Suchergebnisse

Stephan Sädtler untersucht neben den datenschutzrechtlichen Voraussetzungen des Umgangs mit Identitätsdaten im Cloud Computing insbesondere die Anforderungen an den Einsatz des neuen Personalausweises, die sich aus dem Personalausweisrecht ergeben, sowie damit verbundene Beweisfragen. Technische Grundlage der Untersuchung bildet die Referenzarchitektur des Trusted-Cloud Forschungsprojektes SkIDentity, die eine Brücke zwischen unterschiedlichen Identitäts-Diensten einerseits und unterschiedlichen Cloud-Diensten andererseits schlägt. Der Autor geht durchgängig auf die europarechtlichen Vorgaben im allgemeinen Datenschutzrecht und im Recht bezüglich elektronischer Ausweise ein. Der Inhalt ● Sicherheit im Cloud Computing ● Technische Grundlagen ● Rechtsrahmen und Relevanz für den Umgang mit Identitätsdaten ● Untersuchung relevanter Rechtsverhältnisse Die Zielgruppen ● Dozierende und Studierende der Rechtswissenschaften, der Informatik, der Wirtschaftswissenschaften ● Unternehmensjuristen bei IT-Unternehmen, Verwaltungsjuristen (bei IT-Beschaffung), Fachanwälte für IT-Recht Der Autor Dr. Stephan Sädtler ist Fachanwalt für IT-Recht und in der Rechtsabteilung eines Softwarehauses und IT-Dienstleisters tätig. Zusätzlich ist er Lehrbeauftragter für IT-Sicherheitsrecht an der Universität Passau

Inhaltsangabe: Eine ganze Reihe von Verfahren der öffentlichen Verwaltung sind bereits heute als E-Government-Anwendungen umgesetzt. Dadurch wurden die damit einhergehenden Geschäftsprozesse zum Teil optimiert. Dies betrifft Aspekte der Interaktion, Information und Kommunikation zwischen Bürgern und der Verwaltung. Ein Bürger kann beispielsweise eine ganze Reihe von Informationen auf der Website einer Behörde einsehen und mit ihr per EMail kommunizieren. Jedoch lassen sich nach wie vor viele transaktionsorientierte Geschäftsprozesse aufgrund einer fehlenden Infrastruktur für digitale Identitäten nicht medienbruchfrei über das Internet abwickeln. Viele Verwaltungsakte erfordern eine eindeutige Identifizierung des Bürgers. Derzeit dient vor allem der Personalausweis als Dokument zum Nachweis der Identität in hoheitlichen manuellen Verfahren. Auf ihm werden die Identitätsdaten ausschließlich aufgedruckt und können somit nicht elektronisch übermittelt werden. Die betreffenden Genehmigungsverfahren können somit nicht medienbruchfrei abgewickelt werden. Der Bürger muss also zu ihrer Durchführung nach wie vor persönlich bei der jeweiligen Behörde erscheinen, damit ein Behördenmitarbeiter durch Inaugenscheinnahme des Personalausweises abgleichen kann, ob der Bürger derjenige ist, der er zu sein behauptet. Gäbe es die Möglichkeit, sich im Internet auf sichere Weise elektronisch zu identifizieren, so würde dies zu einer weiteren erheblichen Optimierung der hoheitlichen Verfahren führen. Viele Genehmigungsverfahren, die bislang ein umfangreiches Mitwirken von Behördenmitarbeitern erforderten, könnten dann automatisiert und elektronisch abgewickelt werden. Behördenmitarbeiter müssten nur noch in den Prozess eingreifen, wenn es einer Entscheidung bedarf, die nicht automatisiert abgebildet werden kann. Für den Bürger wiederum würde die Einführung einer digitalen Identität bedeuten, dass Behördengänge unnötig werden und er nicht an die Öffnungszeiten der jeweiligen Behörde gebunden ist. Unter der Identität einer Person versteht man die Menge der Ausprägungen aller Attribute, die diese charakterisieren. Jede Person besitzt eine eindeutige Identität. Ändert sich die Ausprägung eines Attributs, beispielsweise des Alters, so behält die Person ihre Identität bei. Um eine Person in Geschäftsprozessen identifizieren zu können, bedarf es demnach einer unveränderlichen Teilmenge an Attributen, die eindeutig ist. Häufig wird hierzu ein gesondertes Ordnungsmerkmal verwendet. Partielle Identitäten bilden nur eine Teilmenge der charakterisierenden Attribute einer Person ab. Sinnvollerweise sollte eine partielle Identität solche Attribute beinhalten, die in dem jeweiligen Kontext adäquate Informationseinheiten darstellen. Eine digitale Identität wiederum stellt die elektronische Repräsentation einer partiellen Identität dar. Derzeit verzichten viele Bürger in Deutschland auf die Nutzung von E-Government-Anwendungen, da sie nicht in deren Sicherheit und generell der des Internet vertrauen. In den Medien wird vielfach von entsprechenden Sicherheitslücken berichtet. So haben viele die Sorge, dass ihre personenbezogenen Daten in die Hände Unbefugter gelangen (beispielsweise durch Phishing-Atacken) oder bei der Übertragung in böswilliger Absicht verfälscht werden können. Kennt ein Unberechtigter erst die Identitätsdaten einer anderen Person, so kann er sie dazu missbrauchen, deren Identität vorzutäuschen (Identitätsdiebstahl). Die Verwendung einer digitalen Identität stellt also zunächst nur eine behauptete Identität (Claim) dar. Bei Verwaltungsakten, die einen Nachweis der Identität erfordern, muss die behauptete Identität also verifiziert werden. Dabei bestehen Sicherheitsziele bezüglich der Verbindlichkeit und Vertraulichkeit der übertragenen Daten. 'Unter dem Sammelbegriff Verbindlichkeit versteht man das Ziel, dass die übertragenen Daten als 'gültig' angesehen werden können. Insbesondere sind hierbei die Rechtsverbindlichkeit (im Sinne eines Vertragsabschlusses), Erfüllung der Schriftform-Erfordernis (gemäß den rechtlichen Anforderungen) und die Nicht-Abstreitbarkeit (Schutz gegen nachträgliches Bestreiten der Urheberschaft) zu gewährleisten. Außerdem sind auch die Anforderungen Identifizierbarkeit des Absenders (Möglichkeit der eindeutigen Zuordnung der Identifikations-Daten), Eindeutigkeit der Abbildung der Authentisierungs-Daten auf den Datenbestand und Integrität der Daten (Schutz gegen Veränderung von Daten bei deren Übertragung) wichtig. Für viele Fachverfahren ist auch der Zeitpunkt der Identitätsfeststellung wesentlich, also die Frage nach der Notwendigkeit einer Ex-ante-Authentifizierung (Authentifizierung vor Erbringung der Dienstleistung).' [AIEG02, S. 10] Letzteres gilt für Verfahren, die zunächst die Vorlage des Personalausweises erfordern, per se. 'Unter Vertraulichkeit versteht man das Ziel, dass kein unberechtigter Dritter Kenntnis der übertragenen Daten erhält. Insbesondere sind hierbei die Sicherheit der Datenübertragung (Schutz gegen Mitlesen bei der Datenübermittlung) und die Adressierbarkeit des Empfängers (Schutz gegen Übermittlung der Daten an einen unberechtigten Dritten) zu gewährleisten.' Da bei Verwendung einer digitalen Identität der Nachweis durch Inaugenscheinnahme entfällt, müssen gleichwertige Sicherheitsfunktionen implementiert werden. Dabei müssen folgende Funktionen zur Verfügung stehen: Authentisierung – Die Kommunikationspartner müssen nachweisen, dass sie tatsächlich diejenigen sind, die sie zu sein vorgeben. Authentifizierung – Die Kommunikationspartner müssen die Authentisierungsdaten auf Korrektheit prüfen. Identifizierung – Die Identitätsdaten des Kommunikationspartners werden ermittelt. Autorisierung – Man prüft die Berechtigung des Kommunikationspartners zum Ausführen bestimmter Operationen und gewährt entsprechenden Zugriff. Kryptographie – Damit Unberechtigte nicht in den Besitz der ausgetauschten Daten gelangen, müssen Verschlüsselungsmechanismen zur Verfügung stehen. Es existieren theoretisch drei unterschiedliche Methoden sich zu authentisieren: Wissen um ein Geheimnis – man erbringt den Nachweis, dass man eine Information hat, die sonst niemandem zugänglich sein sollte, bspw. durch Eingabe eines Passwortes oder einer PIN-Nummer. Besitz eines Gegenstands – nur der Besitzer des Gegenstandes kann sich authentifizieren, bspw. durch Einführen einer Chipkarte in einen entsprechenden Kartenterminal. Anwesenheit – man weist nach, dass man während der Authentisierung vor Ort ist, bspw. durch Inaugenscheinnahme oder durch das Erfassen und Abgleichen von biometrischen Merkmalen. Keiner der aufgeführten Methoden bietet absolute Sicherheit. Ein Unberechtigter könnte durch eine Phishing-Attacke Wissen über eine PIN-Nummer erlangen oder durch Diebstahl in den Besitz einer Chipkarte gelangen. Die höchste Sicherheit bezüglich einer elektronischen Authentisierung würde das Erfassen und Abgleichen biometrischer Merkmale bieten. Das Auslesen biometrischer Merkmale ist jedoch nach dem deutschen Passgesetz lediglich Polizeivollzugsbehörden, der Zollverwaltung, Pass-, Personalausweis- und Meldebehörden zur Feststellung der Echtheit des Dokuments und der Identität des Inhabers gestattet. Darüber hinaus steht die dafür benötigte Infrastruktur nicht in einem ausreichenden Maß zur Verfügung. Eine deutliche Optimierung der Sicherheit gegenüber der Anwendung nur einer Methode lässt sich durch die Kombination der Authentisierungsprinzipien Wissen und Besitz erzielen. Die Bundesregierung plant für Ende 2009 die Einführung des elektronischen Personalausweises (ePA). Neben den bisherigen Funktionen als Dokument zur Identifizierung durch Inaugenscheinnahme und als Reisedokument, soll er um digitale Identitätsdaten erweitert werden, um mit ihm einen elektronischen Identitätsnachweis (eID-Funktion) erbringen zu können. Die eID-Funktion kann auf Veranlassung des ePA-Inhabers auf dem Chip abgeschaltet aber auch später wieder eingeschaltet werden. Des Weiteren sollen wie beim elektronischen Reisepass (ePass) biometrische Merkmale elektronisch vorgehalten werden. Das Lichtbild ist dabei verpflichtend elektronisch zu erfassen, während der ePA-Inhaber frei darüber entscheiden können soll, ob seine Fingerabdrücke gespeichert werden. Geplant ist auch, dass man optional ein Signaturzertifikat von einer gewerblichen Zertifizierungsstelle nachladen kann. Da der Personalausweis jedoch nicht über ein Personenkennzeichen verfügt (die Seriennummer darf nicht zum Abruf personenbezogener Daten verwendet werden), ist die Signaturfunktion nicht dazu geeignet, verfahrensspezifische elektronische Dokumente zu 'unterschreiben', welche die Angabe eines Personenkennzeichens erfordern, wenn dieses nicht auf andere sichere Weise in den Prozess eingebracht wird. Mit der Einführung des ePA hat in Deutschland in einigen Jahren jeder Bürger die Option, in den Besitz einer digitalen Identität zu gelangen, was mit einiger Sicherheit zu einer vermehrten Nutzung von E-Government-Anwendungen führen wird. Dies wird jedoch nur dann eintreten, wenn die Bürger von der Sicherheit des ePA überzeugt sind. Neben den datenschutzrechtlichen Erfordernissen soll dieser Tatsache durch folgende Anforderungen an die Implementierung des ePA Rechnung getragen werden: Die Authentisierung und Freigabe der verifizierten Identitätsdaten (elektronischer Identitätsnachweis) soll unter der Kontrolle des Besitzers des ePA stehen. Zur erhöhten Sicherheit sind die beiden Authentisierungsprinzipien Wissen und Besitz zu kombinieren (Authentizität). Dadurch wird eine starke Bindung zwischen dem ePA und dessen Inhaber hergestellt. Es sollen nur die Identitätsdaten übermittelt werden, die in dem jeweiligen Kontext benötigt werden (Prinzip der Datensparsamkeit). Des Weiteren sollen nur solche Entitäten Zugriff auf die Identitätsdaten des ePA haben, die dazu von staatlicher Seite berechtigt sind. Die Übertragung der Daten muss über einen gesicherten Kanal erfolgen, so dass kein Unberechtigter Zugriff auf die Daten erlangen kann (Vertraulichkeit). Der Empfänger der Identitätsdaten muss sich ebenfalls gegenüber dem ePA und dem Besitzer des ePA auf sichere Weise authentisieren. Das Thema elektronische Identität (eID) ist jedoch nicht nur im nationalen sondern auch im europäischen Kontext von Belang. In Kapitel 1 wird erläutert, welche E-Government-Programme auf EU- und auf BRD-Ebene sich mit dem Thema befassen und welche Vorgaben bezüglich der Umsetzung einer eID erarbeitet wurden. Selbstverständlich gibt es auch einige gesetzliche Normen, die dabei zu berücksichtigen sind und andere, die den Erfordernissen entsprechend anzupassen sind. Sie werden in Kapitel 2 vorgestellt. In Kapitel 3 wird die Notwendigkeit der Einführung digitaler Identitäten erläutert. Der Umgang mit Personenkennzahlen in Deutschland wird in Kapitel 4 beschrieben. Die Rechtslage macht die Verwendung bereichsspezifischer Personenkennzahlen erforderlich. Wie dies umgesetzt wird, wird beispielhaft an einigen aktuellen Projekten der Bundesverwaltung erörtert. Kapitel 5 befasst sich mit der technischen Realisierung des ePA. Besonderes Augenmerk wird dabei auf die Spezifikation des Protokolls zur Implementierung der eID-Funktion gerichtet. Aspekte der Interoperabilität der eID-Funktion werden in Kapitel 6 beleuchtet. Dies betrifft zum einen Interoperabilität der Chipkarten, die im Rahmen der Kartenprojekte der Bundesregierung ausgegeben werden. Zum anderen betrifft es die grenzüberschreitende Interoperabilität der unterschiedlichen eID-Lösungen der EU-Staaten. In Kapitel 7 wird mit den Bürgerportalen eine weitere Lösung der Bundesregierung beschrieben, mit der die Erbringung eines sicheren elektronischen Identitätsnachweises möglich ist. Zuletzt werden in Kapitel 8 Einsatzszenarien der eID-Funktion dargestellt.

Intro -- -- Vorwort -- Teil 1: Einführung in den Untersuchungsgegenstand -- A. Problemstellung -- B. Gang der Untersuchung -- Teil 2: Grundbegriffe und Ausgangslage -- A. Identität -- I. Identität und Identifizierung -- 1. Identitätsdaten -- a) Personalien -- b) Personenkennzeichen -- c) Biometrische Merkmale -- d) Identitätsdaten bei elektronischer Kommunikation -- e) Identität als Identifizierung durch den Kommunikationspartner -- 2. Identitätsattribute -- 3. Identifikatoren -- 4. Digitale Identitäten -- 5. Partielle Identitäten -- II. Identität im Recht -- III. Identitäten juristischer Personen -- IV. Identitätsmanagement -- B. Begriff und Steuerung des E⁠-⁠Governments in Deutschland -- I. Begriff des E⁠-⁠Governments -- 1. Begriffsentwicklung -- 2. Abgrenzung zu E-Justice -- 3. Interaktionsstufen von E⁠-⁠Government -- a) Information -- b) Kommunikation -- c) Transaktion -- 4. Prozessorientierung -- II. IT-Planungsrat -- III. Nationale E⁠-⁠Government-Strategie (NEGS) -- IV. Bestandteil der Digitalen Agenda 2014-2017 -- C. Identitätsmanagement im E⁠-⁠Government -- I. Medienbruchfreie Prozesse -- II. Identifizierung des Nutzers -- III. Gefahren und Herausforderungen der elektronischen Kommunikation -- 1. Generelle Gefahren -- a) Die Transnationalität der Datenverarbeitung -- b) Angriffe auf die Kommunikationswege und Kompromittierung von Transaktionen -- aa) Unsicherheit der "einfachen" E-Mail -- bb) Angriffe auf den Login eines Nutzers -- cc) Missbrauch einer Nutzeridentität bzw. Identitätsmissbrauch -- dd) Man-in-the-middle-Angriffe -- ee) Computerviren, Würmer und Trojaner -- ff) Zugriffe durch den Staat und Private -- c) Mangelnde Nachvollziehbarkeit von Veränderungen in der digitalen Welt -- d) Mehrdimensionalität des Internets -- e) Trennung in Frontoffice- und Backoffice-Strukturen -- f) Vernetzung und Dezentralität des Internets.

Intro -- Vorwort -- 1 Einleitung -- 2 Amazons Philosophie und die richtige Amazon-Strategie -- 2.1 Amazons Philosophie -- 2.1.1 Amazons erster Brief an seine Aktionäre -- 2.1.2 Den Kunden im Fokus -- 2.1.3 Die Rolle der Prime-Mitgliedschaft -- 2.1.4 Vertikale Integration -- 2.1.5 Nutzung von Skaleneffekten -- 2.1.6 Kultur -- 2.2 Die richtige Amazon-Strategie -- 2.2.1 Amazon und andere Plattformen -- 2.2.2 Marken- und Unternehmensstrategie -- 2.2.3 Integration in die bestehenden Distributionskanäle -- 2.2.4 Konkurrenzsituation -- 2.2.5 Wahl des passenden Verkaufsmodells -- 2.2.6 Was ist Ihr unfairer Vorteil? -- 2.2.7 Abhängigkeiten vermeiden -- 2.3 Das richtige Mindset -- 3 Einrichtung des Verkäuferkontos -- 3.1 Als Seller registrieren -- 3.2 Kontoverifizierung -- 3.2.1 Identitätsdaten -- 3.3 Wichtige Angaben zum Verkäuferkonto -- 3.3.1 Impressum -- 3.3.2 Widerrufsrecht -- 3.3.3 Datenschutz -- 3.3.4 Allgemeine Geschäftsbedingungen -- 3.4 Verkäuferprofil -- 4 Erstellung von Produktlistings -- 4.1 Ein Produktlisting von außen betrachtet -- 4.1.1 Produkttitel -- 4.1.2 Highlights -- 4.1.3 Produktbeschreibung -- 4.1.4 Erweiterte Produktbeschreibung - A+ Content -- 4.1.5 Markengeschichte -- 4.1.6 Bilder -- 4.1.7 Videos -- 4.1.8 Varianten -- 4.1.9 Produktdetailseite für mobile Endgeräte -- 4.2 Erstellung von Angeboten und Produktdetailseiten -- 4.2.1 Produktnummern -- 4.2.2 Verkauf eines Fremdproduktes -- 4.2.3 Verkauf eines neuen Produktes ohne Varianten -- 4.2.4 Hinzufügen eines Produktes mit unterschiedlichen Varianten -- 4.3 Lagerbestandsdateien -- 4.3.1 Herunterladen einer kategoriespezifischen Lagerbestandsdatei -- 4.3.2 Erstellung mehrerer Angebote mithilfe der Lagerbestandsdatei -- 4.3.3 Aktualisierung des Lagerbestandes -- 4.3.4 Hinzufügen von Varianten in Seller Central -- 4.3.5 Hinzufügen von Varianten mithilfe des Varianten-Assistenten.

"Fake News" bilden seit Menschengedenken ein zentrales Problem für die individuelle und öffentliche Meinungsbildung. Dabei wird die Wirkung verbreiteter Desinformation heutzutage durch die technischen Möglichkeiten im Bereich der Online-Kommunikation, etwa durch die Echokammern in sozialen Netzwerken oder den Einsatz künstlicher Meinungsverstärker, mitunter noch verstärkt. Effekte von einmal geäußerter Desinformation lassen sich aus kognitionswissenschaftlicher Perspektive nur noch sehr schwer korrigieren. Die Arbeit beschäftigt sich daher mit dem (kommunikations-)grundrechtlichen Schutz vo...

"Fake News" bilden seit Menschengedenken ein zentrales Problem für die individuelle und öffentliche Meinungsbildung. Dabei wird die Wirkung verbreiteter Desinformation heutzutage durch die technischen Möglichkeiten im Bereich der Online-Kommunikation, etwa durch die Echokammern in sozialen Netzwerken oder den Einsatz künstlicher Meinungsverstärker, mitunter noch verstärkt. Effekte von einmal geäußerter Desinformation lassen sich aus kognitionswissenschaftlicher Perspektive nur noch sehr schwer korrigieren. Die Arbeit beschäftigt sich daher mit dem (kommunikations-)grundrechtlichen Schutz vo...