"Stand der Technik" – Der Podcast zu Datenschutz und IT-Sicherheit

Folge 13 - Politische Werbung unter DSGVO/DSA. Game Changer Transparenz und Targeting Verordnung?

Folge 13 widmet sich mit Blick auf die kommende Wahl den rechtlichen Anforderungen an politische Werbung. Hierbei werden die DSGVO, DSA und die neue Verordnung über die Transparenz und das Targeting politischer Werbung beleuchtet und die rechtlichen Rahmenbedingungen herausgestellt. Die neue Verordnung ist eine Reaktion auf die gesellschaftlichen und technologischen Veränderungen der heutigen Welt. Durch strengere Anforderungen an politische Werbung soll der Sorge vor Manipulation, Desinformation und ausländischer Einflussnahme in Bezug auf Wahlen begegnet werden. Hierbei gehen die Experten unter anderem auf Themen wie Targeting, Profiling, Transparenz- und Kennzeichnungspflichten und mögliche Sanktionen ein. Das Fazit: Da die neue Verordnung über die Transparenz und das Targeting politischer Werbung erst im Oktober 2025 in Kraft tritt, sind die unmittelbaren Auswirkungen der Verordnung auf die kommende Wahl gering. Sie stellt jedoch ein sinnvolles Mittel dar, um sich in der heutigen multimedialen Welt ein besseres Bild von möglicher Beeinflussung zu machen. Wie groß die Auswirkungen in Zukunft sein werden, hängt jedoch von den eingeführten Sanktionen und der praktischen Durchsetzung ab.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 12 - Content Deliver Networks (CDN) und die Stolpersteine bei Datenschutz und IT Sicherheit

Folge 12 widmet sich dem Thema Content Delivery Network (CDN): Wie funktioniert ein CDN, welche Vor- und Nachteile bringt diese Technologie in Bezug auf IT Sicherheit mit sich und welche rechtlichen Anforderungen sind hierbei zu beachten. Dabei führen die Experten an das Thema heran und erläutern Konzepte anhand des gängiger CDNs wie z.B. „Cloudflare“. Es werden technische Aspekte wie Minimierung der Risiken von Cyber-Angriffen und Datenverlusten beleuchtet und der Frage nachgegangen inwieweit neben dem Datenschutzrecht auch das Strafrecht eine Rolle spielen kann. Neben der Klärung einer Relevanz für den Betriebsrat, werden auch Handlungsempfehlungen zur datenschutzrechtlich rechtmäßigen Nutzung eines CDNs gegeben. Als Fazit lässt sich anführen: CDNs werden heutzutage standardmäßig verwendet und auch vom BSI empfohlen. Wenn Sie Ihre Hausaufgaben hinsichtlich technischer Konfiguration und Datenschutz machen, können CDNs rechtssicher eingesetzt werden.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 11 - Cookies

In Folge 11 beleuchten Dr. Lutz Keppeler und Daniel Wasser die rechtlichen Rahmenbedingungen rund um Cookies und Cookie-Banner. Es wird diskutiert, warum Cookie-Banner notwendig sind und welche Rolle sie im Kontext der DSGVO und ePrivacy-Richtlinie spielen. Neben dem Transparency and Consent Framework (TCF) 2.0, das Webseitenbetreiber dabei unterstützt, die Einwilligung der Nutzer transparent zu gestalten, umfasst die Diskussion auch innovative Ansätze wie cookieless tracking. Dabei kommen alternative Technologien zum Einsatz, um Nutzerverhalten analysieren zu können. Es wird herausgearbeitet, was der aktuelle Stand der Rechtsprechungs- und gesetzgebungshistorie im Rahmen von Cookies ist und dass trotz häufiger Verletzung der Vorschriften Verstöße selten in der Praxis mit Bußgeldern sanktioniert werden.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 10 - Das Lieferantenmanagement

Ist ein Lieferantenmanagement aus Perspektive der DSGVO sinnvoll?

In Folge 10 diskutieren Dr. Lutz Keppeler und Daniel Wasser, ob und in welchem Umfang ein Lieferantenmanagement aus der Perspektive der DSGVO und des IT-Sicherheitsrechts sinnvoll ist und inwieweit das Lieferantenmanagement sogar gesetzlich verpflichtend ist.

Neben der DSGVO kommen hier auch neue EU-Digitalgesetze wie die NIS-2 und der DORA zur Sprache. Es wird herausgearbeitet, dass nicht alle Lieferanten "über einen Kamm geschoren" werden sollten, sondern dass auf Basis der Risikoanalyse jedes einzelnen Lieferanten individuelle Regelungen erforderlich sind.

Klar herausgestellt wird auch, dass gängige Musterverträge zu diesem Thema kaum adäquate Klauseln aufweisen. Wer seine Lieferanten auf ein hohes Maß an IT-Sicherheit verpflichten will, kommt nicht umhin, dies ausdrücklich in Verträgen zu vereinbaren, die man gegenwärtig noch individuell erstellen und verhandeln muss.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 9 - NIS2 in der Praxis - ISMS, Notfallmanagement und Lieferkette

In Folge 9 sprechen Manuel Poncza und Daniel Wasser, welche Pflichten die Unternehmen erfüllen müssen, die unter die NIS-2 fallen, erfüllen müssen. Es geht darum, was ein ISMS (= Informations-Sicherheits-Management-System) ist und wie man ein Notfallmanagement aufbaut. Außerdem wird in dieser Folge auch geklärt, warum das Thema Lieferkettensicherheit so eine große Rolle spielt.

Links

Dr. Lutz Keppeler
Manuel Poncza
secAdair

Produktion: Foundation Room Studio

Folge 8 - Welches Unternehmen fällt unter die NIS-2 und das BDSG-neu

In Folge 8 diskutieren Dr. Lutz Keppeler und Daniel Wasser, welche Unternehmen unter die NIS-2 Richtlinie fallen. Es geht nicht mehr nur um KRITIS, sondern auch um „wichtige“ und „besonders wichtige“ Unternehmen, neue Schwellenwerte (Mitarbeiterzahl und Umsatz) und neue betroffene Branchen (z.B. IT Managed Service Provider und Automobilzulieferer). Es wird erwartet, dass in Zukunft über 30.000 Unternehmen in Deutschland unter dem BSIG-neu reguliert werden. Warum das so ist, wir in dieser Folge geklärt. Dabei wird der aktuelle Entwurfsstand des BSIG-neu berücksichtigt: Entwurfsstand BSIG-neu.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 7 - Der risikobasierte Ansatz

Der Risikobegriff im Cyber- und Datenschutz: Was Juristen von IT-Praktikern in der Risikobewertung lernen können.

In Folge 7 sprechen Dr. Lutz Keppeler und Daniel Wasser über Risiken. Im Datenschutz und der IT-Sicherheit spricht man häufig von einem risikobasierten Ansatz. Dabei wird der Begriff aus rechtlicher Sicht meist eher oberflächlich verwendet da es keine spezifische Rechtsprechung zur DSGVO, zum  IT-Sicherheitsrecht und „Risiko" gibt. Im Gegensatz dazu ist in der IT-Sicherheit und insbesondere in der ISO 2700x-Familie das Konzept „Risiko“ ein wesentlicher Bestandteil. Risikoidentifikation, Risikoanalyse und Risikobewertung als Teil der Risikobewertung werden systematisch durchgeführt und entscheiden über Maßnahmen zur Risikobehandlung. Es sieht also so aus, als könnten Juristen hier viel von der IT-Sicherheit lernen.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 6 - Datenschutz-Basics zu Microsoft 365

"Stand der Technik – Der Podcast zu Datenschutz und IT-Sicherheit" ist der Podcast zum Datenschutz- und IT-Sicherheitsrecht in Deutschland und Europa. Experten der Kanzlei Heuking und des IT-Sicherheitsdienstleisters secAdair sprechen über die Schnittstellen zwischen den Welten der Juristen und der IT-Praktiker.

In Folge 6 sprechen Manuel Poncza und Daniel Wasser über Basics des Datenschutzrechts. Was ist ein Verantwortlicher? Wann sind mehrere Parteien gemeinsam verantwortlich? Was ist ein Auftragsverarbeiter? Wann bestehen Informationspflichten – und für wen?

Orientiert an der Folge zu Microsoft 365 erläutern wir die vorstehenden Fragen und geben praktische Hinweise dazu, wie sowohl die Einordnung als Verantwortlicher oder Auftragsverarbeiter als auch die Erfüllung der damit verbundenen Pflichten gelingen kann.

Die Folge wurde am 09. April 2024 aufgenommen.

Links

Manuel Poncza
secAdair

Produktion: Foundation Room Studio

Folge 5 - Dauerbrenner Microsoft 365 & DSGVO

In Folge 5 sprechen Dr. Lutz Keppeler und Daniel Wasser über einen wahrhaftigen Dauerbrenner im Rahmen des Europäischen Datenschutzrechts: Microsoft 365.

Wir klären insbesondere die brandaktuelle Frage des Europäischen Datenschutzbeauftragten, welcher sich am 11. März 2024 mit einer Verfügung gegen die Europäische Kommission stellte und bis Dezember dieses Jahres die Behebung zahlreicher Datenschutzlücken im Rahmen interner Kommunikation fordert. Dabei beleuchten wir die eingehenden datenschutzrechtlichen Schwachstellen von Microsoft 365 unter Berücksichtigung praxisnaher Auswirkungen rund um #Telemetriedaten, #EDPS, #DSK, #O365‚ #AV-Vertrag, # SCCs, #Datenschutzfreundliche Voreinstellungen, #Privacy by Design and by Default #DFSA, #PIA, #VVT, #Betriebsrat.

Das Original des Berichts des Europäischen Datenschutzbeauftragten in englischer Sprache ist HIER online abrufbar.
HIER ist die Bewertung der Vereinbarung zur Auftragsverarbeitung mit Microsoft durch die DSK (Stand November 2022)

HIER ist eine der Antworten von Microsoft zu diesem Thema.

Die Folge wurde am 09. April 2024 aufgenommen.

Links

Update Datenschutz

Dr. Lutz Keppeler

secAdair

Produktion: Foundation Room Studio

Folge 4 – OSINT, Reconnaissance und Recht

In Folge 4 sprechen Manuel Poncza und Daniel Wasser über OSINT, Penetration Tests und deren rechtliche Aspekte. Wir klären, was OSINT ist, warum der Einsatz von OSINT für Unternehmen sinnvoll sein kann und welche Rechtsfragen sich beim Einsatz von OSINT-Tools ergeben können.

Am Beispiel von Website, Scans und Portscans erläutern wir, ab wann der Einsatz von Reconnaissance-Maßnahmen eine strafrechtliche Relevanz erlangen kann und welche Anforderungen für diese erfüllt sein müssen.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 3 – Art. 32 DSGVO und E-Mail Verschlüsselung

In Folge 3 sprechen Dr. Lutz Keppeler und Daniel Wasser über das Herzstück des IT-Sicherheitsrechts im Datenschutz, nämlich Art. 32 DSGVO.

Wir beleuchten den unscharfen Begriff der "geeigneten technischen und organisatorischen Maßnahmen“ anhand des Themas "E-Mail-Verschlüsselung".

Wir stellen die technischen Details vor, erläutern den Unterschied zwischen Transport- und Ende-zu-Ende-Verschlüsselung und diskutieren, was dies angesichts der generalklauselartigen Formulierung des Art. 32 DSGVO für die Praxis bedeutet.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio

Folge 2 – Stand der Technik

In Folge 2 sprechen Manuel Poncza und Daniel Wasser über den dem Podcast seinen Namen gebenden, zentralen Begriff des IT-Sicherheitsrechts, den "Stand der Technik“". Wir klären, woher der Begriff kommt, was er bedeutet und wie er juristisch und technisch mit Leben gefüllt werden kann.

Wir diskutieren über die Bedeutung der ISO 27001 und des BSI IT-Grundschutz, die Auswirkungen gesetzlicher Regelungen, die auf den Stand der Technik verweisen und warum der Stand der Technik in der Praxis oft schwer zu definieren ist. 

Schließlich gehen wir auf die Vertragsgestaltung ein und erläutern, wie der Stand der Technik in Verträgen berücksichtigt werden sollte (und wie gerade nicht) und erklären die Konsequenzen unzureichender Regelungen im Streitfall.  

Links

Manuel Poncza
secAdair

Produktion: Foundation Room Studio

Folge 1 – Personenbezogenes Datum in der DSGVO

In Folge 1 sprechen Lutz Keppeler und Daniel Wasser über eine der wichtigsten Fragen im Datenschutzrecht: Was ist ein personenbezogenes Datum? Wir klären, wie weit der Begriff der Personenbeziehbarkeit nach dem Urteil des EuGHs in der Rechtssache "Breyer" (C-582/14) reicht und was das für die Praxis bedeutet.

Wir diskutieren über IP-Adressen, Cookie-IDs, die Verknüpfung von (rein technischen) Metadaten und erläutern, warum die praktische Anwendung der DSGVO durch die Rechtsprechung erschwert wird. Schließlich gehen wir auf das aktuelle Urteil des EuGHs zu VIN (C-319/22) ein und erläutern, dass wir darin eine Aufweichung der strengen Sichtweise der bisherigen Rechtsprechung sehen. Das neue Urteil erreichte uns allerdings erst kurz vor Aufnahme der Folge 1, so dass wir noch nicht abschließend auf alle seine Details eingehen konnten.

Links

Dr. Lutz Keppeler
secAdair

Produktion: Foundation Room Studio