DUD REPORT
Nach diesen Vorträgen fand die übliche Diskussion der Vortragenden, moderiert von Peter Gola, statt. Für den vorgesehenen aber verhinderten Bundesbeauftragten, Peter Schaar, sprang Thilo Weichert, Leiter des ULD Schleswig-Holstein ein. Die Diskussion betraf hauptsächlich die aufgeworfenen Streitpunkte zum Beschäftigtendatenschutz und zu sozialen Netzwerken. Damit war – abgesehen von Forum 5 – das Politische am Thema „Neues Datenschutzrecht aus Brüssel und Berlin“ ausgeschöpft. Fortan war die Tagung mit der Praxis befasst und verlief in einzelnen Foren. Forum 1, „Kriterien zum Umgang mit Bewerberdaten“: Was darf der Arbeitgeber den situationsbedingt schwächer positionierten Bewerber fragen? Welche Auskünfte darf er über ihn an dritter Stelle einholen? Dazu die Rechtsgrundlagen und die beabsichtigten Regelungsvorschläge. Forum 2, „Auftragsdatenverarbeitung“: Die Kontrolle der Auftragsdatenverarbeitung und die Rolle der Zertifizierung von Auftragsnehmern und eines Datenschutzmanagementsystems. Forum 3, „Social Networks in der betrieblichen Praxis“: Die Chancen des Engagements eines Unternehmens (neue Märkte, Information über Bewerber) in Social Media. Der aktuelle Stand der Verhandlungen zwischen Anbietern und Datenschutzbehörden. Forum 4 „Von der Datenschutz-Compliance zur Accountability – neue Ansätze im Datenschutzmanagement“: Datenschutz als Risikofaktor für ein Unternehmen. Forum 5 (international besetzt): „Die Rolle des Datenschutzbeauftragten in Europa“: Neues EU-Recht – Harmonisiertes Berufsbild. Die Initiativen nationaler und europäischer Verbände und die Interessen multinationaler Unternehmen an einer Harmonisierung der Rechtsbestimmungen. Forum 6, „Tracking Tools (z.B. Google Analytics) – Möglichkeiten und Grenzen unter Berücksichtigung der neuen Cookie-Vorschriften)“: Analysen von WEB Besucher-Aufkommen, und Besucher-Standorten (Tracking), Klickverhalten der Besucher, Finanzierungsmodelle für Dienste etc. Forum 7, „Datenschutz und IPv6“: Der vergrößerte Adressraum von IPv6 bietet Möglichkeiten, Internet-Teilnehmer immer zu identifizieren und ihre Aufenthaltsorte ausfindig zu machen. Forum 8, „Überwachung im Unternehmen“: Unternehmensinterne Ermittlungen sind notwendig und sollten durch Betriebsvereinbarungen abgesichert werden. Forum 9, „Neues Bundesmelderecht“: Das geplante Bundesmeldegesetz und seine Implementierung mittels vorhandener elektronischer Medien. Die Verleihung des Wissenschaftspreises für die von Alfred Büllesbach rezensierten Beiträge, der Preisträgervortrag (Bohnen) und der anregende, die Teilnehmer aktivierende „Welcome-to theWorld“-Vortrag bereiteten den Abschluss der 35. DAFTA. Alles war gewohnt bestens verlaufen – als Verdienst der GDD anzurechnen. Für die Gesellschaft stehen in 2012 Wahlen zum Vorstand an. Der derzeitige Vorsitzende, Peter Gola, will nicht wieder für den Vorsitz kandidieren. Er wird in der Tat bis zur Wahl des neuen Vorsitzenden 2012 von der ersten Stunde an volle 35 Jahre lang aktiv mitgemacht haben – in den letzten acht Jahren als Vorstandsvorsitzender. – Gut gemacht!
Helmut Reimer ISSE 2011, 22. bis 23. November 2011 in Prag Die von der eema und TeleTrusT mit Unterstützung der Europäischen Kommission gegründete Konferenz Information Security Solutions Europe (ISSE – http://www.isse.eu.com/) fand in diesem Jahr DuD t Datenschutz und Datensicherheit
2 | 2012
zum 13. Mal statt. Für das Gastgeberland – die Tschechische Republik – unter-stützten die Nationale Sicherheitsagentur und die Handelskammer die Veranstaltung. Aller-dings gab es diesmal keine finanzielle Zuwendung und auch kein spürbares Interesse an einer Nutzung des Treffs von international ausgewiesenen IT-Sicherheitsexperten für die Verbreitung von tschechischem Knowhow. Die Veranstalter waren deshalb gezwungen, das Veranstaltungskonzept noch nach Ablauf des Call for Contributions zu ändern. Die bisher üblichen 3 Konferenztage wurden auf 2 Tage reduziert und der Tagungsort –aus Kostengründen – vom Prager Zentrum in das Clarion-Kongresshotel in Prag-Vysocany verlegt. Hier war dann der 22./23.11 der nächstverfügbare Termin. Am Ende bot dieses Hotel ein angemessenes Ambiente für die inhaltlich breit gefächerten Angebote der Konferenz, die diesmal – trotz der notwendigen Veränderungen ca. 250 Teilnehmer aus über 30 Ländern besuchten. Aus Deutschland kamen rund 45 Interessierte. Die Reduzierung der Konferenzdauer und der späte Termin im Jahr hatten eine deutliche Verringerung der Ausstellerzahl zur Folge: Nur 10 Unternehmen beteiligten sich daran. Die inhaltliche Vorbereitung der ISSE 2011 erfolgte im von TeleTrusT geleiteten internationalen Programmkomitee. In Fachkreisen besitzt die ISSE ungebrochene Anziehungskraft. Dem internationalen Programmkomitee lagen über 75 Beitragsvorschläge vor. Deren Evaluierung ermöglichte ein qualitativ anspruchsvolles Programm mit Plenarveranstaltungen an beiden Konferenztagen und drei parallelen Tracks. Zusätzlich gab es einen weiteren Track mit anwendungsorientierten Beiträgen einiger Sponsoren. Viel Wert wurde bei der Programmgestaltung auf Möglichkeiten zur aktiven Beteiligung der Konferenzteilnehmer gelegt. So gab es kompetent besetzte Panel-Diskussionen zu aktuellen Brennpunkten der IT-Sicherheit: Can we Trust the Cloud?, Security and mobile Identity, Online Social Networks: Security and Privacy Considerations, European Security CXO – this Business of Security, Cyber War & Cyber Crime, eID Solutions in Europe. Sie wurden alle intensiv genutzt. Die Keynote von Microsofts Director of International Security Relations, David Pollington, behandelte das Thema ‚Understanding the Future of Cybersecurity‘. Die Präsentation beruhte auf dem im Oktober 2011 veröffentlichten ‚Security Intelligence Report (SIRv11)‘ von Microsoft, der auf der Download-Website von Microsoft verfügbar ist. Eine weitere Keynote kam vom Director General, Directorate General Informatics (DIGIT), EU Commission, Francico Garcia Moran ‚Information Security: The EU Perspective‘. Im Mittelpunkt stand dabei die Digital Agenda 2020 der EU-Kommission (DIGIT). Bekanntlich bilden Trust und Sicherheit darin einen Schwerpunkt. Erläutert wurden in der Keynote die von der Kommission verfolgten Konzepte für den Schutz kritischer Infrastrukturen (CIIP) und zum Aufbau einer schlagkräftigen europäischen CERT-Infrastruktur. Letztere soll 2012 verfügbar sein. In beiden Fällen setzt das Direktorat auf die Kompetenz der ENISA, über deren längerfristige Zukunft jedoch noch immer keine endgültige Entscheidung gefallen ist. In den Konferenztracks der ISSE wurden neben den genannten Panels (mit 25 aktiv Beteiligten) insgesamt 32 Beiträge geboten. Schwerpunkte bildeten: Cloud Computing & Enterprise Security Services, Smart Grids, 145
DUD REPORT
Awareness and Education, Mobile and Wireless Security, Privacy, Security and Trustworthiness Device & Network Security, Security Management, eID / eGovernment Cyber War, Cyber Crime, Identity and Access Management. Fast alle Beiträge sind im Tagungsband zur ISSE dokumentiert. Auf der ISSE vergibt TeleTrusT jährlich für herausragende IT-Sicherheitsprodukte oder -lösungen einen Innovationspreis. Den ‚TeleTrusT Innovation Award 2011‘ erhielt mit dem Votum einer internationalen Jury die SIRRIX AG für die BitBox, die durch Virtualisierung und ein gehärtetes Betriebssystem ein sicher isoliertes Surfen im Internet ermöglicht. Schon Tradition hat die zusammenfassende Bewertung der aktuellen Erkenntnisse zur Sicherheit von Kryptoverfahren durch den führenden europäischen Kryptologen Bart Preneel im Abschlussplenum der Konferenz. Er konnte feststellen, dass im vergangenen Jahr zwar keine qualitativ neuen Angriffe auf die Sicherheit von Kryptoverfahren bekannt geworden sind, aber die Attacken auf PKI-Systeme (durch gefälschte Zertifikate oder die Kompromittierung von Schlüsseln der PKI-Root) erhebliche Verunsicherungen und Schäden für die darauf beruhenden Geschäftsprozesse bewirkt haben. Er verdeutlichte erneut, dass die letztendlichen Grundlagen aller IT-Sicherheitslösungen selbst verletzlich bleiben und dass ein kompetentes Forschungsumfeld erforderlich ist, um mit Innovationen und Angriffen sensibel umgehen zu können. Die wichtigsten Beiträge der Konferenz sind im Tagungsband zur ISSE 2011 zusammengefasst: Norbert Pohlmann, Helmut Reimer, Wolfgang Schneider (Editors) ISSE 2011 – Securing Electronic Business Processes, Vieweg + Teubner Verlag | Springer Fachmedien Wiesbaden GmbH 2012, ISBN 978-3-8348-1911-6, 392 S., 69,95 Euro
Bücher Christoph Schnabel Lukaßen, David: Die Fallpraxis der Informationsbeauftragten und ihr Beitrag zur Entwicklung des Informationsfreiheitsrechts, Verlag Duncker & Humblot, 264 S., 78,- €. Obwohl Fragen der Effektivität einer Maßnahme häufig eine gewichtige Rolle bei der Rechtsauslegung spielen und daher oft heftig umstritten sind, z.B. bei der Videoüberwachung oder der Vorratsdatenspeicherung, werden in juristischen Arbeiten selten Zahlen dazu erhoben. Im günstigsten Fall werden die Statistiken anderer wiedergegeben und falls sie nicht in die eigene ideologische Ausrichtung passen kritisiert. Eine eigene Erhebung und Auswertung findet nur selten statt. Lukaßen hat dies aber für den Bereich der Informationsfreiheit getan und seine Arbeit schon damit abgesetzt. Zunächst beginnt die Arbeit jedoch (auf Seite 25) mit der Klärung von Begriffen und historischen und verfassungsrechtlichen Grundlagen. Der Autor unterstützt dabei Ansichten, die das Grundrecht auf Informationsfreiheit nach Art. 5 Abs. 1 Satz 2 Alt. 2 GG so verstanden wissen wollen, dass es einen Anspruch auf Informationszugang gewährt (S. 36 ff.). Es folgen jeweils kurze Zusammenfas-
146
sungen der zwölf verschiedenen Informationsfreiheitsgesetze (S. 57 ff.) und eine Darstellung der Aufgaben der Informationsfreiheitsbeauftragten (die Lukaßen durchgängig „Informationsbeauftragte“ nennt), sowie der inzwischen etwas angestaubten Diskussion, ob die Doppelfunktion der Beauftragten für Datenschutz und Informationsfreiheit sinnvoll ist oder nicht. Im Anschluss gibt es kurze Überblicke über „weitere nationale Zugangsrechte“, also UIG und VIG (S. 91 ff.). So sind bereits 100 Seiten vorbei, bevor zum ersten Mal der Bereich der Empirie betreten wird. Danach aber erhebt Lukaßen Zahlen und schafft damit die Grundlage für neue Forschung. Er interviewt die damalige nordrhein-westfälische LfDI und einige ihrer Mitarbeiter und wertet insgesamt 419 Eingaben statistisch aus. Ferner führt er zum Vergleich noch Interviews mit Referenten aus Schleswig-Holstein, Berlin, Brandenburg und Bremen. Fast 80% aller Eingaben (also Beschwerden beim LfDI NRW) stammen von Privatpersonen, davon stellen Rechtsanwälte die größte Gruppe (hierzu und zum Folgenden siehe S. 114 ff.). Die Anfragen sind überwiegend an die Kommunen und Städte gerichtet, wobei der Bereich „Bauen“ bei den Antragstellern für das meiste Interesse sorgt. Die häufigsten Gründe für die Versagung einer Auskunft sind der Schutz personenbe-zogener Daten und das Vorliegen von Betriebs- und Geschäftsgeheimnissen. Besonders Letztere werden sehr häufig bemüht, weil jedes unternehmensbezogene Datum vorschnell als Geschäftsgeheimnis eingeordnet wird. Ein Großteil der Ergebnisse, die hier nicht alle wiedergegeben werden können, wird wohl kaum jemanden überraschen, der sich von Berufs wegen mit der Materie „Informationsfreiheit“ auseinandersetzt. Durch Lukaßens verdienstvolle Arbeit sind diese Einschätzungen jedoch belastbar und nicht mehr bloße Ahnungen. Im Anschluss an diesen kurzen „Sommer der Empirie“ stellt Lukaßen auf den S. 127 – 212 eine Vielzahl von Rechtsfragen dar, die aufgrund der Auswertung als für die Praxis bedeutsam eingestuft werden können und nach Ansicht des Autors noch nicht abschließend geklärt sind. Dabei verfährt er streng nach folgendem Aufbau: Problem, erste/weite/herrschende Meinung, zweite/enge/ Minder-Meinung, eigene Stellungnahme. Dies ist auf Dauer ermüdend zu lesen und macht auch nicht den Eindruck, für eine durchgängige Lektüre geschrieben zu sein, sondern als Nachschlagewerk für Einzelfragen zur Anwendung des IFG NRW. Obwohl dies hilfreich sein kann, wird es von Titel und Aufgabenstellung der Arbeit an sich nicht erfasst. Es folgen noch kurze Abschnitte zu Selbsteinschätzung und Außenwahrnehmung der Beauftragten (S. 213) und ihrer Stellung im Rahmen der Verwaltungsmodernisierung (S. 225), bevor die Arbeit mit den obligatorischen Kapiteln Ausblick (S. 235) und Zusammenfassung (S. 239) endet. Obgleich die Abschnitte zu den ungeklärten, rechtlichen Praxisproblemen keine Fehler aufweisen, ist der Schwerpunkt der Arbeit jedoch in dem relativ kurzen, aber arbeitsintensiven Mitteilteil zu sehen. In der Erhebung und Auswertung dieser Daten liegt die wesentliche Leistung dieser Arbeit und dadurch hebt sie sich von anderen Arbeiten ab.
DuD t Datenschutz und Datensicherheit
2 | 2012