Datenschutz: Einführung in technischen Datenschutz, Datenschutzrecht und angewandte Kryptographie

Vorwort zur 2. Auflage\nVorwort (1. Auflage)\nInhaltsverzeichnis\nAbbildungsverzeichnis\nAbkürzungsverzeichnis\n1 Einführung\n	1.1 Haben wir etwas zu verbergen?\n	1.2 Säulen des Datenschutzes\n	1.3 Themen dieses Buchs und Lernziele\nTeil I Technischer Datenschutz\n	2 Einführung in den Technischen Datenschutz\n		2.1 Schutzziele\n			2.1.1 „Klassische“ IT-Sicherheits-Schutzziele\n				Authentizität\n				Integrität\n				Vertraulichkeit\n				Verfügbarkeit\n				Verbindlichkeit\n			2.1.2 „Neue“ Datenschutz-Schutzziele\n				Transparenz\n				Nicht-Verkettbarkeit\n				Intervenierbarkeit\n		2.2 Begriffsbestimmungen\n			2.2.1 Begriff des Datenschutzes\n			2.2.2 Begriffe zum technischen Datenschutz\n				Identität\n				Anonymität\n				Pseudonymität\n				Unverkettbarkeit\n				Unentdeckbarkeit\n		2.3 Grundlegende kryptographische Verfahren\n			2.3.1 Verschlüsselung\n				Symmetrische Verschlüsselung\n				Asymmetrische Verschlüsselung\n			2.3.2 Digitale Signatur\n			2.3.3 Blinde Signatur\n			2.3.4 Kryptographische Hash-Funktionen\n			2.3.5 Diffie-Hellman-Verfahren\n		2.4 Grundlegende Verfahren aus der IT-Sicherheit\n			2.4.1 Transport Layer Security\n				Verbindungsaufbau\n				Schwachstellen\n			2.4.2 Virtual Private Networks\n		2.5 Fazit\n		2.6 Übungsaufgaben\n		Literatur\n	3 Anonymitätsmaße\n		3.1 Überblick\n			3.1.1 Anonymitäts-Modelle\n				Szenarien\n				Bedrohungen\n				Modelle\n			3.1.2 Quasi-Identifikatoren\n		3.2 k-Anonymität\n			3.2.1 Generalisierung von Daten\n			3.2.2 Angriffe auf k-Anonymität\n				Unsorted-Matching-Angriff\n				Komplementärveröffentlichung\n				Homogenitätsangriff\n				Angriff mit Hintergrundwissen\n			3.2.3 l-Diversität\n		3.3 Differential Privacy\n		3.4 Anonymisierung in der Praxis\n		3.5 Fazit\n		3.6 Übungsaufgaben\n		Literatur\n	4 Anonymität im Internet\n		4.1 Verkehrsflussanalyse\n			4.1.1 Angreiferklassifikation\n				Globaler Angreifer\n				Lokaler Angreifer\n			4.1.2 Beispiel: Ablauf der Ticketbestellung\n			4.1.3 Beispiel: Mögliche Gegenmaßnahme\n		4.2 Mixes\n			4.2.1 Verfahren\n			4.2.2 Analyse\n		4.3 Mix-Kaskaden\n			4.3.1 Verfahren\n			4.3.2 Analyse\n			4.3.3 Antwort-Nachrichten\n				Zustandshaltung auf Mixes\n				Festlegung des Antwortpfads durch Absender\n		4.4 Onion Routing/Tor\n			4.4.1 Grundkonzept von Tor\n			4.4.2 Tor-Zellen\n			4.4.3 Aufbau eines Circuits\n			4.4.4 Leaky Pipe\n			4.4.5 Missbrauch von Tor\n			4.4.6 Hidden Services\n			4.4.7 Angriffe auf Tor\n				Beispiel für einen Angriff\n			4.4.8 Zensurresistenz mit Tor\n		4.5 Fazit\n		4.6 Übungsaufgaben\n		Literatur\n	5 Identitätsmanagement\n		5.1 Überblick\n			5.1.1 Schwerpunkte und Sichtweisen im Identitätsmanagement\n		5.2 OpenID\n			5.2.1 Ablauf der Authentifizierung\n			5.2.2 Analyse\n		5.3 OAuth\n			5.3.1 Verfahren\n			5.3.2 Analyse\n		5.4 OpenID Connect\n		5.5 Geprüfte Identitäten in der Praxis\n		5.6 Fazit\n		5.7 Übungsaufgaben\n		Literatur\n	6 Anonymes Bezahlen\n		6.1 Anforderungen an ein anonymes Bezahlverfahren\n		6.2 Anonymes Bezahlen nach Chaum\n			6.2.1 Verfahren im Überblick\n				Involvierte Parteien\n				Setup-Phase\n				Beziehen von Payment Token\n				Bezahlen mit einem Payment Token\n				Einzahlen eines Payment Tokens\n				Aufdecken eines Betrügers\n			6.2.2 Bewertung\n		6.3 Bitcoin\n			6.3.1 Anonymität von Bitcoin\n		6.4 Anonymisierungskonzepte für Kryptowährungen\n			6.4.1 Mixcoin\n			6.4.2 Monero\n				Grundlegende Konzepte für Monero-Transaktionen\n				RingCT\n		6.5 Anonymes Bezahlen in der Praxis\n			6.5.1 Prepaid-Karten\n		6.6 Fazit\n		6.7 Übungsaufgaben\n		Literatur\n	7 Datenschutz im World Wide Web\n		7.1 Tracking im Web\n			7.1.1 Cookies\n				Datenschutz-Problematik\n				Schutz vor Cookies\n			7.1.2 Tracking-Pixel\n				Google Analytics\n			7.1.3 Device Fingerprinting\n			7.1.4 History Hijacking\n			7.1.5 P3P\n		7.2 Social Plugins\n		7.3 Fazit\n		7.4 Übungsaufgaben\n	8 Instant Messaging\n		8.1 Abgrenzung des Instant Messagings von E-Mail\n			8.1.1 Schutzziele bei der E-Mail-Sicherheit\n			8.1.2 Schutzziele beim Instant Messaging\n				Abstreitbarkeit\n				Perfect Forward Secrecy\n		8.2 Off-the-record Messaging\n			8.2.1 Protokoll\n			8.2.2 Implementierung\n			8.2.3 Angriffe auf OTR Messaging\n			8.2.4 SIGMA-Protokoll\n		8.3 WhatsApp\n			8.3.1 Signal-Protokoll\n				Initialisierung\n				Registrierung\n				Sitzungs-Initialisierung\n				Sitzungs-Entgegennahme\n				Nachrichten-Austausch\n			8.3.2 Medien-Verschlüsselung\n			8.3.3 Sichere Telefonie\n			8.3.4 Schlüssel-Verifikation\n			8.3.5 Datenschutzrechtliche Probleme\n		8.4 Fazit\n		8.5 Übungsaufgaben\n		Literatur\n	9 Elektronische Ausweisdokumente\n		9.1 Elektronischer Reisepass\n			9.1.1 Passive Authentication\n				PKI für elektronische Ausweisdokumente: Signaturen\n			9.1.2 Basic Access Control\n				Angriff auf BAC\n				Schutz gegen Angriffe\n			9.1.3 Extended Access Control\n				Chip Authentication\n				Terminal Authentication\n				PKI für elektronische Ausweisdokumente: Verifikation\n		9.2 Elektronischer Personalausweis\n			9.2.1 PACE\n			9.2.2 Extended Access Control Version 2\n				Terminal Authentication\n				Chip Authentication\n			9.2.3 Restricted Identification\n				Widerruf\n			9.2.4 Weitere Anwendungen\n				Auslesen von Attributen\n				Altersverifikation\n				Ablauf des Online-Einsatzes\n			9.2.5 Exkurs: Elektronische Signaturen\n		9.3 Fazit\n		9.4 Übungsaufgaben\n		Literatur\n	10 Weitere kryptographische Verfahren für PETs\n		10.1 Weitere Signaturverfahren\n			10.1.1 Gruppensignatur\n				Algorithmen\n			10.1.2 Ringsignatur\n		10.2 Secure Multiparty Computation\n			10.2.1 Klassische MPC-Protokolle\n				Yao\'s Millionaires\' Problem\n				Yao\'s Garbled Circuit\n			10.2.2 Anwendungen der Secure Multiparty Computation\n				Private Information Retrieval\n				Oblivious Transfer\n				Private Set Intersection\n		10.3 Zero-Knowledge Proof\n		10.4 Anonyme Berechtigungsnachweise\n			10.4.1 Probleme\n			10.4.2 Verfahren\n		10.5 Fazit\n		10.6 Übungsaufgaben\n		Literatur\nTeil II Datenschutzrecht\n	11 Einführung in das Datenschutzrecht\n	12 Die Rechtsordnung im Allgemeinen\n		12.1 Die Quellen des Rechts – Rechtsquellen\n		12.2 Ähnlichkeiten zwischen der Rechtsordnung und Software\n		12.3 Überblick über die Rechtsordnung\n			12.3.1 Die Bundesebene\n			12.3.2 Die Landesebene\n			12.3.3 Die Ebene der Europäischen Union bzw. des Europäischen Wirtschaftsraums\n			12.3.4 Der Europarat\n			12.3.5 Die allgemeinen Regeln des Völkerrechts\n			12.3.6 Die Hierarchie des Rechts\n	13 Grundlagen des Datenschutzrechts\n		13.1 Entwicklung des Datenschutzes\n			13.1.1 Punktuelle Diskretionsregelungen\n			13.1.2 Allgemeine Datenschutzgesetze\n			13.1.3 Das Volkszählungsurteil des BVerfG\n		13.2 Unterscheidung zwischen öffentlichem und nicht-öffentlichem Bereich\n		13.3 Zweck des Datenschutzes\n		13.4 Wichtige Gesetze\n			13.4.1 Wichtige Rechtsakte auf Ebene der Europäischen Union\n				Die VO (EU) 2018/1725\n				Die Datenschutz-Grundverordnung\n				Die JI-RL\n				Die ePrivacy-RL\n				Die ePrivacy-VO\n				Der Kodex für die elektronische Kommunikation\n			13.4.2 Wichtige Gesetze auf Ebene der Bundesrepublik Deutschland\n				Das Bundesdatenschutzgesetz\n				Sicherheitsbehördengesetze des Bundes\n				Das Bundesmeldegesetz\n				Die Bücher des Sozialgesetzbuchs\n				Telekommunikations-Telemedien-Datenschutz-Gesetz\n			13.4.3 Wichtige Gesetze auf Ebene der deutschen Bundesländer\n		13.5 Wichtige Begriffe des Datenschutzes\n			13.5.1 Personenbezogene Daten\n				Daten\n				Person\n				Personenbezug\n				Betroffene Person, Betroffener\n			13.5.2 Verarbeitung, Verarbeitungsschritte\n				Erhebung\n				Erfassung, Speicherung\n				Offenlegung: Übermittlung, Verbreitung, Bereitstellung\n				Löschung\n			13.5.3 Pseudonymisierung\n			13.5.4 Dateisystem\n			13.5.5 Verantwortlicher\n			13.5.6 Auftragsverarbeiter\n			13.5.7 Dritter\n			13.5.8 Besondere Kategorien personenbezogener Daten\n	14 Welche Daten darf man wofür verarbeiten?\n		14.1 Gilt ein „Verbot mit Erlaubnisvorbehalt“?\n			14.1.1 Das präventive Verbot mit Erlaubnisvorbehalt im Allgemeinen\n			14.1.2 Ein präventives Verbot mit Erlaubnisvorbehalt im Datenschutzrecht?\n		14.2 Rechtsgrundlagen\n			14.2.1 Art. 6 Abs. 1 UAbs. 1 lit b DSGVO – Vertragserfüllung\n			14.2.2 Art. 6 Abs. 1 UAbs. 1 lit c DSGVO – Rechtliche Verpflichtung\n			14.2.3 Art. 6 Abs. 1 UAbs. 1 lit d DSGVO – Lebenswichtige Interessen\n			14.2.4 Art. 6 Abs. 1 UAbs. 1 lit e DSGVO – Öffentliches Interesse, öffentliche Gewalt\n			14.2.5 Art. 6 Abs. 1 UAbs. 1 lit f DSGVO – Berechtigtes Interesse\n			14.2.6 Art. 6 Abs. 1 UAbs. 1 lit a DSGVO – Einwilligung\n				- Hürden abseits des Datenschutzrechts: AGB- und Wettbewerbsrecht\n				- Einwilligungsfähigkeit des Betroffenen\n				- Informiertheit des Einwilligenden\n				- Verständlich und eindeutig erklärte Einwilligung\n				- Freiwilligkeit der Einwilligung\n				- Aktiv erklärte Einwilligung\n				- Separat erklärte Einwilligung\n				- Für den konkreten Einzelfall erklärte Einwilligung\n				- Zumutbar widerrufbare Einwilligung\n				- Einwilligung neben gesetzlicher Rechtsgrundlage?\n		14.3 Allgemeine Voraussetzungen für die Rechtmäßigkeit von Datenverarbeitungen\n			14.3.1 Art. 5 Abs. 1 lit a DSGVO – Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz\n			14.3.2 Art. 5 Abs. 1 lit b DSGVO – Zweckbindung\n			14.3.3 Art. 5 Abs. 1 lit c DSGVO – Datenminimierung\n			14.3.4 Art. 5 Abs. 1 lit d DSGVO – Richtigkeit\n			14.3.5 Art. 5 Abs. 1 lit e DSGVO – Speicherbegrenzung\n			14.3.6 Art. 5 Abs. 1 lit f DSGVO – Integrität und Vertraulichkeit\n			14.3.7 Art. 5 Abs. 2 DSGVO – Rechenschaftspflicht\n		14.4 Dauer der Datenverarbeitung – Löschung\n			14.4.1 Grundsatz: Löschverpflichtung\n				a) Entfallene Notwendigkeit\n				b) Widerruf einer Einwilligung\n				c) Einlegen eines Widerspruchs\n				d) Unrechtmäßige Verarbeitungen\n				e) Löschung aufgrund rechtlicher Verpflichtung\n				f) Art. 8 DSGVO\n			14.4.2 Pflicht zur Nachberichtigung\n			14.4.3 Ausnahmen von der Lösch- und Nachbrichtigungs-verpflichtung\n		14.5 Übermittlungen von Daten in Drittstaaten\n			14.5.1 Angemessenheitsbeschluss der EU-Kommission\n			14.5.2 Geeignete Garantien, Standardvertragsklauseln\n			14.5.3 Verbindliche interne Datenschutzvorschriften\n			14.5.4 Sonstige Drittlandsübermittlungen in Einzelfällen\n		14.6 Die Bedeutung zivilrechtlicher Nutzungsrechte für den Datenschutz\n	15 Rechenschaftspflicht\n		15.1 Verzeichnis der Verarbeitungstätigkeiten\n			15.1.1 Verarbeitungstätigkeiten\n			15.1.2 Enthaltene Angaben\n			15.1.3 Entbehrlichkeit eines Verzeichnisses der Verarbeitungstätigkeiten\n		15.2 Datenschutz-Folgenabschätzung\n			15.2.1 Zweck einer Datenschutz-Folgenabschätzung\n			15.2.2 Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung\n			15.2.3 Ohne Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung\n			15.2.4 Inhalt einer Datenschutz-Folgenabschätzung\n			15.2.5 Ergebnis der Datenschutz-Folgenabschätzung\n		15.3 Datenpannen\n			15.3.1 Was sind Datenpannen?\n			15.3.2 Was tut man mit Datenpannen?\n				Vermeidung\n				Beheben\n				Interne Dokumentation\n				Meldung an die Datenschutz-Aufsichtsbehörde\n				Meldefrist, Meldewege\n				Benachrichtigungspflicht gegenüber Betroffenen\n		15.4 Informationspflichten\n		15.5 Zu schließende Verträge\n			15.5.1 Vereinbarung zur gemeinsamen Verantwortung\n			15.5.2 Auftragsverarbeitungsvertrag\n	16 Technische und organisatorische Maßnahmen – toMs\n	17 Betroffenenrechte\n		17.1 Wichtige Betroffenenrechte\n			17.1.1 Auskunft\n			17.1.2 Berichtigung\n			17.1.3 Löschung\n			17.1.4 Einschränkung der Verarbeitung\n			17.1.5 Nachberichtigung\n			17.1.6 Widerspruch\n				Widerspruch gegen Direktwerbung\n				Widerspruch in den Fällen des Art. 6 Abs. 1 UAbs. 1 lit e oder f DSGVO\n				Widerspruch bei wissenschaftlicher, historischer oder statistischer Datenverarbeitung\n			17.1.7 Datenübertragbarkeit\n			17.1.8 Recht auf Entscheidung durch Menschen\n			17.1.9 Beschwerde bei einer Datenschutz-Aufsichtsbehörde\n		17.2 Allgemeine Anforderungen an die Reaktion des Verantwortlichen\n		17.3 Gesetzliche Beschränkungen von Betroffenenrechten\n	18 Ausgewählte Verarbeitungssituationen\n		18.1 Videoüberwachung\n		18.2 Aufnahme und Veröffentlichung von Fotos\n			18.2.1 Rechtslage vor Wirksamwerden der DSGVO – das KUG\n			18.2.2 Rechtslage seit Wirksamwerden der DSGVO – das KUG?\n			18.2.3 Urheberrecht\n		18.3 Websites und Apps\n			18.3.1 Impressumspflicht\n			18.3.2 Informationspflicht\n			18.3.3 Rechtsgrundlage\n				Im Allgemeinen\n				Zu harmlosen Cookies\n				Zum Tracking\n				Social Media-PlugIns\n		18.4 E-Mail\n		18.5 Elektronische Kalender\n		18.6 Messenger\n		18.7 Cloud Computing, Software as a Service\n	19 Zertifizierung, Akkreditierung\n	20 Der (betriebliche oder behördliche) Datenschutzbeauftragte\n		20.1 Benennpflicht\n			20.1.1 Benennpflicht aus Art. 37 DSGVO\n				Öffentliche Stellen\n				Nichtöffentliche Stellen\n			20.1.2 Benennpflicht aus § 38 BDSG\n				Nach Mitarbeiterzahl\n				Wegen Notwendigkeit einer Datenschutz-Folgenabschätzung\n				Wegen geschäftsmäßiger Datenverarbeitung zwecks Übermittlung, anonymisierter Übermittlung oder Markt- oder Meinungsforschung\n		20.2 Stellung des Datenschutzbeauftragten\n		20.3 Aufgaben\n			20.3.1 Unterrichtung und Beratung – lit a\n			20.3.2 Überwachung – lit b\n			20.3.3 Beratung und Überwachung bei Datenschutz-Folgenabschätzung – lit c\n			20.3.4 Verhältnis zur Aufsichtsbehörde – lit d und e\n	21 Rolle der der Datenschutz-Aufsichtsbehörde\n		21.1 Beratung\n		21.2 Kontrolle und Sanktion\n		21.3 Zertifizierung, Akkreditierung\n		21.4 Informationsquellen\n	22 Zusammenfassung und Ausblick\nStichwortverzeichnis