Hannes Hartung Berater Datenschutz / Informationssicherheit t DATENSCHUTZ IT-SICHERHEIT ISO 27001 COMPLIANCE E-Learning-Plattform www.increaseyourskills.com 1
Wem gehören die Daten? Datenschutz, Datensicherheit und Datenhoheit für Datenbestände des produzierenden Gewerbes
Datenhoheit Daten als Wirtschaftsgut Daten: Informationen, die nicht ausreichend durch Immaterialgüterrechte geschützt werden (z. B. Datenbankwerkschutz) Daten, die erst generiert werden (z. B. Maschinendaten) Datenträger: Speichermedium, auf dem die Daten gespeichert sind (z. B. Festplatte) sowie sonstige zur Speicherung geeignete Geräte aus der Ferne abrufbare Geräte (z. B. bei Cloud-Computing) Hartung IT-Security and Forensic Solutions 2018 3
Datenhoheit Daten als Wirschaftsgut Quelle: Unbekannter Autor ist lizenziert gemäß CC BY-SA Quelle: Unbekannter Autor ist lizenziert gemäß CC BY-SA Quelle: Unbekannter Autor ist lizenziert gemäß CC BY-SA Hartung IT-Security and Forensic Solutions 2018 4
Daten Industrie 4.0 Beispiel: MES Manufactoring Execution System Überwachung der Produktionsanlagen Produktionskontrolle in Echtzeit Ziel: gesammelte Informationen auswerten und so Prozesse schnell, effizient und kostengünstig halten Aufbereitung der wichtigsten Informationen auf zentraler Ebene Daten die erhoben werden: Wartezeiten Durchlaufzeiten Maschinenauslastung allg. Betriebsdatenerfassung Hartung IT-Security and Forensic Solutions 2018 5
Standorte eingegebene Ziele Verkehrsdaten Kontakte Telefonnummern E-Mail-Adressen Kilometerstand Verbrauch Tankinhalt Beschleunigung Geschwindigkeit Bremspedalstellung Wie oft fährt der Fahrer nachts? Wie oft Tagsüber? Created by Makyzz Freepik.com Created by Topntp26 - Freepik.com Hartung IT-Security and Forensic Solutions 2018 6
Daten als Wirtschaftsgut Wert der Daten: Datenerhebung bei Big Data-Anwendungen meist als Nebenprodukt Wert ergibt sich erst aus nachfolgender Analyse der erfassten Daten Ergebnisse der analysierten Daten: z. B. Computerprogramme diese sind schützbar durch z.b. UrhG (vgl. 2 Abs 1 Nr. 1 und 2 UrhG) Hartung IT-Security and Forensic Solutions 2018 7
Daten als Wirtschaftsgut neue Geschäftsfelder und Kunden Beispiel: Kommunen Autohersteller verkaufen Daten über den Zustand von Straßen an Kommunen Beliebtheit von Radiosendern, die sonst über aufwendige Telefonumfragen erhoben werden Warum verdiene ich als Datengenerierer da nicht mit? Hartung IT-Security and Forensic Solutions 2018 8
Rechtliche Bedeutung EuGH hat Leistungsschutz für zu generierende Daten abgelehnt (Quelle: Handbuch Wirtschaftsstrafrecht, Aschenbach/Ransiek, S. 1297-1302; EuGH GRUR 2005, 244) schützenswert seien nur Investitionen in bereits vorhandene Daten Problemstellung Industrie 4.0 - Hard- und Softwareelemente, die Daten erst generieren: Optimierung IT-Sicherheit Erfassung von Kundenwünschen Hartung IT-Security and Forensic Solutions 2018 9
Rechtliche Bedeutung - Sachenrechtlicher Schutz Sachenrecht ( 854-1296 BGB) regelt die Vermögenszuordnung von Sachen für Daten derzeit keine abschließende Rechtslage vorhanden Bewertung über Hilfskonstrukte aus verschiedenen Rechtsbereichen nach 90 BGB sind Sachen körperliche Gegenstände - körperlich: greifbar oder zumindest sinnlich wahrnehmbar und beherrschbar - körperliche Begrenzung durch Fixierung durch technisches Hilfsmittel Daten sind keine Sachen mangels Körperlichkeit Hartung IT-Security and Forensic Solutions 2018 10
Mittelbarer sachenrechtlicher Schutz Datenträger, auf denen Daten gespeichert sind, sind Sachen fixierendes technisches Hilfsmittel (Körperlichkeit) nach 903 S. 1 BGB kann Eigentümer einer Sache, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, diese Sache nach Belieben verwenden und jegliche Einwirkungen anderer ausschließen Besitzer eines USB-Sticks darf über die darauf gespeicherten Daten verfügen die Daten dürfen also verwertet, verkauft, verarbeitet werden Created by Pinnacleanimates - Freepik.com Hartung IT-Security and Forensic Solutions 2018 11
Rechtliche Bedeutung Eigentum von Daten mangels Sacheigenschaft kein Eigentum von Daten Eigentum des Datenträgers kann wiederrum durch Löschen von Daten verletzt werden Begründung: Eigentumsverletzung gem. 823 Abs. 1 BGB liegt bei jeder Einwirkung auf die Sache (Datenträger) vor Hartung IT-Security and Forensic Solutions 2018 12
Rechtliche Bedeutung Eigentum von Daten Praxisbeispiel: sperrt ein Schädiger Datenträger eines Eigentümers, so liegt eine Eigentumsverletzung vor löscht der Schädiger Daten auf Datenträger liegt keine Eigentumsverletzung vor Begründung: Sperren verhindert die sachgemäße Nutzung Löschen verhindert nicht Nutzung des zu schützenden Objekts (Datenträger) Hartung IT-Security and Forensic Solutions 2018 13
Schutz der Daten durch Vertragsrecht Nutzungsmöglichkeit von generierten Daten durch zu erbringende Gegenleistung Created by Alekksall - Freepik.com Beantwortet nicht die Frage: Wem sind die Daten ursprünglich zugeordnet? Wem gehören sie? Problematik: Gegenleistung nur notwendig für Gut, was Vertragspartner derzeit nicht gehört Daten haben keinen Eigentümer bei Vertragsregelungen handelt es sich meist um Allgemeine Geschäftsbedingungen, für diese ist Zuordnung enorm wichtig Daten sind nicht zuordenbar Hartung IT-Security and Forensic Solutions 2018 14
Zuordnung der Daten interessierte Parteien Hersteller Unternehmen / natürliche Person Liefert Produkt, was Daten später generiert Partei, die Daten durch Nutzung des Produktes generiert macht Generierung erst möglich generiert Daten Hartung IT-Security and Forensic Solutions 2018 15
Vertragsrecht Zentrale Frage: Wem gehören die Daten? Hartung IT-Security and Forensic Solutions 2018 16
Urheberrecht - Datenbanken es muss sich um eine Sammlung voneinander unabhängiger Elemente handeln wenn Elemente nur zusammenhängend Sinn ergeben keine Datenbank im urheberrechtlichen Sinne somit unter Umständen: schutzloser Gegenstand Datenbankwerk ist gem. 4 Abs. 2 UrhG vor Vervielfältigung sowie gegen Anpassung, Erweiterung, Übersetzung, anderer Umgestaltungen und gegen jede Form der öffentlichen Verbreitung geschützt Voraussetzung: Datenbankwerk stellt persönliche, geistige Schöpfung gem. 4 Abs. 1 UrhG i. V. m. 2 Abs. 2 UrhG dar Hartung IT-Security and Forensic Solutions 2018 17
Urheberrecht - Datenbanken Problem: Big Data Datenbanken sind nicht durch Urheberrecht schützbar, wenn es sich um Rohdaten, Datenhaufen handelt es muss System oder Methode der Datenordnung erkennbar sein, welche gem. Urheberrecht schöpferische Eigenart aufweist Hartung IT-Security and Forensic Solutions 2018 Created by D3images - Freepik.com 18
Urheberrecht elektronische Datenbanken Systematische oder methodische Anordnung von Maschinendaten, in der Regel mittels elektronischer Datenbanken Anordnung der Elemente hängt größtenteils von Datenbanksoftware ab, welche nach 4 Abs. 2 S. 2 UrhG als eigenständiger Schutzgegenstand ausdrücklich kein Bestandteil des Datenbankwerkes ist Hartung IT-Security and Forensic Solutions 2018 19
Urheberrecht Datenbanken Datenbanken nur durch Urheberrecht schützbar, wenn: - besondere schöpferische Leistung hinsichtlich Zugangs- und Abfragesystemen vorliegt auf Markt übliche Zugangs- und Abfragesysteme bei elektronischen Datensammlungen werden mangels Individualität nicht schützbar sein nicht umfasst sind in Datenbank enthaltene einzelne Daten selbst Hartung IT-Security and Forensic Solutions 2018 20
Urheberrecht Datenbankherstellerschutz Leistungsschutzrecht sui generis gem. 87a ff. UrhG ausschließliche Recht des Datenbankherstellers an Vervielfältigung, Verbreitung oder öffentlichen Wiedergabe seiner Datenbank wirtschaftliche Investition bzw. Leistung in der Beschaffung, Überprüfung oder Darstellung der Daten ist geschützt Hartung IT-Security and Forensic Solutions 2018 21
Schutz von Datenbanken System oder Methode der Datenordnung, welche gem. Urheberrecht schöpferische Eigenart aufweist Investition in systematische Darstellung Datenbankwerkschutz Datenbankherstellerschutz Kein Schutz der Daten selbst! Schutz der Struktur, in der diese angeordnet sind. Hartung IT-Security and Forensic Solutions 2018 22
Datenschutz - Betriebsgeheimnis gemäß 17 UWG müssen Informationen dem Unternehmen zuzuordnen sein (müssen Unternehmen gehören) Unternehmen ist nicht Eigentümer von Daten kein Schutz Hartung IT-Security and Forensic Solutions 2018 23 Created by Asierromero - Freepik.com
Schutz der Daten durch Datenschutzrecht nur relevant bei personenbezogenen Daten Auswertung von Maschinendaten, die Nutzer zuzuordnen sind (z.b. Art und Weise der Nutzung einer Maschine) sind Daten einzelnen natürlichen Person zuzuordnen, so gilt Anwendung des Datenschutzrechts Zuordnung z.b. durch Mitarbeiter-ID bei Anmeldung an Maschine Kein Schutz der Daten an sich sondern Schutz des Betroffenen Recht auf informationelle Selbstbestimmung Hartung IT-Security and Forensic Solutions 2018 24
Schutz der Daten durch Datenschutzrecht BIG DATA Datenschutz Quelle: Vector Art https://www.vecteezy.com Massendaten so viel wie möglich für viele Zwecke Zweckbindung Datenminimierung (Art. 5 DSGVO) Hartung IT-Security and Forensic Solutions 2018 25
Schutz der Daten durch Datenschutzrecht Daten, die natürlichen Person zugeordnet werden können: - Standort (Wo befindet sich die Person, die die Maschine nutzt?) - Art und Weise (Wie wird eine Maschine durch eine bestimmbare Person genutzt?) - Zeit (Wann wurde die Maschine durch eine bestimmbare Person genutzt?) Hartung IT-Security and Forensic Solutions 2018 26
Schutz der Daten durch Datenschutzrecht Problemstellung im Zusammenhang mit Industrie 4.0: Bestimmung der verantwortlichen Stelle Vermischung von verantwortlichen Stellen durch Vernetzung Verantwortlicher DSGVO Art.4: die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet Wer ist verantwortlich? Hersteller, Nutzer, Anbieter, Gebäudeeigentümer? Hartung IT-Security and Forensic Solutions 2018 27
Schutz der Daten durch Datenschutzrecht Einwilligung (Art. 7 DSGVO) Bestimmtheit Informiertheit Freiwilligkeit Schriftform Hartung IT-Security and Forensic Solutions 2018 28
Zusammenfassung es existiert kein Eigentum von Daten nur Eigentum bei Datenträgern möglich Urheberrecht Vertragsrecht Sachenrecht Datenschutzrecht Kein Schutz von Daten Schutz der Anordnung der Daten! Beispiel: Datenbanken Kein Schutz von Daten Schutz der Nutzungsrechte der Daten! Kein Schutz von Daten Schutz des Datenträgers! Kein Schutz von Daten Schutz des Betroffenen! Hartung IT-Security and Forensic Solutions 2018 29
Vielen Dank für Ihre Aufmerksamkeit! Kontakt: +491627450511 hannes.hartung@hartung-infosec.de