Stefan Hessel

The digitalization of the automotive industry presents companies with legal challenges. These are typically to be found in the areas of cybersecurity and data protection. In addition, against the background of data-driven business models, the economic exploitation of data and the associated legal regulations on access to and use of data are becoming increasingly important. The article presents the central legal requirements of the above-mentioned areas, which can arise both from laws and from… Mehr anzeigen

The digitalization of the automotive industry presents companies with legal challenges. These are typically to be found in the areas of cybersecurity and data protection. In addition, against the background of data-driven business models, the economic exploitation of data and the associated legal regulations on access to and use of data are becoming increasingly important. The article presents the central legal requirements of the above-mentioned areas, which can arise both from laws and from contract law, and their future development. In addition to the content-related requirements, the focus is also on the question of who the addressee of the individual requirements is and in which constellations they must be taken into account. Following on from this, the practical challenges in implementing the legal requirements by companies are presented and a compliance management system for the strategic implementation of legal requirements in the context of digitalization is proposed. Weniger anzeigen

Cyberangriffe treffen nicht nur Großkonzerne. Auch mittelständische und familiengeführte Unternehmen geraten immer häufiger ins Visier von Cyberkriminellen. Unternehmen sollten jedoch nicht nur aus Eigeninteresse Maßnahmen zur Risikominimierung ergreifen. Durch Rechtsakte wie die NIS-2-Richtlinie wird Cybersicherheit für viele Mittelständler und Familienunternehmen zu einer harten regulatorischen Anforderung bei deren Nichteinhaltung erhebliche Sanktionen für Unternehmen und Management drohen… Mehr anzeigen

Cyberangriffe treffen nicht nur Großkonzerne. Auch mittelständische und familiengeführte Unternehmen geraten immer häufiger ins Visier von Cyberkriminellen. Unternehmen sollten jedoch nicht nur aus Eigeninteresse Maßnahmen zur Risikominimierung ergreifen. Durch Rechtsakte wie die NIS-2-Richtlinie wird Cybersicherheit für viele Mittelständler und Familienunternehmen zu einer harten regulatorischen Anforderung bei deren Nichteinhaltung erhebliche Sanktionen für Unternehmen und Management drohen. [...] Der Beitrag stellt die neue Cybersicherheitsarchitektur der Europäischen Union mit Schwerpunkt auf der bereits in Kraft getretenen NIS-2-Richtlinie vor und legt einen besonderen Fokus darauf, was die Geschäftsführung von Mittelständlern und Familienunternehmen wissen muss. Dazu gehört insbesondere die Frage, ob das eigene Unternehmen überhaupt in den Anwendungsbereich der NIS-2-Richtlinie fällt. Zudem wird dargestellt, wie die NIS-2-Richtlinie die Geschäftsführung persönlich in die Pflicht nimmt. Weniger anzeigen

Von der Digitalisierung und dem Einsatz künstlicher Intelligenz werden zahlreiche disruptive Innovationen im Gesundheitswesen und bei der Entwicklung von Medizinprodukten erwartet. Der Beitrag skizziert die
datenschutzrechtlichen Probleme, die sich daraus für die Entwickler vernetzter Medizinprodukte ergeben können und zeigt mögliche Lösungsansätze auf.

Die Uhr tickt: In nur wenigen Monaten müssen die Mitgliedsstaaten die Vorgaben der NIS-2-Richtlinie umgesetzt haben. Mit der Umsetzung wird Cybersicherheit für viele tausend Unternehmen in naher Zukunft erstmals zur gesetzlichen Pflicht. Vom Anwendungsbereich und damit verbundenen Fallstricken über gesetzliche Vorgaben wie die Verantwortlichkeit der Geschäftsführung bis hin zur notwendigen Cybersicherheit in der Lieferkette stellt dieser Beitrag die zentralen Herausforderungen für Unternehmen… Mehr anzeigen

Die Uhr tickt: In nur wenigen Monaten müssen die Mitgliedsstaaten die Vorgaben der NIS-2-Richtlinie umgesetzt haben. Mit der Umsetzung wird Cybersicherheit für viele tausend Unternehmen in naher Zukunft erstmals zur gesetzlichen Pflicht. Vom Anwendungsbereich und damit verbundenen Fallstricken über gesetzliche Vorgaben wie die Verantwortlichkeit der Geschäftsführung bis hin zur notwendigen Cybersicherheit in der Lieferkette stellt dieser Beitrag die zentralen Herausforderungen für Unternehmen vor. Weniger anzeigen

In seinem Urteil vom 09.11.2023 hat der EuGH entschieden, dass ein Mitgliedstaat einer Online-Plattform, die in einem anderen Mitgliedstaat niedergelassen ist, keine generell-abstrakten Pflichten zum Umgang mit potenziell rechtswidrigen Inhalten auferlegen darf. Ein solches nationales Vorgehen verstößt nach Auffassung des Gerichts gegen den in der eCommerce-Richtlinie (2000/31/EG) verankerten Grundsatz der Aufsicht im Herkunftsmitgliedstaat.

In einer aktuellen Entscheidung hat der EuGH entschieden, dass Verantwortliche für etwaige DSGVO-Verstöße eingesetzter Auftragsverarbeiter sanktioniert werden können. Die Verhängung einer Geldbuße setzt allerdings einen schuldhaften Verstoß des Verantwortlichen voraus, wobei es ausreicht, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Es ist nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Kenntnis von dem Verstoß… Mehr anzeigen

In einer aktuellen Entscheidung hat der EuGH entschieden, dass Verantwortliche für etwaige DSGVO-Verstöße eingesetzter Auftragsverarbeiter sanktioniert werden können. Die Verhängung einer Geldbuße setzt allerdings einen schuldhaften Verstoß des Verantwortlichen voraus, wobei es ausreicht, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Es ist nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Kenntnis von dem Verstoß hatte. Weniger anzeigen

In seiner Entscheidung vom 14.12.2023 trifft der EuGH grundlegende Feststellungen zum immateriellen Schadensersatz nach Art. 82 DSGVO. Das Urteil steht in einer Reihe mit weiteren Entscheidungen des EuGH zum Schadensersatz rund um den Jahreswechsel 2023/2024 (hierzu u. a. EuGH GRUR-RS 2023, 35767; EuGH GRUR-RS 2023, 36822; EuGH BeckRS 2024, 530). Die Entscheidungen machen deutlich, dass schadensersatzrechtliche Fragen im nunmehr knapp sechsten Jahr der Geltung der DSGVO zunehmend die Gerichte… Mehr anzeigen

In seiner Entscheidung vom 14.12.2023 trifft der EuGH grundlegende Feststellungen zum immateriellen Schadensersatz nach Art. 82 DSGVO. Das Urteil steht in einer Reihe mit weiteren Entscheidungen des EuGH zum Schadensersatz rund um den Jahreswechsel 2023/2024 (hierzu u. a. EuGH GRUR-RS 2023, 35767; EuGH GRUR-RS 2023, 36822; EuGH BeckRS 2024, 530). Die Entscheidungen machen deutlich, dass schadensersatzrechtliche Fragen im nunmehr knapp sechsten Jahr der Geltung der DSGVO zunehmend die Gerichte beschäftigen und durch zahlreiche Vorlagefragen eine höchstrichterliche Konkretisierung der Voraussetzungen und der Reichweite des Art. 82 DSGVO erfolgt. Vorliegend hatte sich der EuGH neben der Beweislastverteilung zwischen Verantwortlichem und Betroffenem insbesondere mit der Frage zu befassen, ob die Befürchtung eines Missbrauchs personenbezogener Daten einen ersatzfähigen Schaden darstellen kann. Weniger anzeigen

Ein neuer Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA und wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH) zu insbesondere für die Finanzwirtschaft relevanten Themen machen deutlich, dass datenschutzrechtliche Vorgaben im Finanzsektor eine immer größere Rolle spielen. Vor diesem Hintergrund gibt der Beitrag anhand aktueller Entwicklungen, Gerichtsentscheidungen und Veröffentlichungen der Datenschutzaufsichtsbehörden einen Überblick über Trends im… Mehr anzeigen

Ein neuer Angemessenheitsbeschluss für die Übermittlung personenbezogener Daten in die USA und wichtige Entscheidungen des Europäischen Gerichtshofs (EuGH) zu insbesondere für die Finanzwirtschaft relevanten Themen machen deutlich, dass datenschutzrechtliche Vorgaben im Finanzsektor eine immer größere Rolle spielen. Vor diesem Hintergrund gibt der Beitrag anhand aktueller Entwicklungen, Gerichtsentscheidungen und Veröffentlichungen der Datenschutzaufsichtsbehörden einen Überblick über Trends im Datenschutz in der Finanzwirtschaft und praktische Hinweise zur Umsetzung datenschutzrechtlicher Anforderungen. Weniger anzeigen

In einer aktuellen Entscheidung hat der EuGH entschieden, dass Verantwortliche für etwaige DSGVO-Verstöße eingesetzter Auftragsverarbeiter sanktioniert werden können. Die Verhängung einer Geldbuße setzt allerdings einen schuldhaften Verstoß des Verantwortlichen voraus, wobei es ausreicht, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Es ist nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Kenntnis von dem Verstoß… Mehr anzeigen

In einer aktuellen Entscheidung hat der EuGH entschieden, dass Verantwortliche für etwaige DSGVO-Verstöße eingesetzter Auftragsverarbeiter sanktioniert werden können. Die Verhängung einer Geldbuße setzt allerdings einen schuldhaften Verstoß des Verantwortlichen voraus, wobei es ausreicht, wenn er sich über die Rechtswidrigkeit seines Verhaltens nicht im Unklaren sein konnte. Es ist nicht erforderlich, dass der Verstoß von einem Leitungsorgan begangen wurde oder dieses Kenntnis von dem Verstoß hatte. Weniger anzeigen

Viele Fragen des Datenschutz- und Cybersicherheitsrechts sind aufgrund unbestimmter Rechtsbegriffe und unterschiedlicher Auslegungen in Literatur und Rechtsprechung bislang offen. Es zeichnet sich jedoch ein Wandel ab, da sich immer mehr nationale und europäische Gerichte in ihren Entscheidungen mit dem Rechtsgebiet beschäftigen. Dieser Rechtsprechungsreport gibt einen Überblick über die bis Ende Oktober veröffentlichten praxisrelevanten Entscheidungen des Jahres 2023. Zukünftig wird der… Mehr anzeigen

Viele Fragen des Datenschutz- und Cybersicherheitsrechts sind aufgrund unbestimmter Rechtsbegriffe und unterschiedlicher Auslegungen in Literatur und Rechtsprechung bislang offen. Es zeichnet sich jedoch ein Wandel ab, da sich immer mehr nationale und europäische Gerichte in ihren Entscheidungen mit dem Rechtsgebiet beschäftigen. Dieser Rechtsprechungsreport gibt einen Überblick über die bis Ende Oktober veröffentlichten praxisrelevanten Entscheidungen des Jahres 2023. Zukünftig wird der Rechtsprechungsreport halbjährlich als Beitragsreihe erscheinen. Weniger anzeigen

Zu LG Tübingen 26.05.2023 – 4 O 193/21: In der wohl deutschlandweit ersten Entscheidung zu Cyberversicherungen hat das Landgericht Tübingen entschieden, dass Versäumnisse bei Maßnahmen zur Cybersicherheit nicht ohne Weiteres zur Leistungsfreiheit des Versicherers führen. Die Entscheidung befasst sich mit typischen Herausforderungen bei der Regulierung von Cyberschäden und hat – auch angesichts der angespannten Cybersicherheitslage – eine hohe Praxisrelevanz.

Am 10.7.2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA verabschiedet, dem angesichts der umfangreichen Datenübertragungen in die USA erhebliche Breitenwirkung zukommt. Damit hat die Kommission einen jahrelangen Zustand der Rechtsunsicherheit für alle, die personenbezogene Daten in die USA übermitteln, vorerst beendet. Rechtliche Risiken bestehen jedoch weiterhin. Nicht nur ist bei der Umsetzung einiges zu beachten; es ist auch offen, ob der… Mehr anzeigen

Am 10.7.2023 hat die EU-Kommission einen neuen Angemessenheitsbeschluss für Datenübermittlungen in die USA verabschiedet, dem angesichts der umfangreichen Datenübertragungen in die USA erhebliche Breitenwirkung zukommt. Damit hat die Kommission einen jahrelangen Zustand der Rechtsunsicherheit für alle, die personenbezogene Daten in die USA übermitteln, vorerst beendet. Rechtliche Risiken bestehen jedoch weiterhin. Nicht nur ist bei der Umsetzung einiges zu beachten; es ist auch offen, ob der Beschluss einer Überprüfung durch den EuGH standhalten wird. Der Beitrag stellt den neuen Angemessenheitsbeschluss sowie das zugrunde liegende EU-U.S. Data Privacy Framework vor und gibt Hinweise zur praktischen Handhabung. Weniger anzeigen

Mit dem zunehmenden Abbau technischer Hürden nehmen praktische Anwendungsfälle von Künstlicher Intelligenz (KI) in Unternehmen zu. Diese Entwicklung führt zu ersten Verfahren der Datenschutzaufsichtsbehörden. Die immer wieder in den Raum gestellte These, dass Datenschutz kein Innovationshindernis für KI darstellt, muss sich nun in der Praxis bewähren. Der Beitrag zeigt anhand konkreter Beispiele, dass das Bestehen dieser Bewährungsprobe keineswegs ausgemacht ist.

In vielen Unternehmen wird derzeit über den Einsatz von KI-Systemen wie ChatGPT diskutiert. Wer KI im eigenen Unternehmen einsetzen will, muss sich mit zahlreichen datenschutzrechtlichen Herausforderungen auseinandersetzen. Aus einem umfangreichen Fragenkatalog der deutschen Datenschutzaufsichtsbehörden an den ChatGPT-Betreiber OpenAI lässt sich hierzu eine detaillierte Checkliste ableiten.

Neue europäische Rechtsakte wie die NIS-2-Richtlinie und der Cyber Resilience Act zielen darauf ab, Unternehmen und Produkte widerstandsfähiger gegen Cyberangriffe zu machen. Auch wenn die Rechtsakte unterschiedliche Anwendungsbereiche und Adressaten haben, lassen sich grundlegende Anforderungen an die Cybersicherheit erkennen, die das Gerüst einer neuen europäischen Cybersicherheitsarchitektur bilden. Die daraus für Unternehmen erwachsenden Vorgaben werden jedoch in IT-Verträgen derzeit nicht… Mehr anzeigen

Neue europäische Rechtsakte wie die NIS-2-Richtlinie und der Cyber Resilience Act zielen darauf ab, Unternehmen und Produkte widerstandsfähiger gegen Cyberangriffe zu machen. Auch wenn die Rechtsakte unterschiedliche Anwendungsbereiche und Adressaten haben, lassen sich grundlegende Anforderungen an die Cybersicherheit erkennen, die das Gerüst einer neuen europäischen Cybersicherheitsarchitektur bilden. Die daraus für Unternehmen erwachsenden Vorgaben werden jedoch in IT-Verträgen derzeit nicht angemessen berücksichtigt. Der Beitrag schlägt neue Vertragsklauseln vor, um die gesetzlichen Anforderungen zu erfüllen. Weniger anzeigen

Der Schutz von Whistleblowern und die Einrichtung von Meldekanälen für Compliance- Verstöße stellen Unternehmen vor datenschutzrechtliche Herausforderungen. Der Beitrag stellt das geplante Hinweisgeberschutzgesetz und das Spannungsverhältnis zum Datenschutzrecht vor. Darüber hinaus wird aufgezeigt, was für einen datenschutzkonformen Betrieb von Hinweisgebersystemen in der Praxis erforderlich ist.

In einer Festlegung aus dem November 2022 haben sich die Datenschutzaufsichtsbehörden des Bundes und Länder erneut skeptisch zu einem datenschutzkonformen Einsatz von Microsoft 365 geäußert. Dieser Beitrag stellt den Abschlussbericht der Datenschutzkonferenz vor und unterzieht ihn einer kritischen Bewertung.

Seit einigen Jahren warnen Behörden vermehrt vor digitalen Produkten. Im letzten Jahr gingen diese erstmals auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aus. Wegen ihrer erheblichen wirtschaftlichen Auswirkung auf die Hersteller betroffener Produkte unterliegen behördliche Warnungen rechtlichen Grenzen. Wo genau diese verlaufen, ist jedoch ebenso umstritten wie die Auslegung einzelner Tatbestandsmerkmale in der zugunsten des BSI mit dem IT-Sicherheitsgesetz 2.0… Mehr anzeigen

Seit einigen Jahren warnen Behörden vermehrt vor digitalen Produkten. Im letzten Jahr gingen diese erstmals auch vom Bundesamt für Sicherheit in der Informationstechnik (BSI) aus. Wegen ihrer erheblichen wirtschaftlichen Auswirkung auf die Hersteller betroffener Produkte unterliegen behördliche Warnungen rechtlichen Grenzen. Wo genau diese verlaufen, ist jedoch ebenso umstritten wie die Auslegung einzelner Tatbestandsmerkmale in der zugunsten des BSI mit dem IT-Sicherheitsgesetz 2.0 geschaffenen Ermächtigungsgrundlage. Der Beitrag erörtert die wesentlichen Herausforderungen, die behördliche Warnungen durch das BSI mit sich bringen, und gibt Herstellern Empfehlungen zur Prävention und Reaktion an die Hand. Weniger anzeigen

Die zunehmende Zahl von Cyberangriffen und die daraus resultierenden wirtschaftlichen Schäden für den Binnenmarkt haben die EU-Kommission dazu veranlasst, Cybersicherheit zu einem zentralen Thema der Europäischen Union zu erklären. Der kürzlich veröffentlichte Verordnungsentwurf zum „Cyber Resilience Act“ zielt darauf ab, erstmals alle Hersteller digitaler Produkte zu umfassenden Cybersicherheitsmaßnahmen zu verpflichten. In diesem Beitrag werden die neuen Pflichten des Cyber Resilience Act für… Mehr anzeigen

Die zunehmende Zahl von Cyberangriffen und die daraus resultierenden wirtschaftlichen Schäden für den Binnenmarkt haben die EU-Kommission dazu veranlasst, Cybersicherheit zu einem zentralen Thema der Europäischen Union zu erklären. Der kürzlich veröffentlichte Verordnungsentwurf zum „Cyber Resilience Act“ zielt darauf ab, erstmals alle Hersteller digitaler Produkte zu umfassenden Cybersicherheitsmaßnahmen zu verpflichten. In diesem Beitrag werden die neuen Pflichten des Cyber Resilience Act für Hersteller, Importeure und Händler digitaler Produkte vorgestellt, die neuen Befugnisse der Aufsichtsbehörden erläutert und abschließend Handlungsempfehlungen gegeben. Weniger anzeigen

Urteilsbesprechung zu LG Essen, Urt. v. 10.11.2022 – 6 O 111/22: In seiner praxisrelevanten Entscheidung stellt das LG Essen klar, dass Betreiber von Social-Media-Plattformen nicht die alleinige Verantwortung für das Schicksal von Daten tragen, die durch Nutzer bewusst öffentlich gemacht werden.
Die Argumentation des Gerichts steht insoweit konträr zu aktuellen Entscheidungen der Datenschutzaufsichtsbehörden und anderer Gerichte. Da das automatisierte Sammeln öffentlicher Daten durch Dritte… Mehr anzeigen

Urteilsbesprechung zu LG Essen, Urt. v. 10.11.2022 – 6 O 111/22: In seiner praxisrelevanten Entscheidung stellt das LG Essen klar, dass Betreiber von Social-Media-Plattformen nicht die alleinige Verantwortung für das Schicksal von Daten tragen, die durch Nutzer bewusst öffentlich gemacht werden.
Die Argumentation des Gerichts steht insoweit konträr zu aktuellen Entscheidungen der Datenschutzaufsichtsbehörden und anderer Gerichte. Da das automatisierte Sammeln öffentlicher Daten durch Dritte im Internet und ein damit verbundener Datenmissbrauch vorerst nicht enden werden, lohnt sich eine Auseinandersetzung mit dem Urteil nicht nur für Betreiber von Social-Media-Plattformen. Weniger anzeigen

Das Recht der Informationssicherheit hat in den letzten Jahren erheblich an Relevanz gewonnen. Dabei stellt es eine außerordentlich komplexe Materie nicht nur in juristischer Hinsicht dar. Die Herausforderungen an die Rechtsanwenderinnen und Rechtsanwender sind zahlreich: es fehlt an einer einheitlichen und umfassenden kodifizierten Regelung des Rechtsgebiets, begleitende Literatur der vielfach neuen Regelungen ist bislang rar gesät und im Rahmen der compliance- und praxisgerechten Umsetzung… Mehr anzeigen

Das Recht der Informationssicherheit hat in den letzten Jahren erheblich an Relevanz gewonnen. Dabei stellt es eine außerordentlich komplexe Materie nicht nur in juristischer Hinsicht dar. Die Herausforderungen an die Rechtsanwenderinnen und Rechtsanwender sind zahlreich: es fehlt an einer einheitlichen und umfassenden kodifizierten Regelung des Rechtsgebiets, begleitende Literatur der vielfach neuen Regelungen ist bislang rar gesät und im Rahmen der compliance- und praxisgerechten Umsetzung der Vorschriften müssen intensive Überschneidung mit technisch organisatorischen Anforderungen berücksichtigt werden. Hinzu kommt die zunehmende Vielfalt an Rechtsvorschriften mit einem (nicht immer klar ersichtlichen) Bezug zur Informationssicherheit, die durch den deutschen und den europäischen Gesetzgeber erlassen wurden und werden. Deshalb erscheint dieser Kommentar, der sich intensiv und interdisziplinär mit den aktuellen Rechtsgrundlagen der Informationssicherheit in Deutschland und in Europa befasst. Als erster Kommentar dieser Art auf dem Buchmarkt bietet er eine systematische Aufschlüsselung der relevanten Gesetze und Rechtsvorschriften, stellt kompakt und praxisnah dar, welche Anforderungen diese vermitteln, und wie sie interessengerecht umzusetzen sind. Weniger anzeigen

Der Einsatz von Künstlicher Intelligenz (KI) in Unternehmen ist regelmäßig mit der Verarbeitung personenbezogener Daten verbunden. In diesem Fall sind die Vorgaben der Datenschutz-Grundverordnung zu beachten. Dieser Beitrag stellt die wichtigsten datenschutzrechtlichen Herausforderungen beim Einsatz von KI übersichtlich dar.

In der Logistikbranche nimmt der Einsatz von GPS-Trackern zur Überwachung von Lieferfahrzeugen und den jeweiligen Gütern stetig zu. Da mit GPS-Tracking häufig eine Verarbeitung personenbezogener Daten einhergeht, befassen sich Gerichte und Datenschutzaufsichtsbehörden vermehrt mit der Einhaltung der dabei zu berücksichtigenden datenschutzrechtlichen Vorgaben. Der folgende Beitrag gibt einen Überblick über die datenschutzrechtlichen Anforderungen und erläutert, wie ein datenschutzkonformes… Mehr anzeigen

In der Logistikbranche nimmt der Einsatz von GPS-Trackern zur Überwachung von Lieferfahrzeugen und den jeweiligen Gütern stetig zu. Da mit GPS-Tracking häufig eine Verarbeitung personenbezogener Daten einhergeht, befassen sich Gerichte und Datenschutzaufsichtsbehörden vermehrt mit der Einhaltung der dabei zu berücksichtigenden datenschutzrechtlichen Vorgaben. Der folgende Beitrag gibt einen Überblick über die datenschutzrechtlichen Anforderungen und erläutert, wie ein datenschutzkonformes GPS-Tracking gelingen kann. Weniger anzeigen

Seit einigen Jahren hat die EU-Kommission Cybersicherheit zu einem der wichtigsten Themen für Europa auserkoren. Der kürzlich veröffentlichte Entwurf für eine Verordnung zum “Cyber Resilience Act” (“CRA”) soll Hersteller von digitalen Produkten zu umfassenden Maßnahmen für Cybersicherheit verpflichten. In diesem Beitrag werden die neuen Herstellerpflichten des CRA vorgestellt und in das bestehende Konzept der Produktverantwortung für Cybersicherheit eingeordnet.

Im September 2022 hat die EU-Kommission einen Verordnungsvorschlag für einen Cyber Resilience Act vorgestellt. Mit dem neuen Gesetz sollen umfassende Cybersicherheitsvorschriften für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen eingeführt werden. Neben der Durchführung einer zu dokumentierenden Risikobewertung und der Einhaltung von Meldefristen im Falle von Schwachstellen werden Hersteller künftig unter anderem dazu verpflichtet, Sicherheitsupdates für die gesamte… Mehr anzeigen

Im September 2022 hat die EU-Kommission einen Verordnungsvorschlag für einen Cyber Resilience Act vorgestellt. Mit dem neuen Gesetz sollen umfassende Cybersicherheitsvorschriften für Hersteller, Importeure und Händler von Produkten mit digitalen Elementen eingeführt werden. Neben der Durchführung einer zu dokumentierenden Risikobewertung und der Einhaltung von Meldefristen im Falle von Schwachstellen werden Hersteller künftig unter anderem dazu verpflichtet, Sicherheitsupdates für die gesamte Produktlebensdauer bereitzustellen. Der Cyber Resilience Act ist Teil der Cybersicherheitsstrategie der EU-Kommission und soll zum Anlass genommen werden, im Folgenden einen Überblick über die wesentlichen Rechtsakte zur Cybersicherheit wie beispielsweise die neue NIS-2-Richtlinie und den Digital Operation Resilience Act für den Finanzsektor zu geben. Weniger anzeigen

Datengetriebene Geschäftsmodelle haben ein enormes Marktpotenzial. Für nicht-personenbezogene Daten hat die EU-Kommission daher einen Entwurf für eine Verordnung für einen fairen Datenzugang und eine faire Datennutzung, den sog. Data Act, vorgelegt. Für die wirtschaftliche Nutzung von personenbezogenen Daten ist und bleibt jedoch das Datenschutzrecht anwendbar. Ausgehend davon untersucht dieser Beitrag, welche Rechtsgrundlagen für die wirtschaftliche Nutzung von personenbezogenen Daten… Mehr anzeigen

Datengetriebene Geschäftsmodelle haben ein enormes Marktpotenzial. Für nicht-personenbezogene Daten hat die EU-Kommission daher einen Entwurf für eine Verordnung für einen fairen Datenzugang und eine faire Datennutzung, den sog. Data Act, vorgelegt. Für die wirtschaftliche Nutzung von personenbezogenen Daten ist und bleibt jedoch das Datenschutzrecht anwendbar. Ausgehend davon untersucht dieser Beitrag, welche Rechtsgrundlagen für die wirtschaftliche Nutzung von personenbezogenen Daten herangezogen werden können und welchen Einfluss die neuen Regelungen zum „Bezahlen mit Daten“ in den §§ 327 ff. BGB und der geplante Data Act auf diese haben. Neben der datenschutzrechtlichen Verantwortlichkeit für die Weitergabe personenbezogener Daten an Dritte stellt der Beitrag auch Erwägungen zur Zweckänderung sowie zur Anonymisierung an und skizziert deren Auswirkungen auf die wirtschaftliche Verwertung. Weniger anzeigen

Microsoft 365 ist aus dem Alltag vieler Unternehmen nicht mehr wegzudenken. Doch die Verunsicherung ist groß – immer wieder melden Datenschutzaufsichtsbehörden rechtliche Bedenken an. Mit folgenden fünf Schritten bleibt der rechtskonforme Einsatz im Unternehmen möglich.

In seiner Entscheidung vom 13.4.2020 befasst sich das OLG Frankfurt sowohl mit der Frage, ob im Fall einer rechtswidrigen Verarbeitung personenbezogener Daten ein Unterlassungsanspruch besteht, als auch mit der Bemessung des Schmerzensgeldanspruchs nach Art. 82 DSGVO.

Mit seiner weniger aus arbeits- denn aus datenschutzrechtlichen Gesichtspunkten bemerkenswerten Entscheidung zur Übermittlung personenbezogener Daten innerhalb eines Konzerns spricht das LAG Hamm eine deutliche Warnung an Arbeitgeber aus, den Beschäftigtendatenschutz insbesondere in komplexen Konzernstrukturen nicht auf die leichte Schulter zu nehmen.

Der Beitrag behandelt die Fragestellung, wer für Verarbeitungen von personenbezogenen Daten in der Forschung rechtlich verantwortlich ist. Diskutiert wird die Rolle der Forscher selbst sowie die Beurteilung ihres Verhältnisses zu den Forschungsinstitutionen. Zudem wird die Verantwortlichkeit in institutionsübergreifenden Forschungsprojekten thematisiert.

Im Herbst 2021 beschäftigte viele Arbeitgeber die Frage, ob sie von ihren Beschäftigten die Offenlegung des Impfstatus verlangen dürfen. Auch wenn die Infektionszahlen sinken, ist nicht vorherzusehen, ob neue Virusvarianten und damit verbundene Auffrischungsimpfungen im Herbst das Thema wieder auf die Agenda setzen werden. Arbeitgeber sollten daher vorbereitet sein. Ein Überblick über die aktuelle Rechtslage.

Der Beitrag widmet sich der Praxis deutscher Datenschutzaufsichtsbehörden, Produkte abstrakt auf ihre Vereinbarkeit mit datenschutzrechtlichen Vorschriften zu bewerten. Durch eine schlechte Bewertung wird die Beeinflussung von Marktentscheidungen angestrebt. Daher handelt es sich um Eingriffe in Grundrechte der Hersteller, für die es an einer Ermächtigungsgrundlage fehlt. Darüber hinaus werden weitere verfassungs- und europarechtliche Grenzen solcher Warnungen in der Behördenpraxis missachtet.

Die Richtlinie über digitale Inhalte und Dienstleistungen wird im deutschen Recht im Wesentlichen durch die §§ 327 ff. BGB umgesetzt. Die neuen Regelungen, die in erster Linie dem Verbraucherschutz dienen, treten zum 1.1.2022 in Kraft und stellen Hersteller und Vertriebspartner vor neue Herausforderungen. Vor dem Hintergrund der latenten Gefahr, durch eine Sicherheitslücke Opfer eines Cyberangriffs zu werden, ist § 327 f BGB, der eine Aktualisierungspflicht für digitale Produkte vorsieht, von… Mehr anzeigen

Die Richtlinie über digitale Inhalte und Dienstleistungen wird im deutschen Recht im Wesentlichen durch die §§ 327 ff. BGB umgesetzt. Die neuen Regelungen, die in erster Linie dem Verbraucherschutz dienen, treten zum 1.1.2022 in Kraft und stellen Hersteller und Vertriebspartner vor neue Herausforderungen. Vor dem Hintergrund der latenten Gefahr, durch eine Sicherheitslücke Opfer eines Cyberangriffs zu werden, ist § 327 f BGB, der eine Aktualisierungspflicht für digitale Produkte vorsieht, von besonderer Bedeutung. Der Beitrag skizziert die Auswirkungen der neuen Aktualisierungspflicht auf die Praxis. Im Fokus stehen dabei insb. die Auswirkungen auf Hersteller, Vertriebspartner und die Vertragsgestaltung. Weniger anzeigen

Eine Supply Chain ist nur so stark wie ihr schwächstes Glied. Die gravierenden Auswirkungen von Cyberangriffen auf Unternehmen haben in den letzten Jahren immer wieder für Schlagzeilen gesorgt und treffen vermehrt ganze Unternehmensnetzwerke. Dieser Beitrag zeigt, welche gesetzlichen Vorgaben für Cybersicherheit in der Lieferkette gelten und erläutert, wie präventive Maßnahmen für die Abwehr von Cyberangriffen rechtlich sichergestellt werden können.

Bedingt durch die steigende Bedeutung digitaler Informationen wird für staatliche Stellen ein besonderes Zugriffsinteresse begründet. Der Europäischen Gerichtshof (EuGH) hat in seinem aktuellen Urteil (C-746/18) den Zugang zu Verkehrs- und Standortdaten von Mobiltelefonen im Rahmen strafrechtlicher Ermittlungen begrenzt. Bei den agierenden Behörden muss es sich nach dem Verständnis des EuGH um unabhängige Behörden handeln. Vor diesem Hintergrund fasst der Beitrag die Erwägungen des EuGH… Mehr anzeigen

Bedingt durch die steigende Bedeutung digitaler Informationen wird für staatliche Stellen ein besonderes Zugriffsinteresse begründet. Der Europäischen Gerichtshof (EuGH) hat in seinem aktuellen Urteil (C-746/18) den Zugang zu Verkehrs- und Standortdaten von Mobiltelefonen im Rahmen strafrechtlicher Ermittlungen begrenzt. Bei den agierenden Behörden muss es sich nach dem Verständnis des EuGH um unabhängige Behörden handeln. Vor diesem Hintergrund fasst der Beitrag die Erwägungen des EuGH zusammen und beurteilt auf dieser Grundlage die Befugnis der deutschen Staatsanwaltschaft im Lichte der getroffenen Feststellungen. Dabei stehen die Vorratsdatenspeicherung und die Herausgabepflicht nach § 95 StPO im Fokus der Betrachtung. Im Ergebnis werden eine Unabhängigkeit der deutschen Staatsanwaltschaft abgelehnt und erhebliche Bedenken gegen eine Befugnis dieser für Herausgabeanordnungen nach § 95 StPO geäußert. Weniger anzeigen

Die Entscheidung des VG Mainz beschäftigt sich mit der vielfach diskutierten und bisher nicht abschließend geklärten Frage, welche Anforderungen an die Verschlüsselung beim E-Mail-Versand durch Berufsgeheimnisträger zustellen sind. Das Gericht leistet mit seiner Entscheidung einen Beitrag zur Schaffung von Rechtssicherheit und erteilt zugleich überbordenden Vorgaben der Datenschutzaufsichtsbehörden eine Absage. Diese hatten zuletzt vertreten, dass bei Berufsgeheimnisträgern eine… Mehr anzeigen

Die Entscheidung des VG Mainz beschäftigt sich mit der vielfach diskutierten und bisher nicht abschließend geklärten Frage, welche Anforderungen an die Verschlüsselung beim E-Mail-Versand durch Berufsgeheimnisträger zustellen sind. Das Gericht leistet mit seiner Entscheidung einen Beitrag zur Schaffung von Rechtssicherheit und erteilt zugleich überbordenden Vorgaben der Datenschutzaufsichtsbehörden eine Absage. Diese hatten zuletzt vertreten, dass bei Berufsgeheimnisträgern eine Ende-zu-Ende-Verschlüsselung erforderlich sei (vgl. DSK, Orientierungshilfe zum E-Mail-Versand, v. 13.3.2020, Abschnitt: 4.2.3). Aus praktischer Sicht ist jedoch abzuwarten, ob sich die begrüßenswerte Auffassung des VG Mainz durchsetzt und von den Datenschutzaufsichtsbehörden übernommen wird. Weniger anzeigen

Soziale Netzwerke – wie Facebook, Twitter oder LinkedIn – sind für die Tätigkeit vieler Unternehmen alltäglich oder sogar essenziell. Insbesondere im Recruiting, Marketing oder in der Kundenkommunikation kann oft nicht ohne weitreichende Auswirkungen auf die Nutzung von sozialen Netzwerken verzichtet werden. Gleichzeitig sind damit für Unternehmen datenschutzrechtliche Risiken verbunden. Nach der weitreichenden EuGH-Rechtsprechung zu Art. 26 DSGVO bedeuten die gemeinsame Verantwortlichkeit und… Mehr anzeigen

Soziale Netzwerke – wie Facebook, Twitter oder LinkedIn – sind für die Tätigkeit vieler Unternehmen alltäglich oder sogar essenziell. Insbesondere im Recruiting, Marketing oder in der Kundenkommunikation kann oft nicht ohne weitreichende Auswirkungen auf die Nutzung von sozialen Netzwerken verzichtet werden. Gleichzeitig sind damit für Unternehmen datenschutzrechtliche Risiken verbunden. Nach der weitreichenden EuGH-Rechtsprechung zu Art. 26 DSGVO bedeuten die gemeinsame Verantwortlichkeit und die damit verbundenen Rechtsfolgen für Unternehmen große Herausforderungen. Der Beitrag fokussiert die Risiken einer gemeinsamen Verantwortlichkeit für Unternehmen bei der Nutzung von sozialen Netzwerken und gibt Handlungsempfehlungen zur Risikominimierung. Weniger anzeigen

Die Polizei versucht dem Phänomen sogenannter Fake Shops im Internet seit einiger Zeit damit zu begegnen, dass sie Hosting-Anbieter um die Löschung der Shops bittet. Rechtsgrundlage und (Rechts-)Folgen dieser hier als “Takedown-Request” bezeichneten Vorgehensweise sind jedoch fraglich. Der Beitrag ordnet das Phänomen der Fake Shops zunächst aus Sicht der IT-Sicherheit ein, stellt daraufhin die bisherigen Bekämpfungsstrategien dar, um sodann eine rechtliche Beurteilung vorzunehmen und mögliche… Mehr anzeigen

Die Polizei versucht dem Phänomen sogenannter Fake Shops im Internet seit einiger Zeit damit zu begegnen, dass sie Hosting-Anbieter um die Löschung der Shops bittet. Rechtsgrundlage und (Rechts-)Folgen dieser hier als “Takedown-Request” bezeichneten Vorgehensweise sind jedoch fraglich. Der Beitrag ordnet das Phänomen der Fake Shops zunächst aus Sicht der IT-Sicherheit ein, stellt daraufhin die bisherigen Bekämpfungsstrategien dar, um sodann eine rechtliche Beurteilung vorzunehmen und mögliche negative Rechtsfolgen für Hosting-Anbieter darzustellen. Weniger anzeigen

Mit seiner für Unternehmen sehr relevanten Entscheidung erschwert das saarländische OVG durch die Ablehnung von Medienbrüchen den Nachweis einer Einwilligung in Telefonwerbung und vermischt zugleich Wettbewerbs- und Datenschutzrecht in zu kritisierender Weise.

Dank einer Anfrage nach dem Hamburgischen Transparenzgesetz (HmbTG) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 18.02.2021 einen Fragebogen zu Datenübermittlungen in Drittstaaten beim Einsatz von Office 365 herausgeben. Anlass des Fragebogens, der auf den Oktober 2020 datiert ist, war die Beschwerde eines Betroffenen über den Einsatz von Office 365 durch ein Unternehmen. In diesem Beitrag wird der Fragebogen im Volltext veröffentlicht und zugleich… Mehr anzeigen

Dank einer Anfrage nach dem Hamburgischen Transparenzgesetz (HmbTG) hat der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit (HmbBfDI) am 18.02.2021 einen Fragebogen zu Datenübermittlungen in Drittstaaten beim Einsatz von Office 365 herausgeben. Anlass des Fragebogens, der auf den Oktober 2020 datiert ist, war die Beschwerde eines Betroffenen über den Einsatz von Office 365 durch ein Unternehmen. In diesem Beitrag wird der Fragebogen im Volltext veröffentlicht und zugleich kontextualisiert. Weniger anzeigen

Unternehmen sind wegen der voranschreitenden Digitalisierung in zunehmendem Maße von IT-Systemen abhängig. Gleichzeitig können Cyberangriffe für Unternehmen gravierende negative Folgen haben. Trotz dieser Risiken gibt es in Deutschland jedoch kein Gesetz, das Unternehmen allgemein zur IT-Sicherheit verpflichtet. Unternehmen werden jedoch durch eine Vielzahl von einzelnen Gesetzen mit unterschiedlicher Zielrichtung zu IT-Sicherheitsmaßnahmen verpflichtet. Eine Umsetzung der gesetzlichen Vorgaben… Mehr anzeigen

Unternehmen sind wegen der voranschreitenden Digitalisierung in zunehmendem Maße von IT-Systemen abhängig. Gleichzeitig können Cyberangriffe für Unternehmen gravierende negative Folgen haben. Trotz dieser Risiken gibt es in Deutschland jedoch kein Gesetz, das Unternehmen allgemein zur IT-Sicherheit verpflichtet. Unternehmen werden jedoch durch eine Vielzahl von einzelnen Gesetzen mit unterschiedlicher Zielrichtung zu IT-Sicherheitsmaßnahmen verpflichtet. Eine Umsetzung der gesetzlichen Vorgaben sollte mit Hilfe eines Managementsystems, das im Beitrag skizziert wird, erfolgen.

Ausgezeichnet als Top 10-Paper beim LexisNexis Best Paper Award Weniger anzeigen

IoT devices are omnipresent in children‘s rooms. At the same time these devices and their infrastructure have become notorious for security flaws. The following paper analyses current and future legal reglementation and IT security measures to protect children as an especially vulnerable group.

Der Beitrag analysiert die Praxis einiger Datenschutzaufsichtsbehörden bei der Bewertung von Videokonferenzlösungen vor dem Hintergrund des Stands der Technik. Die Informationspraxis der Datenschutzaufsichtsbehörden wird anschließend hinsichtlich der rechtlichen Auswirkungen auf Anbieter und Verantwortliche bewertet.

Datenschutzaufsichtsbehörden verhängen gegen Unternehmen immer wieder Bußgelder wegen Verstößen gegen die DSGVO. Gerade im Konzernkontext erreichen die Bußgelder dabei wegen einer Anwendung des Funktionsträgerprinzips schnell ein Rekordniveau. Rechtlich ist dessen Anwendung jedoch, wie der folgende Beitrag zeigt, keineswegs unproblematisch, da innerhalb der DSGVO Widersprüche zwischen Bußgeldadressat und Bemessungskriterien bestehen.

Für Unternehmen besteht zunehmend die Notwendigkeit, Daten aus ihren Produktionsprozessen vor unberechtigter Kenntnisnahme zu schützen. Neben technischen Mitteln kommt dabei gerade in Konstellationen der Nutzung und Weitergabe derartiger Daten rechtlichen Schutzmöglichkeiten eine wichtige Rolle zu. Ausgehend davon untersucht der Beitrag die Möglichkeiten zum Schutz von Daten durch das bestehende Recht. Ein besonderes Augenmerk liegt dabei auf der Einordnung maschinengenerierter Daten als… Mehr anzeigen

Für Unternehmen besteht zunehmend die Notwendigkeit, Daten aus ihren Produktionsprozessen vor unberechtigter Kenntnisnahme zu schützen. Neben technischen Mitteln kommt dabei gerade in Konstellationen der Nutzung und Weitergabe derartiger Daten rechtlichen Schutzmöglichkeiten eine wichtige Rolle zu. Ausgehend davon untersucht der Beitrag die Möglichkeiten zum Schutz von Daten durch das bestehende Recht. Ein besonderes Augenmerk liegt dabei auf der Einordnung maschinengenerierter Daten als Geschäftsgeheimnis i.S.d. Gesetzes zum Schutz von Geschäftsgeheimnissen (GeschGehG) und dem daraus erwachsenden Schutz. Weniger anzeigen

In der Fin und Legal Tech Szene ist der Begriff Smart Contract seit einiger Zeit in aller Munde. Smart Contracts sollen sich – mittels eines komplexen Programmcodes – selbst, d.h. automatisch vollziehen und durch Speicherung auf der Blockchain unveränderbar sein. Erreicht werden soll damit ein technisch-begründetes Vertrauen in die erfolgreiche Abwicklung der geschlossenen Vereinbarung. Gerade bei Vereinbarungen zwischen Unbekannten, bspw. im Internet, haben Smart Contracts daher einen… Mehr anzeigen

In der Fin und Legal Tech Szene ist der Begriff Smart Contract seit einiger Zeit in aller Munde. Smart Contracts sollen sich – mittels eines komplexen Programmcodes – selbst, d.h. automatisch vollziehen und durch Speicherung auf der Blockchain unveränderbar sein. Erreicht werden soll damit ein technisch-begründetes Vertrauen in die erfolgreiche Abwicklung der geschlossenen Vereinbarung. Gerade bei Vereinbarungen zwischen Unbekannten, bspw. im Internet, haben Smart Contracts daher einen besonderen Reiz. Ein Smart Contract ist folglich kein neuer Vertragstyp im zivilrechtlichen Sinne, sondern allenfalls eine neue Form der Vertragsgestaltung. Sie können daher bei jeder Art von Vertrag – bspw. bei Kauf, Miet oder Leasing – zum Einsatz kommen. Ähnlich wie blockchain-basierte Kryptowährungen soll die automatisierte Abwicklung von Smart Contracts vorhandene Intermediäre überflüssig machen. So sollen Smart Contracts die bisher mit der Durchsetzung von Vereinbarungen befassten Stellen, also z.B. Gerichte, Anwälte und Notare, ersetzen. Ob sie diese Verheißungen erfüllen können, ist einerseits abhängig von ihrer technischen Zuverlässigkeit und andererseits von ihrer Vereinbarkeit mit dem Recht. Der folgende Beitrag stellt die technischen und rechtlichen Rahmenbedingungen von Smart Contracts vor und untersucht Auswirkungen von deren Einsatz in der juristischen Praxis am Beispiel des Mietrechts. Weniger anzeigen

IoT devices are omnipresent in children‘s rooms. At the same time these devices and their infrastructure have become notorious for security flaws. The following paper analyses current and future legal reglementation and IT security measures to protect children as an especially vulnerable group.

Fehler bei der maschinellen Wahrnehmung des Fahrzeugumfelds führen auch beim autonomen Fahren immer wieder zu schweren Unfällen. Dabei gewinnt die maschinelle Wahrnehmung mit steigendem Grad der Automatisierung gleich wachsend an Bedeutung. Die Wahrnehmung der Umgebung kann auch durch technische Angriffe gezielt manipuliert werden. Nach einer technischen Einführung untersucht der vorliegende Beitrag die Strafbarkeit derartiger Angriffe.

Schwerpunkt dieses Aufsatzes ist die strafrechtliche Bewertung des Phänomens „Swatting“. Bei dieser Form des Cybermobbing nutzen die Täter falsche Notrufe, um ihre Opfer zu schädigen und bloßzustellen. Ein zusätzlicher Reiz für die Täter besteht dabei darin, dass sie die Auswirkungen ihrer Tat oftmals live im Internet verfolgen können. Doch Swatting ist kein harmloser Spaß, sondern kann bei Betroffenen zu schwersten Körperverletzungen bis hin zum Tod führen.

Der Beitrag untersucht das Verhältnis zwischen den Verfahrensbeteiligten der DSGVO bei der Inanspruchnahme durch die Aufsichtsbehörde. Dabei kommt er durch Auslegung der einschlägigen unionsrechtlichen Vorschriften sowie des deutschen Verfahrensrechts zu dem Ergebnis, dass der Aufsichtsbehörde kein Wahlrecht hinsichtlich der Inanspruchnahme von Verantwortlichem und Auftragsverarbeiter zukommt. Vielmehr ergibt sich aus dem Verhältnis zwischen Aufsichtsbehörde und Verantwortlichem einerseits und… Mehr anzeigen

Der Beitrag untersucht das Verhältnis zwischen den Verfahrensbeteiligten der DSGVO bei der Inanspruchnahme durch die Aufsichtsbehörde. Dabei kommt er durch Auslegung der einschlägigen unionsrechtlichen Vorschriften sowie des deutschen Verfahrensrechts zu dem Ergebnis, dass der Aufsichtsbehörde kein Wahlrecht hinsichtlich der Inanspruchnahme von Verantwortlichem und Auftragsverarbeiter zukommt. Vielmehr ergibt sich aus dem Verhältnis zwischen Aufsichtsbehörde und Verantwortlichem einerseits und dem Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter andererseits, dass eine Inanspruchnahme des Auftragsverarbeiters an besondere Voraussetzungen geknüpft ist. Weniger anzeigen

Der Beitrag analysiert welche Bedrohungen für die IT-Sicherheit durch die Digitalisierung der Justiz entstehen. Er unterscheidet dabei zwischen zufälligen und zielgerichteten Angriffen. Darüber hinaus arbeitet der Beitrag heraus, dass die Justiz nicht nur die DSGVO, sondern auch aufgrund des Justizgewährungsanspruchs zur Gewährleistung von IT-Sicherheit verpflichtet ist. Sodann untersucht der Beitrag anhand eines Einzelfallbeispiels, wie gut die deutsche Justiz vor Angriffen geschützt ist… Mehr anzeigen

Der Beitrag analysiert welche Bedrohungen für die IT-Sicherheit durch die Digitalisierung der Justiz entstehen. Er unterscheidet dabei zwischen zufälligen und zielgerichteten Angriffen. Darüber hinaus arbeitet der Beitrag heraus, dass die Justiz nicht nur die DSGVO, sondern auch aufgrund des Justizgewährungsanspruchs zur Gewährleistung von IT-Sicherheit verpflichtet ist. Sodann untersucht der Beitrag anhand eines Einzelfallbeispiels, wie gut die deutsche Justiz vor Angriffen geschützt ist, bevor abschließend Lösungsansätze für die Verbesserung der IT-Sicherheit in der Justiz unterbreitet werden. Weniger anzeigen

Der Instant Messenger WhatsApp wird aufgrund seiner enormen Verbreitung zunehmend attraktiver für Unternehmen zur Kommunikation mit Kunden. Die datenschutzrechtliche Zulässigkeit des Einsatzes von WhatsApp in Unternehmen ist nach wie vor umstritten. Der Beitrag zeigt die technische Funktionsweise des Messenger-Dienstes auf und untersucht die Zulässigkeit seines Einsatzes im Unternehmen.

Melden oder nicht melden? Das beschäftigt Verantwortliche und Datenschutzbeauftragte bei jeder Datenpanne. Ob eine Meldung erforderlich ist, ist maßgeblich vom Bestehen eines Risikos für die Rechte und Freiheiten der betroffenen natürlichen Personen abhängig. Ob das auch bei verschlüsselten Daten vorliegt oder der Einsatz von Verschlüsselung ein Mittel zur Vermeidung von Meldepflichten sein kann, erörtert der folgende Beitrag.

Früher Medienkonsum steht in Zusammenhang mit vermehrten verhaltensbezogenen und emotionalen psychischen Problemen im Laufe der weiteren Entwicklung. Auch viele digitale Spielzeuge und Kinder-Apps bergen Risiken, wie die Autoren an konkreten Beispielen zeigen.

Ein orientierender Blick in die bestehende Rechtsprechung ist – wie bei der Höhe von Schadensersatzansprüchen – auch im Zusammenhang mit dem Allgemeinen Persönlichkeitsrecht nicht unüblich. Eine steigende Anzahl von Urteilen und ein immer breiter werdender Anwendungsbereich der Rechtsfigur erschwert diesen Blick. Die „Saarbrücker Tabelle“ möchte durch eine systematische Aufbereitung der bisher ergangenen Rechtsprechung Hilfestellung leisten und bietet eine übersichtliche Darstellung nach… Mehr anzeigen

Ein orientierender Blick in die bestehende Rechtsprechung ist – wie bei der Höhe von Schadensersatzansprüchen – auch im Zusammenhang mit dem Allgemeinen Persönlichkeitsrecht nicht unüblich. Eine steigende Anzahl von Urteilen und ein immer breiter werdender Anwendungsbereich der Rechtsfigur erschwert diesen Blick. Die „Saarbrücker Tabelle“ möchte durch eine systematische Aufbereitung der bisher ergangenen Rechtsprechung Hilfestellung leisten und bietet eine übersichtliche Darstellung nach Kategorien. Um Orientierung in der stetig anwachsenden Rechtsprechung zu Art. 82 DSGVO zu bieten, wurde die Saarbrücker Tabelle um eine Aufbereitung entsprechender Entscheidungen deutscher Gerichte ergänzt. Für die Tabelle wurde die unter juris.de zur Verfügung stehende Rechtsprechung im Hinblick auf Entscheidungen zum Allgemeinen Persönlichkeitsrecht ausgewertet und in Fallgruppen unterteilt. Weniger anzeigen

Die Bundesrechtsanwaltskammer (BRAK) hat das von dem Unternehmen secunet erstellte Gutachten zur Sicherheit des beA im Juni 2018 publiziert. Das 92-seitige Dokument enthält Details zu insgesamt 56 gefundenen Schwachstellen sowie zur Überprüfung der sechs bereits vom Chaos Computer Club gemeldeten Probleme. Neben neuen Einblicken in die Sicherheitsaspekte des beAliefert das Gutachten auch Aufschluss über die genaue Funktionsweise und Interaktion der verschiedenen Komponenten, welche zuvor nur… Mehr anzeigen

Die Bundesrechtsanwaltskammer (BRAK) hat das von dem Unternehmen secunet erstellte Gutachten zur Sicherheit des beA im Juni 2018 publiziert. Das 92-seitige Dokument enthält Details zu insgesamt 56 gefundenen Schwachstellen sowie zur Überprüfung der sechs bereits vom Chaos Computer Club gemeldeten Probleme. Neben neuen Einblicken in die Sicherheitsaspekte des beAliefert das Gutachten auch Aufschluss über die genaue Funktionsweise und Interaktion der verschiedenen Komponenten, welche zuvor nur durch das Zusammentragen verschiedener Präsentationen und Publikationen ermittelt werden konnte. Zusammen mit dem Gutachten veröffentlichte die BRAK ein Be-gleitschreiben ihres Präsidenten Ekkehart Schäfer, in dem dieser zu einer außerordentlichen Präsidentenkonferenz lud, um die Wiederinbetriebnahme des beA zu diskutieren und abzustimmen. Darin bezieht sich Schäfer auf verschiedene Aussagen im Gutachten und gibt eine eigene Einschätzung zur noch bestehenden Risikolage ab. Diese sei unter der Voraussetzung, dass die zugesagten Nachbesserungen zu den jeweiligen Terminen fertiggestellt werden überschaubar, weshalb der Reaktivierung nichts mehr im Wege stehe. Die Präsidentenkonferenz bestätigte Schäfers Vorschlag und beschloss die Wiederinbetriebnahme zum 3.9.2018.Dieser Beitrag geht auf wesentliche Punkte im Gutachten sowie im Begleitschreiben ein und beleuchtet diese sowohl aus technischer als auch aus rechtlicher Sicht. Hierbei werden insbesondere die Fragen angesprochen, welche konkreten Aspekte bei der Entwicklung derart sicherheitskritischer Software beachtet werden müssen und wie der aktuelle sowie der beabsichtigte Stand des beA aus Sicht der Forschung zu bewerten sind. Weniger anzeigen

In Deutschland ist der Missbrauch von Sendeanlagen nach § 90 des Telekommunikationsgesetzes (TKG) verboten. Anfang 2017 wurde die Norm auf die smarte Spielzeugpuppe «My friend Cayla» angewendet. Seither ist der Besitz der Puppe in Deutschland verboten. Die zuständige Bundesnetzagentur will das Gesetz jedoch nicht auf alle Spielzeuge mit einer ungesicherten Bluetooth-Verbindung anwenden. Der Beitrag erläutert und kritisiert diese Rechtsauffassung. Abschließend werden, ausgehend vom konkreten… Mehr anzeigen

In Deutschland ist der Missbrauch von Sendeanlagen nach § 90 des Telekommunikationsgesetzes (TKG) verboten. Anfang 2017 wurde die Norm auf die smarte Spielzeugpuppe «My friend Cayla» angewendet. Seither ist der Besitz der Puppe in Deutschland verboten. Die zuständige Bundesnetzagentur will das Gesetz jedoch nicht auf alle Spielzeuge mit einer ungesicherten Bluetooth-Verbindung anwenden. Der Beitrag erläutert und kritisiert diese Rechtsauffassung. Abschließend werden, ausgehend vom konkreten Fall, mögliche rechtliche Lösungen für Sicherheitsprobleme bei smarten Spielzeugen diskutiert. Weniger anzeigen

Bei "My friend Cayla" handelt es sich um eine getarnte Sendeanlage, die auch zum heimlichen Abhören von Gesprächen geeignet ist. Fraglich ist jedoch, ob auch eine Bestimmung der Sendeanlage vorliegt. Aus Sicht des Verfassers sprechen entscheidende Gründe dafür, dass auch eine Bestimmung der Puppe zum Abhören und damit eine verbotene Sendeanlage im Sinne des § 90 TKG vorliegt. Jedoch erscheint dieses Ergebnis aufgrund der unklaren Rechtslage bzgl. des Tatbestandsmerkmals der Bestimmtheit nicht… Mehr anzeigen

Bei "My friend Cayla" handelt es sich um eine getarnte Sendeanlage, die auch zum heimlichen Abhören von Gesprächen geeignet ist. Fraglich ist jedoch, ob auch eine Bestimmung der Sendeanlage vorliegt. Aus Sicht des Verfassers sprechen entscheidende Gründe dafür, dass auch eine Bestimmung der Puppe zum Abhören und damit eine verbotene Sendeanlage im Sinne des § 90 TKG vorliegt. Jedoch erscheint dieses Ergebnis aufgrund der unklaren Rechtslage bzgl. des Tatbestandsmerkmals der Bestimmtheit nicht zwingend. Weniger anzeigen

Mit dem Begriff Portscans wird eine Technik beschrieben, mit der Computer systematisch auf geöffnete Ports untersucht werden können. Diese Technik wird bereits seit Jahrzehnten von Unternehmen oder Sicherheitsforschern eingesetzt, um damit potentielle Sicherheitslücken zu erkennen. Diese Möglichkeit machen sich jedoch auch kriminelle Angreifer zunutze. Der Beitrag betrachtet die technischen Hintergründe von Portscans und bewertet deren Einsatz unter strafrechtlichen Gesichtspunkten… Mehr anzeigen

Mit dem Begriff Portscans wird eine Technik beschrieben, mit der Computer systematisch auf geöffnete Ports untersucht werden können. Diese Technik wird bereits seit Jahrzehnten von Unternehmen oder Sicherheitsforschern eingesetzt, um damit potentielle Sicherheitslücken zu erkennen. Diese Möglichkeit machen sich jedoch auch kriminelle Angreifer zunutze. Der Beitrag betrachtet die technischen Hintergründe von Portscans und bewertet deren Einsatz unter strafrechtlichen Gesichtspunkten. Abschließend werden verschiedene Schutzmaßnahmen aufgezeigt, die zur Abwehr von unerwünschten Portscans zur Verfügung stehen. Weniger anzeigen

Im Zuge der voranschreitenden technischen Entwicklung werden stets neue Geräte hergestellt, die verbotene Sendeanlagen i.S.d. § 90 TKG sein könnten. Der Beitrag stellt zunächst die Voraussetzungen des § 90 TKG dar, wobei auch Normzweck und Entstehungsgeschichte Berücksichtigung finden. Anschließend werden potentielle Spionagegeräte analysiert, die als verbotene Sendeanlage in Betracht kommen. Dabei wird – auch mit Blick auf die strafrechtliche Sanktionierung des Einsatzes verbotener… Mehr anzeigen

Im Zuge der voranschreitenden technischen Entwicklung werden stets neue Geräte hergestellt, die verbotene Sendeanlagen i.S.d. § 90 TKG sein könnten. Der Beitrag stellt zunächst die Voraussetzungen des § 90 TKG dar, wobei auch Normzweck und Entstehungsgeschichte Berücksichtigung finden. Anschließend werden potentielle Spionagegeräte analysiert, die als verbotene Sendeanlage in Betracht kommen. Dabei wird – auch mit Blick auf die strafrechtliche Sanktionierung des Einsatzes verbotener Sendeanlagen zu Abhörzwecken – die Frage aufgeworfen, ob § 90 TKG in der digitalen Gesellschaft noch zeitgemäß ist. Weniger anzeigen

Im Februar 2017 ging die Bundesnetzagentur gegen unerlaubte funkfähige Sendeanlagen in Kinderspielzeug vor und hat bereits erste Exemplare der Kinderpuppe „My Friend Cayla“ vom Markt genommen. Im Zuge der voranschreitenden technischen Entwicklung werden stets neue Geräte hergestellt, die verbotene Sendeanlagen i.S.d. § 90 TKG sein könnten. Durch smarte Spielzeuge wie z.B. „My Friend Cayla“ können potenzielle Spionagegeräte in die heimische Wohnung und die Hände von Kindern gelangen. Dieser… Mehr anzeigen

Im Februar 2017 ging die Bundesnetzagentur gegen unerlaubte funkfähige Sendeanlagen in Kinderspielzeug vor und hat bereits erste Exemplare der Kinderpuppe „My Friend Cayla“ vom Markt genommen. Im Zuge der voranschreitenden technischen Entwicklung werden stets neue Geräte hergestellt, die verbotene Sendeanlagen i.S.d. § 90 TKG sein könnten. Durch smarte Spielzeuge wie z.B. „My Friend Cayla“ können potenzielle Spionagegeräte in die heimische Wohnung und die Hände von Kindern gelangen. Dieser Beitrag betrachtet die technischen Grundlagen von ausgewählten Smart Toys und beleuchtet diese aus strafrechtlicher Sicht. Die strafrechtliche Analyse konzentriert sich dabei auf die Voraussetzungen des § 90 TKG. Weniger anzeigen

Hardware-Keylogger sind bereits seit Jahrzehnten bekannt — ihr Gefährdungspotential hat sich jedoch kaum verringert. Sie setzen dort an, wo gängige Schutzmaßnahmen noch nicht greifen: Daten werden direkt bei der Eingabe abgegriffen, bevor Zugangssicherung und Verschlüsselung aktiv werden können. Die abgegriffenen Daten können Credentials wie Benutzer-Accounts und Passwörter, aber auch E-Mails oder andere vertrauliche Daten umfassen. Dieser Beitrag betrachtet die technischen Hintergründe von… Mehr anzeigen

Hardware-Keylogger sind bereits seit Jahrzehnten bekannt — ihr Gefährdungspotential hat sich jedoch kaum verringert. Sie setzen dort an, wo gängige Schutzmaßnahmen noch nicht greifen: Daten werden direkt bei der Eingabe abgegriffen, bevor Zugangssicherung und Verschlüsselung aktiv werden können. Die abgegriffenen Daten können Credentials wie Benutzer-Accounts und Passwörter, aber auch E-Mails oder andere vertrauliche Daten umfassen. Dieser Beitrag betrachtet die technischen Hintergründe von Hardware- Keylogger-Angriffen, beleuchtet diese Angriffe aus strafrechtlicher Sicht und stellt konzeptionelle Schutzmaßnahmen vor, um diesem Angriffsmittel zu begegnen. Weniger anzeigen

Die Bestandsvervollständigung ist für Bibliotheken mit großem manuellen Aufwand verbunden. Unsere Softwareentwicklung will Bibliotheken beim gesamten Anschaffungsprozess unterstützen. Jedes Werk auf der Anschaffungsliste wird automatisiert auf Verfügbarkeit im Buchhandel und auf die Dauer des Urheberrechts geprüft. Der Beitrag beschreibt zum einen, welche Probleme Bibliotheken bei der Auffüllung ihres Bestandes haben. Zum anderen werden rechtliche Grundlagen der Regelschutzfristen des… Mehr anzeigen

Die Bestandsvervollständigung ist für Bibliotheken mit großem manuellen Aufwand verbunden. Unsere Softwareentwicklung will Bibliotheken beim gesamten Anschaffungsprozess unterstützen. Jedes Werk auf der Anschaffungsliste wird automatisiert auf Verfügbarkeit im Buchhandel und auf die Dauer des Urheberrechts geprüft. Der Beitrag beschreibt zum einen, welche Probleme Bibliotheken bei der Auffüllung ihres Bestandes haben. Zum anderen werden rechtliche Grundlagen der Regelschutzfristen des Urheberrechtsgesetzes beleuchtet, um abschließend einen ersten Prototypen zur softwaregestützten Berechnung dieser Regelschutzfrist vorzustellen. Weniger anzeigen

Phishing, zu deutsch „Passwort-Fischen", ist eine Form des Social Engineering und wird von Angreifern verwendet, um an persönliche Daten von Internetnutzern zu gelangen und diese anschließend für einen Identitätsdiebstahl zu verwenden. In den vergangenen Jahren konzentrierten sich Angriffe mittels Phishing schwerpunktmäßig auf Online-Banking und Kreditkartendaten. Doch mittlerweile stehen neben diesem klassischen Gebiet auch verstärkt die Zugangsdaten zu sozialen Netzwerken im Fokus der… Mehr anzeigen

Phishing, zu deutsch „Passwort-Fischen", ist eine Form des Social Engineering und wird von Angreifern verwendet, um an persönliche Daten von Internetnutzern zu gelangen und diese anschließend für einen Identitätsdiebstahl zu verwenden. In den vergangenen Jahren konzentrierten sich Angriffe mittels Phishing schwerpunktmäßig auf Online-Banking und Kreditkartendaten. Doch mittlerweile stehen neben diesem klassischen Gebiet auch verstärkt die Zugangsdaten zu sozialen Netzwerken im Fokus der Angreifer. So meldete beispielsweise das IT-Sicherheitsunternehmen Proofpoint, dass in der ersten Hälfte des Jahres 2016 Phishingangriffe mit Hilfe von Sozialen Netzwerken um 150% im Vergleich zum gleichen Zeitraum im Vorjahr gestiegen sind. Diese Entwicklung wirft die Frage auf, ob und wenn ja inwieweit ein Phishing-Angriff, der auf die Zugangsdaten zu sozialen Netzwerken abzielt, strafbar ist. Dabei gilt es zu beachten, dass Phishing kein juristischer Begriff ist und auch aus informationstechnischer Sicht eher einen Oberbegriff als eine exakte Beschreibung der Vorgehensweise des Angreifers darstellt. Für eine juristische Beurteilung der Strafbarkeit von Phishing-Angriffen ist, wie bei anderen Computer-Straftaten, jedoch gerade die genaue Kenntnis der Vorgehensweise der Angreifer erforderlich, was eine genauere Untersuchung erforderlich macht. Weniger anzeigen

Der Beitrag gibt einen kurzen Überblick über die bisherige Nutzung und Verbreitung von Live-Systemen und zeigt an einem konkreten Beispiel wie offene Betriebssysteme zum Schreiben von Prüfungen angepasst werden können und welche Vorteile sich daraus ergeben. Dazu wird das Saarbrücker Prüfungsrechner-Toolkit «Challenge OS» vorgestellt, welches der Autor am Lehrstuhl von Prof. Dr. Georg Borges entwickelt hat. Ferner wird ein kurzer Ausblick auf weitere Nutzungsmöglichkeiten von Live-Systemen in… Mehr anzeigen

Der Beitrag gibt einen kurzen Überblick über die bisherige Nutzung und Verbreitung von Live-Systemen und zeigt an einem konkreten Beispiel wie offene Betriebssysteme zum Schreiben von Prüfungen angepasst werden können und welche Vorteile sich daraus ergeben. Dazu wird das Saarbrücker Prüfungsrechner-Toolkit «Challenge OS» vorgestellt, welches der Autor am Lehrstuhl von Prof. Dr. Georg Borges entwickelt hat. Ferner wird ein kurzer Ausblick auf weitere Nutzungsmöglichkeiten von Live-Systemen in juristischen Arbeitsabläufen gegeben. Weniger anzeigen

Dass es ein gesteigertes Interesse daran gibt, dass Studierende Prüfungsleistungen in elektronischer Form, z.B. als sogenannte e-Klausur, ablegen können, zeigt nicht nur ein breites Angebot an proprietären und Open-Source-Lösungen, sondern auch das Engagement von einigen Universitäten, die als Vorreiter auf diesem Gebiet gelten können. Zu nennen wäre hier beispielhaft das System ILIAS der Justus-Liebig-Universität-Gießen, welches auch von zahlreichen anderen Universitäten eingesetzt wird. Die… Mehr anzeigen

Dass es ein gesteigertes Interesse daran gibt, dass Studierende Prüfungsleistungen in elektronischer Form, z.B. als sogenannte e-Klausur, ablegen können, zeigt nicht nur ein breites Angebot an proprietären und Open-Source-Lösungen, sondern auch das Engagement von einigen Universitäten, die als Vorreiter auf diesem Gebiet gelten können. Zu nennen wäre hier beispielhaft das System ILIAS der Justus-Liebig-Universität-Gießen, welches auch von zahlreichen anderen Universitäten eingesetzt wird. Die Universität Bremen hält für e-Klausuren sogar ein eigenes Testcenter mit 120 Prüfungsplätzen vor. E-Klausuren sind aber auch mit geringerem technischem Aufwand, beispielsweise durch den Einsatz von Live-Systemen, realisierbar. Dies zeigt beispielhaft die Entwicklung des „Saarbrücker Prüfungsrechner-Toolkits", welches auf dem Internationalen Rechtsinformatik Symposion IRIS im Jahr 2015 vorgestellt wurde. Während es also von technischer Seite zahlreiche Möglichkeiten gibt, e-Klausuren anzubieten und vorhandene Lösungen weiterzuentwickeln, werden diese – soweit überschaubar – bisher an juristischen Fakultäten kaum angeboten. Weniger anzeigen