Recht und Technik 2022

Call for Papers: Recht und Technik, Datenschutz im Diskurs

  • im Rahmen der GI-Jahrestagung
  • 26.9. nachmittags, geplant vor Ort in Hamburg

Dieser Workshop, der zum neunten Mal stattfindet, bringt Informatiker und Juristen zusammen, die an Fragestellungen des technikbasierten Datenschutzes arbeiten. Es werden Themen adressiert, die anwendungsorientiertes Potential für interdisziplinären Diskurs und Zusammenarbeit bieten und die Möglichkeiten aufzeigen, wie Datenschutz durch Technik präzisiert und umgesetzt werden kann.

Der Workshop setzt an den theoretischen und praktischen Aspekten des Schutzes von Daten und Privatheit und der EU-Datenschutzgrundverordnung an. Besondere Herausforderungen sehen wir in Fragen zu

  • Modellierungen datenschutzkonformer Technikgestaltung
  • Entwicklungen im Privacy by Design und Privacy by Default
  • Risiken durch und Lösungsansätze mithilfe von Methoden der künstlichen Intelligenz (Machine Learning, Big Data)
  • Privacy-Risikoanalysen
  • Deepfakes
  • Dark Patterns
  • Datenschutzgerechte Nutzung von Mobilitätsdaten, z.B. im öffentlichen Nahverkehr

Einreichung

Gesucht sind Beiträge aus Wissenschaft und Praxis mit Bezug zum Thema des Workshops.

Seitenumfang 12 Seiten = max. 44.000 Zeichen incl. Leerzeichen
Beiträge in Deutsch oder Englisch
Publikation im Tagungsband der Informatik 2022, in der Serie Lecture Notes in Informatics

Einreichung unter https://easychair.org/conferences/?conf=rut2022

 

Termine

  • Verlängerte Deadline 14.5.2022 Einreichung
  • 10.6.2022 Benachrichtigung über Review-Ergebnisse
  • 24.6.2022 Abgabe der überarbeiteten Beiträge
  • 26.9.2022 Workshop, geplant vor Ort in Hamburg

Programmkomitee

  • Matthias Bäcker, Universität Mainz
  • Franziska Boehm, KIT Karlsruhe
  • Jens-Matthias Bohli, Hochschule Mannheim
  • Katharina Bräunlich, Diez
  • Matthias Enzmann, Fraunhofer SIT, Darmstadt
  • Christian Geminn, Universität Kassel.
  • Nils Gruschka, Universität Oslo
  • Christoph Gusy, Universität Bielefeld
  • Marit Hansen, ULD Schleswig-Holstein
  • Niko Härting, Rechtsanwalt, Berlin
  • Walter Hötzendorfer, Research Institute Digital Human Rights Center, Wien
  • Thomas Kahler, DPOblog.eu
  • Dr. Thomas Kehr, Kanzlei MMV - Martini, Mogg, Vogt PartGmbB
  • Thomas Lapp, Rechtsanwalt und Mediator, Fachanwalt f. IT-Recht, IT-Kanzlei dr-lapp.de GbR
  • Kai von Lewinski, Uni-Passau
  • Ronald Petrlic, TH Nürnberg
  • Hannah Ruschemeier, CAIS - Center for Advanced Internet Studies, Bochum
  • Alexander Roßnagel, Universität Kassel, LfDI Hessen
  • Burkhard Schafer, Universität Edinburgh
  • Tobias Singelnstein, Ruhr-Universität Bochum
  • Juergen Taeger, Universität Oldenburg
  • Frederike Zufall, Max-Planck-Institut zur Erforschung von Gemeinschaftsgütern, Bonn

Kontaktdaten der Organisatoren des Workshops:

Rüdiger Grimm, Fraunhofer SIT Darmstadt und Universität Koblenz-Landau grimm(at)uni-koblenz.de

Gerrit Hornung, Universität Kassel  gerrit.hornung(at)uni-kassel.de

Christoph Sorge, Universität des Saarlandes christoph.sorge(at)uni-saarland.de

Indra Spiecker genannt Döhmann, Goethe-Universität Frankfurt am Main spiecker(at)jur.uni-frankfurt.de

RuT2022 Programm

1. Session (10:30-11:00, 1 Vortrag; und 11:30-13:00, 3 Vorträge):
Datensicherheit, Datenschutz, Modell und Anwendung

  1. Nicolas Boltz, Leonie Sterz, Christopher Gerking and Oliver Raabe:
    A Model-Based Collaboration Framework for Continuous Data Protection Assessments of Software Systems

  2. Berna Orak, Erik Krempel and Arno Appenzeller:
    Datenschutzkonforme Weitergabe von Versichertendaten aus dem Forschungsdatenzentrum

  3. Marc Widemann:
    Bereitstellung von Mobilitätsdaten – Ein Problem des Datenschutzes?

  4. Sandra Wittmer and Florian Platzer:
    Zulässigkeit von Open Source-Ermittlungen zur Strafverfolgung im Darknet

Mittagspause (13:00-14:30)

2. Session (14:30-16:00, 3 Vorträge):
E-Mail, Sicherheit und Datenschutz

  1. Thomas Kunz and Ulrich Waldmann :
    ML-basierte Klassifizierung von E-Mails für die datenschutzkonforme Löschung und Archivierung

  2. Dirk Müllmann, Maxime Veit and Melanie Volkamer:
    Technische und Rechtliche Auseinandersetzung mit Weiterleitungs-URLs in E-Mails aus Security Gründen

  3. Tim Wambach:
    Sicherheits- und Datenschutzanalyse von E-Mail-Servern aus dem Gesundheitswesen

Kaffeepause (16:00-16:30)

3. Session (16:30-18:00, 3 Vorträge): Online-Verfahren, Chancen und Risiken

  1. Konstantin Knorr and David Müller:
    Automatisierte Überprüfung von Webauftritten auf Fremdinhalte

  2. Inna Vogel, Tahireh Setz, Jeong-Eun Choi and Martin Steinebach:
    Natural Language Processing (NLP) und der Datenschutz – Chancen und Risiken für den Schutz der Privatheit

  3. Simone Salemi and Bianca Steffes:
    Deepfakes im VideoIdent-Verfahren: (fehlende) Straf- und zivilrechtliche Konsequenzen für Täter

RuT2022 Titel, Autoren, Keywords, Abstracts

--- Session 1 (10:30-11:00 und 11:30-13:00) ---

  • Nicolas Boltz, Leonie Sterz, Christopher Gerking and Oliver Raabe:

    A Model-Based Collaboration Framework for Continuous Data Protection Assessments of Software Systems

Herkunft: KIT Karlsruhe

Fach: Informatik (Boltz, Gerking) und Recht (Sterz, Raabe)

Keywords: data protection by design; data protection impact assessments; GDPR; software architecture; metamodel; design time

Abstract: The protection of personal data has become an increasingly important issue. Legal norms focused on data protection, such as the GDPR, provide legally binding requirements for systems that process personal data. Article 35 of the GDPR refers to data protection impact assessments and the obligation to conduct them before the actual processing of data. This ties in with Article 25 of the GDPR, which refers to the obligation to data protection by design.

To aid in conducting continuous data protection assessments during the design time of software systems, we propose a model-based collaboration framework. This framework not only aids in providing consistent views of the software system for legal experts and software architects but also eliminates the need for direct communication between both parties. We discuss the overall goals and benefits of such a framework and go into detail about the processes that interplay as part of the framework. We also try to align legal concepts with the processes and describe the continuous iterative development using the collaboration framework.

  • Berna Orak, Erik Krempel and Arno Appenzeller:

    Datenschutzkonforme Weitergabe von Versichertendaten aus dem Forschungsdaten­zentrum

Herkunft: Uni Frankfurt (Orak), Fraunhofer IOSB (Krempel), KIT Karlsruhe (Appenzeller)

Fach: Recht (Orak) und Informatik (Appenzeller, Krempel)

Keywords: Medizinische Daten zu Forschungszwecken, Datenschutz

Abstract: Die Nachfrage nach der breiten Verfügbarkeit von medizinischen Daten zu Forschungs­zwecken nimmt stetig zu. Die enormen Datenmengen bieten vor allem für Big Data Verfahren ein großes Potential. In der Gesetzgebung soll dieser Bedarf durch ein Forschungsdatenzentrum, das im Digitale-Versorgung-Gesetz (DVG) geregelt wird, erfüllt werden. Hierbei stellt sich allerdings eine Reihe von Fragen bezüglich des Datenschutzes. So sollen die Daten zwar in pseudonymisierter oder anonymisierter Form vorliegen, allerdings kann nach wie vor ein Re- Identifizierungsrisiko bestehen. Diese Ausarbeitung analysierte die bestehende Gesetzeslage und zieht Vergleiche zu Internationalen Regelungen bezüglich eines Forschungsdatenzentrums. Auf Basis dieser Analyse wird eine Erweiterung des Forschungsdatenzentrums skizziert, das mithilfe von Privatsphäre-wahrenden Technologieneine datenschutzkonforme Weitergabe von Versichertendaten ermöglichen kann.

  • Marc Widemann:

    Bereitstellung von Mobilitätsdaten – Ein Problem des Datenschutzes?

Betrachtung der Datenbereitstellungspflicht des Personenbeförderungsgesetzes aus der Perspektive von Open Data und dem Schutz personenbezogener Daten

Herkunft: „RA Marc Widmannn“, Rechtsanwälte BBG und Partner mbB, Bremen

Fach: Recht

Keywords: Mobilitätsdaten, Datenschutz, Anonymisierung, Personenbezug

Abstract: An die Nutzung von Mobilitätsdaten sind vielfältige Hoffnungen zur Erreichung der Verkehrswende und für einen Beitrag gegen den Klimawandel geknüpft. Doch obwohl eine Vielzahl von Daten und Informationen ohnehin öffentlich bekannt gemacht werden muss, ist der Zugang zu Mobilitätsdaten an vielen Stellen noch herausfordernd. Neue Verkehrsformen und weitere Möglichkeiten zur Erhebung und Bereitstellung von Mobilitätsdaten erfordern in zunehmendem Maße, auch den Schutz personenbezogener Daten im Blick zu behalten. Wie ein Umgang mit Mobilitätsdaten aussehen kann, der gleichermaßen die Nutzbarkeit der Daten und den Schutz personenbezogener Daten sicherstellt, soll im folgenden Beitrag in Abgrenzung zu den Regelungen im Personenbeförderungsgesetz dargestellt werden.

  • Sandra Wittmer and Florian Platzer:

    Zulässigkeit von Open Source-Ermittlungen zur Strafverfolgung im Darknet

Herkunft: Fraunhofer SIT Darmstadt

Fach: Recht (Wittmer) und Informatik (Platzer)

Keywords: Open Source Intelligence, Strafverfolung, Cybercrime, Darknet

Abstract: Die Möglichkeiten für Cyberkriminelle, Straftaten im Internet anonym zu begehen, haben mit der Entwicklung von Darknet-Technologien erheblich zugenommen. Zur Aufklärung dieser Straftaten kommt aus technischer Perspektive die Nutzung von Open Source Intelligence (OSINT) in Betracht. Diese Methode bezeichnet einen Vorgang, bei dem Daten aus frei verfügbaren Quellen gesammelt werden, um durch deren Auswertung und Analyse an übergeordnete Erkenntnisse zu gelangen. Der folgende Beitrag thematisiert die Nutzung von OSINT zur Strafverfolgung im Darknet und wirft die Frage auf, was nach dem aktuellen Stand der Technik möglich und was auf Grundlage der geltenden strafprozessualen Vorgaben rechtlich zulässig ist. Die Verfasser*innen kommen zu dem Ergebnis, dass ein legislatives „Update“ der StPO unvermeidbar sein wird, wenn die rechtlichen Vorgaben mit den technischen Möglichkeiten Schritt halten sollen.

--- Session 2 (14:30-16:00) ---

  • Thomas Kunz and Ulrich Waldmann:

    ML-basierte Klassifizierung von E-Mails für die datenschutzkonforme Löschung und Archivierung

Herkunft: Fraunhofer SIT Darmstadt

Fach: Informatik

Keywords: DSGVO; Löschpflicht; Aufbewahrungsfrist; E-Mail; Machine Learning; Klassifikation; AdaBoost; Naive Bayes; Random Forest

Abstract: E-Mails enthalten in der Regel personenbezogene Daten, die den datenschutzrechtlichen Löschvorgaben unterliegen. Eine angemessene Umsetzung der Löschvorgaben stellt jedoch die verantwortlichen Unternehmen vor eine große Herausforderung, zumal nach Erfüllung des Verarbeitungszwecks oftmals unterschiedliche (spezial-)rechtliche Aufbewahrungspflichten einer sofortigen Löschung entgegenstehen. Für die Einhaltung von Lösch- und Aufbewahrungspflichten ist es zunächst erforderlich, E-Mails, die diesen Verpflichtungen unterliegen (z. B. Rechnungen) zu identifizieren. Dieser Beitrag untersucht, inwieweit E-Mails mithilfe von maschinellem Lernen (ML) klassifiziert werden können. Für auf diese Weise klassifizierte E-Mails kann im nächsten Schritt entschieden werden, ob sie gemäß den Anforderungen der Datenschutz-Grundverordnung (DSGVO) gelöscht oder gemäß gesetzlicher Aufbewahrungsfristen länger aufbewahrt und archiviert werden müssen. Der Beitrag beschreibt zudem die Entwicklung eines Proof-of-Concept in Form eines Add-ons für Microsoft Outlook, das Nutzern erlaubt, die in ihren Postfächern enthaltenen E-Mails zu klassifizieren.

  • Dirk Müllmann, Maxime Veit and Melanie Volkamer:

    Technische und Rechtliche Auseinandersetzung mit Weiterleitungs-URLs in E-Mails aus Security Gründen

Herkunft: Uni Frankfurt (Müllmann), KIT Karlsruhe, Secuso (Volkamer, Veit)

Fach: Informatik (Volkamer, Veit) und Recht (Müllmann)

Keywords: E-Mail, Link, Weiterleitungs-URL

Abstract: Häufig sind in E-Mails Links eingebunden, um Empfänger*innen einfach auf Webseiten oder Webseiteninhalte hinweisen zu können. Dazu wird hinter einen Link die entsprechende URL (auch Webadresse genannt) hinterlegt. Zunehmend ist zu beobachten, dass es sich bei der hinterlegten URL jedoch nicht die sog. Ziel-URL, d.h. die eigentliche Adresse der Webseite, handelt, sondern eine sog. Weiterleitungs-URL hinterlegt wurde. Anders als die Ziel-URL, leitet die Weiterleitungs-URL zunächst auf eine andere URL weiter. Sie tritt in zwei unterschiedliche Formen auf, die auch kombiniert werden können: Einerseits Weiterleitungs-URLs, die der Mailserver der Empfänger aus Security Gründen integriert, und anderseits solche, die der Absender aus Marketinggründen integriert. Ziel dieses Aufsatzes ist es, die Gruppe der Weiterleitungs-URLs aus Security Gründen aus technischer und rechtlicher Sicht zu untersuchen und Empfehlungen für ihren Einsatz abzuleiten.

  • Tim Wambach:

    Sicherheits- und Datenschutzanalyse von E-Mail-Servern aus dem Gesundheitswesen

Herkunft: Hochschule für Polizei NRW

Fach: Informatik

Keywords: Studie über die Einhaltung der Vorschrift, Gesundheitsdaten auf dem Übertragungsweg im Internet zu verschlüsseln

Abstract: Mit einer Orientierungshilfe formulierten 2021 die unabhängigen Datenschutzbehörden des Bundes und der Länder Mindestanforderungen für den technischen Schutz der Übermittlung personenbezogener Daten durch die E-Mail-Infrastruktur. Dabei wird, je nach Risiko, eine wirksame Verschlüsselung der Daten auf dem Übertragungsweg gefordert. Die hier vorgestellte Studie zeigt, dass nur 7 von 822 überprüften Mailserver die Anforderungen für normales Risiko der Orientierungshilfe erfüllen. Die Arbeit soll verdeutlichen, an welchen Stellen die derzeitige Praxis hinter den Erwartungen der Datenschützer bleibt.

--- Session 3 (16:30-18:00) ---

  • Konstantin Knorr and David Müller:

    Automatisierte Überprüfung von Webauftritten auf Fremdinhalte

Herkunft: Hochschule Trier

Fach: Informatik

Keywords: Browser Automation, Datenschutzerklärung, HTTP, Python, Scrapy, Selenium, Web

Abstract: Die öffentlichen Webauftritte von Unternehmen und Behörden sind heute oft sehr umfangreich und entwickeln sich dynamisch weiter. In der dazugehörigen Datenschutzerklärung sollte der potentielle Besucher laut Artikel 13 der DS-GVO u.a. über die Einbindung externer Inhalte wie Fonts, Videos oder Werbung sowie über die dahinterstehenden Parteien informiert werden. Meist geschieht dies in Form einer einzigen Datenschutzerklärung für den gesamten Webauftritt. Insbesondere bei rasch wachsenden und sich dynamisch verändernden Webaufritten ist es schwierig, die Datenschutzerklärung aktuell zu halten. Es kommt leicht zu einer Über- oder Unterdeckung bei der Angabe der externen Parteien. Schlimmstenfalls drohen Bußgelder oder Abmahnungen bspw. durch Konkurrenten. Das Papier beschreibt ein Tool, das automatisiert in einer Tiefensuche die externen Verbindungen eines Webauftritts identifiziert und mit der Datenschutzerklärung abgleicht. Der ca. 32.000 Seiten umfassende Webauftritt einer Hochschule wurde mit dem Tool getestet. Die Ergebnisse des Tests werden beschrieben und diskutiert. Ferner werden Empfehlungen für das Vorgehen zur Beseitigung von Abweichungen gegeben. Die Autoren hoffen, damit den für die Datenschutzerklärung Verantwortlichen und Datenschutzbeauftragten eine Hilfestellung für die Erstellung und Pflege der Datenschutzerklärung ihres Webauftritts bieten zu können.

  • Inna Vogel, Tahireh Setz, Jeong-Eun Choi and Martin Steinebach:

    Natural Language Processing (NLP) und der Datenschutz - Chancen und Risiken für den Schutz der Privatheit

Herkunft: Fraunhofer SIT Darmstadt

Fach: Informatik

Keywords: Textverarbeitung, Natural Language Processing (NLP), Datenschutz, Privatheit, Maschinelles Lernen.

Abstract: Maschinelle Lernverfahren können sowohl Chancen als auch Risiken für die Privatheit von Daten bedeuten. Zum einen können durch Techniken des Natural Language Processings personenbezogener Daten anonymisiert werden und zum anderen können maschinelle Lernmodelle selbst hinsichtlich der Identifizierbarkeit der darin enthaltenen Daten zum Risiko für die Anonymität werden. In dieser Arbeit werden beide Aspekte, auch im Kontext von Angriffen auf die KI, diskutiert und Lösungsansätze besprochen. Weiterhin geht es um die rechtlichen Regulierungen zum Schutz von Privatheit und Angriffen auf die KI. Dabei steht der Grundsatz des Datenschutzes der Minimierung des Qualitätsverlusts der Daten gegenüber - ein dilemmatisches Verhältnis.

  • Simone Salemi and Bianca Steffes:

    Deepfakes im VideoIdent-Verfahren: (fehlende) Straf- und zivilrechtliche Konsequenzen für Täter

Herkunft: Saarbrücken: Zentrum für Recht und Digitalisierung (Salemi) bzw. Uni des Saarlands (Steffes)

Fach: Recht (Salemi) und Informatik (Steffes)

Keywords: Deepfakes; Authentifizierung; VideoIdent

Abstract: Der Einsatz des sogenannten VideoIdent-Verfahrens zur Authentifzierung im Videochat erfreut sich wachsender Beliebtheit bei Banken und Versicherungen. Nach erfolgter Legitimation wird der Zugang zu neu eröffneten Bankkonten freigeschaltet. Gleichzeitig führen Fortschritte im Bereich des Deep Learnings dazu, dass Manipulationen von Videos mittels sogenannter Deepfakes kaum mehr erkennbar sind. Dieser Beitrag widmet sich der Frage, ob Deepfakes eine reale Gefahr für die Sicherheit des VideoIdent-Verfahrens darstellen und wie der Einsatz rechtlich zu bewerten ist.