468 DuD Datenschutz und Datensicherheit 6 | 2012

DUD REPORT

ke Zunahme von eigenentwickelten Web-Anwendungen wie On-line-Shops schwieriger, die spezialisierten Angriffe überhaupt zu erkennen und zu bekämpfen.

Die wichtigsten Erkenntnisse der Studie:

Obwohl die gemeldeten Sicherheitsverletzungen zurückgegan-gen sind, hat sich die Zahl der Angriffe in der zweiten Jahrehälf-te 2011 mehr als verdoppelt.

Beinahe 24 Prozent der Angriffe auf gewerbliche Anwendungen, die im Jahr 2011 öffentlich wurden, erreichten 8 bis 10 Punkte auf der Gefahrenskala. So eingestufte Angriffe können zu einer so genannten „Remote Code Execution“ führen, also zum Ausfüh-ren von Schadcode, der gefährlichsten Angriffsart.

Circa 36 Prozent aller Angriffe erfolgen in gewerblichen Web-Anwendungen.

Etwa 86 Prozent aller Online-Anwendungen sind anfällig für so genannte „Injection-Attacks“, also den Zugriff von Hackern auf interne Datenbanken über eine Webseite.

Wegen ihrer hohen Erfolgsrate waren Web Exploit Toolkits auch 2011 sehr beliebt. Diese vorgefertigten Werkzeugkästen für Ha-cker werden online getauscht oder verkauft. Sie erlauben es Ha-ckern, in die IT-Systeme von Unternehmen einzubrechen und sensible Daten zu stehlen. Beispielsweise wird das Blackhole Ex-ploit Kit von den meisten Cyber-Kriminellen genutzt. Es erreich-te Ende November 2011 eine ungewöhnlich hohe Infektionsra-te von mehr als 80 Prozent.

Der Cyber Security Risks Report wird seit 2009 alle sechs Monate von den HP DVLabs veröffentlicht. HP DVLabs ist eine Forschungs-einrichtung, die sich auf die Entdeckung und Analyse von Sicher-heitsrisiken in der Unternehmens-IT spezialisiert hat. Sie analysiert die Daten aus TippingPoint Intrusion Prevention Systems von HP, einer Sicherheitslösung, die bei tausenden Anwendern im Einsatz ist. Diese Daten werden dann mit Informationen aus den folgen-den Quellen verknüpft:

Zero Day Initiative: Das Forschungsprogramm der HP DVLabs verbessert die Sicherheit, indem Softwarefehler untersucht wer-den, die in der Vergangenheit bereits zu Cyber-Angriffen und Si-cherheitsverletzungen geführt haben.

Open Source Vulnerability Database: Eine unabhängige Open-Source-Datenbank, entwickelt von und für die gesamte Sicher-heitsbranche.

Daten zu Online-Anwendungen der Fortify Application Security Center (ASC) Web Security Research Group. Diese Forschungs-gruppe unterstützt Sicherheitsexperten, Spezialisten für Quali-tätssicherung und Entwickler dabei, sichere Web-Anwendungen im gesamten Unternehmen bereitzustellen. Zusätzliche Informa-tionen kommen von den HP Software Professional Services und von HP Fortify on Demand.

Der komplette 2011 Top Cyber Security Risks Report steht auf der Website http://www.hpenterprisesecurity.com/ zur Verfügung.

Rezensionen

Veranstaltungen

Helmut Reimer

a-i3/BSI Symposium, Bochum, 16. / 17. April 2012

Mit der spannenden Themenstellung ‚Perspektiven und Risiken der digitalen Gesellschaft – ID-Management und Datenschutz für Cloud Computing und IPv6‘ fand am 16. und 17. April 2011 im Ver-anstaltungszentrum der Ruhr-Universität Bochum das mit über 120 Teilnehmern abermals gut besuchte 7. Symposium der Arbeits-gruppe Identitätsschutz im Internet (a-i3) in Kooperation mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) statt.Themenschwerpunkte der interdisziplinären Expertentagung wa-ren – neben den Programmthemen – hochaktuelle Bewertungen von nationalen, europäischen und globalen Aktivitäten zu Cyber- und Informationssicherheit, Schutz der Privatsphäre, Modernisie-rung des Datenschutzes und e-Government Konzepten. Insbeson-dere wurden der kürzlich veröffentlichte Referentenentwurf eines e-Governmentgesetzes und die von der EU-Kommission zum Jah-resanfang vorgelegte Strategie für eine Datenschutzreform in Euro-pa ausführlich zur Diskussion gestellt. Das Spannungsfeld zwischen den rechtlichen Anforderungen und Erwartungen an ein sicheres Internet und den technischen Möglichkeiten war stets ein zentra-ler Aspekt der Tagung.

Den Veranstaltern gebührt wiederum ein Kompliment: Es ist ih-nen gelungen, ein inhaltlich sehr anregendes Programm mit durch-weg außerordentlich engagierten Referenten anzubieten. Beson-ders hervorzuheben ist, dass dabei auch Aspekte angesprochen wurden, die den konventionellen Rahmen der geltenden und vor-

gesehenen gesetzlichen Regelungen – insbesondere zum Daten-schutzrecht – kritisch hinterfragten und so interessante Impulse für die aktuelle Diskussion zu seiner Modernisierung lieferten.

Einen anregenden Einblick in globale Aktivitäten zur Zurück-drängung von Cybercrime und zur Beherrschung einer angemes-senen Cybersecurity bot der erste Beitrag im Fachprogramm des Symposiums. Marco Gehrke (Cybercrime Research Institute, Köln) vermittelte vielseitige Erfahrungen aus seiner Beratungstätigkeit für international tätige Organisationen. Aus seiner Sicht sind deut-sche politische Bemühungen um Lösungen für diese Themen bis-her sehr zurückhaltend

Eines der Zielthemen der Veranstaltung, die Konsequenzen aus der bevorstehenden allgemeinen Anwendung von IPv6 wurde aus-führlich und kompetent von Christoph Wegener behandelt. Der Ti-tel seines Beitrages ‚IPv6 unter Monitoring-, Datenschutz- und Si-cherheitsaspekten‘ weist in die richtige Richtung: Es sollte gelin-gen, den technologischen Fortschritt bereits im Vorfeld vertrau-enswürdig zu gestalten.

Zum Thema Cloud Computing bot das Symposium eine Reihe von neuen Einblicken. Jörg Schwenk (Ruhr-Universität Bochum) ver-deutlichte, dass mit der begonnenen Verbreitung von Cloud-An-wendungen neue Angriffsszenarien entstehen und damit auch im-mer neue Risikoabschätzungen gefordert sind. Standen bisher die Sicherheitsaspekte von VM im Fokus, so ist nun zu erkennen, dass die Web Interfaces für Service und Applikationen sicherheitskri-tisch sind. Über die Schwachstellen von Web Interfaces informier-ten dann im späteren Verlauf des Symposiums Detlef Hühnlein (ec-

DuD Datenschutz und Datensicherheit 6 | 2012 469

DUD REPORT

sec GmbH, Michelau) und Mario Heiderich ausführlich. Sie sind letzt-lich auf Defizite bei den geltenden Standards zurück zu führen und betreffen den Datenschutz, weil Angriffe auf die Identitätsdaten der Nutzer möglich sind. Georg Borges (Ruhr-Universität Bochum) bot – auch vor diesem Hintergrund – eine umfassende juristische Sicht auf ‚Pflichten und Haftung von Identitätsprovidern‘. Sein Fazit: Der Schutz von Daten und Identitäten vor Angriffen muss weiter zu verbessert werden, der zivilrechtliche Schutz ist durch bestehen-de Rechtsunklarheit für den Provider (und den Nutzer) nicht trans-parent. Schutzpflichten und Haftung der Provider müssen weiter-entwickelt werden. Ebenfalls zum Thema Cloud Computing ge-hörte die Erläuterung des interdisziplinären, vom BMWi initiierten und geförderten Projekts Trusted Cloud durch Caroline Neufert (Be-aringPoint und Kompetenzzentrum Trusted Cloud). Das Projekt be-findet sich in der Startphase und will bis 2015 valide Ergebnisse zu Standards, IT-Sicherheit, Geschäftsmodellen und zum Rechtsrah-men erarbeiten.

Ein Abschnitt der Veranstaltung war dem im Entstehen begrif-fenen E-Government-Gesetz des Bundes gewidmet. Per Video-Konferenz wurde der diesbezügliche Referentenentwurf von Bea-te Lohmann (BMWi Berlin) erläutert. Eine erste inhaltliche Bewer-tung des Vorhabens nahm Ralf Müller-Terpitz (Universität Passau) vor. Franz-Reinhard Habbel (Deutscher Städte- und Gemeinde-bund Berlin) begrüßte die mit dem Vorhaben verbundenen Ver-einfachungen für den Umgang mit Dokumenten – insbesondere die beabsichtigte Reduzierung von Schriftformerfordernissen und die Zugangserleichterungen mit dem elektronischen PA und via D-Mail. Bürokratieabbau und Verwaltungseffektivität auf kommuna-ler Ebene könnten so gefördert werden.Äußerst inhaltsreich war der Beitrag von Erich Schweighofer (Uni-versität Wien), der die Vielschichtigkeit eines Rechts auf Vergessen (oder Vergessenwerden) behandelte. Er verdeutlichte die Konflikte zwischen privaten Interessen und legitimen Verarbeitungsrechten, dem Recht auf freie Meinungsäußerung sowie wissenschaftlicher Forschung und geschichtlicher Quellensammlung. Aktuell zeigt der Beitrag die Grauzonen und Grenzen des Rechts auf Löschung von personenbezogenen Daten, das viel diskutiert wird und nun mit der EU-Datenschutzverordnung umgesetzt werden soll.

Zur eingeleiteten Reform des europäischen Datenschutzrechts gab es ebenfalls viele Informationen und lebhafte Diskussionen. Grundsätzliches dazu – auch mit den ersten im BMI entwickel-ten Positionen – enthielt der Beitrag von Ralf Lesser (BMI, Referat IT 1 Berlin). Eine Bewertung aus der Sicht der Aufsichtsbehörden nahm Hans-Günther Linauer (Ständiger Vertreter des DSB NRW Düs-seldorf) vor. Neben der Zustimmung zum Grundanliegen wurde in beiden Präsentationen Vorbehalte gegen die von der Daten-schutzverordnung beanspruchte Rechtssetzungskompetenz für innerstaatliche Datenverarbeitungsvorgänge, die von der EU-Kom-mission beanspruchten Einzelermächtigungen und das Subsidia-ritätsprinzip angesprochen. Besonderes Interesse fand die durch-weg starke Unterstützung der Reform durch den Konzernbeauf-tragter für den Datenschutz der Deutschen Telekom, Claus-Dieter Ulmer. Das Thema wurde in der das Symposium abschließenden Podiumsdiskussion mit den Teilnehmern Peter Schaar (Bundesbe-auftragter für den Datenschutz und die Informationsfreiheit), Ga-briele Krader (Konzernbeauftragte für den Datenschutz der Deut-schen Post DHL), Gerd Rossa (iSM GmbH Rostock) und Sven Türpe (Fraunhofer-SIT Darmstadt) vertieft behandelt. Das auch vom Pu-blikum unterstützte Fazit lautete: Die Datenschutzreform ist sein langem überfällig. Dabei sollten vor allem die Modernisierung des

Datenschutzrechts und seine europäische Harmonisierung voran-getrieben werden. Deutschland sollte den Reformgedanken kons-truktiv unterstützen und zielführende Verbesserungen als gemein-same Position von Regierung, Wissenschaft, Wirtschaft und Daten-schutzbehörden in Brüssel einbringen.

Bücher

Ludwig Gramlich

Schulte, Martin; Schröder, Rainer (Hrsg.): Handbuch des

Technikrechts. Springer, Heidelberg, New York, 2. Aufl. 2011,

xxxvi, 940 S., ISBN 978-3-642-11883-8, € 149,95

Den 18 Beiträgen des zuerst 2003 erschienenen Handbuch – je 9 zu allgemeinen und zu besonderen Fragen – liegt eine Bezugnahme auf beide Aspekte einer Technik-Definition zugrunde, zum einen „menschliche Kunstfertigkeit“, zum anderen „Kunstprodukt als Er-gebnis eines menschlichen Produktionsprozesses“ (Vorwort, S. V). Technik wird behandelt als „Summe all jener Verhaltensweisen und Artefakte, deren Nutzung es nicht zuletzt mit Blick auf den Schutz menschlichen Lebens und menschlicher Gesundheit, aber auch mit Blick auf denjenigen der Natur und neuerdings stark zuneh-mend auch mit Blick auf den Schutz der menschlichen Persönlich-keit rechtlich zu beschränken gilt“, aber überdies auch als „Phäno-men, das es im Interesse der Techniknutzer nicht weniger regelmä-ßig zu ermöglichen und zu fördern gilt“ (ebd.).

Beibehalten wurde der grundlegende Aufbau: Einleitend wer-den in „Fremdbeschreibungen“ wissenschaftliche Erkenntnisse ge-liefert, an denen sich die wissenschaftliche Binnenperspektive rei-ben kann. Einer (gar nicht so)“kurzen Geschichte des Technikrechts“ (Vec) seit Mitte des 19. Jahrhunderts (und die DDR ausklammernd, S. 8) folgt ein relativ knappe „Sicht der Soziologie“ (Halfmann) und – bis dato eher vernachlässigt – eine Studie zum Verhältnis von „Technikrecht und Ökonomische Analyse“ (des Rechts) aus der Fe-der von Salje, der später zudem eine Darstellung des „Anlagen-haftungsrechts“ beisteuert. Zuvor – und der Systematisierung von EU-Vorgaben (Röthel) und verfassungsrechtlichen Rahmenbedin-gungen (Schröder) vorhergehend – erörtert Kloepfer „Instrumente des Technikrechts“, geschieden, aber nicht getrennt nach „rechtli-che Techniksteuerung“ und „technische Regelsetzung“. Dem „An-lagen“- folgt das „Produkthaftungsrecht“ (Vieweg) als weiteres, überwiegend privatrechtlich geprägtes Gebiet. Am Ende des All-gemeinen Teils, der nicht ganz die Hälfte des Bandes einnimmt, be-leuchtet Vassilaki das „Technikstrafrecht“ im Hinblick auf Charakte-ristika und strukturelle Elemente.

Quantität und Qualität, teils auch methodische und redaktio-nelle Ansätze des Besonderen Teils sind gleichermaßen durchaus unterschiedlich, ohne allerdings je die Erwartungen an ein Hand-buch gänzlich zu enttäuschen. So ist der Beitrag von Peine zum Gerätesicherheitsrecht weithin beschreibend-kommentarähnlich, erwähnt aber etwa das FTEG nur am Rande (S. 421), die zugrunde liegende Richtlinie (1999/5/EG) aber ebenso wenig wie das EMVG. Hingegen stellt Schulze-Fielitz das Verhältnis von Technik und Um-weltrecht zwar unter einer eher engen Perspektive (technische Re-gelungen im Umweltrecht, S. 457) dar, betrachtet dann aber viel-fältige, verschiedene Formen „steuernder Rezeption“ technischer Normen. Im ausführlichsten Beitrag befassen sich Schulte und Apel dann mit dem „Recht der Umwelt- und Humangentechnik“. Wie bei Schulze-Fielitz werden dabei auch die (eher punktuellen) völker-rechtlichen Vorgaben einbezogen. Leider weist gerade dieses Kapi-

470 DuD Datenschutz und Datensicherheit 6 | 2012

DUD REPORT

tel etliche redaktionelle Mängel auf, lässt etwa (anders als Peine) die Ablösung des LMBG durch das LGFB außer Acht, und auch die häu-figen Verweise auf die 1. Auflage sind nicht eben hilfreich. Ande-rerseits weisen Schulte/Apel zutreffend auf die datenschutzrechtli-chen Aspekte ihres Themas hin (S. 577, 595). In der Vorauflage noch nicht enthalten war das „Energierecht“, dessen Darstellung Büden-bender übernommen hat, der das Zusammenwirken von öffent-lichem und privatem Recht souverän erläutert. Kaum Beachtung findet allerdings Europäisches oder Internationales Energierecht. Ein „highlight“ des Bandes bildet die gedrängte, aber höchst ins-truktive und im Bestreben des Zusammenführens scheinbar kon-fligierender Materien überaus erfolgreiche Darstellung von Eifert und Hoffmann-Riem zu „Telekommunikations- und Medienrecht als Technikrecht“. Freilich verzichtet sie auch oft auf Details; und die internationalen Fragen (etwa von WTO/GATS) werden nur ge-streift. Götting und Röder-Hitschke bieten in der Folge eine solide Behandlung der „Grundlagen“ nicht nur des nationalen und euro-päischen Patent-, sondern auch des Gebrauchsmusterrechts. Geis-tiges Eigentum steht auch im Mittelpunkt des „Computerrechts“: Dreier und Meyer-van Raay legen dabei, wenn sie sich auf den „rechtlichen Schutz von Computerprogrammen und Datenban-ken“ sowie das „Comnputervertragsrecht“ konzentrieren, ihr Au-genwerk hauptsächlich auf Urheber-, daneben aber auch auf Mar-kenrecht. Im Spannungsfeld von Datenschutz („protection“) und Datensicherung („safety“) erläutern Federrath und Pfitzmann (in einer seiner letzten Arbeiten) „Datensicherheit“ („security“) aus ver-schiedenen Perspektiven; der relativ dünn annotierte Beitrag be-nennt Schutzziele, erörtert Sicherheitsmanagement und mehre-re Möglichkeiten des Schutzes gegen Angriffe. Das Schlusskapi-tel über „rechtsverbindliche Telekooperation“ stammt von Roßna-gel und befasst sich mit elektronischem Rechtsverkehr, (schwer-punktmäßig) elektronischen Signaturen, elektronischer Form und schließlich elektronischen Beweismitteln. Vor allem die Nachweise sind nicht immer ganz aktuell (z.T. noch RegTP statt BNetzA); auch findet sich nichts zur Dienstleistungsrichtlinie (2006/123/EG) und deren Umsetzung.

Durchaus zu Recht beklagen die Herausgeber im Vorwort (S. VI), dass die in der Erstauflage noch enthaltene Abhandlung zum Datenschutzrecht nicht mehr vorhanden sei, umso mehr, „weil ge-rade dieser Bereich des Technikrechts in jüngster Zeit unter beson-deren Änderungs- und Anpassungsdruck geraten ist“. Immerhin tragen viele Autoren der Bedeutung dieses Rechtsgebiets durch konkrete Hinweise Rechnung: Schon Vec erwähnt das Volkszäh-lungsurteil und das „neue Computer-Grundrecht auf eine digita-le Intimsphäre“ (S. 90); Salje versteht (auch) Datenschutz- als „tech-nisches Sicherheitsrecht“ (S. 120); vor allem Kloepfer führt immer wieder Regelungen des und Beispiele aus dem Datenschutzrecht an (S. 158, 164 f., 169 f.); Schröder widmet sich der Thematik im Kon-text neuer Entwicklungen im Recht der inneren Sicherheit (S. 266 ff.); Vassilaki bezieht sich auf einschlägige Vorschriften (TMG, S. 397; BDSG, S. 399; TKG, S. 400), und last but not least weisen Federrath/Pfitzmann auf § 9 BDSG (und die Anlage hierzu) hin.

Für ein Handbuch fällt das Sachregister eher dünn aus und ist auch nicht durchweg zuverlässig bzw. vollständig; so wird Akkre-ditierung auch auf S. 183, 196 behandelt, und warum werden (seit 2007 überholte) „Teledienste“ aufgeführt, Telemedien aber nicht?

Ähnliches gilt zuweilen für Aktualität und Richtigkeit der Fußno-ten: Auf S. 173 Fn. 130 sucht man vergebens die EuGH-Entschei-dung v.3.12.2009, Rs. C-424/07, zu § 9a TKG; auf S, 193 bezieht sich eine halbe Seite auf die Rechtslage v o r 2002 bzw. 2004; auf S. 208 werden die Energie- und Telekom-„Pakete“ von 2009 nicht mehr erfasst; auf S. 430 wird noch auf das UWG idF v o r 2004 Bezug genommen usw. Eine dritte Auflage, die angesichts des raschen Wandels der Technik und des Technikrechts wohl nicht erneut 7 Jahre auf sich warten lassen wird, sollte den guten Eindruck des gesamten Bandes nicht durch solche vermeidbaren Mängel aufs Spiel setzen.

Thomas Petri

Meyer-Ladewig: EMRK, Kommentar (3. Auflage 2011), NO-

MOS-Verlag, ISBN 978-3-832-362102, Euro 79,-

Der Autor des nunmehr in dritter Auflage erschienenen Hand-kommentars ist vormaliger Ministerialdirigent im Bundesministe-rium der Justiz. Er hat die wesentlichen Entwicklungsstationen der EMRK beruflich und mit zahlreichen Fachaufsätzen begleitet. Sei-nem eigenen Anspruch gemäß will der Verfasser „kurz gefasst“ dar-stellen, „welche Gestalt die Konvention durch die Rechtsprechung gewonnen hat und die Erläuterungen auf den neuesten Stand zu bringen.“

Um es vorweg zu nehmen: Diesen Ansprüchen wird auch die dritte Auflage vollauf gerecht. Bei den Kommentierungen fällt da-bei auf, dass der Verfasser gerade Entscheidungen mit deutschen Bezügen relativ relativ ausführlich und mit Sachverhaltsschilderun-gen nahezu pädagogisch aufbereitet (besonders markant: Fall Gäf-gen, Art. 3 Rdn. 3-4, Sicherungsverwahrung, Art. 7 Rdn. 17). Oh-nehin ist die Verständlichkeit eine der großen Stärken des Kom-mentars. Aus Sicht des Rezensenten ebenfalls positiv zu vermer-ken, ist der Umstand, dass der Verfasser in der dritten Auflage je-weils zu Beginn der Kommentierung Bezüge zur Grundrechtechar-ta herstellt.

Für Datenschützer von besonderem Interesse ist die Kommen-tierung des Art. 8 EMRK. Erfreulicherweise ist sie relativ ausführlich und bezieht auch seltener zitierte Entscheidungen des EGMR ein (z.B. EGMR v. 26.7.2007, E-Nr.64209/01 – Peev/Bulgarien in Rdn. 8). Auch bei der Kommentierung zu Art. 8 fällt das Bemühen auf, stets Querbezüge zur Rechtsprechung des BVerfG herzustellen (vgl. unter anderem Rdn. 21: Transsexuellenrecht; Rdn. Feststellung der Vaterschaft Rdn. 23, Recht am eigenen Bild, Rdn. 29, jeweils mit Be-zugnahmen auf die deutsche Rechtsprechung). Die Kommentie-rung des Datenschutzes kommt nicht zu kurz (vgl. insbesondere Art. 8 Rdn. 40 ff.), abgestellt wird dabei vor Allem auf die Entschei-dungen Z./Finnland und Marper/UK. Bedeutsame ältere Entschei-dungen werden ebenfalls erwähnt (z.B. Klass/Deutschland in Rdn. 42, Leander/Schweden in Rdn. 43). Während sich in dem nur we-nig umfangreicheren Konkurrenzkommentar Karpenstein / Mayer mehr als zwanzig Verfasser die Kommentierung der EMRK teilen, nimmt Meyer-Ladewig dieselbe Kommentierung allein vor -eine Herkulesaufgabe, die er erneut ausgezeichnet gelöst hat. Nur eine Anregung sei gestattet: der Kommentar sollte von seinem Konkur-renten die Idee übernehmen, den Text der EMRK-Artikel auch in den beiden Amtssprachen englisch und französisch abzudrucken.