourcen bietet sowohl für Anbieter wie Nutzer einen Mehrwert, führt jedoch gleichzeitig zu neuen oder erh?hten Sicherheitsproblemen. Dies ist besonders kritisch, wenn man die Anwendung von Mashups im Unternehmen betrachtet. In diesem Beitrag adressieren wir Sicherheitsherausforderungen serverseitiger Mashup-Platformen. Wir pr?sentieren eine benutzerfreundliche L?sung, die bestehende Sicherheitsprobleme im Kontext von Mashup-Plattformen minimiert.     

Sicherheitsmechanismen für kontaktlose Chips im deutschen elektronischen Personalausweis

Zusammenfassung  Dieser Artikel gibt einen überblick über die Ziele und die Funktion der Sicherheitsmechanismen, wie sie voraussichtlich im deutschen elektronischen Personalausweis zur Anwendung kommen. Dr. Jens Bender Referent im Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Dennis Kügler Referent im Bundesamt für Sicherheit in der Informationstechnik (BSI) Dr. Marian Margraf Referent im Bundesministerium des Innern (BMI) Dr. Ingo Naumann Referent im Bundesamt für Sicherheit in der Informationstechnik (BSI), derzeit nationaler Experte bei der European Network and Information Security Agency (ENISA)     

Tischfußball: Mensch versus Computer

Zusammenfassung  Tischfu?ball ist wesentlich einfacher als richtiger Fu?ball. Als Dom?ne für Roboter hat man aber die gleichen Herausforderungen wie in anderen Dom?nen. Sensoren geben verrauschte Werte, Aktionen müssen unter Zeitdruck ausgew?hlt werden und ihre Ausführung ist im Allgemeinen nicht perfekt. KiRo und StarKick sind zwei Systeme, die gebaut wurden, um Tischfu?ball gegen Menschen zu spielen. Sie sind die ersten Systeme, die existierende, physikalische Spiele gegen Menschen spielen k?nnen und dabei auf einem vergleichsweise hohen Niveau spielen. Daneben eignen sie sich dazu, verschiedene KI-Methoden im Kontext zu evaluieren, z.B. Aktionsselektionsmethoden, wie im Papier gezeigt wird.     

Wissen ist Macht?

Mit ihrer Entscheidung vom 11. M?rz 2008 hat die Europ?ische Kommission die übernahme des Online-Werbetechnologie-Anbieters DoubleClick durch den Internet-Suchdienst Google genehmigt. Die Kommission hat sich damit der Entscheidung der amerikanischen Federal Trade Commission (FTC) angeschlossen. Eine Entt?uschung ist dies insbesondere für all diejenigen, die gehofft haben, im Rahmen des europ?ischen Kartellrechts k?nnten — anders als im Rahmen des amerikanischen Antitrust Law — auch datenschutzrechtliche Aspekte eine Rolle spielen. Die Europ?ische Kommission hat es jedoch, wie zuvor schon die FTC, bei einem allgemeinen Bekenntnis zur Wichtigkeit des Datenschutzes belassen; eine kartellrechtliche Relevanz wurde dem Datenschutz hingegen nicht zuerkannt. Der Schutz funktionierenden Wettbewerbs und der Schutz informationeller Selbstbestimmung haben für Kommission und FTC nichts miteinander zu tun. überzeugen kann dies in dieser Allgemeinheit nicht.     

Vertrauenswürdige Videoüberwachung

Im Stra?enverkehr, im Einkaufszentrum, in der U-Bahn: Videoüberwachung ist ein fester Bestandteil unseres Alltags. W?hrend für Kamerabetreiber Sicherheitsaspekte wie die Integrit?t und Authentizit?t von Videodaten im Vordergrund stehen, sorgen sich viele Bürger um den Schutz ihrer Privatsph?re. Das TrustCAM-Projekt untersucht, wie intelligente Kamerasysteme diese unterschiedlichen Bedürfnisse unter Verwendung von Trusted Computing erfüllen k?nnen.     

Use Cases vs. Geschäftsprozesse Das Requirements Engineering als Gewinner klarer Abgrenzung

Zusammenfassung Use Case Modelle Zunehmend gewinnen Use Case-Modelle in Erg?nzung zu Gesch?ftsprozessmodellen Bedeutung für die Softwareentwicklung und das Business Process (Re-)Engineering. Diese pragmatische Vorgehensweise, die Vorzüge der Use Case-Technik mit der Methode der Gesch?ftsprozessanalyse zu kombinieren, führt jedoch seit l?ngerem zu erheblicher Konfusion in Literatur und industrieller Praxis: Beide Konzepte sind nur ungenügend voneinander abgegrenzt und werden als überlappend und teilweise sogar als identisch erkl?rt. Wir zeigen jedoch die klare konzeptuelle Verschiedenheit, indem wir auf Basis der Systemtheorie beiden Konzepte einen eindeutigen Platz sowohl im Bezugsrahmen ,,Organisation“ wie auch im Bezugsrahmen ,,Software“ zuweisen, was darüber hinaus dazu geeignet ist, den Aussagewert des (auch nicht UML-basierten) Requirements und Business (Re-)Engineering erheblich anzureichern. Dadurch wird klar, wie beide Konzepte isoliert und kombiniert sowohl im Business (Re-)Engineering als auch im SW/HW Requirements Engineering zu verwenden sind.     

Anpassung des Sozialdatenschutzes

Der Bundesgesetzgeber hat in einer ersten Runde das allgemeine Sozialdatenschutzrecht im Juli 2017 an die Datenschutz-Grundverordnung angepasst. Die Anpassung des spezifischen Sozialdatenschutzrechts steht bevor. Der Beitrag untersucht, welcher Anpassungsbedarf besteht, welche Anpassungen bereits erfolgt sind, welche Kritik an diesen Anpassungen berechtigt ist, welche Spielräume der Gesetzgeber hat und wie er diese für die künftigen Anpassungen des spezifischen Sozialdatenschutzrechts nutzen kann.