Projekte


DSFA (Datenschutz-Folgenabschätzungen für die betriebliche und behördliche Praxis)

Das BMBF geförderte Projekt DSFA soll ein Konzept zur Durchführung einer Datenschutz-Folgenabschätzung (DSFA) entwickeln und validieren.

Die neue Datenschutz-Grundverordnung wird 2018 in Kraft treten und verlangt in Bezug auf viele Datenverarbeitungsverfahren eine Datenschutz-Folgenabschätzung (DSFA). Wie eine DSFA durchzuführen ist, ist im Gesetz allerdings nur rudimentär beschrieben. Ziel des Projekts ist es, das von den Antragstellern in einem Vorgängerprojekt entwickelte Verfahren für eine DSFA zu validieren und praxistauglich zu machen.

Das Verfahren soll für unterschiedliche Anwendungen geeignet sein, von Akteuren aus der Wirtschaft wie der öffentlichen Verwaltung genutzt werden können und für Institutionen unterschiedlicher Größe gleichermaßen praktikabel sein. Gegenstand des Projektes ist es daher, die verschiedenen Elemente des DSFA-Konzepts mit realen Anwendungen und in Kooperation mit Akteuren aus Wirtschaft und öffentlicher Verwaltung zu testen und auf Basis der Ergebnisse ggf. Modifikationen vorzunehmen.

Der gesellschaftliche Nutzen des Projekts besteht in einem zuverlässigeren Schutz von Bürgern vor Verletzungen ihres Grundrechts auf Datenschutz und Privatheit. Der wirtschaftliche Nutzen liegt nicht nur in der Erfüllung gesetzlicher Vorgaben, sondern auch in einer Verbesserung des betrieblichen Risikomanagements sowie der Möglichkeit zur Entwicklung besserer Systeme und Dienstleistungen.

  • Projektleiterin: Franziska Boehm
  • Mitarbeiter: Dara Hallinan
  • Projektlaufzeit: 01. September 2017 – 31. August 2019
  • Förderer: Bundesministerium für Bildung und Forschung (BMBF)


Weitere Informationen


EIDI (Effektive Information nach digitalem Identitätsdiebstahl)

Das BMBF-geförderte Verbundprojekt EIDI widmet sich dem Phänomen des Identitätsdiebstahls in der digitalen Welt. Mit den Bereichen IT, Recht und Psychologie arbeitet EIDI interdisziplinär.

Bei der Aufklärung von Cyberkriminalität gelangen Strafverfolgungsbehörden und IT-Sicherheitsforscher häufig an umfangreiche Datensätze. Es herrscht aber weitgehend Unsicherheit darüber, wie mit diesen Datensätzen umzugehen ist. Erprobte und standardisierte Methoden existieren noch nicht – das gilt für die privaten wie für die öffentlichen Akteure. Müssen etwa Behörden die Betroffenen informieren, müssen sie sie warnen? Leitet sich aus dem Verfassungsrecht eine Schutzpflicht ab und wie weit geht sie? Wer ist zuständig? Inwieweit haften TK- oder Telemedienanbieter als Entdecker von Störungen? Die einschlägigen Rechtsgebiete sind Staats-, Datenschutz-, Straf- und Haftungsrecht.

Projektpartner sind die Rheinische Friedrich-Wilhelms-Universität Bonn (Institut für Informatik) als Konsortialführer, die Universität Duisburg-Essen (Fachgebiet Allgemeine Psychologie: Kognition), das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) Kiel, die XING AG, Hamburg und die Fidor Bank AG, München.


Fundamental Rights Assessment of EU Data Collection Instruments

Studie zur Grundrechtskonformität europäischer Datensammlungen. Es handelt sich um eine vom EU Parlament veranlasste und von der EU Kommission durchgeführte Studie, die ein internationales Gremium aus Datenschutzexperten beauftragt hat, europäische Datensammlungen auf ihre Grundrechtskonformität zu überprüfen. Frau Prof. Boehm beteiligt sich im Steering Committee dieser Expertenrunde an der Durchführung der Studie

  • Laufzeit: 01. Januar 2017 – 31. Dezember 2019

ITS.Overview

Das BMBF geförderte Verbundprojekt „IT-Sicherheitslagebild als Entscheidungsunterstützung in Deutschland“, kurz ITS.Overview, soll Fortschritte auf den Gebieten der Lagebilderstellung, -austausch und -korrelation erreichen. Dadurch können Angriffe auf die IT besser erkannt und aufgeklärt werden. Durch diese detaillierte Übersicht über die eigene Sicherheitslage wird nicht nur die Sicherheit erhöht, sondern auch die Reaktionszeit verkürzt, die zur Aufdeckung von IT-Sicherheitsvorfällen benötigt wird.

Die Häufigkeit von Angriffen auf IT-Systeme nimmt ständig zu, wobei sich solche Angriffe über das Internet mit vergleichsweise geringem Aufwand umsetzen lassen. Allein in der deutschen Wirtschaft verursacht Computerkriminalität jährlich Schäden von mehr als 10 Milliarden Euro.

Präventive Sicherheitsmaßnahmen sind daher wichtig, um IT-Systeme abzusichern. Gegen neuartige oder gezielte Angriffe sind die üblichen Sicherheitsvorkehrungen allerdings oft machtlos. Ein erfolgreiches IT-Sicherheitskonzept muss daher Angriffe auch schnell erkennen und aufklären können sowie eine detaillierte Übersicht über die eigene IT-Sicherheitslage bieten. Ein solches Lagebild besteht aus verschiedensten technischen und nicht-technischen Informationen. Welche Daten notwendig sind, um Lagebilder in dem benötigten Detailgrad automatisch zu erzeugen, ist bisher noch nicht wissenschaftlich untersucht worden.

Projektpartner sind die Rheinische Friedrich-Wilhelms-Universität Bonn, der Bundesverband der Allianz für Sicherheit in der Wirtschaft e.V., die Comma Soft AG sowie die HiSolutions AG.

Weitere Informationen


TITANIUM (Tools for the Investigation of Transactions in Underground Markets), EU-gefördertes Projekt (Horizon 2020)

Das Projekt TITANIUM, an dem fünfzehn Mitglieder aus sieben europäischen Ländern mitwirken, hat die Entwicklung technischer Lösungen zur Untersuchung und Bekämpfung krimineller und terroristischer Handlungen unter Einsatz von Cryptocoins wie Bitcoin (z.B. Erpressungen mit Ransomware, Darknet-Handel mit illegalen Gütern) zum Ziel.  Die Tools, die vom Konsortium (darunter vier Strafverfolgungsbehörden und INTERPOL) entwickelt und implementiert werden, sollen die forensische Analyse krimineller Transaktionen, z.B. Analyse der Blockchain, unterstützen, Anomalien in deren Anwendung erkennen und Geldwäschetechniken identifizieren. Da dies mit der Verarbeitung auch personenbezogener Daten verbunden ist, ist eine zentrale Anforderung an die technische Lösung die Einhaltung rechtlicher, ethischer und gesellschaftswissenschaftlicher Rahmenbedingungen. Das ZAR/KIT leitet deren Erforschung dieser und analysiert federführend den europäischen und relevanten nationalstaatlichen Datenschutz-Rechtsrahmen. Das Projekt soll dadurch gewährleisten, dass den Strafverfolgungsbehörden effiziente und wirksame forensische Tools zur Verfügung stehen, bei deren Einsatz der Schutz der personenbezogenen Daten von Cryptocoin-Nutzern und anderen Betroffenen gewährleistet ist.


STARR (Decision SupporT and self-mAnagement system for stRoke survivoRs)

Das mit 10 Partnern gemeinsam durchgeführte STARR Projekt hat sich zum Ziel gesetzt, die häusliche Nachsorge von Schlaganfallpatienten zu verbessern. Zu diesem Zweck wird ein „decision support and self-management system for stroke survivors“ entwickelt, das auf computergestützten Vorhersagemodellen für Schlaganfallrisiken basiert und die Patienten in ihrem Alltag unterstützen soll. Dieses Gerät soll auch zur besseren Überwachung der Nachsorge eingesetzt werden. Dabei fallen zahlreiche höchst sensible personenbezogene Daten an. Das FIZ übernimmt in diesem Projekt die rechtliche Analyse und wirkt an der Gestaltung der zu entwickelnden Technik von Beginn an mit, so dass privatsphärerelevante Risiken rechtzeitig erkannt werden und so schon im Design der Technik berücksichtigt werden können. Dieses Projekt wird u.a. mit der Universität Luxemburg (SnT) durchgeführt.

 

Weitere Informationen


ITS.APT (IT-Security Awareness Penetration Testing)

Angriffe auf IT-Infrastrukturen werden immer häufiger. Ob sie Erfolg haben, entscheidet oft das individuelle Verhalten der damit konfrontierten IT-Benutzer. Eine Bewertung der IT-Sicherheit bei Betreibern kritischer Infrastrukturen wird üblicherweise durch „Penetration Testing“ durchgeführt, bei denen das Testfeld aber auf die technische Infrastruktur beschränkt ist. Das Verbundprojekt ITS.APT verfolgt das Ziel, diese klassische Methode um den Faktor Mensch zu erweitern. Dazu erarbeiten Informatiker der Universität Bonn, Juristen der Universität Münster, Datenschützer des Unabhängigen Landeszentrums für Datenschutz in Kiel, Psychologen der Universität Duisburg-Essen, das Universitätsklinikum Schleswig-Holstein und der IT-Sicherheitsdienstleister ERNW aus Heidelberg neue Methoden, mit denen das IT-Sicherheitsbewusstsein von Benutzern gemessen werden kann.

In einem umfassenden Feldtest mit anschließender Evaluation in einem der größten europäischen Zentren für medizinische Versorgung, dem Universitätsklinikum Schleswig-Holstein, wird untersucht, welche Parameter entscheidend für das IT-Sicherheitsbewusstsein sind. In dieser Umgebung ergeben sich besondere Herausforderungen im datenschutz-, haftungs- und arbeitsrechtlichen Bereich.

 

  • Projektleiterin (Universität Münster): Franziska Boehm
  • Mitarbeiter: Tim Hey und Robert Ortner
  • Projektlaufzeit: 01. Januar 2015 – 31. Dezember 2017
  • Förderer: Bundesministerium für Bildung und Forschung (BMBF)

 

Weitere Informationen


Verletzungen der IT-Sicherheit und ihre rechtlichen Folgen – unter besonderer Berücksichtigung von Meldepflichten und Haftungsfragen

Ziel des Promotionsforschungsprojekts ist es, die Pflichten von Unternehmen in Bezug auf die Gewährleistung von IT-Sicherheit zu klären. Der Fokus der Arbeit liegt insbesondere auf Haftungsszenarien bei der Verletzung von IT-Sicherheitspflichten. In diesem Zusammenhang wird überprüft, inwieweit Meldungen von Sicherheitsvorfällen das Haftungsrisiko beeinflussen können. Dem Forschungsprojekt liegt die Annahme zugrunde, dass allein die Existenz eines Haftungsrisikos Unternehmen dazu verleitet, finanzielle Ressourcen für die Gewährleistung der IT-Sicherheit aufzubringen. Je größer dieses Risiko ist, desto intensiver wird die Beschäftigung mit dem Thema IT-Sicherheit ausfallen. Die Bestimmung des Haftungsrisikos stellt jedoch eine Herausforderung dar, da es entweder an einschlägigen Rechtsgrundlagen fehlt oder diese eine große Abstraktheit aufweisen. Erschwerend kommt hinzu, dass neue Gesetze, insbesondere das IT-SiG, das Haftungsrecht in noch ungeklärter Weise beeinflussen können. Am Ende des Projekts sollen konkrete Handlungsempfehlungen gegeben werden, an denen sich Unternehmen orientieren können, um ihr Haftungsrisiko zu bewerten. Zudem sollen Vorschläge gemacht werden, auf welchen Wegen für weitergehende Rechtssicherheit im Haftungsrecht gesorgt werden kann. Davon profitieren letztlich nicht nur die Unternehmen sondern auch die Kunden, denn in einem konkreten Haftungsfall wirken sich klare rechtliche Vorgaben positiv auf den grundsätzlich vom Kläger zu erbringenden Nachweis des schädigenden Verhaltens aus.

 

  • Projektleiterin (Universität Münster): Franziska Boehm
  • Mitarbeiter: Markus Andrees (Universität Münster)

  • Projektlaufzeit: 01. Juli 2014 – 30. Juni 2017

  • Förderer: RWTÜV Stiftung

Kontakt

Prof. Dr. Franziska Boehm

Prof. Dr. Franziska Boehm
Bereichsleiterin Immaterialgüterrechte

 

 

Tel.: +49 7247 808 144 (Sekretariat)
igr(at)remove-this.fiz-karlsruhe(dot)de