"DATA PROTECTION DAY" DER HDM RECHTLICHE ASPEKTE DES DATENSCHUTZES UND DES HACKING - DR. THOMAS A. DEGEN, FACHANWALT FÜR IT-RECHT, STUTTGART ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
2. "Data Protection Day" der HdM
Rechtliche Aspekte des Datenschutzes und des Hacking
Dr. Thomas A. Degen, Fachanwalt für IT-Recht, Stuttgart
2. Data Protection Day Seite 1 Degen 20180622
RA Dr. Thomas A. Degen Fachanwalt für IT-Recht Externer Datenschutzbeauftragter Fachbuchautor Mitglied IT-Ausschuss BRAK (2008-2015) Schwerpunkte Beratung u. Prozessführung: • Handel / Digitaler Vertrieb • IT / Datenschutz / Digitale Transformation / Industrie 4.0 • Urheberschutz / Lizenzen • Social Media / Apps / Arbeit / Reputationsschutz • Erneuerbare Energien Jordan & Wagner RA GmbH Alexanderstr. 8A, 70184 Stuttgart, 0711 255 404 60, thomas.degen@jordan-ra.com 2. Data Protection Day Seite 2 Degen 20180622
Agenda: A. Gesellschaft & Wirtschaft: Datenschutz & IT-Sicherheit B. Recht & Compliance I. Öffentlicher Datenschutz II. Strafrecht - Cyber-Attacken III. Zivilrecht 2. Data Protection Day Seite 3 Degen 20180622
A. Datenschutz & IT-Sicherheit „Gehackte Bundestags-Rechner: Cyber-Angriff kam per E-Mail Der Schaden ist gigantisch: Hacker attackieren das Bundestags-Netzwerk und haben Administrationsrechte für die Infrastruktur.“ Quelle: 12.06.2015 (www.n-tv.de/politik/Cyber-Angriff-kam-per-E-Mail-article15285896.html) 2. Data Protection Day Seite 4 Degen 20180622
A. Datenschutz & IT-Sicherheit
Spannungsfeld:
– Wachsende Möglichkeiten des Eindringens in fremde Systeme
– Steigende Bedeutung des Datenschutzes: DSGVO in aller Munde
Bedürfnis rechtlicher Grundlagen:
– Öffentlicher Datenschutz
– Wann beginnt die Strafbarkeit beim Hacken?
– Zivilrechtliche Ansprüche Geschädigter
2. Data Protection Day Seite 5 Degen 20180622
A. Datenschutz & IT-Sicherheit • Bundesrat hat sich am 24.11.2017 mit EU-Plänen zur Cybersicherheit & zum Schutz vor Hacker-Angriffen auseinandergesetzt • Bundesrat wüscht Sensibilisierung der Nutzer u. Regelung der Gewährleistungsrechte bei Sicherheitslücken von IT-Produkten • EU-Kommission habe Anliegen geäußert, Bürger besser vor Cyberattacken zu schützen, denn Anzahl sei rasant gestiegen; wirtschaftl. Schaden durch Cyberkriminalität habe sich in letzten 5 Jahren verfünffacht • Zur Verbesserung der Cyberabwehrfähigkeit wolle Kommission EU-Agentur für Netz- und Informationssicherheit (ENISA) stärken und zur EU-Agentur für Cybersicherheit ausbauen; geplant seien Rahmen für Cyber- sicherheitszertifizierung, Aufbau eines Notfallmanagements u. Errichtung eines Europ. Forschungs- u. Kompetenzzentrums für Cybersicherheit • Quelle: https://rsw.beck.de/aktuell/meldung/bundesrat-unterstuetzt-europaeische-vorhaben-zur-cybersicherheit 2. Data Protection Day Seite 6 Degen 20180622
B. I. Öffentlicher Datenschutz • Datenschutz als Gemeinwohlinteresse • Recht auf informationelle Selbstbestimmung: im Grundgesetz verankert • Erstmals im Volkszählungsurteil 1983: Verhinderung des „gläsernen Menschen“ – jeder Mensch soll selbst bestimmen, wie mit seinen Daten umzugehen ist • Verschiedene Datenschutznormierungen des deutschen Gesetzgebers - grundsätzlich Einwilligung erforderlich • Datenschutz in Zeiten des Internets über die Grenzen hinweg: Harmonisierung der Datenschutzvorschriften durch EU – DSGVO 2. Data Protection Day Seite 7 Degen 20180622
B. I. Regulatorischer Rahmen DSGVO & BDSG-neu • Verordnung (EU) 2016/679, seit 25.05.2018 unmittelbar geltendes Recht ohne Umsetzungsakte • ersetzt mit 99 Artikeln und 173 Erwägungsgründen wesentliche Teile des Bundesdatenschutzgesetzes (BDSG) • seit 25.05.2018 mit Datenschutzanpassungsgesetz v. 30.06.2017 ergänzend BDSG-neu (BGBl. 2017 I S. 2097) • vereinheitlicht die Erhebung, Verarbeitung u. Nutzung personenbezogener Daten • zielt darauf, Datenschutz in betrieblicher u. behördlicher Praxis mehr Geltung und Gehör zu verschaffen 2. Data Protection Day Seite 8 Degen 20180622
B. I. Regulatorischer Rahmen DSGVO & BDSG-neu • Normadressaten: alle Unternehmen u. deren EU-Niederlassungen, die personenbezogene Daten als »Verantwortliche« (bislang »verantwortliche Stelle«) verarbeiten u. Unternehmen mit Sitz außerhalb EU, soweit Verarbeitung personenbezogener Daten im Zusammenhang mit Angebot von Waren o. Dienstleistungen in EU steht o. Verhalten von natürl. Personen in EU erfasst • Neue Prinzipien: risikobasierter Ansatz, Datenschutz-/IT- Compliance- Anforderungen u. ausgeweiteter Bußgeldrahmen mit gestiegener Kontrolldichte • Rechtsrahmen durch e-Privacy-Verordnung ergänzt für Telefonie, Internetaccess, Messaging, E-Mails, Direktmarketing 2. Data Protection Day Seite 9 Degen 20180622
B. I. Geltung, Marktortprinzip, exterritoriale Wirkung
Auslandsniederlassungen von EU-Firmen
auch bei Verarbeitung außerhalb EU
Datenverarbeitung in der EU
Waren- und Dienstleistungsangebote für EU-Bürger
Monitoring
von EU-Bürgern
Verarbeitung nach Recht eines
Mitgliedsstaates
2. Data Protection Day Seite 10 Degen 20180622B. I. Wesentliche Neuregelungen DSGVO
• EU-weite Geltung u. Erweiterung auf Auftraggeber in Drittstaaten
• Erhöhung der Bußgelder auf 20 Mio. € bzw. 4 % Jahresumsatz
• Parallele volle Haftung des Auftragsverarbeiters
• Konzentration der Aufsicht in Mitgliedsstaaten des Hauptsitzes
• Rechte auf Löschen, auf eingeschränkte Verarbeitung und
Datenübertragbarkeit
• Beweislastumkehr ohne Verschlüsselung und Sicherheitskonzept
• Notifizierung von Datenschutzverletzungen
• Dokumentationspflichten, Datenschutz- u. Sicherheitsmaßnahmen
• Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen
• Datenschutzfolgeabschätzung
• Datenschutz bei Kindern bis 18 Jahre
2. Data Protection Day Seite 11 Degen 20180622B. I. DSGVO – alte & neue Datenschutzprinzipien 2. Data Protection Day Seite 12 Degen 20180622
B. I. DSGVO – TOM‘s
Technische und organisatorische Maßnahmen (TOM‘s) zur
Datensicherheit
• Art. 32 DSGVO statuiert Verpflichtung für TOM‘s als Konkretisierung des
Prinzips der „Integrität und Vertraulichkeit“ (Art. 5 I lit. f DSGVO):
• Verschlüsselung: Soweit möglich, sollen personenbezogene Daten
verschlüsselt werden
• Stabilität: Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit
der Systeme ist auf Dauer sicherzustellen
• Datensicherung und Wiederherstellbarkeit: Verarbeitungsprozesse
müssen gegen Datenverlust geschützt werden
• Regelmäßige Routineüberprüfung: für die Datensicherheit
• Grundsätze der Datenvermeidung u. Datensparsamkeit sind Leitbilder
techn. Datenschutzanforderungen (Privacy by Design & by Default)
2. Data Protection Day Seite 13 Degen 20180622B. I. DSGVO – Haftung Wenn ein Datenschutzfall an der Reputation kratzt… • neues Haftungsregime: neben dem Verantwortlichen haftet auch Auftragsverarbeiter • nicht nur unmittelbar Betroffener kann Schadensersatz verlangen, sondern sogar jede Person, der infolge des Datenschutzverstoßes materieller o. auch immaterieller Schaden entstanden ist (Art. 82 Abs. 1 DSGVO) • Bußgeldrahmen erheblich verschärft, da Sanktionen wirksam, verhältnismäßig u. abschreckend sein sollen (Art. 83): Bußgelder bis zu 20 Mio. € oder 4 % des globalen Umsatzes; gegenüber § 43 BDSG-alt (max. 300.000,- €) drastische Verschärfung 2. Data Protection Day Seite 14 Degen 20180622
B. II. Strafrecht – Cyber-Attacken • Ist das Hacken strafbar – eigener Geräte – von Mietgeräten – der eigenen Website, die bei Provider gehostet ist? • Unterscheidung zwischen „gutem Hacking“ zum Aufdecken von Sicherheitslücken und „bösem Hacking“ zur Verursachung von Schäden? 2. Data Protection Day Seite 15 Degen 20180622
B. II. Strafrecht – Cyber-Attacken 17.04.-19.04.2011: Ausfall des PlayStation Network auf Grund eines externen (elektronischen) Angriffs • Playstation-Besitzer können Playstation knapp vier Wochen nicht nutzen • Daten (Kreditkarteninformationen und persönliche Daten) von rund 77 Mio. PSN-Abonnenten wurden gestohlen • Quelle: https://de.wikipedia.org/wiki/Ausfall_des_PlayStation_Network_im_Jahr_2011_auf_Grund_eines_externen_(elektronischen)_Angriffs 2. Data Protection Day Seite 16 Degen 20180622
B. II. Strafrecht - Cyber-Attacken Hackerangriff auf Telekom-Router • LG Köln verurteilt 29-jährigen Briten zu einem Jahr und acht Monaten auf Bewährung • Der 29-Jährige hatte im Nov. 2016 bei 1,25 Millionen Telekom-Kunden Netzausfall verursacht • Während des Prozesses hatte er umfassendes Geständnis abgelegt • Großbritannien hat seine Auslieferung beantragt; dort wird wegen weiterer Hacker-Angriffe u. Banken-Erpressung gegen ihn ermittelt • Quelle: Redaktion beck-aktuell, Verlag C.H.BECK, 28.07.2017 2. Data Protection Day Seite 17 Degen 20180622
B. II. Strafrecht - Cyber-Attacken Hackerangriff auf Yahoo • Kanadier zu 5 Jahren Haft verurteilt, weil er nach Hackerangriff auf Yahoo 2014 russischen Geheimagenten illegal Zugang zu mind. 80 Webmail-Konten verschafft haben soll • US-Bezirksrichter in San Francisco verurteilte ihn ferner zu Geldstrafe von 250.000 US-Dollar, wie Justizministerium am 29.05.2018 mitteilte • Laut US-Ermittlern gelang es russischen Hackern 2014, in Systeme von Yahoo einzudringen u. Informationen zu mind. 500 Mio. Yahoo-Konten zu stehlen; daraufhin sollen russ. Geheimagenten den Kanadier angeheuert haben, ihnen mittels der erbeuteten Yahoo-Daten gezielt Zugang zu mind. 80 Webmail-Konten von Journalisten und Regierungsbeamten zu besorgen • Quelle: www.spiegel.de/netzwelt/web/yahoo-hack-kanadier-zu-fuenf-jahren-gefaengnis-verurteilt-a-1210244.html 2. Data Protection Day Seite 18 Degen 20180622
B. II. Straftatbestände Straftatbestände • § 202a StGB: Ausspähen von Daten • § 202b StGB: Abfangen von Daten • § 202c StGB: Vorbereiten des Ausspähens u. Abfangens von Daten • §§ 203, 204 StGB: Offenbarung u. Verwertung fremder Geheimnisse • § 303a StGB: Datenveränderung • § 303b StGB: Computersabotage • § 263a StGB: Computerbetrug • § 42 BDSG-neu: Verwendung personenbezogener Daten • 106 UrhG: Unerlaubte Verwendung urheberrechtl. geschützter Werke • Strafverfolgung: nur auf Antrag des Berechtigten, nicht von Amts wegen 2. Data Protection Day Seite 19 Degen 20180622
B. II. Strafbarkeit gemäß § 202a StGB
• Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn
bestimmt und die gegen unberechtigten Zugang besonders gesichert sind,
unter Überwindung der Zugangssicherung verschafft, wird mit
Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft.
• Elektronischer „Hausfriedensbruch“
• I. Objektiver Tatbestand
– 1. Daten i.S.d. Abs. 2
– 2. Nicht für den Täter bestimmt
– 3. Tathandlung: Sich o. einem anderen
unter Überwindung einer Zugangssicherung verschaffen
• I. Subjektiver Tatbestand: Vorsatz
• II. Rechtswidrigkeit, III. Schuld
2. Data Protection Day Seite 20 Degen 20180622B. II. Strafbarkeit gemäß § 202a StGB: Einzelfälle Ist „gutes“ Hacken strafbar? • Eindringen in Systeme zur Suche nach Sicherheitslücken • Strafbarkeit beginnt mit der Überwindung der Zugangssicherung • Auf die Motivation kommt es für die Strafbarkeit nicht an • Keine Unterscheidung zwischen „gutem“ und „bösem“ Hacken strafbar 2. Data Protection Day Seite 21 Degen 20180622
B. II. Strafbarkeit gemäß § 202a StGB: Einzelfälle Ist das Hacken eigener Geräte strafbar? § 202a StGB Abs. 1: Wer unbefugt sich oder einem anderen Zugang zu Daten, die nicht für ihn bestimmt und die gegen unberechtigten Zugang besonders gesichert sind, unter Überwindung der Zugangssicherung verschafft, wird mit Freiheitsstrafe bis zu drei Jahren oder mit Geldstrafe bestraft. • Objektiver Tatbestand (-) • Vergleichbar mit Sachbeschädigung: nur Beschädigung fremder Sachen strafbar straffrei 2. Data Protection Day Seite 22 Degen 20180622
B. II. Strafbarkeit gemäß § 202a StGB: Einzelfälle Ist das Hacken von Mietgeräten strafbar? (Router, Media Receiver v. Telekom) Ist das Hacken der eigenen, bei einem Provider gehosteten Website strafbar? • Entscheidend nicht Eigentum am Datenträger • sondern die Verfügungsmacht über die Daten: mit dem Abspeichern beim erstmaligen Erstellen Straffrei: Täter hat Verfügungsmacht über die Daten o. diese wurden ihm durch denjenigen, der Verfügungsmacht inne hat, zur Verfügung gestellt 2. Data Protection Day Seite 23 Degen 20180622
B. II. Weitere Straftatbestände des StGB
• § 202b StGB: „Abfangen von Daten“
„Abfangen von Daten“ während eines Übertragungsvorgangs oder einer
„elektromagnetischen Abstrahlung“
• § 202c StGB: Vorbereiten des Ausspähens und Abfangens von Daten
Beschaffen u. Verbreiten von Passwörtern o. sonst. Sicherungscodes zu
zugangsgeschützten Daten
Herstellen, Überlassen, Verbreiten, Verschaffen von Hacker-Tools
Voraussetzung: für illegale Zwecke
Ausn. straffrei: „good use“: Verwendung der Hacker-Tools für
Sicherheitstests
2. Data Protection Day Seite 24 Degen 20180622B. II. Weitere Straftatbestände des StGB • § 303a StGB: Datenveränderung Keine Voraussetzung: Überwinden besonderer Zugangssicherungen Tathandlungen: Löschen; Unterdrücken; Unbrauchbar machen; Verändern von Daten • § 303b StGB: Computersabotage Eingriff in die Datenverarbeitung, die für einen anderen von wesentlicher Bedeutung ist; viele Tathandlungen, z.B.: Verändern von Daten; Eingabe von Daten in Schädigungsabsicht; Zerstörung, Beschädigung von Datenverarbeitungs-Anlagen 2. Data Protection Day Seite 25 Degen 20180622
B. II. Weitere Straftatbestände des StGB
• § 263a StGB: Computerbetrug
– Betrug (§ 263 StGB) erfasst nur Täuschung gegenüber Menschen
– schließt Strafbarkeitslücken, die durch Verwendung von Maschinen
anstelle von Menschen entstanden sind; Voraussetzungen:
• Unbefugte Einwirkung auf Ablauf elektron. Datenverarbeitungs-
anlagen, dadurch Beeinflussung des Ergebnisses
• Vermögensschaden
• Subjektiv: Bereicherungsabsicht
• Schon Vorbereitung ist strafbar: Verschaffen, Feilhalten,
Verwahren, Überlassen von Computerprogrammen, deren objektiver
Zweck die Begehung eines Computerbetrugs ist (z. B. Cracking-,
Ausspähungsprogramme)
• Ausn. straffrei: Einsatz für legale Zwecke
2. Data Protection Day Seite 26 Degen 20180622B. II. Strafbarkeit außerhalb des StGB • § 42 BDSG-neu: – Gegenstand der Hackangriffe sind personenbezogen Daten – Bereicherungs- oder Schädigungsabsicht • § 106 UrhG: – Bei urheberrechtlichem Schutz der gestohlenen Informationen – Voraussetzung: Verwertung der Informationen 2. Data Protection Day Seite 27 Degen 20180622
B. III. Zivilrechtliche Ansprüche des Geschädigten
• Unterlassung, Auskunft, materieller u. immaterieller Schadensersatz,
Geldentschädigung
– wg. (Unternehmens-)Persönlichkeitsrechtsverletzung
– wg. Eingriff in eingerichteten und ausgeübten Gewerbebetrieb
– wg. Verletzung von Schutzgesetzen, Straftatbestände
• §§ 823 I, 823 II i.V.m. Art. 2, 1 GG, § 42 BDSG, § 106 UrhG, §§ 263a StGB;
§§ 1004 BGB, §§ 249 ff, 253 BGB
2. Data Protection Day Seite 28 Degen 20180622Sie können auch lesen
