Menu Expand

Informationelle Selbstbestimmung in Netzwerken

Rechtsrahmen, Gefährdungslagen und Schutzkonzepte am Beispiel von Cloud Computing und Facebook

Maisch, Michael Marc

Internetrecht und Digitale Gesellschaft, Vol. 3

(2015)

Additional Information

Book Details

Pricing

About The Author

Michael Marc Maisch studierte in München und Passau. Nach Erwerb des ersten Staatsexamens war er als wissenschaftlicher Mitarbeiter und Doktorand am Lehrstuhl für Öffentliches Recht, Sicherheitsrecht und Internetrecht (Prof. Dr. Dirk Heckmann), Universität Passau, tätig. Als freier Mitarbeiter unterstützte er zudem das Deutsche Telekom Institute for Connected Cities, Zeppelin Universität, Friedrichshafen, und eine große deutsche Wirtschaftskanzlei in ihrem Fachbereich IT, IP und Medien. Er ist Vertragsautor u.a. bei der juris GmbH. Den juristischen Vorbereitungsdienst leistete Michael Marc Maisch im OLG-Bezirk München mit Stationen in München, Passau und Shanghai/China. Er wurde im Jahr 2014 promoviert.

Abstract

Moderne Datenverarbeitung in Zeiten von »Big Data« ist allgegenwärtig, global und netzwerkbasiert – aber auch sicher? Nach einer rechtlichen Grundlegung wird untersucht, welche Herausforderungen sich dem Schutz der informationellen Selbstbestimmung in Netzwerken stellen. Dazu wird die Datenverarbeitung im Cloud Computing und in Sozialen Netzwerken untersucht. Die Analyse ergibt, dass eine erhebliche Gefährdung des Datenschutzes durch technisch-organisatorische Risiken und rechtliche Schutzlücken existiert. Anhand der Befunde werden rechtswissenschaftliche Lösungsansätze und flankierende Maßnahmen zum Datenschutz durch Technik erörtert. Es wird festgestellt, dass der Kommissionsvorschlag zur EU-Datenschutzgrundverordnung nur teilweise zu einer Erhöhung des Schutzniveaus führen wird. Bei den technischen Schutzmaßnahmen werden u.a. die homomorphe Kryptographie und neue Ansätze für Datensicherheit in Sozialen Netzwerken skizziert. Empfehlungen zur Herstellung eines angemessenen Datenschutzniveaus, die sich an den Gesetzgeber und an Diensteanbieter richten, runden die Untersuchung ab.»Data Protection in Networks«

Mark Zuckerberg, the founder of Facebook, allegedly once said: »The age of privacy is over«. The author's response is that »the age of data protection has just begun« as he explores the challenges data protection faces in Europe and Germany as personal data is processed in the Cloud and in social networks. The conclusion is that risks remain relating to data protection as well as various legal loopholes. From the resulting risk analysis the following topics are discussed: jurisprudence recommendations for the European and German legislature, especially regarding the EU's Data Protection Directive; technical protections for Clouds for example by homomorphic encryption and suggestions for the improvement of Facebook's privacy settings.

Table of Contents

Section Title Page Action Price
Vorwort 7
Inhaltsübersicht 9
Inhaltsverzeichnis 11
Abkürzungsverzeichnis 21
A. Gang der Untersuchung 29
I. Einleitung 29
II. Untersuchung 32
B. Rechtsrahmen des Datenschutzrechts de lege lata 34
I. Internationaler Rechtsrahmen 34
1. Europäischer Rechtsrahmen 34
a) Vertrag über die Arbeitsweise der Europäischen Union 34
b) Richtlinien 35
aa) EU-Datenschutzrichtlinie 36
(1) Ziele 36
(2) Anwendungsbereich 36
(3) Zulässigkeit der Datenverarbeitung 38
(4) Information und Auskunft 41
(5) Vertraulichkeit und Sicherheit der Verarbeitung 42
(6) Datenübermittlung ins Ausland 43
(7) Safe Harbor: Datenübermittlung in die USA 44
(8) Umsetzung der Datenschutzrichtlinie 47
bb) Richtlinie zum Schutz der Privatsphäre in der elektronischen Kommunikation 47
(1) Ziel der Richtlinie 47
(2) Anwendungsbereich und Begriffsbestimmungen 48
(3) Cookie-Problematik der Änderungsrichtlinie 2009/136/EG 49
2. Exkurs: US-amerikanisches Recht 51
a) Begriff der „Privacy“ 51
b) Gesetzesentwurf zum Webtracking 53
c) Cloud Computing Act of 2012 55
3. Befund zum internationalen Rechtsrahmen 55
II. Nationaler Rechtsrahmen 56
1. Informationelles Selbstbestimmungsrecht 56
a) Dogmatik des Persönlichkeitsrechts 56
b) Genese der informationellen Selbstbestimmung 59
c) Schutzbereich und Dimensionen 60
d) Eingriff 63
e) Schranken 64
f) Schranken-Schranken 64
2. IT-Grundrecht 65
3. Telekommunikationsgeheimnis 67
4. Materiell-rechtlicher Datenschutz 68
a) Bundesdatenschutzgesetz 68
aa) Anwendungsbereich 68
bb) Systematik 69
(1) Personenbezogene Daten 69
(a) Einzelangaben 69
(b) Bestimmtheit und Bestimmbarkeit 71
(c) Exkurs: Aufwand der Beschaffung von Zusatzwissen aus Sozialen Netzwerken 73
(2) Anonymität und Pseudonymität 76
(3) Besondere Schutzwürdigkeit von Daten 79
(4) Zulässigkeit der Datenverarbeitung, § 4 BDSG 80
cc) Grundsätze der Datenverarbeitung 81
(1) Transparenz 81
(2) Zweckbindung 83
(3) Erforderlichkeit 83
(4) Kontrolle 83
(5) Betroffenenrechte 84
dd) Datensicherung 84
ee) Datenschutzbeauftragter und externe Aufsicht 87
b) Telemediengesetz 89
aa) Geltungsbereich 89
bb) Systematik 89
cc) Pflichten des Diensteanbieters 90
dd) Bestandsdaten 91
ee) Nutzungsdaten 92
5. Befund zum nationalen Rechtsrahmen 93
C. Gefährdungslagen der informationellen Selbstbestimmung 95
I. Untersuchungsschwerpunkte 95
II. Weltweite Datenverarbeitung 96
1. Einleitung 96
2. Definition des Cloud Computings 97
3. Evolution des Cloud Computings 99
4. Technische Grundlagen 101
a) Basistechnologie Virtualisierung 101
b) Service Modelle 103
c) Bereitstellungsmodelle 106
5. Risiken der technischen Vernetzung 107
a) Organisatorische Risiken 107
aa) Datenabhängigkeit (Vendor-Lock-in) 107
bb) Verlust der Steuerungsgewalt (Governance) 108
cc) Leistungsstörungen 109
dd) Transparenz 110
b) Technische Risiken 111
aa) Erschöpfung der IT-Ressourcen 111
bb) Verwundbarkeit der Cloud 111
(1) Angriffe auf virtuelle Maschinen 112
(2) Angriffe auf den Hypervisor 113
cc) Sonstige Risiken der technischen Vernetzung 116
c) Zwischenergebnis 117
6. Datenschutzrechtliche Fragen 119
a) Vorfragen einer Migration in die Cloud 119
aa) Anwendbarkeit des deutschen Rechts 119
bb) Rechtsgrundlagen und Risiken: Cloud Computing als Auftragsdatenverarbeitung 121
(1) Konzept der Auftragsdatenverarbeitung 121
(2) Abgrenzung von der Funktionsübertragung 122
(3) Einordnung des Cloud Computings 123
(4) Auftragsdatenverarbeitung in Drittstaaten 124
(5) Cloud-Service-Provider in sonstigen Drittstaaten 125
(6) Die Cloud als „Black Box“ 126
cc) Zwischenergebnis 127
b) Migration in die Cloud 127
aa) Sorgfältige Auswahl des Cloud-Service-Providers 127
(1) Grundzüge 127
(2) Sorgfältige Auswahl bzgl. USA PATRIOT Act 129
bb) Mindestanforderungen an die Auftragsdatenverarbeitung 130
(1) Schriftlicher Auftrag 130
(2) Gegenstand und Dauer des Auftrags 131
(3) Umfang, Art und Zweck des Auftrags 131
(4) Berichtigung, Löschung und Sperrung 132
(5) Regelung von Unterauftragsverhältnissen 132
(6) Kontrolle und Mitteilung von Verstößen 133
(7) Sonstige Regelungsanforderungen 133
cc) Datensicherheit durch technische und organisatorische Maßnahmen 133
(1) Erfordernis der Datensicherheit 133
(2) Datensicherheitsmaßnahmen im Kontext von Cloud Computing 134
(3) Weitergehende Datensicherheitsmaßnahmen in der Cloud 138
(4) Zwischenergebnis 140
dd) Datenzugriff durch US-amerikanische Behörden 141
(1) Geheimdienstliche Datenerhebung 141
(2) USA PATRIOT Act 143
(3) Foreign Intelligence Surveillance Act (FISA) 144
(4) National Security Letters 145
(5) Reichweite von US-amerikanischen Anordnungen 146
(a) Auslegung des USA PATRIOT Acts 146
(b) Datenzugriff über Konzernverbindungen 146
(c) „Bank of Nova Scotia“-Anordnungen 147
(6) Eigene Stellungnahme 148
c) Kontrolle in der Cloud 149
aa) Kontrollen in der Cloud 149
bb) Weisungen in der Cloud 149
cc) Datenlöschung und Rückgabe von Datenträgern 150
dd) Exit-Management 151
7. Befund zur weltweiten Datenverarbeitung 152
III. Sozialvernetzte Datenverarbeitung 154
1. Einleitung 154
2. Evolution der sozialen Vernetzung 155
3. Begriffe und technische Grundlagen 160
a) Begriffe und Definitionen 160
aa) Social Media und Social Web 160
bb) Soziale Netzwerke 161
b) Technische Grundlagen und Funktionen 162
aa) Systeminfrastruktur von Facebook 162
bb) Profil 162
cc) Soziale Beziehungen 163
dd) Information, Kommunikation und Interaktion 165
c) Erlösmodelle von Sozialen Netzwerken 166
4. Risiken der sozialen Vernetzung 167
a) Ansatz 167
b) Organisatorische Risiken 167
aa) Anreize zum sorglosen Umgang mit Daten (Plug-and-Play-Falle) 167
(1) Preisgabe von personenbezogenen Daten 168
(2) Rechtswidrige Äußerungen, „Shitstorms“ und Rechtsverletzungen 170
(3) Haftung für „Facebook Partys“ 171
(4) Fremde als Freunde 172
(5) Apps und Spiele 173
bb) Transparenz 174
cc) Datenabhängigkeit (Vendor-Lock-in) 174
c) Technische Risiken 175
aa) „Datendiebstahl“ 175
bb) Verwundbarkeiten von Sozialen Netzwerken 176
(1) Angriffe auf Authentifikationsverfahren am Beispiel von OpenID 176
(2) Angriffe durch Malware 178
5. Datenschutzrechtliche Fragen 179
a) Vorfragen zu Sozialen Netzwerken 179
aa) Anwendbarkeit des deutschen Rechts 179
(1) Dogmatik 179
(2) Anwendbares Recht bei Facebook 181
(3) Zwischenergebnis 183
bb) Rechtsgrundlagen und Risiken der Datenverarbeitung in Sozialen Netzwerken 184
(1) Datenschutzrelevante Handlungen 184
(2) Datenkategorien und Erlaubnistatbestände 185
(a) Registrierungsdaten 185
(b) Kommunikationsdaten 186
(c) Profil- und Interaktionsdaten 186
cc) Anonymität und Pseudonymität 188
(1) Auslegung des § 13 Abs. 6 TMG 188
(2) Anonyme Nutzungsverträge und Nutzungsmöglichkeit 190
(3) Pseudonyme Nutzungsverträge 191
(4) Pseudonyme Nutzungsmöglichkeit 192
dd) Minderjährige als Nutzer 194
ee) Rechtmäßiger Datenzugriff durch US-amerikanische Behörden 196
b) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken 197
aa) Selbstdarstellung und soziale Interaktion 197
(1) Begrenzte Selbstbestimmung bei Profilen 197
(2) Nutzer als Betroffene oder verantwortliche Stellen 201
(a) Nutzungshandlungen 201
(b) Eigene Stellungnahme 204
(3) Freundefinder 204
bb) Allgegenwärtige Datenverarbeitung in Sozialen Netzwerken 208
(1) Like-Button 208
(a) Technische Grundlagen 208
(b) Datenschutzrechtliche Einordnung 211
(c) Verantwortliche Stellen 212
(d) Zulässigkeit der Einbindung des Social Plugins 216
(e) Eigene Stellungnahme 219
(2) Intransparente Datenverarbeitung 219
(a) Ubiquitäre Erhebung und Verarbeitung 219
(b) Gesichtserkennung 221
(c) Apps von Dritten 226
(aa) Datenschutzrechtliche Einordnung von Apps 226
(bb) Zulässigkeit der Datenweitergabe an App-Diensteanbieter 229
(cc) Weitergabe von Daten der Freunde des Nutzers 234
(dd) Eigene Stellungnahme 236
(d) Auskunft 236
c) Rechtsfragen der sozialen Entnetzung 239
aa) Löschung von Daten 239
bb) Nutzerkonto im Gedenkzustand 241
6. Befund zur sozialvernetzten Datenverarbeitung 242
D. Schutz der informationellen Selbstbestimmung 246
I. Empfehlungen zur Rechtsgestaltung 246
1. Gang der Untersuchung 246
a) Datenschutz durch Recht und Technik 246
b) DS-GVO-E als Prüfungsgegenstand 248
c) Fortschritt des Gesetzgebungsverfahrens 249
2. Weltweite Datenverarbeitung 250
a) Regelung der Datenportabilität zum Schutz vor Vendor-Lock-in-Effekten 250
aa) Problem 250
bb) Zivilrechtliche Lösungsansätze 251
cc) Lösungsansatz des DS-GVO-E 253
dd) Hinweis zum LIBE-Entwurf 255
ee) Eigene Stellungnahme 255
b) Vorfragen des Cloud Computings 255
aa) Anwendbarkeit des Rechts 255
(1) Problem 255
(2) Lösung de lege ferenda 256
bb) Begrenzung des Personenbezugs von Daten 258
(1) Problem 258
(2) Lösungsansätze 258
(3) Lösung de lege ferenda 261
cc) Modernisierung der Auftragsdatenverarbeitung 263
(1) Problem 263
(2) Lösungsansätze 263
(3) Lösung de lege ferenda 263
(a) Systematik 263
(b) Pflichten des Verantwortlichen 264
(c) Prüfungs- und Kontrollpflichten des Verantwortlichen 264
(d) Datenschutz durch Technik 265
(e) Gemeinsame Verantwortung 266
(f) Auftragsdatenverarbeitung in dem DS-GVO-E 266
(g) Dokumentationspflicht 267
(h) Technische und organisatorische Maßnahmen 267
(i) Data Breach Notification 268
(j) Datenschutz-Folgenabschätzung 269
(k) Zertifizierung 270
(l) Haftung 271
(4) Eigene Stellungnahme 271
dd) Internationale Auftragsdatenverarbeitung 272
(1) Problem 272
(2) Lösung de lege ferenda 272
ee) Zugriffsbefugnisse ausländischer Behörden auf die Cloud 274
(1) Problem 274
(2) Lösungsansatz des Entwurfs der DS-GVO(2011) 275
(3) Zivilrechtliche Lösungsansätze 275
(4) Hinweis zum LIBE-Entwurf 276
c) Migration in die Cloud 276
aa) Novellierung der „sorgfältigen Auswahl“ 276
(1) Problem 276
(2) Lösungsansätze 277
(3) Lösung de lege ferenda 277
(4) Eigene Stellungnahme 277
bb) Mindestanforderungen des Outsourcings in die Cloud 278
(1) Problem 278
(2) Lösungsansätze 278
(3) Lösung de lege ferenda 279
(4) Eigene Stellungnahme 280
cc) Kontrollen durch vertrauenswürdige Stellen 281
(1) Problem 281
(2) Lösungsansätze 281
(3) Lösung de lege ferenda 282
(4) Eigene Stellungnahme 283
d) Migration aus der Cloud 284
aa) Exit-Management 284
bb) Löschung von Daten 284
(1) Problem 284
(2) Lösung de lege ferenda 284
(3) Eigene Stellungnahme 285
3. Sozialvernetzte Datenverarbeitung 286
a) Schutz vor organisatorischen und technischen Risiken (Plug-and-Play-Falle) 286
aa) Problem 286
bb) Lösungsansätze 286
cc) Lösung de lege ferenda 289
dd) Eigene Stellungnahme 291
b) Vorfragen der datenschutzrechtlichen Risiken 293
aa) Anwendbarkeit des deutschen Rechts 293
(1) Problem 293
(2) Lösung de lege ferenda 293
bb) Rechtsunsicherheit bei der Abgrenzung von Inhaltsdaten 293
cc) Klarstellung des § 13 Abs. 6 TMG zur anonymen oder pseudonymen Nutzung 294
dd) Schutz von minderjährigen Nutzern 294
(1) Problem 294
(2) Lösung de lege ferenda 295
(3) Eigene Stellungnahme 296
c) Zulässigkeit der Datenverarbeitung in Sozialen Netzwerken 298
aa) Konzept der Einwilligung 298
(1) Problem 298
(2) Lösungsansätze 298
(3) Lösung de lege ferenda 299
bb) Der Nutzer als verantwortliche Stelle 300
(1) Problem 300
(2) Lösungsansätze 300
(3) Lösung de lege ferenda 302
d) Entnetzung 302
aa) Daten- und Profilportabilität 302
(1) Problem 302
(2) Lösung des DS-GVO-E 303
(3) Hinweis zum LIBE-Entschluss 304
bb) Recht auf Vergessenwerden 304
(1) Problem 304
(2) Lösungsansätze 305
(3) Lösungsansatz der DS-GVO-E 307
(4) Hinweis zum LIBE-Entwurf 310
4. Befund zur Rechtsgestaltung 311
II. Empfehlungen zum Datenschutz durch Technikgestaltung 314
1. Weltweite Datenverarbeitung 314
a) Selbstbestimmung 314
b) Transparenz 316
c) Datenschutz durch Technik 317
aa) Sicherheitsarchitektur der Cloud 318
bb) Anonymität durch Verschlüsselung 320
(1) Verschlüsselungsverfahren 321
(2) Anonymisierung durch homomorphe Verschlüsselung 324
(3) Einsatzszenarien von homomorpher Verschlüsselung im Cloud Computing 326
(4) Eigene Stellungnahme 327
2. Sozialvernetzte Datenverarbeitung 328
a) Selbstbestimmung 328
b) Transparenz 329
c) Datenschutz durch Technik 331
aa) Sichere Authentifikation 331
bb) Schutz vor rechtswidriger Vervielfältigung von Bildern 332
cc) Schutz vor Identitätsdiebstahl 333
(1) Session-Management 333
(2) Sicherheitsfragen und Benachrichtigungen 334
(3) Notfallmanagement und Data Breach Notification 334
dd) Daten-Lifecycle 335
3. Befund zur Technikgestaltung 337
E. Zusammenfassung 339
I. Untersuchungsergebnisse 339
1. Kapitel „B. Rechtsrahmen des Datenschutzrechts de lege lata“ 339
2. Kapitel „C. Gefährdungslagen der informationellen Selbstbestimmung“ 339
3. Kapitel „D. Schutz der informationellen Selbstbestimmung“ 342
II. Schlussbemerkung 344
Literaturverzeichnis 345
Sachverzeichnis 375