Identitätsmanagement im Cloud Computing: Evaluation ökonomischer und rechtlicher Rahmenbedingungen

Von Brigitte Werners

Dieses Buch beschreibt die Anforderungen an das Identitätsmanagement im Cloud Computing aus rechtlicher und ökonomischer Sicht. Cloud Computing entwickelt sich zu einer Basistechnologie der digitalen Gesellschaft. Entsprechend wichtig ist es, den Zugriff Unbefugter auf Cloud-Dienste abzuwehren. Schlüsselfaktoren sind hier das Identitätsmanagement sowie die Abwehr von Identitätsdiebstahl und Identitätsmissbrauch. Das Werk stellt den rechtlichen Rahmen des Identitätsmanagements im Cloud Computing inklusive des IT-Sicherheitsgesetzes dar und entwickelt aus ökonomischer Perspektive quantitative Modelle technischer Angriffsszenarien und Abwehrmaßnahmen für typische Nutzungsformen von Cloud-Anwendungen. Unter Berücksichtigung der rechtlichen und ökonomischen Rahmenbedingungen werden sodann konkrete rechtliche Pflichten zur Vornahme bestimmter Schutzmaßnahmen identifiziert und somit die rechtlichen Anforderungen des Identitätsmanagements praxisgerecht konkretisiert.

• Sprache: Deutsch
• Herausgeber: Springer
• Erscheinungsdatum: 7. Mai 2018
• ISBN: 9783662555842

Buchvorschau

Herausgeber

Georg Borges und Brigitte Werners

Identitätsmanagement im Cloud ComputingEvaluation ökonomischer und rechtlicher Rahmenbedingungen

../images/441055_1_De_BookFrontmatter_Figa_HTML.png

Herausgeber

Georg Borges

Institut für Rechtsinformatik, Universität des Saarlandes, Saarbrücken, Deutschland

Brigitte Werners

Fakultät für Wirtschaftswissenschaft, Ruhr-Universität Bochum, Bochum, Deutschland

ISBN 978-3-662-55583-5e-ISBN 978-3-662-55584-2

https://doi.org/10.1007/978-3-662-55584-2

Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über http://dnb.d-nb.de abrufbar.

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018

Das Werk einschließlich aller seiner Teile ist urheberrechtlich geschützt. Jede Verwertung, die nicht ausdrücklich vom Urheberrechtsgesetz zugelassen ist, bedarf der vorherigen Zustimmung des Verlags. Das gilt insbesondere für Vervielfältigungen, Bearbeitungen, Übersetzungen, Mikroverfilmungen und die Einspeicherung und Verarbeitung in elektronischen Systemen.

Die Wiedergabe von Gebrauchsnamen, Handelsnamen, Warenbezeichnungen usw. in diesem Werk berechtigt auch ohne besondere Kennzeichnung nicht zu der Annahme, dass solche Namen im Sinne der Warenzeichen- und Markenschutz-Gesetzgebung als frei zu betrachten wären und daher von jedermann benutzt werden dürften.

Der Verlag, die Autoren und die Herausgeber gehen davon aus, dass die Angaben und Informationen in diesem Werk zum Zeitpunkt der Veröffentlichung vollständig und korrekt sind. Weder der Verlag, noch die Autoren oder die Herausgeber übernehmen, ausdrücklich oder implizit, Gewähr für den Inhalt des Werkes, etwaige Fehler oder Äußerungen.

Springer ist ein Imprint der eingetragenen Gesellschaft Springer-Verlag GmbH, DE und ist ein Teil von Springer Nature.

Die Anschrift der Gesellschaft ist: Heidelberger Platz 3, 14197 Berlin, Germany

Vorwort

Die zentrale Bedeutung des Identitätsmanagements für die digitale Gesellschaft, die wesentlich auf der Kommunikation per Internet beruht und notwendig des Zugriffs per Internet auf geschützte Anwendungen oder Inhalte bedarf, kann inzwischen als allgemein anerkannt angesehen werden. Zugleich besteht Unsicherheit hinsichtlich der Anforderungen an ein passendes Identitätsmanagement.

Die Etablierung eines geeigneten Identitätsmanagements ist eine Aufgabe, die nur interdisziplinär gelöst werden kann. Dies gilt ebenso für die Formulierung der entsprechenden rechtlichen Rahmenbedingungen.

Die wesentliche Stellschraube für die Konkretisierung der rechtlichen Anforderungen an Identitätsmanagement ist das Verhältnis von Aufwand und Nutzen der jeweiligen Schutzmaßnahmen. Damit sind Ökonomie und Recht unter Einbeziehung technischer Grundlagen gefragt, geht es doch um die Optimierung des Schutzes gegen Identitätsmissbrauch im Verhältnis zum Aufwand.

Die damit aufgeworfene Aufgabe war Gegenstand eines gemeinsamen Forschungsprojekts des Lehrstuhls für Betriebswirtschaftslehre, insbesondere Unternehmensforschung und Rechnungswesen (Prof. Dr. Werners) und des Lehrstuhls für Bürgerliches Recht, deutsches und internationales Wirtschaftsrecht, insb. IT-Recht (Prof. Dr. Borges) der Ruhr-Universität Bochum. Die wesentlichen Ergebnisse der Untersuchung sind in diesem Werk zusammengefasst. Aus unserer Sicht ist die Untersuchung auch ein Beleg für das Potential der interdisziplinären Zusammenarbeit in der IT-Sicherheit.

Das Forschungsprojekt und dieses Buch wären nicht möglich gewesen ohne die Horst Görtz Stiftung, die das Projekt finanziert hat. Dafür sagen wir der Stiftung und Herrn Horst Görtz persönlich herzlichen Dank!

Georg Borges

Brigitte Werners

Danksagungen

Herausgeber und Autoren danken der Horst Görtz Stiftung für die Förderung des Projektes „IDENTITÄTSMANAGEMENT IM CLOUD COMPUTING", welches die Grundlage für die vorliegende Schrift war.

Inhaltsverzeichnis

Kapitel 1 Einführung:​ Herausforderunge​n an das Identitätsmanage​ment im Cloud Computing 1

Georg Borges

Kapitel 2 Cloud Computing:​ Einsatz-, Bedrohungs- und Schadensszenarie​n 11

Alexander Golland und Andreas Schilling

Kapitel 3 Schutzmaßnahmen zur sicheren Identifizierung und Authentifizierun​g für Cloud-basierte Systeme 33

Andreas Schilling

Kapitel 4 Rechtliche Rahmenbedingunge​n des Identitätsmangem​ents im Cloud Computing 53

Alexander Golland und Peter Schneidereit

Kapitel 5 Quantitative Entscheidungsunt​erstützung für ein sicheres Identitäts- und Zugriffsmanageme​nt 105

Andreas Schilling und Brigitte Werners

Kapitel 6 Konkretisierung rechtlicher Anforderungen an das Identitätsmanage​ment im Cloud Computing 137

Torben Kriegesmann und Peter Schneidereit

Kapitel 7 Zusammenfassung der Ergebnisse 185

Torben Kriegesmann und Andreas Schilling

© Springer-Verlag GmbH Deutschland, ein Teil von Springer Nature 2018

Georg Borges und Brigitte Werners (Hrsg.)Identitätsmanagement im Cloud Computinghttps://doi.org/10.1007/978-3-662-55584-2_1

1. Einführung: Herausforderungen an das Identitätsmanagement im Cloud Computing

Georg Borges¹  

(1)

Universität des Saarlandes, Lehrstuhl für Bürgerliches Recht, Rechtsinformatik, deutsches und internationales Wirtschaftsrecht sowie Rechtstheorie, 66123 Saarbrücken, Deutschland

Georg Borges

Email: georg.borges@uni-saarland.de

1 Cloud Computing und Identitätsmanagement

2 Konkretisierung rechtlicher Anforderungen an Identitätsmanagement

3 Grundlagen des Identitätsmanagements im Cloud Computing

3.1 Rechtliche Rahmenbedingungen des Identitätsmanagements

3.2 Bedrohungs- und Schadenszenarien

3.3 Kosten-Nutzen-Untersuchung technischer Sicherheitsmaßnahmen

4 Konkretisierung rechtlicher Anforderungen durch ökonomische Analyse

5 Identitätsmanagement und Compliance in der Praxis

Literatur

1 Cloud Computing und Identitätsmanagement

Cloud Computing entwickelt sich zu einer technischen und organisatorischen Grundlage der digitalen Gesellschaft. Datenverarbeitung, nicht zuletzt die Datenspeicherung, erfolgt zunehmend nicht durch eigene Datenverarbeitungsanlagen, sondern durch Nutzung von Cloud-Diensten. Dies beruht zu einem großen Teil auf den enormen Effizienzvorteilen durch gemeinsame Nutzung von Ressourcen, die zu erheblichen Kostenersparnissen führen können.¹ Darüber hinaus ergeben sich Vorteile auch durch eine einfache Handhabung des Zugriffs auf Daten per Internet durch unterschiedliche Geräte, die von Verbrauchern, ebenso wie von Unternehmen, geschätzt werden.² Entsprechend hat sich ein starker Trend zur Nutzung von Cloud-Diensten entwickelt, dem Unternehmen, Behörden und ebenso Verbraucher folgen.³

Cloud Computing birgt aber auch spezifische Risiken, die insbesondere auf die für das Cloud Computing charakteristischen Zugriffe auf die Daten per Internet zurückgehen, da hierdurch internetbasierte Angriffe auf die Daten ermöglicht werden.

In diesem Zusammenhang hat der Missbrauch von Identitäten große praktische Bedeutung. Identitätsmissbrauch liegt vor, wenn eine Identität (Identitätsdaten) unbefugt verwendet wird.⁴ Angriffe erfolgen in der Praxis sehr häufig durch den Missbrauch von Authentisierungsmedien (z. B. Passwort) eines berechtigten Nutzers. Die Dimension dieser Herausforderungen wird durch das Phänomen des Phishing und anderer Formen des Identitätsmissbrauchs deutlich. Identitätsmissbrauch per Internet wurde in Deutschland durch die ersten großen Phishingwellen im Online-Banking bekannt, die ab 2004 auftraten.⁵

Seitdem hat sich die Intensität des Identitätsmissbrauchs erheblich ausgeweitet. So war nach Schätzungen des US-amerikanischen Justizministeriums im Jahr 2014 jeder siebte US-Bürger über 16 Jahren – insgesamt 17,6 Mio. Bürger – Opfer von Identitätsmissbrauch.⁶ Betroffen sind nahezu alle Bereiche des elektronischen Geschäftsverkehrs. Insbesondere beim Online-Banking und im Online-Handel sind immer neuere und aufwendigere Angriffsszenarien zu verzeichnen.⁷

Eine zentrale Herausforderung bei der Nutzung von Cloud-Diensten ist es daher, Daten gegen den Zugriff Unbefugter per Internet zu schützen, insbesondere den Missbrauch von Identitäten abzuwehren. Damit steht das Identitätsmanagement⁸ im Zentrum des Schutzes von Daten gegen Zugriffe Unbefugter⁹

2 Konkretisierung rechtlicher Anforderungen an Identitätsmanagement

Der Schutz von Daten gegen Zugriffe durch Unbefugte ist Gegenstand zahlreicher rechtlicher Anforderungen. Identitätsmanagement ist damit eine Compliance-Aufgabe, die Nutzer und Anbieter von Cloud-Diensten gleichermaßen trifft.

Das Ziel der Compliance, die Erfüllung rechtlicher Anforderungen in der Organisation zu sichern,¹⁰ verlangt in Bezug auf die Abwehr von Identitätsmissbrauch und unbefugten Datenzugriff die Kenntnis des Inhalts rechtlicher Anforderungen an Schutzmaßnahmen. Diese ist indes nicht leicht zu erlangen. Die rechtlichen Anforderungen an das Identitätsmanagement im Cloud Computing sind nicht spezifisch gesetzlich geregelt. Sie sind vielmehr aus allgemeinen rechtlichen Anforderungen unterschiedlichster Art abzuleiten. Dabei gilt, dass sich die Anforderung, konkret: die rechtliche Pflicht zur Durchführung bestimmter Schutzmaßnahmen, regelmäßig aus einer Abwägung von Schutzbedarf und wirtschaftlicher Zumutbarkeit einer Schutzmaßnahme ergibt. Sehr deutlich wird dieser Zusammenhang in § 9 Abs. 1 BDSG, der wie folgt lautet: „Öffentliche und nicht-öffentliche Stellen […] haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes […] zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht."

Satz 1 formuliert eine gesetzliche Pflicht zur Vornahme der erforderlichen Schutzmaßnahmen, und Satz 2 macht deutlich, dass die Konkretisierung der gesetzlichen Pflicht durch eine Abwägung zwischen dem Schutzbedarf der jeweiligen Datenverarbeitung und dem Aufwand einer in Betracht kommenden Schutzmaßnahme zu ermitteln ist.

Die damit erforderliche Abwägung stellt hohe Anforderungen an Nutzer und Anbieter von Cloud-Diensten als Adressaten der gesetzlichen Pflicht.¹¹ Entsprechend besteht insoweit erhebliche Unsicherheit hinsichtlich der konkreten Anforderungen, viele Aspekte sind umstritten.¹² Es ist daher von großem Interesse, wie eine verlässliche Konkretisierung der Anforderungen erreicht werden kann.

In jüngster Zeit gibt es einige Ansätze zur Konkretisierung der Anforderungen an den Schutz von Daten gegen unbefugten Zugriff. Ein interessanter Ansatz wurde etwa im Bereich des Datenschutzrechts entwickelt. So hat das Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste"¹³ im Auftrag des Bundesministeriums für Wirtschaft und Energie einen Prüfstandard für Cloud-Dienste, das sogenannte Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP),¹⁴ entwickelt, dessen ausdrückliches Ziel es ist, die datenschutzrechtlichen Anforderungen des BDSG für Cloud-Dienste zu konkretisieren.¹⁵ Einen teilweise ähnlichen Ansatz verfolgt das BSI mit dem Schutzstandard „Anforderungen an Sicherheit im Cloud Computing" (C 5),¹⁶ der allerdings keinen direkten Bezug zu rechtlichen Normen hat.

Beide Ansätze verfolgen das Ziel, Anforderungen u. a. an Identitätsmanagement für den Bereich des Cloud Computing zu konkretisieren. Sie geben jedoch keine konkrete Auskunft darüber, wie die wirtschaftlichen Aspekte verschiedener in Betracht kommender Schutzmechanismen im Zusammenhang mit rechtlichen Anforderungen zu berücksichtigen sind. Diese Frage ist ein zentraler Gegenstand dieses Werks.

3 Grundlagen des Identitätsmanagements im Cloud Computing

3.1 Rechtliche Rahmenbedingungen des Identitätsmanagements

Das Identitätsmanagement im Cloud Computing ist in vielfacher Hinsicht Gegenstand rechtlicher Regulierung. Hier sind vor allem die Regeln zum Schutz gegen Zugriffe durch Unbefugte von Bedeutung. Auch insoweit können zahlreiche Normen ganz unterschiedlicher Art anwendbar sein. Da Cloud-Dienste regelmäßig aufgrund eines Vertrags zwischen Anbieter und Nutzer des Cloud-Dienstes erbracht werden, können Anforderungen an Schutzmaßnahmen vertraglich vereinbart werden und ergeben sich, soweit keine ausdrückliche Regelung getroffen wird, aus allgemeinen Schutzpflichten im Sinne des § 241 Abs. 2 BGB.¹⁷ Für einige Vertragsverhältnisse, etwa im Bereich von Finanzleistungen, bestehen konkrete vertragsrechtliche Schutzanforderungen, etwa in § 675m BGB, für Zahlungsdienste.¹⁸

Neben vertraglichen Anforderungen bestehen deliktische Pflichten, die ihre Grundlage sowohl in den allgemeinen Normen des Deliktsrechts, namentlich § 823 Abs. 1 BGB sowie § 823 Abs. 2 BGB in Verbindung mit Schutzgesetzen, als auch in Spezialgesetzen haben. Die größte Bedeutung für Cloud Computing haben insofern die Anforderungen des Datenschutzrechts, da sehr häufig personenbezogene Daten verarbeitet werden.¹⁹ Große Bedeutung haben branchenspezifische Gesetze, etwa im Finanzbereich oder im Bereich von Sozialdaten.²⁰

Ergänzend treten spezifische Regelungen zur IT-Sicherheit hinzu. Die steigende Bedeutung von IT-Sicherheit – jüngst auch spezifisch und sektorübergreifend – kommt beispielsweise deutlich in dem 2015 erlassenen IT-Sicherheitsgesetz zum Ausdruck.²¹

Die rechtlichen Rahmenbedingungen des Identitätsmanagements werden im vierten Kapitel im Einzelnen dargestellt.

3.2 Bedrohungs- und Schadenszenarien

Die konkreten Anforderungen an den Schutz von Daten gegen unbefugten Zugriff sind, wie dargestellt,²² regelmäßig durch eine Abwägung von Schutzbedarf und Kosten der in Betracht kommenden Schutzmaßnahmen zu ermitteln. Die Ermittlung des Schutzbedarfs erfolgt auf der Grundlage einer Risikoanalyse, bei der insbesondere der Umfang eines möglichen Schadens bei Zugriff Unbefugter sowie die Wahrscheinlichkeit unbefugten Zugriffs zu berechnen sind.²³

Eine solche Risikoanalyse ist ohne Kenntnis möglicher Angriffe nicht durchführbar. Daher werden im folgenden zweiten Kapitel²⁴ relevante internetgestützte Angriffe auf Cloud-Dienste dargestellt.

3.3 Kosten-Nutzen-Untersuchung technischer Sicherheitsmaßnahmen

Der Kern der IT-Sicherheitsstrategie liegt in der Wahl geeigneter Maßnahmen der IT-Sicherheit. Aus ökonomischer Sicht ist dabei eine Kosten-Nutzen-Analyse durchzuführen. Dabei ist maßgeblich, welchen Nutzen (Sicherheitsgewinn) eine bestimmte Maßnahme der IT-Sicherheit verspricht und welche Kosten damit verbunden sind. Um eine Quantifizierung effizient durchzuführen, sollten bestehende, auch externe Informationen verwendet und in einem quantitativen Ansatz berücksichtigt werden.²⁵

4 Konkretisierung rechtlicher Anforderungen durch ökonomische Analyse

Die rechtlichen Anforderungen an das Identitätsmanagement im Cloud Computing sind, wie dargestellt,²⁶ nicht ausdrücklich geregelt, sondern aus allgemeinen Bestimmungen zur Sicherheit oder gar dem allgemeinen Deliktsrecht abzuleiten.

Eine zentrale Anforderung der Compliance im Cloud Computing ist es daher, allgemeine rechtliche Anforderungen konkret für das Identitätsmanagement zu definieren. Insoweit hat sich in den letzten Jahren eine breite Diskussion entwickelt, und es haben sich konkrete Pflichten herausgebildet. Diese werden im sechsten Kapitel dargestellt. Entsprechend dem rechtlichen Rahmen sind dabei insbesondere branchenübergreifende²⁷ und branchenspezifische Anforderungen²⁸ zu unterscheiden.

Da sich die konkreten rechtlichen Anforderungen an IT-Sicherheit aus einer Abwägung von Schutzbedarf und Zumutbarkeit von Schutzmaßnahmen ergeben, gewinnen die Ergebnisse aus ökonomischer Analyse rechtliche Bedeutung. Bisher ist jedoch weitgehend unklar, inwieweit sich als Ergebnis einer ökonomischen Analyse eine konkretere rechtliche Anforderung ergibt. Diese Grundlagenfrage wird im sechsten Kapitel anhand der Ergebnisse des fünften Kapitels analysiert.²⁹

Die im Rahmen des Identitätsmanagements maßgeblichen Anforderungen, konkret die Pflichten zum Schutz von Daten gegen Zugriffe Unbefugter, sind für eine Reihe weiterer rechtlicher Aspekte von Bedeutung. Auch insofern können die Ergebnisse der Analyse fruchtbar gemacht werden. Daher werden die Verantwortlichkeit unter dem Gesichtspunkt der Rechtsscheinhaftung³⁰ sowie die für die Praxis oft zentralen Beweisfragen³¹ im Lichte der Ergebnisse aus der ökonomischen und rechtlichen Konkretisierung analysiert. Auch insoweit ergeben sich gegenüber dem bisherigen Diskussionsstand Konkretisierungen.³²

5 Identitätsmanagement und Compliance in der Praxis

Nutzer und Anbieter von Cloud-Diensten müssen in vielfacher Hinsicht eine Risikoabwägung treffen und entsprechend Schutzmaßnahmen ergreifen, um die rechtlichen Anforderungen an Schutz der Daten vor unbefugten Zugriffen zu erfüllen. Daher werden im siebten Kapitel die wesentlichen Ergebnisse so zusammengefasst, dass sie für die Praxis nutzbar gemacht werden können.

Literatur

Auer-Reinsdorff, Astrid/Conrad, Isabell: Handbuch IT- und Datenschutzrecht, 2. Aufl., München 2016.

Borges, Georg/Meents, Jan Geert: Cloud Computing. Rechtshandbuch, München 2016.

Borges, Georg/Schwenk, Jörg/Stuckenberg, Carl-Friedrich/Wegener, Christoph: Identitätsdiebstahl und Identitätsmissbrauch im Internet, Heidelberg 2011.

Borges, Georg: Cloud Computing und Datenschutz. Zertifizierung als Ausweg aus einem Dilemma, DuD 2014, 165–169.Crossref

Borges, Georg: Die Datenschutz-Grundverordnung. Potentiale für praxisgerechten Datenschutz, in: Schweighofer/Hötzendorfer/Sorge, Trends und Communities der Rechtsinformatik/Trends and Communities of Legal Informatics, Tagungsband des 20. Internationalen Rechtsinformatik Symposions IRIS 2017, Wien 2017.

Borges, Georg: Rechtliche Aspekte der Internetportale für Heilberufe. Zugang, Beweis, Datensicherung, Baden-Baden 2007.

Borges, Georg: Rechtsfragen der Haftung im Zusammenhang mit dem elektronischen Identitätsnachweis, Baden-Baden 2011.

Borges, Georg: Rechtsfragen der Internet-Auktion, 2. Aufl., Baden-Baden 2014.Crossref

Borges, Georg: Rechtsfragen des Phishing – Ein Überblick, NJW 2005, 3313–3117.

Busch, Christoph: Biometrie und Identitätsdiebstahl, DuD 2009, 317–317.Crossref

Derleder, Peter/Knops, Kai-Oliver/Bamberger, Heinz Georg: Deutsches und europäisches Bank- und Kapitalmarktrecht, 3. Aufl., Berlin Heidelberg 2017.

Gola, Peter/Schomerus, Rudolf: Bundesdatenschutzgesetz, 12. Aufl., München 2015.

Hameurlein, Abdelkader/Küng, Josef/Wagner, Roland/Schewe, Klaus-Dieter/Bosa, Karoly: Transactions on Large-Scale Data- and Knowledge-Centered Systems XXX, Heidelberg 2016.

Hauschka, Christoph E./Moosmayer, Klaus/Lösler, Thomas: Corporate Compliance. Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl., München 2016.

Hennrich, Thorsten: Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken, CR 2011, 546–552.

Hilber, Marc: Handbuch Cloud Computing, Köln 2014.

Hoeren, Thomas/Sieber, Ulrich/Holznagel, Bernd: Handbuch Multimedia-Recht, 43. EL, Stand: Juli 2016, München 2016.

Hossenfelder, Martin: Pflichten von Internetnutzern zur Abwehr von Malware und Phishing in Sonderverbindungen, Baden-Baden 2013, zugl. Dissertation an der Ruhr-Universität Bochum 2011/2012.

Martinek, Michael/Semler, Franz-Jörg/Flohr, Eckhard: Handbuch des Vertriebsrechts, 4. Aufl., München 2016.

Matros, Raimund: Der Einfluss von Cloud-Computing auf IT-Dienstleister, Wiesbaden 2012, zugl. Dissertation an der Universität Heidelberg 2012.

Niemann, Fabian/Paul, Jörg-Alexander: Praxishandbuch Rechtsfragen des Cloud Computing, Berlin 2014.

Passarge, Malte: Risiken und Chancen mangelhafter Compliance in der Unternehmensinsolvenz, NZI 2009, 86–91.

Repschläger, Jonas/Pannicke, Danny/Zarnekow, Rüdiger: Cloud Computing: Definitionen, Geschäftsmodelle und Entwicklungspotenziale, HMD Praxis der Wirtschaftsinformatik, Volume 47, 2010, 6–15.Crossref

Roßnagel, Alexander: Wolken über dem Rechtsstaat?, Baden-Baden 2015.

Selzer, Annika: Die Kontrollpflicht nach § 11 Abs. 2 Satz 4 BDSG im Zeitalter des Cloud Computing. Alternativen zur Vor-Ort-Kontrolle des Auftragnehmers durch den Auftraggeber, DuD 2013, 215–219.Crossref

Simitis, Spiros: Bundesdatenschutzgesetz, 8. Aufl., Baden-Baden 2014.

Taeger, Jürgen/Gabel, Detlev: Kommentar zum BDSG und den einschlägigen Vorschriften des TMG und TKG, 2. Aufl. 2013, Frankfurt a.M. 2013.

Tsolkas, Alexander/Schmidt, Klaus: Rollen und Berechtigungskonzepte, Wiesbaden 2010.

Wolff, Heinrich Amadeus/Brink, Stefan: Datenschutzrecht in Bund und Ländern, München 2013.

Fußnoten

1

Bieber/Schröder, in: Niemann/Paul, S. 37, 43; Matros, S. 60 f.; Repschläger/Pannicke/Zarnekow, HMD Praxis der Wirtschaftsinformatik, 6, 13; Weiss, in: Hilber, Teil 1 A Rn. 22; siehe http://​www.​heise.​de/​microsites/​das-insider-portal/​cloud/​kostenersparnis-und-mehr-agilitaet-durch-die-cloud/​150/​474/​1645/​ (zuletzt abgerufen am 25.10.2017); ebenso https://​business-services.​heise.​de/​specials/​erfolgsfaktor-digitalisierung/​deutsche-cloud/​beitrag/​lohnt-sich-die-cloud-fuer-ihr-unternehmen-eine-studie-sagt-ein-vergleich-kann-sich-lohnen-2984.​html (zuletzt abgerufen am 25.10.2017).

2

Bieber/Schröder, in: Niemann/Paul, S. 37, 42 f.; Weiss, in: Hilber, Teil 1 A Rn. 22 f.; dazu auch BMWi Monatsbericht 09-2013, S. 1, abrufbar unter: https://​www.​bmwi.​de/​Redaktion/​DE/​Downloads/​Monatsbericht/​Monatsbericht-Themen/​09-2013-cloud-computing.​pdf?​_​_​blob=​publicationFile&​v=​5 (zuletzt abgerufen am 25.10.2017); zu den Vorteilen des Cloud Computing siehe https://​www.​heise.​de/​download/​blog/​Die-Vorteile-und-Nachteile-des-Cloud-Computing-3713041 und http://​www.​wiwo.​de/​technologie/​digitale-welt/​cloud-welche-vorteile-bieten-cloud-dienste/​6288784-2.​html (zuletzt abgerufen am 25.10.2017).

3

Jaikar/Noh, in: Hameurlein et al., S. 2; nach einer Umfrage der Bitkom Research hat sich die Zahl der Unternehmen, die Nutzer von Cloud-Diensten sind, von 28 % (2011) auf 54 % (2015) erhöht: Cloud-Monitor 2016, Charts (S. 5), abrufbar unter https://​www.​bitkom.​org/​Presse/​Anhaenge-an-PIs/​2016/​Mai/​Bitkom-KPMG-Charts-PK-Cloud-Monitor-12-05-2016.​pdf, (zuletzt abgerufen am 17.02.2017); hierzu auch https://​www.​bitkom.​org/​Presse/​Presseinformatio​n/​Erstmals-nutzt-die-Mehrheit-der-Unternehmen-Cloud-Computing.​html. Ferner siehe auch https://​business-services.​heise.​de/​it-management/​cloud-computing/​beitrag/​was-bringt-das-jahr-2016-aktuelle-trends-in-der-entwicklung-von-cloud-computing-services-2760.​html?​tx_​hbs_​pi1%5B%40widget_​0%5D%5BcurrentPage%5D=​2&​cHash=​be745cfd9543441c​f0a7b4ec6b99dbda​ und http://​www.​it-cloud-index.​de/​cloud-vorteile-zunehmend-akzepiert/​ (alle Seiten zuletzt abgerufen am 25.10.2017).

4

Borges, Identitätsnachweis, S. 113; Borges et al., S. 9; Busch, DuD 2009, 317; Hossenfelder, S. 122.

5

Borges, NJW 2005, 3313, 3313; Schwenk, in: Borges, Internet-Auktion, S. 355.

6

Harrell in U.S. Departement of Justice, Victims of Identity Theft, 2014, Sept. 2015 NCJ 248991, abrufbar unter: https://​www.​bjs.​gov/​content/​pub/​pdf/​vit14.​pdf (zuletzt abgerufen am 25.10.2017). Verglichen mit dem Jahr 2008, in dem die Zahl der Opfer auf 11,7 Mio. US-Bürger geschätzt wurde (Pressemeldung U.S. Department of Justice v. 26.12.2010, abrufbar unter: https://​ojp.​gov/​newsroom/​pressreleases/​2010/​BJS11044.​htm (zuletzt abgerufen am 25.10.2017)), bedeutet dies eine Steigerung von über 50 %.

7

Schwenk, in: Borges, Internet-Autkion, S. 359; Zu den Angriffsszenarien im Onlinebanking: Borges, in: Derleder/Knops/Bamberger, Kap. I § 9 Rn. 262 ff.

8

Der Begriff des Identitätsmanagements wird unterschiedlich definiert. Hornung definiert den Begriff im rechtlichen Sinne als nahe an technischen Konzepten liegendes „Identifizierungs-, Attributs- und/oder Berechtigungsmanagement", das dem Nachweis dient, dass eine Person bestimmte Eigenschaften und Berechtigungen inne hat, die durch das technische Konzept in Form von Daten repräsentiert werden, Hornung, in: Roßnagel, Wolken über dem Rechtsstaat?, S. 189, 190 f.; in dieser Untersuchung bezeichnet Identitätsmanagement den zielgerichteten Umgang mit Identitäten und deren Authentifizierung, siehe zur Begriffsbestimmung Kap.​ 3, 2.​2.

9

Vgl. Hornung, in: Roßnagel, Wolken über dem Rechtsstaat?, S. 189, 200; Tsolkas/Schmidt, S. 33 f.; siehe dazu im Einzelnen Kap.​ 2, 1.

10

Passarge, NZI 2009, 86, 86; ders., in: Martinek/Semler/Flohr, § 79 Rn. 88; ähnliche Definitionen bei: Behling, in: Borges/Meents, § 13 Rn. 1; Hennrich, CR 2011, 546, 547; nach anderem Verständnis meint Compliance die Einhaltung gesetzlicher Vorschriften, vgl.: Kramer/Meints, in: Hoeren/Sieber/Holznagel, Teil 16.5 Rn. 6.

11

Siehe dazu Kap.​ 4, 5.​3.

12

Zu den praktischen Problemen der Abwägung des § 9 beim Cloud Computing Hennrich, CR 2011, 546, 551; zur Erfüllung der Kontrollpflicht gem. § 11 Abs. 2 S. 4 BDSG beim Cloud Computing Borges, in: Borges/Meents, § 7 Rn. 67 ff.; Selzer, DuD 2013, 215, 217 ff.

13

Siehe zu diesem Projekt Borges, DuD 2014, 165, 167; ders., Die Datenschutz-Grundverordnung. Potentiale für praxisgerechten Datenschutz, in: Schweighofer/Hötzendorfer/Sorge, S. 67, 69 ff.; Conrad/Strittmatter, in: Auer-Reinsdorff/Conrad, § 22 Rn. 168; siehe auch www.​tcdp.​de (zuletzt abgerufen am 25.10.2017).

14

Das TCDP ist abrufbar unter www.​tcdp.​de (zuletzt abgerufen am 25.10.2017).

15

TCDP – Version 1, S. 4, http://​www.​tcdp.​de/​data/​pdf/​TCDP-1-0.​pdf (zuletzt abgerufen am 25.10.2017); vgl. auch die Präambel der Verfahrensordnung für Zertifizierungen nach TCDP, abrufbar unter http://​www.​tcdp.​de/​data/​pdf/​Verfahrensordnun​g-1-0.​pdf (zuletzt abgerufen am 25.10.2017).

16

Siehe dazu https://​www.​bsi.​bund.​de/​DE/​Themen/​DigitaleGesellsc​haft/​CloudComputing/​Anforderungskata​log/​Anforderungskata​log_​node.​html (zuletzt abgerufen am 25.10.2017).

17

Dazu unten Kap.​ 4, insb. unter 2.​1.​3, 2.​1.​4; Kap.​ 6, 2.​1.​1, 2.​1.​2; Kap.​ 7, 3.​2.

18

Dazu unten Kap.​ 6, 3.​1.​2.

19

Dazu unten Kap.​ 4, 5; Kap.​ 6, 2.​2; Kap.​ 7, 3.​4.

20

Dazu unten Kap.​ 4, 6.​1 – Kreditwirtschaft, 6.​2 – Sozialversicherungsträger; zu Verpflichtungen der öffentlichen Hand, 8 – Öffentliches Recht.

21

Dazu unten. Kap.​ 4, 3 – TMG.

22

Vgl. oben 2.

23

Borges, Heilberufe, S. 68; Ernestus, in Simitis, BDSG, § 9 Rn. 27; Gola/Klug/Körffer, in: Gola/Schomerus, § 9 BDSG Rn. 9; Hartung/Storm, in Hilber, Teil 4 Rn. 114; Karg, in: Wolff/Brink, § 9 BDSG Rn. 82, 84 f., 101; dazu auch: Schultze-Melling, in: Taeger/Gabel, § 9 BDSG Rn. 25, 27, 29 ff.

24

Vgl. Kap.​ 2, 4.

25

Vgl. Kap.​ 5.

26

Vgl. oben 2 und 3.1.

27

Dazu. Kap.​ 6, 2.

28

Dazu Kap.​ 6, 3 und 6, 4.

29

Dazu Kap.​ 6, 5.

30

Dazu Kap.​ 6, 6.​1.

31

Vgl. Kap.​ 6, 6.​2.

32

Siehe Kap.​ 6,