Bøger i DuD-Fachbeitrage serien

zunehrnend zentrale Rolle zu. Verteiltes Vertrauen durch geteilte Geheimnisse und mehrseitig sichere Schliisselerzeugung tragen zur Problemlosung entscheidend bei.

Der Datenschutz ist nicht ausreichend auf die Herausforderungen moderner Informationstechnik mit Ubiquitous Computing, Big Data, künstlicher Intelligenz und lernenden Systemen eingestellt. Dies gilt auch für die Datenschutz-Grundverordnung. Die Beiträge des Sammelbandes untersuchen die Anforderungen des digitalen Wandels an Konzepte, Instrumente und Institutionen des Datenschutzes; sie erörtern Lösungen für bisher ungeregelte Datenschutzprobleme, entwerfen Konzepte für einen modernen Grundrechts- und Datenschutz und entwickeln Modelle für eine Evolution des Datenschutzes in der künftigen digitalen Welt.

Das Buch zeigt, wie das Vertrauen in E-Commerce durch realisierten Datenschutz gewonnen werden kann. Das Zauberwort heisst DASIT (DatenSchutz-In-Telediensten). Dahinter verbirgt sich eine konkrete Lösung, die praktisch erprobt, wirtschaftlich zumutbar und technisch umsetzbar ist. Der Vorteil: Mehr Akzeptanz bei den Kunden, mehr Kunden, mehr potenziell zufriedene Kunden.

Mit dem Beginn des neuen Jahrtausends werden die Themen um die Verläßlichkeit komplexer, vernetzter Systeme so virulent wie nie zuvor. Es sind Konzepte und Lösungswege gefragt, die sich in einer global vernetzten IT-Umgebung bewähren und gleichzeitig offen sind für Erweiterungen, mit denen neuen Herausforderungen an die IT-Sicherheit gegegnet werden kann. Im einzelnen geht es insbesondere um die folgenden sicherheitskritischen Themenbereiche: Elektronischer Handel, Virtualisierung des Geldes, rechtlich wirksame Geschäftsabläufe, Digitale Signaturen. Es geht ferner um Fragen des Copyrights im Zeitalter elektronisch verfügbarer Dokumente, neue Techniken bei der Nutzung des Internets zur Realisierung sicherer Kommunikation, schliesslich um die Vernetzung in extrem sicherheitssensitiven Bereichen wie z.B. bei der medizinischen Versorgung.Das Buch ist Ergebnis und Arbeitsgrundlage der GI-Tagung "VIS¿99 - Verläßliche IT-Systeme", die vom 22-24. September 1999 in Essen stattgefunden hat.

Das vorliegende Buch ist aus einem Gutachten für das Bundes­ ministerium für Wirtschaft und Technologie zu einem Konzept und einem Entwurf eines Gesetzes für ein allgemeines Daten­ schutzaudit hervorgegangen. Aufgabe des Rechtsgutachtens war es, aus verschiedenen alternativen Vorstellungen die Zielsetzung eines Datenschutzaudits zu entwickeln, zu prüfen, welche As­ pekte eines solchen Datenschutzaudits einer gesetzlichen Rah­ menregelung bedürfen, für diese eine Gesetzgebungskonzeption für ein Datenschutzaudit zu entwerfen und daraus einen ersten Entwurf eines Gesetzes für ein Datenschutzaudit zu erstellen. Das Gutachten und der Gesetzentwurf sind im Juni 1999 abge­ geben worden. Ursprünglich war der Auftrag auf ein Daten­ schutzaudit für Teledienste beschränkt. Kurz vor Fertigstellung des Gutachtens war in den regierungsinternen Entwurf der No­ velle zum Bundesdatenschutzgesetz eine Programmnorm für ein allgemeines Datenschutzaudit aufgenommen worden. Daraufhin war der Auftrag auf die Erarbeitung eines allgemeinen Daten­ schutzauditgesetzes erweitert worden. Der ursprüngliche Zu­ schnitt des Auftrags macht sich in dem vorliegenden Text inso­ weit noch bemerkbar, als Teledienste immer wieder beispielhaft als Anwendungsfeld für das Datenschutzaudit herangezogen werden.

Informationstechnische Systeme sind heute aus dem Leben nicht mehr wegzudenken. In relativ kurzer Zeit und in unterschiedlichsten Lebensbereichen hat der Gebrauch von IT-Systemen zu Abhängigkeiten zwischen diesen Systemen und dem erwarteten Funktionieren der automatisierten Prozesse geführt. Diese Wechselwirkungen sind verschieden groß, abhängig von den Eigenschaften des betreffenden IT-Systems, der Umgebung des IT-Systems sowie der Art und Intensität seines Gebrauchs. Ein Bewertungsmaßstab, den insbesondere Benutzer und Betreiber eines IT­ Systems an die erwartungsgemäße Unterstützung der automatisierten Prozesse anlegen, wird durch den Begriff Verläßlichkeit charakterisiert. Verläßlichkeit umfaßt ein Bündel von Systemeigenschaften, die über die klassischen Sicherheitsanforderungen der Verfügbarkeit, Integrität und Vertraulichkeit hinausgehen. Hinzu treten mindestens noch Forderungen bezüglich der Durchschaubarkeit der Wirkungen einer Benutzer-Aktion und umgekehrt der Rückverfolgbarkeit einer Wirkung zu den auslösenden Aktionen und Personen. Ein umfassendes Kriterium ist die Verantwortbarkeit der Nutzung eines IT­ Systems unter verschiedenen Aspekten wie z.B. der Wahrung von Persönlichkeitsrechten, sicherheitstechnischer Anforderungen oder der Realisierung von Unternehrnenszielen. Verläßlichkeitskriterien sind ein Schlüssel für das Vertrauen, das Benutzer und Betreiber in technische Systeme setzen. Sie sind damit zu Akzeptanzkriterien für technische Systeme geworden. Verläßlichkeitskriterien sowie Methoden und Techniken zur Durchsetzung von Verläßlichkeit sind bisher meist im eingeschränkten Kontext der Systemsicherheit diskutiert worden. Verläßlichkeit verlangt aber nicht nur Schutz vor unberechtigten Zugriffen auf Daten oderFunktionen, sondern z.B. auch die (mathematisch) beweisbare oder die (technisch) garantierbare Funktionalität eines Systems.

Die Aufgabe, die sich TeleTrusT gestellt hat, ist also zum Teil technischer Art; zum anderen - nicht weniger wesentlichen Teil - bietet sie eine juristische bzw. gesellschaftliche Problematik. Die technische Entwicklung soll nicht an der Welt des Rechts vorbeilaufen und dann, wenn sie in Gebrauch genommen wird, Probleme aufwerfen, die die Rechtsausübung erschweren. Vielmehr soll die Technik den rechtlichen Erfordernissen möglichst angepaßt werden. Aus diesem Grunde muß insbesondere die persönliche eigenhändige Unterschrift zum Vorbild für eine nicht weniger persönliche aber dem elektronischen Medium gemäße Unterschrift dienen. Die bekannten technischen Mechanismen sowie die systemarchitektonischen Vorkehrungen müssen deshalb auch in die Welt des Rechts hineingetragen und unter Juristen diskutiert werden; es müssen Wege gefunden werden, wie ihr Gebrauch in die unterschiedlichen nationalen Rechtssysteme eingebettet werden kann; an dieser Notwendigkeit führt kein Weg vorbei. Solche gesellschaftlichen und rechtlichen Forderungen an technische Systeme werden häufig zu spät gestellt. Das Recht muß dann in das Prokrustesbett einer an ihm vorbeientwickel­ ten Technik gelegt werden. Das soll durch die von TeleTrusT angestrebte Zusammenarbeit von Technikern und Juristen vermieden werden. Es fehlt aber noch eine tragfähige Verstän­ digungsbasis. Die von den beiden Autoren -beides Juriste- geleistete Arbeit soll dafür Grund . legen. Insbesondere soll sie Interesse anregen und zu einer fruchtbaren Diskussion führen. Das ist der Zweck, den TeleTrusT mit dieser Veröffentlichung verfolgt.

Ohne Datenschutz kein E-Commerce! Das Internet wird von vielen als Bedrohung der Privatsphäre gesehen. Wenn Nutzer selbst für den Schutz ihrer Daten sorgen, bietet das Internet hervorragende Entwicklungschancen für E-Commerce und Verwaltungsmodernisierung. Das Buch wendet sich an alle, die mit dem Internet zu tun haben und verantwortlich mit der Frage persönlicher Daten umgehen wollen. Es wurde geschrieben von ausgewiesenen Fachleuten Ihres Gebietes und stellt den State-of-the-Art zum Thema E-Privacy dar.

und ferner daran, daß man VI in einem System wie Btx auch noch mit anderen öffentlichen Einrichtungen (Kaufhäuser, Verwaltung, etc. ) kommunizieren kann, so ist klar, welche enorme Anzahl von Schlüsseln verteilt und verwaltet werden muß.

Das Telekommunikationsrecht der Europäischen Union wird analysiert und mit den nationalen Regelungen zu Regulierung, Fernmeldegeheimnis und Datenschutz in den Mitgliedstaaten, den USA und Japan verglichen. Es wird gezeigt, daß Europa ein modernes Grundrechtsverständnis des Telekommunikationsgeheimnisses im Rahmen einer europäischen Verfassung entwickeln muß. Die Analyse des deutschen Telekommunikationsdatenschutzrechts zeigt, daß die gegenwärtigen Regelungen noch nicht den verfassungsrechtlichen Anforderungen sowie den erkennbaren Anforderungen des EG-Rechts entsprechen.

Terminologie des Gegenstandes waren dem Bestreben ~eh Homogenisierung der Darstellung jedoch Grenzen gesetzt.

erkannt wird.

unter dem Abschnitt der PrUfung der Zustandigkeit kraft Sachzusammenhangs konzentriert.

Das Programm der sechsten Fachtagung der Fachgruppe "Verlässliche IT-Systeme" der Ge­ sellschaft für Informatik steht für einen - schleichenden - Paradigmenwechsel in der IT­ Sicherheit: Nicht grundsätzlich neue Lösungen, Verfahren, Protokolle oder Ansätze prägen das Bild, sondern die Komplexität heutiger IT-Systeme wird zunehmend zur Herausforderung für die IT-Sicherheit. So sind die Sicherheit von Betriebssystemen und Protokollen sowie der Entwurf sicherer Sy­ steme natürlich keine grundsätzlich neuen Fragestellungen - sie waren auch schon Thema der ersten VIS-Tagung vor zehn Jahren. Angesichts von Standardbetriebssystemen mit einem Umfang von mehreren hundert Megabyte, Protokollen wie dem Domain Name System (DNS) oder Sicherheitsinfrastrukturen (wie PKis) mit Millionen Nutzern stellen sich die "alten Fra­ gen" heute jedoch in einer gänzlich neuen Dimension. Zwar ist das Thema IT-Sicherheit spätestens seit den öffentlich viel beachteten Börsengängen von Produkt- und Lösungsanbietern in aller Munde. Tatsächlich aber sind wirtrotz gestiege­ ner Sensibilität, erheblichen Investitionen und unzweifelhaften Fortschritten in Forschung und Entwicklung heute dem Ziel sicherer IT-Infrastrukturen nicht viel näher als 1991 -dem Jahr der ersten VIS-Konferenz. Das liegt nicht nur an der Komplexität der IT-Systeme selbst. Auch die Fragestellungen der IT-Sicherheit sind komplexer geworden. So ist neben die Perspektive der Systembelreiber die der Nutzer und Bürger getreten: Mehrseitige Sicherheit lässt sich nicht auf die klassischen Si­ cherheitsziele-Vertraulichkeit, Integrität, Authentizität und Verfügbarkeil-reduzieren; da­ neben sind Ziele wie beispielsweise Anonymität, Transparenz und Nutzerselbstbestimmung zu berücksichtigen.

Biometrische Erkennung statt PINs und Passwort als einfache und sichere Alternative? Mit dem vorliegenden Buch werden erstmals im deutschsprachigen Raum Grundlagen, Verfahren und Perspektiven biometrischer Identifikation zusammenhängend dargelegt. Die Beiträge von Ingenieuren, Juristen, Mathematikern, Medizinern, Philosophen und Sozialwissenschaftlern zeigen die Vielschichtigkeit der Thematik, sinnvolle Einsatzmöglichkeiten und Business-Perspektiven einer faszinierenden Technologie.

Originally presented as the author's thesis (doctoral)--Univ. Bochum, 2005.

Roland Steidle untersucht, wie Assistenzsysteme in einem verteilten System datenschutzkonform gestaltet werden können. Er leitet technische Gestaltungs- und rechtliche Regelungsvorschläge aus gesetzlichen Vorgaben ab und bietet neben allgemeingültigen Gestaltungsvorschlägen insbesondere auch solche, die sich aus dem Anwendungsbereich im betrieblichen Umfeld ergeben.

Constantin von Stechow untersucht, wie der Einsatz von Privacy Enhancing Technologies rechtlich und in der täglichen Umsetzung gefördert werden kann, um auch in Zukunft trotz der Veränderungen der Informations- und Kommunikationstechnologie einen bleibenden Ausgleich zwischen den öffentlichen und den privaten Interessen auf Informationsbeschaffung und dem Persönlichkeitsrecht des Einzelnen gewährleisten zu können.

Alexander Genz untersucht, welche Mindeststandards für den Transfer personenbezogener Daten aus der EU in Drittstaaten einzuhalten sind. Das Datenschutzrecht der USA wird ausführlich und differenziert dargestellt und die so genannte "Safe-Harbor-Lösung" zur Überbrückung der Defizite im US-amerikanischen Datenschutz wird analysiert und bewertet.

Nuriye Yildirim untersucht die durch das eGovernment bedingten Gefährdungen für die informationelle Selbstbestimmung und zeigt Lösungsmöglichkeiten auf der Grundlage einer verfassungsverträglichen Technikgestaltung auf. Des Weiteren nimmt sie eine datenschutzrechtliche Bewertung ausgewählter Probleme im eGovernment vor, so u.a. die Einordnung von Intermediären im eGovernment.

Christian Meyn untersucht, wie sich das Bedürfnis nach Sicherheit vor Kriminalität und Terrorismus mit der verlässlichen Nutzung offener Netze vereinbaren lässt. Er zeigt, dass ein Verschlüsselungsverbot bei der Kommunikation im Internet nicht mit dem Grundgesetz zu vereinbaren ist.

Fernwirk- und FernmeBdienste, wie TEMEX, finden nicht nur industrielle Anwendungen, sondern wer­ den auch in groBem Umfang in norma 1 en Haushalten Eingang finden. Aufgabe des Datenschutzes ist es, den dami t verbundenen Gefahren fUr das Pers5n­ lichkeitsrecht entgegenzuwirken. Dieses Buch will einerseits die Risiken von TEMEX anschaulich machen, andererseits aber auch tech­ nische und rechtliche M5glichkeiten aufweisen, wie diesen Risiken begegnet werden kann. Technik braucht aktive Gestaltung durch Recht und Poli­ tik, urn akzeptiert zu werden. FUr eine solche Ge­ staltung, die dem Anliegen des Datenschutzes Rechnung tragt, besteht ein weiter Spielraum. Zentrales Anliegen ist daher, diesen Spielraum an Gestaltungsm6glichkeiten, der vielfach nicht aus­ reichend gesehen wird, zu verdeutlichen. Die vor­ gestellten Modelle sind dabei lediglich als Bei­ spiele zu betrachten. Es geht dabei weniger urn die Prasentation fertiger L5sungen als vielmehr darum, einen Einstieg in die notwendige Diskus­ sion Uber die zukUnftige Entwicklung von Fern­ wirk- und FernmeBdiensten zu erm6glichen.