EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN

 
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
Editorial – Grußwort des Forschungsprojektleiters von
»BayWiDI« Prof. Dr. Dirk Heckmann

Sehr geehrte Leserinnen und Leser,

herzlich willkommen zur ersten Ausga-
be des neuen BayWiDI-Magazins. Dieses
Magazin wird künftig vierteljährlich er-
scheinen und den bekannten Newsletter
ersetzen.

In der ersten Ausgabe des Magazins wer-
den Ihnen interessante und aktuelle The-     Der dritte Beitrag mit dem Titel „IT-Si-      netzte und automatisierte Technologien,
men aus dem Bereich der IT-Sicherheit        cherheit. Privat?“ beschäftigt sich mit der   das Internet der Dinge oder die Mensch-
vorgestellt. Die stetig steigenden tech-     IT-Sicherheit im privaten Umfeld. Der         Maschine-Interaktion unter den Bedin-
nischen Anforderungen im Bereich der         Beitrag geht der Frage nach, ob sich eine     gungen maschinellen Lernens zu begrei-
Informationstechnologie stellen Unter-       Pflicht zur privaten IT-Sicherheitsvorsor-    fen sowie sicher und verantwortungsbe-
nehmen schon seit Jahren vor große He-       ge unmittelbar entweder aus dem Grund-        wusst einzusetzen. Angesichts dessen ist
rausforderungen. Immer noch sind vie-        gesetz oder aus den Vorgaben des Daten-       die im Digitalpakt Schule vorgesehene
le Betriebe jedoch nur unzureichend auf      schutzrechts ergibt.                          Verbesserung der digitalen Infrastruk-
Cyberattacken vorbereitet. Die Beiträge                                                    tur an Schulen zu Recht das zentrale bil-
in diesem Magazin zeigen unter anderem                                                     dungspolitische Projekt der Bundesregie-
                                               14. Internationales For..Net Sym-
einen Ausschnitt der Welt der gegenwär-                                                    rung. Das Symposium widmet sich den
                                               posium „Digitale Bildung. Digitale
tigen Sicherungsmethoden. Gleichzeitig                                                     hiermit verbundenen Fragen unter dem
                                                           Haltung“
wird auch der Blick in die Zukunft der IT-                                                 Generalthema „Digitale Bildung. Digita-
Sicherheit gewagt.                           Ich möchte Sie außerdem herzlich zu un-       le Haltung“ und knüpft dabei an die Er-
                                             serem 14. Internationalen For..Net Sym-       kenntnisse der Datenethikkommission
Im ersten Beitrag dieses Magazins mit        posium am 25. und 26. April 2019 einla-       und der Enquete Kommission Künstli-
dem Titel „Innovative Cybersecurity          den. Auch im 21. Jahrhundert soll Bildung     che Intelligenz des Deutschen Bundesta-
durch Einsatz künstlicher Intelligenz“       Menschen befähigen, sich als selbstbe-        ges an. Schirmherrin des Symposiums ist
werden die aktuellen Entwicklungen der       stimmte Persönlichkeiten in einer sich        wieder die Staatsministerin für Digitali-
IT-Sicherheit mit Berücksichtigung der       stetig wandelnden Gesellschaft zurecht-       sierung im Bundeskanzleramt, Dorothee
derzeitigen Forschung im Bereich der         zufinden und verantwortungsvoll ihre          Bär.
künstlichen Intelligenz (KI) beleuch-        Lebensentwürfe zu verwirklichen. Doch
tet. Der Beitrag erläutert die technischen   stellen sich im Zuge des digitalen Wan-       Nun wünsche ich Ihnen eine interessan-
Grundbegriffe, zeigt die Problematiken       dels Fragen: Was ist Wissen noch wert,        te Lektüre der ersten Ausgabe des neuen
der IT-Sicherheit auf und erwägt schließ-    wenn es jederzeit abrufbar ist? Welche        BayWiDI-Magazins!
lich Möglichkeiten, diese durch KI-Ein-      Fähigkeiten gilt es in einer digitalen Welt
satz zu lösen.                               zu entwickeln? Bemerkenswert ist, dass        Ihr Prof. Dr. Dirk Heckmann,
                                             Vorreiter bei der Digitalisierung – wie       Leiter des Forschungsprojekts »BayWiDI«
Der zweite Beitrag mit dem Titel „Ha-        Finnland und Estland – in Bildungsran-
ben Passwörter bald ausgedient?“ hat die     kings oft Spitzenplätze einnehmen. Digi-
derzeitig gängige Praxis der Zugriffssi-     tale Kompetenz ist also von entscheiden-           Inhalt
cherung durch klassischen Praxisschutz       der Bedeutung: zum einen für den einzel-
                                                                                               Innovative
                                                                                              ƒƒ            Cybersecurity durch
zum Gegenstand. Es werden alternative        nen Menschen, um in einer digitalen Welt           Einsatz künstlicher Intelligenz / 2
Authentifizierungsmodelle, insbesonde-       selbstbestimmt und verantwortungsvoll             Haben     Passwörter   bald   ausge-
                                                                                              ƒƒ
re biometrische Verfahren wie Iris-Scan      leben zu können und um gute Chancen                dient? / 5
und Fingerabdruck sowie verhaltensana-       auf dem Arbeitsmarkt zu haben; zum an-            IT-Sicherheit. Privat? / 9
                                                                                              ƒƒ
lytische Varianten vorgestellt. Der Bei-     deren für die Gesellschaft, um Demokra-           Leiter des Forschungsprojekts und
                                                                                              ƒƒ
trag endet mit einer praktischen Check-      tie und Wohlstand auch in Zukunft zu               Autoren / 15
liste für einen wirksamen Passwort-          erhalten. All dies setzt voraus, dass Men-        Impressum
                                                                                              ƒƒ            / 15
schutz.                                      schen befähigt werden, komplexe, ver-
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
Innovative Cybersecurity durch Einsatz künstlicher Intelligenz

Informations- und Kommunikations-            reits geringe Manipulationen eines Sys-        Entwicklungsinteresse sowie Unterneh-
technologien (IKT) sind sowohl im priva-     tems können ein gravierendes, lebensge-        men der gewerblichen Wirtschaft als
ten als auch im industriellen Sektor nicht   fährliches Ausmaß annehmen.5 Im Zuge           Zuwendungsempfänger in Betracht.9
mehr wegzudenken. Sei es im Rahmen ei-       dieser Entwicklung hat das Bundesmi-
ner zeitgemäßen medizinischen Infra-         nisterium für Bildung und Forschung
struktur, des weltweiten Finanzsektors,      (BMBF) das nationale Forschungsrah-               Inernet of Things und künstliche
einer verlässlichen Strom- und Wasser-       menprogramm „Selbstbestimmt und si-                     Intelligenz im Fokus
versorgung, der Automobil – und Ma-          cher in der digitalen Welt 2015-2020“6 in
schinenbaubranche oder der Industrie         Zusammenarbeit mit dem Verein Deut-            Beschäftigt man sich mit dem Thema
4.0.1 Die tägliche Benutzung von Gerä-       scher Ingenieure GmbH (VDI) und dem            der Cybersecurity, kommt man im Zu-
ten des „Internets der Dinge“2 (Internet     Verband der Elektrotechnik Elektro-            ge aktueller Entwicklungen nicht an
of Things - IoT) wie Amazon Echo,3 oder      nik Informationstechnik e.V. (VDE) ins         den Begriffen des Internet of Things
auch anderen internetfähigen Geräten         Leben gerufen.7 Primäres Ziel der For-         und der künstlichen Intelligenz vorbei.
wie Smart-TVs, Tablets und Smartpho-         schungsförderung soll die Entwicklung
nes stellt für moderne Gesellschaften ei-    von Cybersicherheitssystemen mit „be-          Unter dem Internet of Things ver-
ne wirtschaftliche und private Errungen-     grenzten Ressourcen“ sein, die mit künst-      steht man die Vernetzung von Gegen-
schaft dar.4 Durch den Vormarsch die-        licher Intelligenz (KI) eine erhöhte Si-       ständen mit dem Internet in einer Wei-
ser Internettechnologien werden immer        cherheitsstufe erreichen sollen.8 Bis zum      se, dass diese Gegenstände über das In-
mehr Bereiche angreifbar, die elemen-        29. März 2019 kann das Portal „Easy On-        ternet selbstständig kommunizieren
tar wichtige Funktionen für die Versor-      line“ von Forschungseinrichtungen, Un-         und einen Material- oder Produktions-
gung der Menschen erfüllen und daher         ternehmen und Start-Ups genutzt wer-           fluss festlegen. Die Verbindung der am
auch hohe Gefahrpotentiale bergen. Be-       den, um Projektvorschläge einzurei-            Produktionsfluss beteiligten Systeme
                                             chen. Grundsätzlich kommen staatliche          mit softwaretechnischen Komponenten
1 BMBF, https://www.forschung-it-sicher-
                                             und nicht-staatliche Hochschulen, au-          nennt man „cyber-physische Systeme“.10
heit-kommunikationssysteme.de/service/
publikationen/selbstbestimmt-und-sicher-     ßeruniversitäre Forschungseinrichtun-
in-der-digitalen-welt-2015-2020, (zuletzt    gen, Verbände und Vereine sowie sonsti-        Eine universelle Definition für den Be-
abgerufen am 28.01.2019); RD`n Sabine        ge Organisationen mit Forschungs- und          griff der KI ist nicht ohne Weiteres for-
Horvath, Wissenschaftlicher Dienst des
Deutschen Bundestags, https://www.bun-                                                      mulierbar, da sich der dieser notwendi-
destag.de/blob/192512/cfa9e76cdcf46f34a-     5 BMBF, https://www.forschung-it-sicher-       gerweise an der menschlichen Intelli-
941298efa7e85c9/internet_der_dinge-data.     heit-kommunikationssysteme.de/service/         genz messen lassen muss. Jedoch ist auch
pdf, (zuletzt abgerufen am 28.01.2019).      publikationen/selbstbestimmt-und-sicher-
                                             in-der-digitalen-welt-2015-2020, (zuletzt
                                                                                            der Begriff der menschlichen Intelligenz
2 RD`n Sabine Horvath, Wissenschaftli-
cher Dienst des Deutschen Bundestags,        abgerufen am 28.01.2019).                      kaum definiert. Grundlegend kann man
https://www.bundestag.de/blob/192512/        6 BMBF, https://www.forschung-it-sicher-       jedoch die „starke KI“ und die „schwa-
cfa9e76cdcf46f34a941298efa7e85c9/inter-      heit-kommunikationssysteme.de/service/         che KI“ unterscheiden. Ein den Mensch
net_der_dinge-data.pdf, (zuletzt abgerufen   publikationen/selbstbestimmt-und-sicher-
am 28.01.2019).                              in-der-digitalen-welt-2015-2020, (zuletzt      9 BMBF, https://www.bmbf.de/foerderun-
3 IoT.do, https://iot.do/devices/amazon-     abgerufen am 28.01.2019).                      gen/bekanntmachung-2187.html, (zuletzt
echo, (zuletzt abgerufen am 28.01.2019).     7 Borchers, Heise, http://www.heise.de/-       abgerufen am 11.02.2019).
4 BMBF, https://www.forschung-it-sicher-     4284817 (zuletzt abgerufen am 28.01.2019);     10 RD`n Dr. Christine Steinhoff, Wissen-
heit-kommunikationssysteme.de/service/       https://vdivde-it.de/, (zuletzt abgerufen am   schaftliche Dienste Deutscher Bundestag,
publikationen/selbstbestimmt-und-sicher-     28.01.2019).                                   https://www.dieterstier.de/cms/wp-con-
in-der-digitalen-welt-2015-2020, (zuletzt    8 Borchers, Heise, http://www.heise.de/-       tent/uploads/2013/06/industrie-4-0-data.
abgerufen am 28.01.2019).                    4284817, (zuletzt abgerufen am 28.01.2019).    pdf, (zuletzt abgerufen am 14.11.2018).

                                               BayWiDI Magazin März 2019 S. 2/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
imitierendes System kann als „starke KI“
bezeichnet werden, welche in seriösen
Kreisen jedoch als kaum umsetzbar gilt.
Das Hauptaugenmerk bei der Entwick-
lung und dem Einsatz von KI liegt auf der
„schwachen KI“ in Form des maschinellen
Lernens. Die KI soll dazu benutzt werden,
kognitive Prozesse besser zu verstehen.11

     „Begrenzte Ressourcen“ als
        Sicherheitsproblem

Die Einbindung von KI zur Optimierung
von Cybersystemen könnte vor allem im
Rahmen begrenzter Ressourcen Vor-
teile bringen. Nicht alle Unternehmen
können sich eine umfassende Überwa-           ne wichtige Position im weltweiten Rin-       men der KI setzen, um auch die aktuel-
chung ihrer Systeme durch einen spezi-        gen um Cybersecurity einzunehmen.13           le Generation von Studierenden für die
alisierten Administrator leisten. Zumeist                                                   Thematik zu sensibilisieren.16 Viele Ex-
ist dieser entweder gar nicht vorhan-                                                       perten sind auch der Meinung, dass ei-
den oder hat aufgrund diverser anfallen-               Neue KI-Strategie der                ne Fördersumme von 500 Millionen Eu-
der Aufgaben nicht die nötige Zeit sich                  Bundesregierung                    ro pro Jahr zu wenig sei, um das stetig
ausreichend um die Sicherheit der Cy-                                                       wachsende Feld der KI-Forschung ausrei-
bersysteme zu kümmern. Durch rela-            Auch durch bereits beschlossene Pro-          chend zu bedienen. Diese Summe wür-
tiv einfache, KI-basierte Systeme könn-       jekte soll die zukunftsweisende Tech-         de der Bedeutung des Forschungsfelds
te eine wesentlich höhere Sicherheitsstu-     nologie der KI in der Bundesrepub-            nur unzureichend Rechnung tragen.17
fe als bisher, vor allem bei kleineren und    lik gefördert werden. Am 15. November
mittleren Unternehmen, erreicht wer-          2018 hat die Bundesregierung im Rah-
den. Diese Systeme sollen darauf ausge-       men der „Digitalklausur“14 beschlos-           Notwendigkeit ethischer Richtlinien
richtet sein, die Cybersecurity zu verbes-    sen bis ins Jahr 2025 drei Milliarden Eu-
sern und mit Hilfe „lernbasierter Ver-        ro in die KI-Entwicklung zu investie-
fahren“ Cyberattacken aufzuspüren.12          ren.15 100 zusätzliche Professuren sollen     Mit Hilfe dieser, im Rahmen der Digi-
                                              an deutschen Hochschulen geschaf-             talklausur beschlossenen, Fördersumme
Im Rahmen des Forschungsprogramms             fen werden, um die bereits positiven          sollen auch „ethische Leitlinien für ei-
wird auch ein Fokus auf Projekte gelegt,      Entwicklungen weiter voranzutreiben.          nen digitalen Wandel“18 entwickelt wer-
die „synthetische Trainingsdaten“ ge-                                                       den, um ein Gesellschaftsleben mit der
nerieren und durch deren Auswertung           Jedoch besteht ein praktisches Problem        Bedeutung und Integrierung von KI-ba-
zukünftige Cyberattacken besser abge-         darin, diese große Zahl an fachlich qua-      sierten Systemen in geordnete Bahnen zu
wehrt werden können. Der Einsatz au-          lifizierten Professoren im Bereich der        lenken und somit wirtschaftliche Vortei-
tomatisierter Verfahren in Verbindung         KI-Forschung zu finden. Derart qualifi-       le für die Bundesrepublik zu generieren.
mit KI soll nach Zielsetzung des For-         zierte Fachleute werden oft in die USA        Hierzu soll die Datenethikkommission
schungsprojekts dazu führen, dass sich        und nach China abgeworben. Im Übri-           der Bundesregierung19 nicht nur in infor-
verbundene Cybersysteme zukünftig             gen muss als nächster Schritt auch qua-       mationstechnologischer und fachlicher
selbstständig auf neue Cyberattacken          lifiziertes Personal für die Lehrstühle ge-   Hinsicht, sondern eben auch in ethischer
einstellen. Eine Intention der Bundes-        funden werden, was sich wiederum als          Hinsicht Leitlinien für den Umgang mit
regierung dürfte dabei auch darin be-         schwierig erweisen kann. Entsprechende        KI erarbeiten. Relevant sind diesbezüg-
stehen, den deutschen Markt zu stärken,       Studiengänge müssten bereits jetzt einen      lich auch Fragen der rechtlichen Verant-
durch die Entwicklung innovativer Ide-        intensiveren Schwerpunkt auf die Erfor-
en und Techniken mit dem Ausland mit-         schung und Wissensvermittlung im Rah-         16 Ilg, Heise, http://www.heise.de/-
                                                                                            4255959, (zuletzt abgerufen am 08.02.2019).
zuhalten und somit letztendlich auch ei-
                                              13 Borchers, Heise, http://www.heise.de/-     17 Krempl, Heise, http://www.heise.de/-
11 Deutscher Bundestag, Online-               4284817, (zuletzt abgerufen am 28.01.2019).   4223064, (zuletzt abgerufen am 08.02.2019).
Dienste, https://www.bundestag.de/            14 Krempl, Heise, http://www.heise.de/-       18 Krempl, Heise, http://www.heise.de/-
dokumente/textarchiv/2018/kw42-pa-            4223064 ,(zuletzt abgerufen am 08.02.2019).   4220850, (zuletzt abgerufen am 11.02.2019).
enquete-ki/573436, (zuletzt abgerufen am      15 Krempl, Heise, http://www.heise.de/-       19 BMI, https://www.bmi.bund.de/DE/
28.01.2019)                                   4223064, (zuletzt abgerufen am 08.02.2019);   themen/it-und-digitalpolitik/datenethik-
12 Borchers, Heise, http://www.heise.de/-     Ilg, Heise, http://www.heise.de/-4255959,     kommission/datenethikkommission-node.
4284817, (zuletzt abgerufen am 28.01.2019).   (zuletzt abgerufen am 08.02.2019).            html, (zuletzt abgerufen am 14.02.2019).

                                                BayWiDI Magazin März 2019 S. 3/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
KI weiterzuentwickeln und dadurch für
                                                                                          mehr Sicherheit in elektronischen Sys-
                                                                                          temen sorgen. Durch die Bundesre-
                                                                                          gierung wurden bereits mehrfach För-
                                                                                          dermaßnahmen beschlossen. Dies ist
                                                                                          sicherlich eine begrüßenswerte Entwick-
                                                                                          lung, jedoch müssen im Hinblick auf
                                                                                          Bedeutung und Potential der KI-Tech-
                                                                                          nik auch zukünftig stetig weitere Förde-
                                                                                          rungen auf den Weg gebracht werden.

                                                                                          Insbesondere für KMU kann dies von
                                                                                          äußerster Wichtigkeit sein, denn gera-
wortlichkeit für KI-Systeme, sowie ei-        geklärt werden, inwieweit die Bundes-       de dort sind begrenzte Ressourcen oft
ne moralische Bewertung des potentiel-        bürgerinnen und Bundesbürger ihre per-      ein Problem. Nicht alle auf das Internet
len militärischen Einsatzes KI-basierter      sönlichen Daten selbstständig und sorg-     und Cybersecurity angewiesene Unter-
Waffensysteme.20 Das Potential der KI-        sam verwalten können. Das Vertrauen         nehmen können sich Systemadministra-
Technologie darf nicht ungenutzt bleiben,     in die Sicherheit der IT-Technik soll ge-   toren wirtschaftlich leisten oder haben
weil man Angst vor unterschiedlichen          stärkt bzw. wiederhergestellt werden.23     Erfahrung darin, Cyberattacken auf ih-
moralisch verwerflichen Einsatzmög-                                                       ren Betrieb abzuwehren. Die Unterstüt-
lichkeiten hat. Der friedliche und ethisch    Die sich stetig weiterentwickelnden         zung der Cybersecurity durch KI kann
geordnete Einsatz der Technologie birgt       Möglichkeiten der KI bieten die Chan-       für diese Betriebe die Möglichkeit bieten,
für moderne Gesellschaften noch nicht         ce, die Cybersecurity von Unterneh-         neue Wege im Rahmen ihrer Internetsys-
absehbare wirtschaftliche Vorteile.           men merklich zu verbessern. Zu diesem       teme zu beschreiten und gleichzeitig ei-
                                              Zweck ist es notwendig, die KI-Entwick-     ne optimierte Systemsicherheit zu nut-
                                              lung und die KI-unterstützte Cyberse-       zen. Insbesondere durch den vermehr-
 Forschungsprojekte als wegweisen-            curity zu verbinden.24 Durch das För-       ten Einsatz von IoT-Geräten in Betrieben
            de Chance                         derprogramm soll erreicht werden,           können Sicherheitslücken entstehen, die
                                              dass sich Universitäten, Forschungs-        ohne eine funktionierende und struk-
Das Forschungsprogramm „Selbstbe-             stellen und Unternehmen zusammen-           turierte Cybersecurity zu erheblichen
stimmt und sicher in der digitalen Welt“21    tun, um durch gegenseitige Erfahrun-        Betriebsschädigungen führen können.
soll sowohl die Cybersicherheit von Un-       gen und Kompetenzen die IT-Sicherheit
ternehmen verbessern als auch den Spa-        bestmöglich zu optimieren. Insbesonde-      Ob     und zu welchem Zeitpunkt die-
gat zwischen Mensch und KI schaffen.          re sollen kleinere und mittlere Unterneh-   se      Technik allerdings einsatzbe-
Insbesondere legt das Programm den Fo-        men (KMU) auf lange Sicht profitieren.25    reit   sein wird, hängt auch vom Erfolg
kus auf vier Schwerpunkte im Rahmen                                                       des    Förderprogramms des BMBF ab.
der Wissenschaft: erstens die Entwick-
lung neuester Hightech-Werkzeuge und                            Fazit                                     Ass. Jur. Thomas Schneck
Verfahren, zweitens die Sicherung kom-
plexer IKT-Systeme, drittens die Sicher-
heit umfangreicher Ressorts wie Produk-       Die Bundesregierung will durch die neu-
tion, Verkehr, Medizin und kritische Inf-     este Möglichkeit der Forschungsförde-
rastrukturen und schließlich viertens die     rung im Rahmen des Projekts „Selbst-
Berücksichtigung des Bereichs der Pri-        bestimmt und sicher in der digitalen
vatheit.22 Im Rahmen der Privatheit soll      Welt 2015-2020“ einen Anreiz schaffen,
                                              die zukunftsweisende Technologie der
20 Krempl, Heise, http://www.heise.de/-
4220850, (zuletzt abgerufen am 11.02.2019).   (zuletzt abgerufen am 11.02.2019).
21 BMBF, https://www.forschung-it-            23 Vgl. BMWI, https://www.bmwi.
sicherheit-kommunikationssysteme.de/          de/Redaktion/DE/Publikationen/
dateien/publikationen/it_sicherheitskon-      Technologie/strategie-kuenstliche-
ferenz_programmbroschuere_2017.pdf            intelligenz-der-bundesregierung.pdf?__
,(zuletzt abgerufen am 11.02.2019); BMBF,     blob=publicationFile&v=8, (zuletzt
https://www.bmbf.de/de/sicher-in-der-digi-    abgerufen am 11.02.2019).
talen-welt-849.html, (zuletzt abgerufen am    24 BMBF, https://www.bmbf.de/foer-
11.02.2019); BMBF, https://www.bmbf.de/       derungen/bekanntmachung-2187.html,
foerderungen/bekanntmachung-2187.html,        (zuletzt abgerufen am 11.02.2019).
(zuletzt abgerufen am 11.02.2019).            25 BMBF, https://www.bmbf.de/foer-
22 BMBF, https://www.bmbf.de/foer-            derungen/bekanntmachung-2187.html,
derungen/bekanntmachung-2187.html,            (zuletzt abgerufen am 11.02.2019).

                                                BayWiDI Magazin März 2019 S. 4/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
Haben Passwörter bald ausgedient? – Neue Möglichkeiten der Authentifizierung
mittels u.a. biometrischer und verhaltensanalytischer Verfahren

Seit jeher sind Passwörter zur Authen-
tifikation bei der Anmeldung auf Inter-
netplattformen oder Nutzung mobiler
Geräte eine geläufige Methode, um den
Zugriff durch unberechtigte Dritte zu
verhindern. Genauso lange wie es Pass-
wörter gibt, gibt es auch unerlässliche Be-
mühungen den Passwortschutz zu um-
gehen. Erst in den vergangenen Wochen
sind millionenfache Hacks von E-Mail-
Adressen inklusive zugehöriger Passwör-
ter bekannt geworden, nachdem diese im
Internet zum Download angeboten wur-
den.1 Daher weist das Bundesamt für Si-       dere, wenn nur einfache Passwörter (et-          hören etwa Fingerabdruckscanner, wie
cherheit in der Informationstechnik (BSI)     wa „1234“) oder ein Passwort für eine            sie bereits heute bei vielen Smartphones
auch auf das gesteigerte Erfordernis star-    Vielzahl von Accounts verwendet wer-             angewendet werden. Neuere Modelle et-
ker Passwörter hin.2 Die Frage nach dem       den, besteht eine erhöhte Gefährdung.4           wa scannen die Iris des Gerätenutzers
tatsächlichen Sicherheitswert von Pass-       Abgesehen von der Möglichkeit Pass-              oder gleich das ganze Gesicht. Am Bei-
wörtern stellt sich demnach zunehmend.        wörter zu hacken, können diese auch              spiel des Iris-Scans lässt sich die tech-
Der richtige Zeitpunkt also, um über neue     schlicht von den berechtigten Nutzern            nische Funktionsweise dieser biometri-
und moderne Technologien der Authenti-        vergessen oder ihnen gestohlen werden.5          schen Verfahren erklären. Die Iris, also
fizierung nachzudenken. Möglichkeiten,                                                         der Bereich, der im Auge um die Pupil-
zu denen etwa die biometrische und ver-                                                        le herumliegt, weist bei jedem Menschen
haltensanalytische Identifikationserken-                   Alternative                         ein anderes und damit individuelles Mus-
nung zählen, tragen das Potenzial, ein-             Authentifikationsoptionen                  ter auf. Sie ist daher von der Unterschei-
fache Passwörter in Zukunft abzulösen.                                                         dungskraft vergleichbar mit dem Fin-
                                              Insbesondere von biometrischen Er-               gerabdruck. 7 Wichtiger noch: Die Iris
                                              kennungsmethoden (Iris-Scan, Fin-                lässt sich nahezu nicht nachbilden. Dies
        Sicherheitslücken beim                gerabdruck, etc.) wird der Leser schon           macht sie für die Nutzung durch bio-
            Passwortschutz                    einmal gehört haben. Allerdings kön-             metrische Erkennungssysteme attrak-
                                              nen auch Verhaltensmuster analysiert             tiv.8 Auch Fingerabdrücke sind zwar ein-
Bei der Verwendung von Passwörtern            und zur Identifikation des Nutzers, zu-          zigartig. Allerdings haben Forscher be-
identifizieren Geräte nicht einwandfrei       mindest zusätzlich zur biometrischen             reits Methoden entwickelt, mit denen
den Nutzer, sondern registrieren nur,         Erkennung,    herangezogen     werden.           sich Fingerabdruckscanner überlisten
dass die Zugangsdaten richtig eingege-                                                         ließen. Deren Arbeitsweise wurde aus-
ben wurden.3 Das Fehlen darüber hin-                 Biometrische Erkennung                    genutzt, indem sie mit falschen Abdrü-
ausgehender      Identifizierungsvorgän-      Die biometrische Erkennung ist Teil der          cken, hergestellt mit Hilfe von künstli-
ge macht die Passwortsicherung anfällig       sog. „Zero Login“ Authentifizierung. Mit         cher Intelligenz (KI) gespeist wurden.9
für unberechtigte Zugriffe. Insbeson-         Zero Login wird die Anmeldung ohne Er-
                                              fordernis der aktiven Eingabe beschrie-          Zur Speicherung des Iris-Musters wird
1 Bekannt geworden unter der Bezeich-         ben.6 Zu den Authentifizierungsmodel-            zunächst mit Hilfe einer Kamera und In-
nung „Collection #1(-5)“, vgl. Eikenberg,     len mit Hilfe biometrischer Scanner ge-
https://www.heise.de/security/meldung/                                                         7 Vgl. hierzu die malerische Beschrei-
Neue-Passwort-Leaks-Insgesamt-2-2-Milli-                                                       bung von Wicht, https://www.spektrum.
arden-Accounts-betroffen-4287538.html,        4 Jacober, https://www.computerwoche.            de/kolumne/von-der-iris/1022201, (zuletzt
(zuletzt abgerufen am 31.01.2019), insge-     de/a/auslaufmodell-passwort,3546380,             abgerufen am 31.01.2019).
samt sind mehr als 2,2 Milliarden E-Mail-     (zuletzt abgerufen am 31.01.2019).               8 Walke-Chomjakov, https://www.pcwelt.
Adressen betroffen.                           5 Jayshree/Preeti, User Authentification         de/tipps/So-funktioniert-ein-Iris-Scan-
2 BSI, https://www.bsi-fuer-buerger.de/       by Face Recognition, IJARCSSE Band 6 Aus-        ner-10069493.html, (zuletzt abgerufen am
BSIFB/DE/Empfehlungen/Passwoerter/            gabe 3, 2016, Seite 15, abrufbar unter http://   31.01.2019).
passwoerter_node.html, (zuletzt abgerufen     ijarcsse.com/Before_August_2017/docs/pa-         9 Vgl. Bontrager/Roy/Togelius/Memon/
am 31.01.2019).                               pers/Special_Issue/iconect2016/fcs06.pdf,        Ross, DeepMasterPrints: Generating Master-
3 Dazu Jacober, https://www.com-              (zuletzt abgerufen am 31.01.2019), S. 15.        Prints for Dictionary Attacks via Latent Vari-
puterwoche.de/a/auslaufmodell-pass-           6 Jacober, https://www.computerwoche.            able Evolution, abrufbar unter https://arxiv.
wort,3546380, (zuletzt abgerufen am           de/a/auslaufmodell-passwort,3546380,             org/pdf/1705.07386.pdf, (zuletzt abgerufen
31.01.2019).                                  (zuletzt abgerufen am 31.01.2019).               am 13.02.2019).

                                                BayWiDI Magazin März 2019 S. 5/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
frarotfunktion ein Scan der Iris durch-       lytische Methoden können neben der            nachweis unterstützen.17 Ein Vorreiter
geführt, bei dem das Muster der sog. Re-      Authentifizierung auch zu anderen Si-         auf dem Gebiet verhaltensanalytischer
genbogenhaut der Iris aufgenommen             cherungszwecken eingesetzt werden, et-        Sicherungstechnik ist Amazon. Der
und anschließend gespeichert wird.10          wa bei der Erkennung von Missbrauch           Konzern registriert bereits, wenn Nut-
Bei Samsung-Geräten etwa, die mit Iris-       im Bereich mobiler Geldtransfers.15           zer sich über fremde Geräte oder von un-
Scanner ausgestattet sind, wird das ge-                                                     gewöhnlichen Standorten aus anmel-
scannte Muster anschließend auf dem Ge-                                                     den und verlangt daraufhin eine weite-
rät selbst verschlüsselt abgespeichert. 11                                                  re Authentifikation durch den Nutzer. 18

Will sich ein Nutzer bei dem Gerät an-                                                       Blockchain-gestützte Identifikation
melden, liest die Kamera des Geräts                                                               - Blockchain als „Tresor für
die Iris des Nutzers ein und vergleicht                                                           Authentifizierungsdaten“19
das erkannte Muster mit den hinter-                                                         Authentifizierungsdaten können zu-
legten Daten. Bei einem positiven Ab-         Auch wenn biometrische Erkennungs-            mindest theoretisch auch mit Hilfe der
gleich wird das Gerät freigeschaltet.         methoden ein durchaus hohes Maß an Si-        Blockchain-Technologie gesichert wer-
                                              cherheit bieten, so können auch hier Feh-     den und genutzt werden. Die Idee dahin-
Die zusätzliche Mustererkennung von           ler in Folge von Messungenauigkeiten          ter ist, sich die besonderen Sicherheits-
Gesichtsscans erfordert unter ande-           oder Veränderungen der körperlichen           vorteile von Blockchain als Verschlüs-
rem die Ausrüstung mit einer Tiefener-        Merkmale, unter anderem in Folge von          selungsmethode zu Nutze zu machen.
kennungskamera.12 Auf diese Weise             Krankheiten o.ä. auftreten. Hierbei kön-      Unter anderem wird Blockchain als „un-
werden bis zu 30.000 separate Gesichts-       nen sowohl Personen fälschlicherweise         vernichtbar“, „fälschungsresistent“, „un-
punkte aufgenommen und gespeichert.13         vom System ausgesperrt(false-rejection)       veränderlich“ und „fehlertolerant“ be-
In einer ähnlichen Methode werden Bil-        als auch eigentlich unberechtigte Perso-      schrieben.20 Dabei hängt die Verschlüs-
der des Gesichts bzgl. bestimmter Merk-       nen von den Systemen fälschlicherweise        selung der Daten insbesondere von der
male, wie etwa der Abstand der Augen          zugelassen (false-acceptance) werden. 16      Widerstandsfähigkeit der Verschlüsse-
voneinander registriert. Gesichtserken-                                                     lung ab.21 Da die Blockchain-Verschlüs-
nungsauthentifizierung bietet den Vor-          Verhaltensanalytische Erkennung             selung grob beschrieben von der zu-
teil, dass nicht nur der erstmalige Login     Verhaltensanalytische Erkennungstech-         sammengetragenen Rechenleistung der
sicher gestaltet werden kann, sondern         nik kann vor allem bei der Multi-Fak-         Blockchain-Nutzer abhängt, schwächt
dass selbst eine fortlaufende Authen-         tor-Authentifizierung zum Einsatz kom-        die Verschlüsselungssicherheit demnach
tifizierung während einer Sitzung mög-        men. Multi-Faktor-Authentifizierung           mit steigender Rechenleistung seitens
lich ist. Auf diese Weise könnten Gerä-       beschreibt hierbei die Authentifizierung      der Cyber-Kriminellen ab. Eine umfas-
te derart stark gesichert werden, dass        anhand mehrerer Nachweismittel. Ne-           sende Sicherheit ist demnach unter Um-
selbst kurze Abwesenheiten des berech-        ben dem Einsatz biometrischer Erken-          ständen gerade nicht gewährleistet. Ge-
tigten Nutzers die Nutzung des Gerä-          nung können auch andere Daten, wie            rade wenn biometrische Authentifikati-
tes durch unberechtigte Dritte automa-        z.B. Geo- und Bewegungsdaten der Nut-         onsmerkmale gespeichert sind, kann eine
tisch stoppen würden.14 Verhaltensana-        zer oder Analysen von Tippgeschwindig-        Schwachstelle in der Blockchain zu weit-
                                              keit, als Verhaltensmuster den Identitäts-    reichenden Folgen führen.22 In diesem
10 Walke-Chomjakov, https://www.pcwelt.
de/tipps/So-funktioniert-ein-Iris-Scan-
ner-10069493.html, (zuletzt abgerufen am                                                    17 Jacober, https://www.computerwoche.
31.01.2019).                                  15 Vgl. dazu den Aufsatz von Rieke/Zhda-      de/a/auslaufmodell-passwort,3546380,
                                              nova/Repp/Giot/Gaber, Verhaltensanalyse       (zuletzt abgerufen am 31.01.2019).
11 Walke-Chomjakov, https://www.pcwelt.
de/tipps/So-funktioniert-ein-Iris-Scan-       zur Erkennung von Missbrauch mobiler          18 Jacober, https://www.computerwoche.
ner-10069493.html, (zuletzt abgerufen am      Geldtransferdienste, GI 2014, 271, abrufbar   de/a/auslaufmodell-passwort,3546380,
31.01.2019).                                  unter https://www.researchgate.net/profi-     (zuletzt abgerufen am 31.01.2019).
                                              le/Romain_Giot2/publication/261027965_        19 Schmitz, https://www.security-insider.
12 Walke-Chomjakov, https://www.              Verhaltensanalyse_zur_Erkennung_von_
pcwelt.de/tipps/So-funktioniert-ein-Iris-                                                   de/blockchain-gestuetzte-benutzerauthen-
                                              Missbrauch_mobiler_Geldtransferdienste/       tifizierung-a-792826/, (zuletzt abgerufen am
Scanner-10069493.html, (zuletzt abgerufen     links/55fff74908ae07629e51e999/
am 31.01.2019).                                                                             31.01.2019).
                                              Verhaltensanalyse-zur-Erkennung-von-
13 Das iPhone X nutzt unter anderem Ge-       Missbrauch-mobiler-Geldtransferdienste.       20 Siehe etwa bei Schmitz, https://www.
sichtserkennung zur Authentifizierung, vgl.   pdf?origin=publication_detail, (zuletzt       security-insider.de/blockchain-gestuetzte-
Xie, https://www.forbes.com/sites/forbe-      abgerufen am 31.01.2019).                     benutzerauthentifizierung-a-792826/,
stechcouncil/2018/09/19/the-future-of-bio-                                                  (zuletzt abgerufen am 31.01.2019).
                                              16 Bundesbeauftragte für den Datenschutz
metric-facial-recognition/#78533ef53c74,      und die Informationssicherheit, https://      21 Schmitz, https://www.security-insider.
(zuletzt abgerufen am 31.01.2019).            www.bfdi.bund.de/DE/Datenschutz/              de/blockchain-gestuetzte-benutzerauthen-
14 Vgl. die Studie von Jayshree/Preeti,       Themen/Technische_Anwendungen/                tifizierung-a-792826/, (zuletzt abgerufen am
User Authentification by Face Recognition,    TechnischeAnwendungenArtikel/Biomet-          31.01.2019).
http://ijarcsse.com/Before_August_2017/       rieUndDatenschutz.html?cms_templateQu         22 Schmitz, https://www.security-insider.
docs/papers/Special_Issue/iconect2016/        eryString=biometrische+erkennung&cms_         de/blockchain-gestuetzte-benutzerauthen-
fcs06.pdf, (zuletzt abgerufen am              sortOrder=score+desc, (zuletzt abgerufen      tifizierung-a-792826/, (zuletzt abgerufen am
31.01.2019).                                  am 13.02.2019).                               31.01.2019).

                                                BayWiDI Magazin März 2019 S. 6/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
GVO28 hohe Bedeutung haben auch die
                                                                                           datenschutzrechtlichen        Sicherungs-
                                                                                           pflichten von Verantwortlichen. Gem.
                                                                                           Art. 32 DS-GVO gehören zu einer aus-
                                                                                           reichenden Sicherheitsstruktur unter an-
                                                                                           derem die Schaffung von individualisier-
                                                                                           ten Nutzerkennungen und das Erforder-
                                                                                           nis, einen unbefugten Zugang zu den
                                                                                           verarbeiteten Daten durch Dritte mit-
                                                                                           tels Passwortschutz zu verhindern.29 Für
                                                                                           Anbieter digitaler Dienste regelt das
                                                                                           BSIG30 besondere Sicherheitserforder-
Fall würden sich nicht vorhersehbare da-      teile.26    Nachvollziehbarer    Weise       nisse. Anbieter von Online-Marktplät-
tenschutzrechtliche Folgen ergeben.23         treten im Vergleich zu biometrischen         zen, Online-Suchmaschinen und Cloud-
Insbesondere würde sich aufgrund der          und verhaltensanalytischen Authenti-         Computing-Dienste sind demnach ver-
Beteiligung sämtlicher Blockchain Nut-        fikationsversionen hier dem Passwort-        pflichtet, geeignete technische und
zer an den Verarbeitungsvorgängen die         schutz ähnliche Probleme auf. So könn-       organisatorische Maßnahmen zu treffen,
Frage stellen, wer als „Verantwortlicher“     te etwa ein gestohlener Personalausweis      um Risiken für die Sicherheit der Netz-
im Sinne der DS-GVO für den Fall einer        unter Umständen zu einer Authentifika-       und Informationssystemen zu begegnen,
DS-GVO-widrigen Datenverarbeitung             tion durch unberechtigte Dritte führen.      § 8c Abs. 1 BSIG. Im Rahmen dieser Ver-
gem. Art. 82 DS-GVO haften würde.                                                          pflichtung können zur effektiven Durch-
                                                         Zusammenfassung                   führung von Zugriffskontrollen auch be-
          Personalausweis und                 Der Passwortschutz stellt sich zuneh-        sondere Authentifizierungserfordernis-
            der elektronische                 mend als unsichere Zugangssicherung          se für den Zugriff erforderlich werden.31
        Identifikationsnachweis               heraus. Insbesondere aber stellen nur
Mit Einführung des neuen Personalaus-         einfache Passwörter keinen hinreichen-       Auch das sich derzeit in der parlamen-
weisgesetzes (PAuswG) am 1.11.2010 hat        den Schutz dar. Um es der Cyberkrimi-        tarischen Beratung befindende Gesetz
der deutsche Gesetzgeber eine zusätzli-       nalität in Zukunft schwerer zu gestal-       zum Schutz von Geschäftsgeheim-
che Identifikationsmöglichkeit geschaf-       ten unberechtigt auf Systeme zuzugrei-       nissen32 soll dem Know-how-Schutz
fen. So können gem. § 18 PAuswG Perso-        fen, bieten sich eine Reihe moderner         in Deutschland eine Mindestsicherung
nalausweisinhaber diesen zum Nachweis         Alternativen an. Hierbei scheint die bio-    garantieren.33 Dies wird auch das Er-
der Identität sowohl gegenüber öffent-        metrische Identifikation, etwa Finger-       fordernis einer ausreichenden IT-Si-
lichen als auch nicht-öffentlichen Stel-      abdruck oder Iris-Scan, ein besonders        cherheit, einschließlich personalisier-
len nutzen. In der Zielsetzung sollte die     hohes Schutzniveau zu versprechen.           ter Nutzerkennungen und Passwort-
Identifizierbarkeit im Internet mit dieser    Personalausweis-Identifikation, Erken-       schutz umfassen.34 Schon jetzt können
Methode der persönlichen Vorlage des          nung von Verhaltensmustern oder Block-       mangelnde Sicherheitsstandards zum
Personalausweises gleich gestellt wer-        chain-Alternativen sollten soweit mög-       Schutz von Betriebsgeheimnissen ei-
den.24 Die Identifikation funktioniert, in-   lich, nur Teil eines Multi-Factor-Authen-
dem auf dem Ausweis gespeicherte Iden-        tifizierungsverfahrens sein, also nur in     28   Datenschutzgrundverordnung.
tifikationsdaten verschlüsselt übermittelt    Verbindung mit weiteren Identifikati-        29 Schwartmann/Jaspers/Thüsing/Kugel-
werden. Der erforderliche Schlüssel hier-     onserfordernissen eingesetzt werden.         mann, DS-GVO/BDSG, C.F.Müller, 2018, Art.
zu ist in nicht auslesbarer Weise auf dem                                                  32, Rn. 21.
Personalausweis gespeichert. So kann der                                                   30 Gesetz über das Bundesamt für Sicher-
                                               Rechtliche Pflicht zur Schaffung von        heit in der Informationstechnik.
gesendete Datensatz (Identifikationsda-
                                                Authentifizierungserfordernissen           31 Vgl. zur Verpflichtung zu Zugriffskon-
ten und korrekte Verschlüsselung) nur                                                      trollen, Voigt, IT-Sicherheitsrecht, otto-
von einem Nutzer unter Verwendung                                                          schmidt, 2018, S. 157; vgl. auch Bundesamt
dieses Personalausweises stammen.25           Unternehmen können, auf Grundla-             für Sicherheitstechnik in der Informations-
                                                                                           technik, https://www.bsi.bund.de/DE/Ser-
                                              ge unterschiedlicher Regelungen, zur         vice/FAQ/IT-Sicherheitsgesetz/faq_node.
Gegenüber der klassischen Verwen-             Schaffung von Zugangssicherungen ver-        html#faq6636766, (zuletzt abgerufen am
dung von Nutzername und Pass-                 pflichtet sein. Hierunter fallen etwa aus-   06.03.2019).
wort bietet die Identifikation mit-           drückliche vertragliche Vereinbarun-         32 Vgl. Bundesministerium der Justiz und
                                                                                           für Verbraucherschutz, https://www.bmjv.
tels Personalausweis durchaus Vor-            gen zu Geheimhaltungspflichten etwa
                                                                                           de/SharedDocs/Gesetzgebungsverfahren/
                                              bei der Vorprüfung neuer Geschäftsmo-        DE/GeschGehG.html, (zuletzt abgerufen am
                                              delle.27 Eine seit Inkrafttreten der DS-     06.03.2019).
23 Vgl. hierzu Schrey/Thalhofer, NJW 2017,                                                 33 Voigt/ Herrmann/ Grabenschröer, BB
1431, 1433 ff.                                26    Borges, NJW 2010, 3334, 3337.          2019, 142.
24   Vgl. Borges, NJW 2010, 3334, 3336.       27 Vgl. Voigt, IT-Sicherheitsrecht, otto-    34 Voigt/ Herrmann/ Grabenschröer, BB
25   Borges, NJW 2010, 3334, 3336.            schmidt, 2018, S. 34.                        2019, 142, 145.

                                                   BayWiDI Magazin März 2019 S. 7/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
nen Wettbewerbsverstoß darstellen.35            nutzern eine Beeinträchtigung der per-         Der Passwortschutz kann erhöht wer-
                                                sonenbezogenen Daten, wie sie Art. 8           den, wenn neben einfachen Buchsta-
Ob und inwiefern auch Private verpflich-        der Charta der Grundrechte der EU              ben und Zahlen auch auf eine Variati-
tet sein können eine, dem aktuellen Stand       unter Schutz stellt, vorliegen. Zusätzlich     on von Groß- und Kleinschreibung und
entsprechende, IT-Sicherheit einschließ-        wird immer auch eine Berührung des             Sonderzeichen (etwa: Gk?!+) zurückge-
lich eines Passwortschutzes zu schaffen,        Rechts auf informationelle Selbstbe-           griffen wird.
beschreiben Walker und Scheurer im an-          stimmung, geschützt als Teil des Allge-       Keine Verwendung von Namen von
                                                                                             ƒƒ
schließenden Beitrag. Insgesamt wird je-        meinen Persönlichkeitsrechts gem. Art.         Familienmitgliedern, des Haustieres
doch deutlich, dass das Vorhalten mo-           2 Abs. 1 GG i.V.m. Art. 1 Abs. 1 GG, an-       o.ä.
derner Zugriffssicherungen allein schon         zunehmen sein. Die grundrechtlichen
                                                                                              Keine Verwendung von einfachen
                                                                                             ƒƒ
aufgrund zahlreicher vertraglicher und          Implikationen werden zwar weitgehend
                                                                                               Tastaturmustern, wie 1234abcs oder
gesetzlicher Sicherheits- und Sicherungs-       durch den engen Rahmen der DS-GVO
                                                                                               asdfgh
vorschriften berücksichtigt werden sollte.      gemindert sein. Dennoch wird grund-
                                                sätzlich auch unabhängig von den Vorga-
                                                ben der DS-GVO eine besondere Vorsicht                 Grundsätzliches
  Daten- und Persönlichkeitsschutz-             beim Umgang mit alternativen Authen-          Keine
                                                                                             ƒƒ     einheitlichen   Passwörter ver-
         bezogene Bedenken                      tifizierungsmethoden zu fordern sein.         wenden: Bei Verwendung nur eines
                                                                                              Passwortes für eine Vielzahl von Zu-
Die Verwendung von Passwortalternati-                                                         gängen, sind bei Zugriff auf dieses eine
ven kann zwar Sicherheitsvorteile liefern,       Exkurs: Anleitung zu einem wirksa-           Passwort durch Unberechtigte, sämtli-
allerdings steigt das Maß an daten- und                men Passwortschutz                     che Zugänge ungeschützt.
persönlichkeitsschutzrechtlichen Beden-                                                       Voreingestellte Passwörter ändern:
                                                                                             ƒƒ
ken. Sowohl biometrische Daten (Finger-         Bis die oben beschriebenen Technologien        Sind z.B. bei bestimmten Softwarepro-
abdruck, Gesichtsscan, etc.) als auch Ver-      zur Authentifikation im Internet, an mo-       dukten nur voreingestellte allgemein
haltensmuster, die einzelnen Personen           bilen Geräten, etc. das Passwortschutzer-      bekannte Passwörter eingestellt, kön-
zugeordnet werden, stellen besondere            fordernis wirklich verdrängen und eine         nen Hacker diese mit geringem Auf-
Kategorien personenbezogener Daten im           alltagstaugliche Alternative darstellen,       wand austesten, um unbefugten Zu-
Sinne des Art. 9 DS-GVO dar. Ihre Erhe-         sollten sich Nutzer technischer Geräte         griff zu erhalten.
bung ist daher nur unter den besonderen         weiterhin um eine Sicherung durch star-
                                                                                              Bildschirmschoner mit Kennwort si-
                                                                                             ƒƒ
Zulässigkeitsvoraussetzungen des Art. 9         ke Passwörter bemühen. Bieten biomet-
                                                                                               chern: Diese Maßnahme dient dazu, zu
DS-GVO gestattet und kann nicht bereits         rische und verhaltensanalytische Model-
                                                                                               verhindern, dass kurze Abwesenheits-
auf die allgemeinen Rechtmäßigkeitsvo-          le zwar ein sehr hohes Sicherheitsniveau,
                                                                                               phasen vom Computer nach Durchfüh-
raussetzungen des Art. 6 DS-GVO ge-             so kann jedoch mit der Wahl eines Pass-
                                                                                               rung des initialen Authentifizierungs-
stützt werden. Erforderlich ist daher, dass     worts das bestimmten Qualitätsanforde-
                                                                                               vorgangs ausgenutzt werden können,
die betroffene Person in die Erhebung           rungen genügt, ein zumindest höheres
                                                                                               um auf Inhalte zuzugreifen.
der biometrischen Daten entweder aus-           Schutzniveau als bei nur einfachen oder
drücklich einwilligt (eine einfache Ein-        mehrfach verwendeten Passwörtern ge-          Passwörter nicht an Dritte weiterge-
                                                                                             ƒƒ
willigung nach Art. 6 Abs. 1 S. 1 lit. a, und   schaffen werden.36 Im Folgenden soll da-       ben oder per E-Mail versenden: Ins-
Art. 7 DS-GVO genügt nicht) oder, dass          her eine kurze Anleitung zur Erstellung        besondere sollte kein Vertrauen in den
besondere gesetzliche Erlaubnisse, etwa         sicherer Passwörter und dem Umgang             Versand von Passwörtern via E-Mail
bei besonderen arbeits- oder sozialrecht-       mit dem Passwortschutz gegeben werden:         gesetzt werden. E-Mails werden über-
lichen Erfordernissen, dies gestatten. Im                                                      wiegend unverschlüsselt gesendet
Regelfall wird die Erhebung dieser beson-                 Passworterstellung                   und können darüber hinaus, verloren-
ders sensiblen Daten wohl auf eine aus-          Passwort sollte gut zu merken sein.           gehen, falsch adressiert oder heraus-
                                                ƒƒ
drückliche Einwilligung gestützt werden.                                                       gefiltert werden.
                                                 Passwort sollte dennoch möglichst
                                                ƒƒ
                                                  lang sein: Das BSI empfiehlt eine Min-      Nutzung eines Passwort-Managers:
                                                                                             ƒƒ
Neben den besonderen Anforderungen                destlänge von acht Zeichen, bei Ver-         Um dem Erfordernis der Verwendung
des Datenschutzes soll nicht vergessen            schlüsselungsverfahren für WLAN so-          mehrerer Passwörter gerecht werden
werden, dass bei der Preisgabe von bio-           gar von mindestens 20 Zeichen.               zu können und gleichzeitig der Gefahr
metrischen Daten und Verhaltensmus-                                                            zu begegnen, einzelne Passwörter zu
                                                 Nutzung aller verfügbaren Zeichen:
                                                ƒƒ
tern auch grundrechtlich geschützte Po-                                                        vergessen, können sog. Passwort-Ma-
sitionen betroffen sein können. Unter an-                                                      nager zum Einsatz kommen, bei denen
derem kann durch die Verbreitung und            36 Vgl. BSI, https://www.bsi-fuer-buerger.     durch ein überdurchschnittlich starkes
                                                de/BSIFB/DE/Empfehlungen/Passwoerter/          Passwort, sämtliche Passwörter gebün-
Speicherung der biometrischen Daten
                                                passwoerter_node.html, zuletzt abgerufen
und der Verhaltensmuster von System-            am 13.02.2019; BSI, https://www.bsi-fuer-      delt abgesichert werden.
                                                buerger.de/BSIFB/DE/Empfehlungen/
35 Vgl. Voigt, IT-Sicherheitsrecht, otto-       Passwoerter/Umgang/umgang_node.html,                     Jannik Zerbst, LL.M. (VUW)
schmidt, 2018, S. 46.                           (zuletzt abgerufen am 13.02.2019).

                                                  BayWiDI Magazin März 2019 S. 8/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
IT-Sicherheit. Privat? – Grund- und datenschutzrechtliche Aspekte einer
privaten Pflicht zur IT-Sicherheit

              A. Einleitung

Zugangsdaten, private Fotografien, um-
fassende Informationen über Angehörige
und Dritte: Ein Blick in die Speicherme-
dien der Smartphones, Laptops, Tablets
oder Rechner verrät oftmals nicht nur in-
timste Details über den Eigentümer, son-
dern gleichermaßen auch über dessen
Umfeld. Dass ein solcher Zugriff auch oh-
ne elaboriertes Spezialwissen vonstatten-
gehen kann, zeigte jüngst ein 20-jähriger
Schüler, der im Dezember 2018 das digita-      IT-Sicherheit, auch innerhalb des priva-        nung an § 2 Abs. 1 BSIG schließt der Be-
le Privatleben der deutschen (Polit-) Pro-     ten Umfelds gewährleistet ist. Im Fol-          griff der IT folglich Hard- und Software
minenz Tweet für Tweet veröffentlichte.        genden soll der Frage nachgegangen              mit der Fähigkeit, Daten und Informati-
Vor diesem Hintergrund stellt sich zu-         werden, ob sich eine Pflicht zur priva-         onen zu verarbeiten und zu übertragen
nehmend die Frage, ob und wie weit auch        ten IT-Sicherheit unmittelbar aus dem           ein.5 § 2 Abs. 1 BSIG bietet hingegen kei-
„private Datensammler“ IT-sicherheits-         Grundgesetz, nämlich als Ausfluss der           ne Grundlage für eine denkbare weitere
rechtlichen Pflichten unterliegen. Der         in Art. 14 Abs. 2 GG normierten Sozial-         Voraussetzung des Begriffs der IT, näm-
vorliegende Beitrag möchte diese Frage         bindung des Eigentums ergeben kann.             lich für eine informationstechnische Ver-
sowohl aus grundrechtlicher (dazu unter                                                        netzung.6 Anknüpfungspunkt für eine
B.) als auch aus datenschutzrechtlicher        1. Ausgangspunkt: Eigentum an IT                im Weiteren zu erörternde (grundrecht-
Perspektive (dazu unter C.) untersuchen.       Es ist zunächst zu klären, woran Eigen-         liche) Pflicht zu privaten IT-Sicherheits-
                                               tum, also die einem Berechtigten norma-         maßnahmen ist also das Eigentum an IT.7
                                               tiv zur privaten Nutzung und Verfügung
  B. Private Pflicht zur IT-Sicherheit         zugeordnete und einen Vermögenswert             2. Ausgestaltung: Art und Umfang der
                                               beinhaltende Rechtsposition2, bestehen          Pflicht zur IT-Sicherheit?
                                               soll. In Betracht kommt das Eigentum an         Die vielfältigen, häufig schwer erkenn-
I. Grundrechtliche Vorgaben                    der Informationstechnik (IT). Dabei stellt      baren Bedrohungen für die IT befin-
In einer zunehmend digitalen Gesell-           sich aber die Frage, wie der Begriff der IT     den sich in einem stetigen Wandel.8 Da-
schaft drohen den grundrechtlich ver-          zu definieren ist. Eine Legaldefinition fin-    bei sind die Risiken im Hinblick auf die
bürgten Freiheiten des Einzelnen nicht         det sich in § 2 Abs. 1 BSIG, der IT als „al-    Software von größerem Gewicht, da erst
allein Beeinträchtigungen von staat-           le technischen Mittel zur Verarbeitung
licher Seite, sondern auch im Verhält-         oder Übertragung von Informationen“             heitsgesetzes und der RL (EU) 2016/1148, S.
nis zu seinen Mitbürgern. Insbesondere         definiert. Ausgehend vom Wortlaut des §         40.
das Grundrecht auf Schutz der Persön-          2 Abs. 1 BSIG („alle technischen Mittel“)       5 Eckert, IT-Sicherheit, Konzepte, Verfah-
                                                                                               ren, Protokolle, S. 3.
lichkeit (Art. 2 Abs. 1 GG i.V. mit Art. 1     kann man unter IT zum einen Hardware,
                                                                                               6 Freimuth, Die Gewährleistung der IT
Abs. 1 GG) in seiner speziellen Ausprä-        also alle gegenständlichen Bestandtei-          Kritischer Infrastrukturen – Am Beispiel der
gung des Schutzes der informationellen         le, die der Verarbeitung von Informati-         Pflichten des		                 IT-Sicher-
Selbstbestimmung ist in Gefahr, weil In-       onen dienen3, subsumieren. Der Begriff          heitsgesetzes und der RL (EU) 2016/1148, S.
                                                                                               41; Eckert, IT-Sicherheit, Konzepte, Verfah-
formationen von Bürgern in ungeahnter          der IT ist darüber hinaus aber auch in          ren, Protokolle, S. 3.
Größenordnung in einer für den Einzel-         seinem technischen Zusammenhang zu              7 Zur Frage des Eigentums an Software,
nen kaum noch erkennbaren Weise im             sehen und erfasst daher zum anderen             vgl. ausführlich Freimuth, Die Gewährleis-
Umlauf sind. Ideal wäre ein „Zustand,          die informationstechnisch notwendigen           tung der IT           Kritischer Infrastruk-
                                                                                               turen – Am Beispiel der Pflichten des
in dem die Einhaltung bestimmter Si-           Programme als Software, die der Nut-
                                                                                               IT-Sicherheitsgesetzes und der RL (EU)
cherheitsstandards, die die Verfügbar-         zung der Hardware dienen.4 In Anleh-            2016/1148, S. 135 f.
keit, Unversehrtheit oder Vertraulich-                                                         8 BSI, Die Lage der IT-Sicherheit in
                                               2   BVerfGE 68, 193, 222; BVerfGE 78, 58, 71.
keit von Informationen betreffen“1, also                                                       Deutschland 2018, S. 91, abrufbar unter
                                               3 Kloepfer/Neun, Informationsrecht, § 1         		https://www.bsi.bund.
1 Freimuth, Die Gewährleistung der IT          Rn. 7.                                          de/SharedDocs/Downloads/DE/BSI/Publi-
Kritischer Infrastrukturen – Am Beispiel der   4 Freimuth, Die Gewährleistung der IT           kationen/Lageberichte/L        agebe-
Pflichten des        IT-Sicherheitsgesetzes    Kritischer Infrastrukturen – Am Beispiel der    richt2018.pdf?__blob=publicationFile&v=5,
und der RL (EU) 2016/1148, S. 60.              Pflichten des		                IT-Sicher-       (zuletzt abgerufen am 06.03.2019).

                                                   BayWiDI Magazin März 2019 S. 9/15
EDITORIAL - GRUßWORT DES FORSCHUNGSPROJEKTLEITERS VON "BAYWIDI" PROF. DR. DIRK HECKMANN
die Software eine effektive Nutzung der
Hardware für Datenverarbeitungs- und
Kommunikationsprozesse gewährleistet
und somit eine Verwirklichung der Risi-
ken im Bereich der Software besonders
weitreichende Folgen haben kann.9 Die
Abwehr durch präventive Maßnahmen
stellt eine Herausforderung dar. Frag-
lich ist, ob es diese auch im privaten Um-
feld anzugehen gilt. Zu diesem Zweck soll
vorab untersucht werden, unter welchen
Umständen das Eigentum allgemeine si-
cherheitsrechtliche Pflichten begründen
kann. Dazu eignet sich das Beispiel des
Baurechts (dazu unter a)). Die dabei ge-
fundenen Grundsätze sollen sodann im
Kontext der Digitalisierung aufgegriffen       Teil 1 Titel 8 § 65 Preuß. ALR von 1794 be-    albindung des Eigentums in erster Linie
und übertragen werden (dazu unter b)).         stimmte: „In der Regel ist jeder Eigent-       dem Schutz von Leben und Gesundheit.15
                                               hümer seinen Grund und Boden mit Ge-           Hintergrund ist also das in Art. 2 Abs. 2
a. „Eigentum verpflichtet.“                    bäuden zu besetzen oder sein Gebäude           Satz 1 GG normierte Grundrecht auf Le-
In Art. 14 Abs. 2 Satz 1 GG („Eigentum         zu verändern wohl befugt.“ Dass aber die       ben und körperliche Unversehrtheit.
verpflichtet.“) kommt das „soziale Einge-      Baufreiheit Einschränkungen unterliegt,        Auch wenn Art. 2 Abs. 2 Satz 1 GG ei-
ordnetsein des Eigentums“10 zum Aus-           wurde in der darauffolgenden Norm klar-        ne Sonderstellung einnimmt, weil die
druck. Der „Gesetzgeber [hat] bei der Re-      gestellt. So hielt die Bestimmung in Teil      Vorschrift „Voraussetzung aller anderen
gelung des Eigentumsinhalts das Wohl           1 Titel 8 § 66 Preuß. ALR von 1794 fest:       Grundrechte“16 ist, kommt dem Grund-
der Allgemeinheit zu beachten“11, wobei        „[Z]um Schaden oder zur Unsicherheit           recht auf informationelle Selbstbestim-
seine Befugnis zur Inhalts- und Schran-        des gemeinen Wesens [soll] kein Bau und        mung aus Art. 2 Abs. 1 GG i.V. mit Art.
kenbestimmung „umso weiter [ist], je           keine Veränderung vorgenommen wer-             1 Abs. 1 GG als Ausprägung des Schut-
stärker der soziale Bezug des Eigentum-        den.“ Vor diesem Hintergrund besteht           zes der Persönlichkeit ebenfalls hohes
sobjekts ist“12. Der in Art. 14 Abs. 1 GG      auch heute die Dispositionsbefugnis des        Gewicht zu. Im digitalen Zusammen-
gewährten Freiheit ist also eine – in ih-      Eigentümers in Bezug auf die bauliche          hang würde eine Pflicht zur IT-Sicher-
rem Ausmaß vom sozialen Bezug des Ei-          Nutzung seines Grund und Bodens auf-           heitsvorsorge im privaten Umfeld den
gentumsobjekts abhängige – Rückbin-            grund zahlreicher normativer Bindungen         Schutz der Verfügbarkeit, Unversehrt-
dung an die Gesellschaft immanent.             planungs- und ordnungsrechtlicher Art          heit oder Vertraulichkeit von Informatio-
                                               möglicherweise im Hinblick auf das „Ob“        nen entscheidend befördern und so dafür
Ein Beispiel dafür, dass der Gesetzgeber       und „Wann“ des Bauens, aber nicht im           sorgen, dass das Grundrecht auf Eigen-
seinem aus Art. 14 Abs. 2 GG folgenden         Hinblick auf das „Wie“ des Bauens.14 Die       tum und das Grundrecht auf informati-
Auftrag, dem Eigentümer die im Inter-          in Art. 14 Abs. 2 GG verfassungsrecht-         onelle Selbstbestimmung nicht gegenein-
esse des Allgemeinwohls erforderlichen         lich angelegte Pflicht zur Sicherheits-        ander ausgespielt, sondern im Sinne der
Schranken zu setzen nachkommt, ist das         vorsorge ist im baurechtlichen Kontext         praktischen Konkordanz17 einander so
Baurecht. So ist die Baufreiheit seit je-      also durch den Gesetzgeber aktiviert.          zugeordnet werden, dass möglichst bei-
her ein traditionelles Element des verfas-                                                    de zur optimalen Wirksamkeit gelangen.
sungsrechtlich gewährleisteten Grundei-        b. Art. 14 Abs. 2 GG im digitalen Kontext
gentums, wie etwa ein Blick in die Vor-        Aus den vorstehenden Ausführungen er-          Im Rahmen der Bestimmung des Be-
gaben des Preußischen Allgemeinen              gibt sich, dass Art. 14 Abs. 2 GG grund-       griffs der IT wurde bereits angesprochen,
Landrechts (Preuß. ALR) zeigt.13 Schon         sätzlich geeignet ist, Pflichten zur Sicher-   ob die informationstechnische Vernet-
                                               heitsvorsorge zu begründen. Es bleibt          zung nicht weitere Voraussetzung von
9 Freimuth, Die Gewährleistung der IT          nun zu klären, ob die Sozialbindung in         IT sei und selbst wenn man dies im Rah-
Kritischer Infrastrukturen – Am Beispiel der   Art. 14 Abs. 2 GG eine Pflicht zur IT-Si-      men von § 2 Abs. 1 BSIG ablehnt, so ist
Pflichten des        IT-       Sicherheits-
                                               cherheitsvorsorge im privaten Umfeld
gesetzes und der RL (EU) 2016/1148, S. 42.
                                               begründen kann. Im baurechtlichen Zu-          15 Dirnberger/Lechner, in: Simon/Busse,
10 Sitzung vom 7.10.1948, abgedruckt in                                                       Bayerische Bauordnung, Art.1 BayBO Rn. 2.
Deutscher Bundestag/Bundesarchiv (Hrsg.),      sammenhang dienen bauordnungsrecht-
                                                                                              16 BVerfGE 39, 1, 42; BVerfGE 88, 203,
Der        Parlamentarische Rat 1948 –         liche Vorschriften als Ausfluss der Sozi-
1949, Bd. 5/I, 1993, S. 172 (197 ff.).                                                        251ff.; Lang, in: BeckOK GG, Art.2 GG Rn. 56,
                                                                                              der auch von          einem „Vorausset-
11   BVerfGE 21, 73, 83.                       164.                                           zungsgrundrecht“ spricht.
12   St. Rspr.: BVerfGE 100, 226, 241 m.w.N.   14 Papier/Shirvani, in: Maunz/Dürig,           17 Hesse, Grundzüge des Verfassungs-
13 Papier/Shirvani, in: Maunz/Dürig,           Grundgesetz Kommentar, Art. 14 GG Rn.          rechts der Bundesrepublik Deutschland,
Grundgesetz Kommentar, Art. 14 GG Rn.          165.                                           Rn. 308.

                                                 BayWiDI Magazin März 2019 S. 10/15
eine Anweisung für das konkrete Ver-          Frage, ob bei privaten Tätigkeiten grund-
                                             halten des Eigentümers“19 entnommen           sätzlich der Anwendungsbereich eröff-
                                             werden. Dieser Auffassung ist im Hin-         net ist (dazu unter a)). Für den Fall, dass
                                             blick auf den Grundsatz des Vorbehalts        dies zu bejahen ist, ist insbesondere die
                                             des Gesetzes und die in Art. 14 Abs. 1        sogenannte Haushaltsausnahme des Art.
                                             Satz 2 GG ausdrücklich normierte Ver-         2 Abs. 2 lit. c DSGVO zu beachten (b)).
                                             pflichtung des Gesetzgebers, Inhalt und
                                             Schranken des Eigentums zu bestim-            a. Die grundsätzliche Anwendbarkeit
                                             men, zu widersprechen.20 Aus Art. 14          des Datenschutzrechts
                                             Abs. 2 Satz 1 GG folgt somit die Pflicht      Nach Art. 2 Abs. 1 DSGVO gilt die Ver-
                                             des Gesetzgebers, die Sozialbindung des       ordnung für die ganz oder teilweise au-
                                             Eigentums auszugestalten.21 Die „Grund-       tomatisierte Verarbeitung personenbe-
                                             plicht“ des Art. 14 Abs. 2 Satz 1 GG ist      zogener Daten. Die zentralen Merkmale
                                             vielmehr eine Grundrechtsschranke.22          des personenbezogenen Datums im Sin-
                                                                                           ne des Art. 4 Nr. 1 DSGVO als auch der
                                             3. Zwischenfazit                              Verarbeitung gem. Art. 4 Nr. 2 DSGVO
diese doch charakteristisches Element        Die Pflicht zur IT-Sicherheitsvorsorge im     sind dabei nach gängiger Überzeugung
der IT und damit ist Eigenart und Funk-      privaten Umfeld wird vorliegend als Aus-      einer weiten Auslegung zugänglich.23 Die
tion der IT, dass sie sich auf die Gesell-   fluss der in Art. 14 Abs. 2 GG normierten     Vorgaben des Datenschutzrechts sind
schaft beziehen kann. Vor diesem Hinter-     Sozialpflicht des Eigentums gesehen, muss     grundsätzlich in den Fällen zu beachten,
grund ist eine Differenzierung der jewei-    aber vom Gesetzgeber aktiviert werden.        in denen auf personenbezogene Daten
ligen IT-Nutzung angezeigt. Der soziale                                                    eingewirkt wird.24 Automatisiert ist das
Bezug der IT-Nutzung wird abzulehnen         II. Datenschutzrechtliche Vorgaben            Verfahren bereits dann, wenn der Ver-
sein, wenn die jeweilige Infrastruktur       Im Folgenden soll nunmehr untersucht          arbeitungsvorgang unter Einbeziehung
lediglich in geringem Umfang genutzt         werden, ob sich eine Verpflichtung zur        technischer Einrichtungen wie etwa Lap-
wird und aus der Nutzung keine gesell-       privaten IT-Sicherheit auch unmittel-         tops, Smartphones oder beispielswei-
schaftlich relevanten Gefahren resultie-     bar aus den Vorgaben des Datenschutz-         se anhand einer Digitalkamera erfolgt.25
ren. Auch hier könnte erneut auf die Vor-    rechts ergeben kann. Zu diesem Zweck          Speichert also der private Anwender bei-
gaben des Baurechts, insbesondere des        ist zunächst zu prüfen, ob und in wel-        spielsweise Telefonnummern, Fotografi-
Bauordnungsrechts zurückgegriffen wer-       chem Umfang das Datenschutzrecht              en oder andere Informationen über iden-
den, welche die Genehmigungspflicht ei-      auch im privaten Umfeld anwendbar ist         tifizierbare oder, wie regelmäßig der Fall
nes Bauvorhabens auch erst aber einer        (1.). Soweit der Anwendungsbereich er-        identifizierte Dritte ist der Anwendungs-
gewissen Relevanz des jeweiligen Pro-        öffnet ist, stellt sich konsequenterwei-      bereich der DSGVO regelmäßig eröffnet.
jekts anordnen. In diesem Sinne könnte       se die Frage nach der datenschutzrecht-
vertreten werden, dass eine grundrecht-      lichen Verantwortlichkeit der privaten        b. Die „Haushaltsausnahme“ des Art. 2
liche Pflicht zur IT-Sicherung ebenfalls     Anwender (dazu unter 2.). Abschließend        Abs. 2 lit. c DSGVO
erst ab einer gewissen „Erheblichkeits-      sollen die Besonderheiten der datensi-        Insbesondere bei privaten Verarbeitungs-
schwelle“ anzunehmen ist. Das Eigen-         cherheits- und damit allgemein IT-si-         vorgängen kommt es aber in Betracht,
tum an IT kann also einen starken sozi-      cherheitsrechtlichen Vorgaben mit Blick       dass die Bereichsausnahme des Art. 2
alen Bezug aufweisen, der dann weitrei-      auf den Privaten aufgezeigt werden. (3.).     Abs. 2 lit. c DSGVO ergänzend zu be-
chende Befugnisse des Gesetzgebers im                                                      rücksichtigen ist. Dieser zur Folge kom-
Hinblick auf die Ausgestaltung der Sozi-     1. Anwendbarkeit des Datenschutz-
albindung des Eigentums nach sich zieht.     rechts im privaten Umfeld                     23 Vgl. dazu etwa Karg, in: Simitis/Hor-
                                             Die Frage, ob das Datenschutzrecht im         nung/Spiecker, Datenschutzrecht, 2019, Art.
c. Verfassungsunmittelbare Pflicht           jeweiligen Fall berücksichtigt werden         4 Nr. 1 DSGVO Rn. 3; Roßnagel, in: Simitis/
                                                                                           Hornung/Spiecker, Datenschutzrecht, 2019,
Schließlich ist fraglich, ob aus Art. 14     muss, wird maßgeblich durch die Vor-          Art. 4 Nr. 2 DSGVO Rn. 1; Klar/Kühling, in:
Abs. 2 Satz 1 GG eine verfassungsunmit-      gaben des Art. 2 als auch des Art. 3 Da-      Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
telbare Rechtspflicht des Grundrechts-       tenschutz-Grundverordnung (DSGVO)             2018, Art. 4 Nr. 1 DSGVO Rn. 8; Herbst, in:
                                                                                           Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
berechtigten folgt. Nach Auffassung von      determiniert. Vorliegend sind dabei die       2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in:
Hermann von Mangoldt sollte dem in           Bestimmungen zum sachlichen Anwen-            Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art.
Art. 14 Abs. 2 Satz 1 GG verankerten Ge-     dungsbereich gem. Art. 2 DSGVO von ge-        4 Nr. 1 Rn. 7, Rn. 23.
bot sozial gerechter Eigentumsnutzung        sondertem Interesse. Mithin stellt sich die   24 In diesem Sinne auch Herbst, in:
                                                                                           Kühling/Buchner, DS-GVO/BDSG, 2. Aufl.
eine „Grundpflicht“18, also „unmittelbar
                                             19   Axer, in: BeckOK GG, Art.14 GG Rn. 25.   2018, Art. 4 Nr. 2 DSGVO Rn. 3; Klabunde, in:
                                                                                           Ehmann/Selmayr, DS-GVO, 2. Aufl. 2018, Art.
                                             20   Axer, in: BeckOK GG, Art.14 GG Rn. 25.   4 Rn. 23.
18 Sitzung vom 7.10.1948, abgedruckt in
Deutscher Bundestag/Bundesarchiv (Hrsg.),    21   Axer, in: BeckOK GG, Art.14 GG Rn. 25.   25 Dazu etwa Schild, in: Wolff/Brink,
Der        Parlamentarische Rat 1948 –       22 Hufen, Staatsrecht II - Grundrechte, §5    BeckOK Datenschutzrecht, 26. Edit. Stand:
1949, Bd. 5/I, 1993, S. 172 (197 ff.).       Rn.25.                                        01.02.2018, Art. 4 DSGVO Rn. 34.

                                               BayWiDI Magazin März 2019 S. 11/15
Sie können auch lesen
NÄCHSTE FOLIEN ... Stornieren