e_rechtstag 2014 IT-Security aus rechtlicher Sicht und Big Data

Transkript

1 e_rechtstag 2014 IT-Security aus rechtlicher Sicht und Big Data

2 Kapitel 1: Der Goldrausch -2-

3 The data gold rush With cloud computing its new engine, big data its new fuel. My dream is that Europe takes its full part. more data than ever at our disposal. ever more ways not just to collect that data but to manage it, manipulate it, use it. That is the magic to find value amid the mass of data. No wonder big data is growing 40% a year (Neelie Kroess, The data gold rush, Speech at the European Data Forum, Athen ) -3-

4 -4-

5 Goldsucher? Goldmine? Goldgräberausrüster? IT-Security und Big Data -5-

6 Kapitel 2: Die Goldadern -6-

7 Öffentliche Goldadern (?) PSI-Richtlinie (RL 2003/98/EG idf RL 2013/37/EU) über die Weiterverwendung von Information des öffentlichen Sektors Umsetzung in Ö: Informationsweiterverwendungsgesetz, BGBl I 135/2005 EuGH , C-138/11 Firmencompass Rz 50: keine Verpflichtung zur Gestattung der Weiterverwendung von Dokumenten -7-

8 Private Goldadern: Facebook -8-

9 Private Goldadern: Google ( -9-

10 Goldader Google-Kunden Wenn Sie Inhalte in unsere Dienste hochladen oder auf andere Art und Weise in diese einstellen, räumen Sie Google (und denen, mit denen wir zusammenarbeiten) das Recht ein, diese Inhalte weltweit zu verwenden, zu hosten, zu speichern, zu vervielfältigen, zu verändern, abgeleitete Werke daraus zu erstellen, zu kommunizieren, zu veröffentlichen, öffentlich aufzuführen, öffentlich anzuzeigen und zu verteilen. Diese von Ihnen im Rahmen dieser Lizenz gewährten Rechte dienen ausschließlich zur Durchführung, Förderung und Verbesserung unserer Dienste sowie zur Entwicklung neuer Dienste. Diese Rechtseinräumung bleibt auch dann bestehen, wenn Sie unsere Dienste nicht mehr verwenden. Achten Sie darauf, dass Sie über die notwendigen Rechte verfügen, um uns eine entsprechende Lizenz für alle Inhalte zu erteilen, die Sie in unsere Dienste hochladen. (

11 Technische Goldadern: zb Heartbleed The publication created panic on the Internet due to its simplicity and efficiency vulnerability passed unnoticed for almost 2 years products, services and applications that utilise the faulty code could remain exposed to this vulnerability for an unknown period of time pieces of this faulty code, even if labelled open source, may be implemented in closed projects, products, or applications, which could be unfixed for a longer period of time (European Union Agency for Network and Information Security (ENISA), Heartbleed: a wake-up call, ,

12 Kapitel 3: Die Goldsucher

13 The Good AT: Computer Emergency Response Team Austria ( DE: Bundesamt für Sicherheit in der Informationstechnik ( EU: European Union Agency for Network and Information Security (ENISA) Threat ( IT-Security-Dienstleister

14 CERT: Incidents pro Monat (CERT Internet Sicherheitsbericht 2013, 13,

15 ENISA Threat Landscape: The Good, the Bad + Impressive Successes by law enforcement + Increases number of reports, data and quality of information + Increased speed of vendors + Cooperations gain speed + Espionage major discussion topic - Increased Sophistication of attacks and tools - Multiple nation states develop attack capabilities - Cyber-threats go mobile - Two new digital battlefields: big data and internet of things (European Union Agency for Network and Information Security (ENISA) Threat Landscape 2013, , iii,

16 (ENISA- 16Threat - Landscape 2013, v)

17 Emerging Threats from the misuse of big data (ENISA Threat Landscape 2013, 54)

18 The Bad

19 Symantec, Internet Security Threat Report 2014, 12

20 Symantec, Internet Security Threat Report 2014, 13

21 (A.T. Kearney, Informationssicherheit 2013, 10)

22 Tempora & Co Full take = Speicherung aller überwachten Kommunikationsinhalte für drei Tage big access to big data (NSA-Mitarbeiter) Datenerfassung mit 10 Gbit/sek (GCHQ) bis Gbit/sek (BND) (Rosenbach/Stark, Der NSA-Komplex [2014] 127) NSA: erfassen lediglich 1,6 % des Datenverkehrs => Kommunikation macht jedoch nur 2,9% des Datenverkehrs aus => mehr als 50% wird erfasst (Rosenbach/Stark, Der NSA-Komplex [2014] 288)

23

24

25 : Transparenzbericht Posteo e.k. (DE) (

26 : Transparenzbericht Deutsche Telekom (

27 Kapitel 4: Das Recht

28 Datenschutzgesetz (1) Schützt nur personenbezogene Daten (Angaben über Personen, deren Identität bestimmt oder bestimmbar sind) Umfasst auch juristische Personen, zb Wirtschaftsdaten von Unternehmen und deren Geschäfts- und Betriebsgeheimnisse (Jahnel, RdW 2005, 200) Vorschlag EP Datenschutzgrundverordnung: nur noch Daten natürlicher Personen geschützt, kein Schutz mehr für Unternehmen ( Dokumente/DPR-Regulation-inofficial-consolidated-LIBE.pdf)

29 Datenschutzgesetz (2) Vorgaben für Datensicherheitsmaßnahmen ( 14 DSG) Stand der technischen Möglichkeiten und wirtschaftliche Vertretbarkeit Schutz vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust ordnungsgemäße Verwendung Unbefugten nicht zugänglich

30 Datenschutzgesetz (3) Grundsatz der Datensparsamkeit Personenbezogene Daten sind nach Zweckerreichung zu löschen Big data daher nach heutigem Datenschutzrecht unzulässig, solange Personenbezug nicht entfernt ist Anonymisierung bei big data Illusion? Naranyan: bereits 33 bits an Information reichen aus, um eine Person treffsicher zu identifizieren Anonymität algorithmisch unmöglich (Rosenbach/Stark, Der NSA-Komplex [2014] 286) Vorschlag Datenschutz-Grundverordnung: Personenbezogene Gesundheitsdaten möglicherweise auch ohne Zustimmung für Zwecke der öffentlichen Gesundheit zugänglich (Staudegger, Zur Zulässigkeit des Handels mit Gesundheitsdaten, jusit 2014, 27)

31 Datenhandel datenschutzrechtlich 2013: Weitergabe von Gesundheitsdaten an IMS Health durch öst Gesundheitsdiensteanbieter Daten waren anonymisiert, Herstellung des Personenbezuges nicht möglich => Verfahren durch DSK (jetzt: Datenschutzbehörde) eingestellt

32 Gesetz gegen den unlauteren Wettbewerb Strafbar sind ( 11, 12 UWG) Unbefugte Weitergabe von anvertrauten Geschäfts- und Betriebsgeheimnissen durch Bedienstete eines Unternehmens zu Zwecken des Wettbewerbs Unbefugte Verwertung von Geschäfts- und Betriebsgeheimnissen (von Bediensteten erhalten oder selbst durch gegen das Gesetz oder gute Sitten verstoßende Handlung erlangt) Unbefugte Verwertung oder Weitergabe anvertrauter Vorlagen oder technischer Vorschriften EU-Harmonisierung geplant (COM [2013] 813 final)

33 Urheberrechtsgesetz Verbot des Vertriebs / Besitz zu Erwerbszwecken von Mitteln, die allein dazu bestimmt sind, die unerlaubte Beseitigung oder Umgehung von technischen Maßnahmen zum Schutz von Software zu erleichtern ( 90b UrhG, Art 7 Abs 1 lit c SW-RL 2009/24/EG) Verbot der Umgehung wirksamer technischer Maßnahmen zum Schutz von Ausschließlichkeitsrechten an anderen Werken ( 90c UrhG) Zivilrechtliche Ansprüche und strafrechtliche Verfolgung ( 91 UrhG)

34 Zugangskontrollgesetz schützt Diensteanbieter, die ua Dienste der Informationsgesellschaft gegen Entgelt und unter einer Zugangskontrolle bereitstellen ( 1 ZuKG) verbietet Vertrieb von Umgehungsvorrichtungen und deren Bewerbung ( 4 ZuKG) Zivilrechtliche Ansprüche und strafrechtliche Verfolgung

35 Telekommunikationsgesetz (1) Durch angemessene technische und organisatorische Maßnahmen zur Beherrschung der Risiken für die Netzsicherheit geeignetes Sicherheitsniveau zu gewährleisten Maßnahmen müssen geeignet sein, Auswirkungen von Sicherheitsverletzungen für Nutzer und zusammengeschaltete Netze zu vermeiden bzw. so gering wie möglich zu halten ( 16a Abs 2 TKG)

36 Telekommunikationsgesetz (2) Sicherheitsverletzungen mit beträchtlichen Auswirkungen auf Netzbetrieb oder Dienstebereitstellung sind Aufsichtsbehörde mitzuteilen ( 16a Abs 5 TKG) Bei Verletzung des Schutzes personenbezogener Daten Datenschutzbehörde zu informieren

37 Telekommunikationsgesetz (3) Bei Beeinträchtigung von Personen in ihrer Privatsphäre oder der personenbezogenen Daten selbst auch Betroffene von Verletzung zu informieren Keine Benachrichtigung erforderlich, wenn der Datenschutzbehörde nachgewiesen wird, dass geeignete technische Schutzmaßnahmen getroffen wurden und dass diese Maßnahmen auf die von der Sicherheitsverletzung betroffenen Daten angewendet worden sind. Technischen Schutzmaßnahmen müssen jedenfalls sicherstellen, dass die Daten für unbefugte Personen nicht zugänglich sind ( 95a Abs 2 TKG)

38 Bundesvergabegesetz (1) Vertraulicher Charakter aller den AG als auch die Bewerber und Bieter und deren Unterlagen betreffenden Angaben zu wahren AG dürfen keine als vertraulich bezeichneten Informationen, insb technische Geheimnisse, Betriebsgeheimnisse sowie vertrauliche Aspekte der Angebote, weitergeben ( 23 Abs 1, 2 BVergG)

39 Bundesvergabegesetz (2) Ausarbeitungen, Pläne, Zeichnungen, Entwürfe, Modelle, Proben, Muster, Computerprogramme und dergleichen nur mit ausdrücklicher Zustimmung zu verwenden oder an Dritte weitergeben, soweit Schutzrechte oder Geheimhaltungsinteressen verletzt würden ( 23 Abs 3 BVergG) Verschlüsselung und digitale Signatur bei E-Procurement ( 94, 119 ff BVergG) Neues RL-Paket: Keine Offenlegung vertraulicher Informationen aus Verhandlungen (Art 29 Abs 5 RL 2014/24/EU); Bieter, die versuchen, vertrauliche Informationen zu erlangen, können ausgeschieden werden (Art 57 Abs 4 lit i RL 2014/24/EU)

40 Vertragliche Absicherung: NDAs Welche Informationen sind vertraulich zu behandeln? Für welche Zwecke dürfen vertrauliche Informationen verwendet werden? Welche Maßnahmen müssen zur Sicherstellung der Vertraulichkeit ergriffen werden? Wie lange dürfen die vertraulichen Informationen verwendet werden? Was ist nach Ablauf der Vertragsdauer mit den Informationen zu tun? Welche Ansprüche bestehen bei Nichteinhaltung der Verpflichtungen?

41 Daten und Informationen zivilrechtlich Sachenrechtliches Eigentum an Daten und Informationen nach hm nicht möglich Kauf von Daten und Informationen möglich Reichweite und Grenzen der rechtlichen Verfügung über Daten und Informationen bis dato nicht diskutiert (Staudegger, Datenhandel ein Auftakt zur Diskussion, ÖJZ 2014, 107)

42 Vielen Dank für Ihre Aufmerksamkeit! Dr. Ralf Blaha LL.M. Heid Schiefer Rechtsanwälte OG Internet: Kanzleisitz: 1030 Wien, Landstraßer Hauptstraße 88/2-4 Tel: +43 (0) , Fax: +43 (0) Niederlassung Klagenfurt: 9020 Klagenfurt, Domplatz 1 Tel: +43 (0) , Fax: +43 (0) Niederlassung Salzburg: 5020 Salzburg, Rainbergstraße 3a Tel: +43 (0) , Fax: +43 (0) Sprechstelle St. Pölten: 3100 St. Pölten, Niederösterreichring 2, Haus D Tel: +43 (0) , Fax: +43 (0)