E-Business Fundamentals - IT-Sicherheit & rechtliche Rahmenbedingungen Prof. Dr. Frédéric Thiesse Lehrstuhl für Wirtschaftsinformatik und ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
E-Business Fundamentals IT-Sicherheit & rechtliche Rahmenbedingungen Prof. Dr. Frédéric Thiesse Lehrstuhl für Wirtschaftsinformatik und Systementwicklung Julius-Maximilians-Universität Würzburg Wintersemester 2020
IT-Sicherheit
Rechtliche Rahmenbedingungen
Prof. Dr. Frédéric Thiesse 2 E-Business Fundamentals
Datendiebstähle
Revealed: 50 million Facebook profiles
harvested for Cambridge Analytica in major
data breach
The data analytics firm that worked with Donald Trump’s election
team and the winning Brexit campaign harvested millions
of Facebook profiles of US voters, in one of the tech giant’s biggest
ever data breaches, and used them to build a powerful software
program to predict and influence choices at the ballot box.
A whistleblower has revealed to the Observer how Cambridge
Analytica – a company owned by the hedge fund billionaire Robert
Mercer, and headed at the time by Trump’s key adviser Steve
Bannon – used personal information taken without authorisation in
early 2014 to build a system that could profile individual US voters,
in order to target them with personalised political advertisements.
Christopher Wylie, who worked with a Cambridge University
academic to obtain the data, told the Observer: “We exploited
Facebook to harvest millions of people’s profiles. And built models
to exploit what we knew about them and target their inner
demons. That was the basis the entire company was built on.”
Quelle: https://www.theguardian.com/news/2018/mar/17/cambridge-analytica-facebook-
Quelle: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ influence-us-election?CMP=twt_gu
Prof. Dr. Frédéric Thiesse 3 E-Business Fundamentals
Hacker-Angriffe in den Schlagzeilen
Quelle: https://www.golem.de/news/deutscher-bundestag-persoenliche-daten-von-politikern-auf-twitter-veroeffentlicht-1901-138492.html
Prof. Dr. Frédéric Thiesse 4 E-Business Fundamentals
Welche Motivationen stecken hinter dem
Angriff auf IT-Systeme?
• Persönliche Interessen
– Ruhm
– Lust am Vandalismus
• Monetäre Aspekte
– Absichtliche Schädigung eines
Unternehmens
– Datendiebstahl
– Datenmanipulation
• Politische und ideologische Gründe
– Kundtun politischer Meinung
– Cyber-Terrorismus
Quelle: https://eandt.theiet.org/content/articles/2014/01/cyber-psychopathy-what-goes-on-in-a-hackers-head/
Prof. Dr. Frédéric Thiesse 5 E-Business Fundamentals
Angriffsmethoden (Auswahl)
• Malware (insb. Viren, Trojaner, Adware und Würmer)
• Ransomware
• Distributed Denial of Service (DDoS)-Angriffe
• Social Engineering (z.B. Phishing)
• SQL-Injection
• Cross-Site Scripting (XSS)
Prof. Dr. Frédéric Thiesse 6 E-Business Fundamentals
Schadsoftware („Malware“)
Malware-Typ Definition
Virus • Schädliches Softwareprogramm das unbemerkt
Dateien, Software oder Datenträger befällt
• Durchführung unkontrollierter Veränderungen an
Hardware, Betriebssystem und Software
Wurm • Selbstständige, schnelle Verbreitung
• Crawlen von Adressbüchern
• Versenden von Massenmails
Trojaner • Ein Trojaner kommt meist als vermeintlich
nützliche Anwendung daher, um unbemerkt
zusätzlich schädliche Funktionen auszuführen.
• Übermittlung sensibler Daten wie Passwörter,
Kreditkartennummern etc.
Adware • Unaufgeforderte Werbung in Form von Pop-ups
Prof. Dr. Frédéric Thiesse 7 E-Business Fundamentals
Beispiel „Stuxnet-Wurm“ (2010)
• Angriff auf System zur Überwachung und Steuerung
(Siemens Software Simatic S7) von Systemen
• Zielsystem: Steuerung von Frequenzumrichtern der
Hersteller Vacon, Finnland und Fararo Paya, Iran
• Vermutetes Ziel: Sabotage des iranischen
Atomprogramms
• Laut Edward Snowden entstanden in Zusammenarbeit
zwischen NSA und Israel
Quelle: http://www.zeit.de/2010/48/Computerwurm-Stuxnet
Prof. Dr. Frédéric Thiesse 8 E-Business Fundamentals
Ransomware
• Besondere Form von Schadsoftware
• Infizierung von Rechnern mit der Absicht wichtige
Daten zu verschlüsseln
• Datenfreigabe nach Lösegeldzahlung
• Bekanntes Beispiel: WannaCry (2017)
Prof. Dr. Frédéric Thiesse 9 E-Business Fundamentals
Distributed Denial of Service (DDoS)
• Denial of Service (DoS): Absichtliches Überlasten eines
Webdienstes durch hohe Zahl automatisierter Anfragen
• Distributed DoS: Dienstüberlastung durch zahlreiche
parallele, koordinierte Anfragen aus dem Netz
– Ausführung meistens mit Hilfe von Botnetzen
– Schwer zu orten und noch schwieriger zu unterbinden
Quelle https://lerablog.org/technology/data-security/are-you-doing-enough-to-prevent-ddos-attacks/
Prof. Dr. Frédéric Thiesse 10 E-Business FundamentalsBeispiel „Operation Payback“
• Angriffe von Unternehmen und Organisationen durch
Hackergruppe „Anonymous“, z.B. von Finanz-
dienstleistern die Geschäftsbeziehungen mit WikiLeaks
beendet haben
Prof. Dr. Frédéric Thiesse 11 E-Business FundamentalsSocial Engineering
• Techniken der Verhaltensmanipulation, um Personen
zu einer Handlung zu bewegen (insb. zur freiwilligen
Preisgabe vertraulicher Daten)
• Beispiel „Phishing“
– Ziel: Diebstahl von sensiblen Daten (z.B. Login-Daten)
– In der Regel erfolgt die Attacke über gefälschte E-Mails,
Webseiten oder Kurznachrichten
• Beispiel „USB Drop“
– Ablegen von USB-Sticks mit Schadsoftware an öffentlichen
Orten (Parkplätze, Vorlesungsräume usw.)
– Schadsoftware wird in Dateien versteckt und beim Öffnen (z.B.
auf einem Firmen-PC) aktiviert
Prof. Dr. Frédéric Thiesse 12 E-Business FundamentalsBeispiel für gefälschte Email
A self-described "email prankster" in the UK fooled a number of White House
officials into thinking he was other officials, including an episode where he
convinced the White House official tasked with cyber security that he was Jared
Kushner and received that official's private email address unsolicited.
Quelle: https://edition.cnn.com/2017/07/31/politics/white-house-officials-tricked-by-email-prankster/index.html
Prof. Dr. Frédéric Thiesse 13 E-Business FundamentalsBeispiel für gefälschte Webseite
Quelle https://www.bsi-fuer-buerger.de/BSIFB/DE/Risiken/SpamPhishingCo/Phishing/BeispielePhishingAngriffe/beispielephishingangriffe_node.html
Prof. Dr. Frédéric Thiesse 14 E-Business FundamentalsSQL-Injection
• Einschleusen eigener Datenbankbefehle über
Webformulare oder Login-Masken
– Kommunikation zwischen Webanwendung und
Datenbankserver wird manipuliert
– Ziel ist meist die Erlangung eines Vollzugriffs auf
Datenbestand und Server
Was der User auf der Webseite sieht:
Was die Webanwendung daraus macht:
Hacker gestalten Eingaben in das Formular,
durch die der Aufbau der Datenbankabfrage
selbst verändert wird:
In diesem Beispiel führt die SQL-Injection
dazu, dass der User immer eingeloggt wird:
Prof. Dr. Frédéric Thiesse 15 E-Business FundamentalsCross-Site Scripting (XSS)
• Angriffstechnik, die kompromittierte Webseiten zwingt,
Schadcode im Browser anderer Besucher auszuführen
– Ausführung im Gegensatz zu SQL-Injection clientseitig
– Ziel: Erlangung der Kontrolle über den Browser eines
Webseiten-Besuchers, Datendiebstahl und Übernahme von
Accounts, in der Nutzer noch eingeloggt ist (z.B. E-Banking)
Prof. Dr. Frédéric Thiesse 16 E-Business FundamentalsZum Begriff der „IT-Sicherheit“
• Allgemein: Schutz elektronisch gespeicherter
Informationen und deren Verarbeitung
• Heute zunehmende Verwendung des umfassenderen
Begriffs „Informationssicherheit“
• Schutzziele
– Vertraulichkeit: Vertrauliche Informationen müssen vor
unbefugter Preisgabe geschützt werden.
– Verfügbarkeit: Dem Benutzer stehen Dienstleistungen,
Funktionen eines IT-Systems oder auch Informationen zum
geforderten Zeitpunkt zur Verfügung.
– Integrität: Die Daten sind vollständig und unverändert.
• Unternehmen müssen Risiken identifizieren und
analysieren, wie Daten und Systeme zu schützen sind
Quelle: BSI
Prof. Dr. Frédéric Thiesse 17 E-Business FundamentalsArten von Risiken und
Risikomanagementstrategien
Quelle: Gary P. Schneider. (2011). E-business. Cengage Learning.
Prof. Dr. Frédéric Thiesse 18 E-Business FundamentalsAbwehrmechanismen
Organisatorische Maßnahmen
Sorgfalt Benutzerrechte Passwörter
Technische Maßnahmen
Backups SSL Firewalls
SQL-Injection
XSS-Abwehr DDoS-Abwehr
Abwehr
Prof. Dr. Frédéric Thiesse 19 E-Business FundamentalsOrganisatorische Maßnahmen
• Sorgfalt
– Ist die Downloadquelle / der E-Mail-Sender vertrauenswürdig?
– Was macht das Programm / Plug-In genau?
• Benutzerrechte
– Wer darf welche Dateien einsehen, bearbeiten oder löschen?
– Wer darf Nutzer anlegen, bearbeiten oder löschen?
• Passwörter
– Sind die Passwörter sicher?
– Werden Passwörter regelmäßig aktualisiert?
Prof. Dr. Frédéric Thiesse 20 E-Business FundamentalsTechnische Maßnahmen:
Beispiel “Secure Sockets Layer” (SSL)
• Protokoll zur sicheren Datenübertragung im Internet,
u.a. in Kombination mit HTTP (= HTTPS)
– Socket = Schnittstelle des Betriebssystems zum Zugriff auf
Funktionalität zur Datenübertragung über das Netzwerk
– SSL = Zusätzliche Softwareebene unterhalb des Sockets, die
die Verbindung zwischen Partnern kryptografisch absichert
• Nutzung sogenannter Zertifikate
– Zertifikate werden von Zertifizierungsstellen ausgestellt und
belegen die Identität einer Person oder Organisation
Prof. Dr. Frédéric Thiesse 21 E-Business FundamentalsAblauf der SSL Verschlüsselung
Ziele: (a) Gegenseitige Authentifizierung der Partner und
(b) Schutz vor Abhören der Kommunikation durch Dritte
Quelle: Schneider: E-Business (9th edition)
Prof. Dr. Frédéric Thiesse 22 E-Business FundamentalsTechnische Maßnahmen
Beispiel “Abwehr von SQL-Injection”
• Einsatz verschiedener Überprüfungsmaßnahmen
• Beispiel Escaping: Bestimmte Zeichen, die für SQL
typisch sind werden besonders behandelt, damit Eingaben
keine ungewünschten SQL-Abfragen ausführen können
(z.B. ' wird zu \‘ )
Benutzereingaben umcodiert
werden, bevor sie in die
DB-Abfrage eingesetzt werden.
Prof. Dr. Frédéric Thiesse 23 E-Business FundamentalsWeiterführende Quellen zum Thema
IT-Sicherheitsmanagement
• Internationale ISO/IEC-27000-Reihe
– Herausgeber: International Organization for Standardization
(ISO) und International Electrotechnical Commission (IEC)
• IT-Grundschutz
– Herausgeber: Bundesamts für Sicherheit in der
Informationstechnik (BSI)
– Systematisches Vorgehen um notwendige
Sicherheitsmaßnahmen zu identifizieren und umzusetzen
Prof. Dr. Frédéric Thiesse 24 E-Business FundamentalsIT-Sicherheit
Rechtliche Rahmenbedingungen
Prof. Dr. Frédéric Thiesse 25 E-Business FundamentalsRechtssicherheit im E-Commerce
• Anbieterkennzeichnung (Impressum)
• Widerrufsrecht und Widerrufsbelehrung
• AGB und Online Shops
• Buttonlösung und Checkout-Seite
• Lieferzeiten
• Preisangaben und Versandkosten
• Datenschutzerklärung in Online Shops
• Newsletter in Online Shops
• Produktbeschreibung
• Werbung mit Garantie und Gewährleistung
• Geoblocking
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 26 E-Business FundamentalsRechtssicherheit im E-Commerce (Forts.)
Anbieterkennzeichnung (Impressum)
• nach §5 Telemediengesetz (TMG) für „geschäftsmäßige“
Online-Dienste
• Angaben müssen „leicht erkennbar, unmittelbar erreichbar
und ständig verfügbar“ sein
Widerrufsrecht und Widerrufsbelehrung
• Widerrufsfrist: 14 Tage
• nach §312g BGB für Verbraucher bei Fernabsatzverträgen
• gewerbliche Kunden können über die AGB ausgeschlossen
werden
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 27 E-Business FundamentalsBeispiel „Download digitaler Medien“ Prof. Dr. Frédéric Thiesse 28 E-Business Fundamentals
Rechtssicherheit im E-Commerce (Forts.)
AGB und Online Shops
• müssen vor Vertragsabschluss „deutlich sichtbar,
vollständig über die Website einsehbar, auf dem Bildschirm
lesbar und so kurz wie möglich“ sein
Buttonlösung und Checkout-Seite
• Bestellbutton muss gut lesbar und richtig beschriftet sein
• Gesetzliche Regelbezeichnung: „zahlungspflichtig
bestellen“
• Auf der Checkout-Seite müssen alle Artikel-relevanten
Daten vor dem Button erscheinen; Preis in der Nähe des
Buttons
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 29 E-Business FundamentalsBeispiel „Dash Button“
Quelle: https://www.zeit.de/digital/internet/2019-01/dash-buttons-amazon-wlan-bestellknoepfe-gerichtsurteil-verbot
Prof. Dr. Frédéric Thiesse 30 E-Business FundamentalsRechtssicherheit im E-Commerce (Forts.)
Lieferzeiten
• als Lieferzeiten können sowohl Zeiträume als auch feste
Liefertermine angegeben werden
• die Produktverfügbarkeit sollte stets für Kunden ersichtlich
sein
Preisangaben und Versandkosten
• nach §312d BGB muss der Kunde, noch bevor das Produkt
in den Warenkorb gelegt wird, über alle anfallenden Kosten
informiert werden und den Brutto-Endpreis erhalten
• bspw. Versandkosten, Steuern, Zusatzkosten
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 31 E-Business FundamentalsRechtssicherheit im E-Commerce (Forts.)
Datenschutzerklärung in Online Shops
• muss nach DSGVO für alle Nutzer einsehbar bereitstehen
und Informationen über Zwecke sowie Art und Weise der
Datenverarbeitung beinhalten
• gilt insbesondere, wenn personenbezogene Daten erhoben
und verarbeitet werden, wie z.B. Alter, Adresse, E-Mail
Newsletter in Onlineshops
• Double Opt-in: Ausdrückliche Einwilligung des Adressaten
vor Werbekontaktaufnahmen – meist durch E-Mail, Telefon
oder SMS – explizit notwendig
• Abmahnungen bspw. möglich durch: sofortige Versendung
von Newslettern (Single Opt-in), keine Widerspruchslösung
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 32 E-Business FundamentalsBeispiel: Werbung in automatisierten Mails
Firmen dürfen im Mail-Verkehr mit ihren Kunden nicht ungefragt Der Kläger hatte in einer Mail an seine Versicherung wissen
Werbung versenden. Der Bundesgerichtshof (BGH) gab in einem wollen, ob seine Kündigung eingegangen war. Er hatte daraufhin
am Mittwoch veröffentlichten Urteils-Tenor (Aktenzeichen: VI ZR lediglich den Eingang der Mail bestätigt bekommen. An der
134/15) einem Mann aus dem schwäbischen Göppingen recht – automatischen Antwort hing dafür eine Werbung für einen
und stellte uneinsichtigen Firmen saftige Strafen in Aussicht. Unwetter-Warn-Service „per SMS kostenlos auf Ihr Handy“. Der
Der Mann aus dem schwäbischen Göppingen hatte die Mann schickte noch zwei Mails an die Versicherung, in denen er
Sparkassen-Versicherung verklagt, weil sie ihm in außerdem darauf hinwies, dass er die Werbung für den
automatisierten Antwortschreiben mehrfach Werbung „exklusiven Service“ nicht wolle – und erhielt erneut die selbe
mitschickte. automatische Antwort mit Werbung.
Quelle: https://www.handelsblatt.com/finanzen/steuern-recht/recht/e-mail-werbung-sparkassen-versicherung-verliert-vor-dem-bgh/12726054.html
Prof. Dr. Frédéric Thiesse 33 E-Business FundamentalsBeispiel: Aufforderung zur
Produktbewertungen in Rechnungsmail
Prof. Dr. Frédéric Thiesse 34 E-Business FundamentalsRechtssicherheit im E-Commerce (Forts.)
Produktbeschreibung
• falls Markennamen zur Produktbeschreibung notwendig
sind, dürfen diese angegeben werden
• für fremde Texte, Bilder oder Logos ist stets eine
Einwilligung des Eigentümers notwendig
Werbung mit Garantie und Gewährleistung
• Garantie als freiwillige Leistung des Verkäufers oder
Herstellers
• Gewährleistung als gesetzlich festgelegtes Regelwerk
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 35 E-Business FundamentalsProduktbeschreibung beim Check-out
§ 312j BGB: „Bei einem
Verbrauchervertrag im
elektronischen Geschäftsverkehr, [...],
muss der Unternehmer dem
Verbraucher die Informationen [...],
unmittelbar bevor der Verbraucher
seine Bestellung abgibt, klar und
verständlich in hervorgehobener
Weise zur Verfügung stellen.”
Prof. Dr. Frédéric Thiesse 36 E-Business FundamentalsRechtssicherheit im E-Commerce (Forts.)
Geoblocking
• „Shop like a local“-Prinzip: gleiche Verkaufspreise und
gleiche Zahlungsbedingungen für alle EU-Verbraucher
• keine automatische Weiterleitung an lokale Shops ohne
ausdrückliche Zustimmung des Kunden
• Verpflichtung in das Ausland zu liefern besteht nicht
Bsp.: Ein Kunde aus Italien muss auf einer deutschen Website
zu gleichen Preisen einkaufen können, wie ein deutscher
Kunde. Der Kunde darf ohne Zustimmung nicht auf die
italienische Website weitergeleitet werden.
Quellen: https://www.ihk-muenchen.de/rechtsgrundlagen-ecommerce
Prof. Dr. Frédéric Thiesse 37 E-Business FundamentalsBeispiel „WooCommerce Germanized“
• Bei Standardsoftware existieren meist spezielle Plug-
Ins oder Erweiterungen, um die Software an die jeweils
aktuelle (deutsche) Rechtsprechung anzupassen
Prof. Dr. Frédéric Thiesse 38 E-Business FundamentalsDatenschutz-Grundverordnung (DSGVO)
(engl. General Data Protection Regulation)
• Gilt seit dem 25. Mai 2018
• Ziel: Harmonisierung des Datenschutzrechts in der EU
• Gewähltes Instruments: Verordnung
– Im Gegensatz zur bisherigen EU-Datenschutzrichtlinie ohne
Umsetzung direkt anwendbar
– Anwendungsvorrang gegenüber mitgliedstaatlichem Recht
• Weitreichende Auswirkungen auf bestehende
Regelungen in Deutschland
– Im öffentlichen Bereich Fortbestand der wesentlichen
allgemeinen und der bereichsspezifischen Regelungen
– Im nicht-öffentlichen Bereich ersetzt die DSGVO weitgehend
bestehende Regelungen
– Weitreichende Rechtsbereinigungsaufgaben
(insb. Bundes- und Landesdatenschutzgesetze)
Quellen: https://www.gdd.de/
Prof. Dr. Frédéric Thiesse 39 E-Business FundamentalsBeispiel: Regelungen zur Verarbeitung
personenbezogener Daten (Art. 5)
• Prinzipien zur Datenverarbeitung
– Rechtmäßigkeit, Verarbeitung nach Treu und Glauben,
Transparenz
– Zweckbindung (festgelegte, eindeutige und legitime Zwecke)
– Datenminimierung (angemessen und erheblich sowie auf das
notwendige Maß beschränkt)
– Richtigkeit (Vorsehen von Maßnahmen zur unverzüglichen
Löschung oder Berichtigung von unzutreffenden Daten)
– Speicherbegrenzung (Speicherung von Daten nur so lange,
wie es für die Verarbeitungszwecke erforderlich ist)
– Integrität und Vertraulichkeit (Angemessene Sicherheit und
Schutz der personenbezogenen Daten)
• Rechenschaftsflicht: Verantwortung und
Nachweispflicht für die Einhaltung der Prinzipien
Prof. Dr. Frédéric Thiesse 40 E-Business FundamentalsWesentliche Änderungen gegenüber
bisheriger EU-Datenschutzrichtlinie
• Erweiterter Geltungsbereich
• Hohe Geldstrafen
• Verschärfung der Bedingungen für Einwilligungen
• Stärkung der Rechte der Betroffenen
• Privacy by Design and Default
Prof. Dr. Frédéric Thiesse 41 E-Business FundamentalsErweiterter Geltungsbereich
• Unternehmen, die personenbezogene Daten von
Personen mit Wohnsitz in der Union verarbeiten,
unabhängig vom Standort des Unternehmens
• Ort der Datenverarbeitung spielt keine Rolle
Prof. Dr. Frédéric Thiesse 42 E-Business FundamentalsHohe Geldstrafen
• Geldstrafen von bis zu 4% des jährlichen weltweiten
Umsatzes oder 20 Millionen Euro (je nachdem, welcher
Betrag höher ist)
Prof. Dr. Frédéric Thiesse 43 E-Business FundamentalsVerschärfung der Bedingungen für
Einwilligungen (Art. 7)
• Zustimmung muss frei, spezifisch und eindeutig sein
• Unternehmen müssen nachweisen können, dass
betroffene Personen ihre Einwilligung erteilt haben
• Betroffene Personen haben das Recht, ihre
Einwilligung jederzeit zu widerrufen
Prof. Dr. Frédéric Thiesse 44 E-Business FundamentalsStärkung der Rechte der Betroffenen
• Recht auf Meldung bei Verstößen
– Verpflichtung von Unternehmen, Betroffene bei Verstößen die
„zu einem Risiko für die Rechte und Freiheiten des Einzelnen“
führen, innerhalb von 72 Stunden zu informieren
• Informations- und Auskunftsrecht
– Recht auf Informationen darüber ob, wo und zu welchem
Zweck eigene personenbezogene Daten verarbeitet werden
– Recht auf den Erhalt einer kostenlose Kopie der
personenbezogenen Daten in elektronischer Form
Prof. Dr. Frédéric Thiesse 45 E-Business FundamentalsStärkung der Rechte der Betroffenen
(Forts.)
• Recht auf Berichtigung und Löschung personen-
bezogener Daten („Recht auf Vergessenwerden“)
– Recht auf Berichtigung personenbezogener Daten
– Recht auf Löschung personenbezogenen Daten, Einstellung
der Verbreitung oder Verarbeitung durch Dritte
– Greift nur wenn ursprünglicher Zweck der Verarbeitung nicht
mehr relevant ist oder Einwilligung widerrufen wird
• Recht auf Datenübertragbarkeit
– Ziel: Verhinderung von Datenmonopolen
– Möglichkeit gespeicherte eigene personenbezogene Daten
(z.B. bei sozialen Medien) automatisch an einen anderen
Anbieter übertragen zu lassen
Prof. Dr. Frédéric Thiesse 46 E-Business FundamentalsPrivacy by Design and Default
• Privacy by Design („Schutz durch Technikgestaltung“)
– Ergreifen technischer und organisatorischer Maßnahmen
(TOMs) zum Schutz personenbezogener Daten frühzeitig in
der Entwicklungsphase von Software und Hardware
– Von Nutzern vorgenommene Einstellungen dürfen zu keinem
Zeitpunkt zu Datenschutzverletzungen führen
• Privacy by Default („Schutz durch
datenschutzfreundliche Voreinstellungen)
– Datenschutzfreundliche Ausgestaltung der Werkseinstellungen
– Ziel: Schutz insbesondere von weniger technikaffinen Nutzern
(Grundgedanke des „Privacy Paradox“)
Prof. Dr. Frédéric Thiesse 47 E-Business FundamentalsVielen Dank!
Kontakt:
Prof. Dr. Frédéric Thiesse
Lehrstuhl für Wirtschaftsinformatik und Systementwicklung
Julius-Maximilians-Universität Würzburg
Sanderring 2, 97070 Würzburg
T +49 931 31-80242
F +49 931 31-81268
E frederic.thiesse@uni-wuerzburg.de
W www.wiwi.uni-wuerzburg.de/lehrstuhl/wise
Prof. Dr. Frédéric Thiesse 48 E-Business FundamentalsSie können auch lesen
