IT - Law

Question 1

Nennen Sie wesentliche Ausprägungen des IT-Rechts und erläutern Sie, weshalb Sie als Wirtschaftsinformatiker/innen über spezifisches rechtliches Grundwissen verfügen sollten. (4 Punkte)

Answer 1

Ausprägungen des IT-Rechts
● Produkt- /Kauf-/ Arbeitsrecht, Schutz geistigen Eigentums, Datenschutz, Verbraucherschutz
● IT-Sicherheit, Aufsichtsrecht, Vorgaben zur professionellen IT-Arbeit
Grundwissen für Wirtschaftsinformatiker*innen
● Datenschutz ist wichtig für alle Unternehmen und gilt auch für alle Unternehmen
● es gibt hohe Strafzahlungen bei Missachtung

Question 2

Nennen Sie die wesentliche für Ihre Arbeit relevante Rechtsnormen aus dem deutschen und EU-Recht (2 Punkte)

Answer 2

Rechtsnormen aus dem deutschen Recht:
● Bundesdatenschutzgesetz, IT-Sicherheitsgesetz des BSI
Rechtsnormen aus dem EU-Recht:
● DSGVO, E-Privacy-Verordnung

Question 3

Erläutern Sie anhand eines Beispiels den Begriff „soft law“. (2 Punkte)

Answer 3

Einkünfte, Leitlinien oder Absichtserklärungen, die nicht rechtlich verbindlich sind. (“weiches Recht”)
Vor allem im internationalen Bereich vorhanden.
Bsp: Generalversammlung der Vereinten Nationen → Resolutionen sind Soft Law

Question 4

Erläutern Sie anhand eines Beispiels den Begriff „third party risk“ (1 Punkt)

Answer 4

Unternehmen/Organisation, das eine Produkt oder Dienstleistung für ein betrachtetes Unternehmen (in dessen Namen) bereitstellt
Ein Unternehmen verwendet im IT-Bereich einen externen Dienstleister → das Risiko, das sich aus diesem Abhängigkeitsverhältnis ergibt → Zugriff auf personenbezogene Daten

Question 5

Nennen und erläutern Sie die vier gängigen IT-Schutzziele (3 Punkte)

Answer 5

Integrität → es darf nicht möglich sein, Daten unerkannt bzw. unbemerkt zu ändern
● Verfügbarkeit → Zeit, in der das System funktioniert → 24/7 am besten
● Vertraulichkeit → Veränderung nur durch befugte Personen
● Authentizität → Eindeutigkeit des Objekts/Subjekts

Question 6

Nennen Sie je ein Beispiel für die unbefugte Nutzung bzw. Entwendung personenbezogener Daten und erläutern Sie gegen welche datenschutzrechtlichen Bestimmungen dies verstößt. (4 Punkte)

Answer 6

Nutzung: Zweckentfremdung von Datensätzen
Entwendung: Überlassung eines dritten zu unzulässigen Zwecks
➔ Verstoß gegen Datengeheimnis

Question 7

Erläutern Sie, inwiefern der Datenschutz sowohl im Grundgesetz als auch in der EU-Grundrechtecharta enthalten ist. (2 Punkte)

Answer 7

Grundrecht: Grundrecht auf informationelle Selbstbestimmung, Fernmeldegeheimnis, Grundrecht auf Vertraulichkeit und Integrität informationstechnischer Systeme
EU-Grundrechtecharta: Schutz des Privatlebens, Schutz personenbezogener Daten,

Question 8

Nennen Sie jeweils ein Beispiel für eine EU-Verordnung, eine EU-Richtlinie sowie eine EU-Entscheidung und erläutern Sie die Unterschiede zwischen den drei Rechtsinstrumenten. (4 Punkte)

Answer 8

EU-Verordnung: allgemein gültig → verbindlich und unmittelbar
BSP.: einheitliche Regeln über die Einfuhr von Waren/Gütern in die EU
EU-Richtlinie: gilt nicht unmittelbar, muss von Staat zu Staat umgesetzt werden
BSP: Verbraucherschutz innerhalb der EU, z.B. Dauer des Widerrufsrechts bei Kaufverträgen
EU-Entscheidung: heute “Beschluss”. Beziehen sich meist auf Einzelfallentscheidungen und haben einen Adressaten → Gelten dann aber unmittelbar und verbindlich!
BSP: Wettbewerbsrecht, wenn eine Fusion zweier Unternehmen genehmigt oder abgelehnt wird.

Question 9

Nennen Sie wesentliche Inhalte des Bundesdatenschutzgesetzes. (2 Punkte)

Answer 9

Nennen Sie wesentliche Inhalte des Bundesdatenschutzgesetzes. (2 Punkte)

Question 10

Erläutern Sie weshalb das Bundesdatenschutzgesetz auch nach Einführung der Datenschutzgrundverordnung weiterhin relevante Rechtsnormen enthält (2 Punkte)

Answer 10

DSGV wird in Teil 2 des BDSG ergänzt. Teil 2 setzt die Öffnungsklauseln der DSGV um.

Question 11

Erläutern Sie, wie hoch mögliche Straftzahlungen nach der Datenschutzgrundverordnung ausfallen können und nennen Sie ein Beispiel für tatsächlich verhängte Strafen. (3 Punkte)

Answer 11

bei geringeren Verstößen Bußgelder i.H.v. von 10 Mio. € oder 2 Prozent des Jahresumsatzes
• bei schwerwiegenden Verstößen Bußgelder i.H.v. von 20 Mio. € oder 4 Prozent des Jahresumsatze
• Bsp: ● Krankenhaus in Lissabon (400.000€ Strafzahlung): In einem Krankenhaus in Lissabon hatten laut der portugiesischen Datenschutzbehörde zu viele Personen Zugriff auf sensible Daten.

Question 12

Erläutern Sie die Rechte von Einzelpersonen zum Schutz Ihrer personenbezogenen Daten nach der Datenschutzgrundverordnung. (4 Punkte)

Answer 12

Recht auf Löschung / Berichtigung / Auskunft, Einwilligung, Widerspruchsrecht, Informationspflicht bei Datenerhebung

Question 13

Erläutern Sie die Strafvorschriften und Klagemöglichkeiten gemäß Datenschutzgrundverordnung und Bundesdatenschutzgesetz (4 Punkte)

Answer 13

GF haftet persönlich für Nicht-Beachtung datenschutzrechtlichen Vorschriften
• Bis zu 20 Mio Euro oder 4 % des JaUm
• Ein Betroffener hat nach §12 bis §23 DSGVO verschiedene Rechte, die im Falle eines Verstoßes nach §77 DSGVO bei einer Aufsichtsbehörde (beispielsweise der Datenschutzbeauftragte eines Bundeslandes) angezeigt werden können
• Ein Betroffener hat nach §82 DSGVO bei Verstoß grundsätzlich ein Recht auf Schadensersatz

Question 14

Nennen und erläutern Sie häufige Rechtsverstöße von Unternehmen gegen die Datenschutzgrundverordnung. (3 Punkte)

Answer 14

Missachtung von Löschfristen ehemaliger Geschäftspartner: Kunde hat noch Daten nach der Beendigung des Geschäftsverhältnisses
● Missachtung des Rechts auf Auskunft: Keine Reaktion auf Kundenanfrage
● Benennung eines Datenschutzbeauftragten: Nach starkem Wachstum, kein Datenschutzbeauftragten beauftragt
● Beispiel: Buchbinder

Question 15

Erläutern Sie, welche Angaben die Datenschutzerklärung auf der Internetseite eines Unternehmens enthalten muss. (3 Punkte)

Answer 15

Auskunfts- und Widerspruchsrechten; Kontakt- und Datenlöschungsmöglichkeiten, Verwendung von Cookies
● Kontaktdaten des Datenschutzbeauftragten, Angaben zu Server-Log-Dateien
● Möglichkeit die Cookie-Einstellungen anzupassen

Question 16

Nennen Sie die Angaben die ein Unternehmen im Impressum auf seiner Internetseite angeben muss und geben Sie an, in welcher Rechtsnorm die Impressumspflichten in Deutschland geregelt sind. (3 Punkte)

Answer 16

Impressum beinhaltet Angaben zu:
● Firmenname, Anschrift, Kontaktdaten, insbesondere Mailadresse, Telefonnummer, Website. Handelsregister, Geschäftsführer, Gesellschaftssitz, Umsatzsteuer-ID, Verantwortlicher, Haftungsausschluss, Verweis auf Datenschutzerklärung
Rechtlicher Hintergrund:
● Gefordert nach § 5 des Telemediengesetzes (TMG)
● Gilt auch für noch nicht vollständig betriebene Webseiten
● Nicht nur für Unternehmen, sondern bereits bei wirtschaftlichen Interessen

Question 17

Nennen Sie wesentliche Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik gegenüber Unternehmen. (3 Punkte)

Answer 17

Sammlung und Auswertung von Sicherheitslücken
● Auswertung von Protokolldaten sowie Daten
● Veröffentlichung von Warnungen zum Thema IT-Sicherheit
● Kontrolle von Betreibern Kritischer Infrastruktur

Question 18

Nennen Sie die Wirtschaftssektoren, in denen laut dem geltenden BSI-Gesetz kritische Infrastrukturen bestehen können. (3 Punkte)

Answer 18

Energie, Wasser, Ernährung, IT, Gesundheit, Verkehr, Finanzen

Question 19

Beschreiben Sie welche Anforderungen das BSI-Gesetz an die Betreiber kritischer Infrastrukturen stellt. (3 Punkte)

Answer 19

Informationssicherheitsmanagementsystem (ISMS)
● Risikoanalyse
● Personelle und organisatorische Sicherheit
● Bauliche / physische Sicherheit
● Überprüfung im laufenden Betrieb
● Externen Informationsversorgung

Question 20

Erläutern Sie anhand eines Beispiels, wie in der BSI-Kritisverordnung anhand von Schwellenwerten die Betreiber von kritischen Infrastrukturen festgelegt werden. (3 Punkte)

Answer 20

Krankenhäuser sind KRITIS ab vollstationären Fällen >30.000 p.a.

Question 21

Erläutern Sie welche Anforderungen des BSI-Gesetz an die Anbieter digitaler Dienste stellt und wie digitale Dienste definiert sind. (3 Punkte)

Answer 21

Definition: digitale Dienste
● ermöglichen, Kaufverträge oder Dienstleistungsverträge→ Online-Marktplätze
● Suche auf allen zum Thema in Form eines Stichworts → Online Suchmaschinen
● Nutzung von Cloud Computing-Dienste
Anforderungen: Anbieter digitaler Dienste
● technische und organisatorische Maßnahmen treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, zu bewältigen
● Anbieter digitaler Dienste haben jeden Sicherheitsvorfall zu melden

Question 22

Erläutern Sie, wie das Bundesamt für Sicherheit in der Informationstechnik Unternehmen beim Umgang mit IT-Risiken unterstützen kann. (2 Punkte)

Answer 22

Mobile Response Teams zu nennen und die von BSI ausgearbeiteten Standards nützlich

Question 23

Erläutern Sie anhand eines Beispiels, inwiefern das EU-Beihilferecht die Möglichkeiten begrenzt, mit denen staatliche Hilfsgelder zur Förderung einzelner Unternehmen eingesetzt werden können. (3 Punkte)

Answer 23

Beispiel: Tesla Werk → Förderung der Batterieproduktion in der EU
● Begrenzungen
○ Beihilfen sind grundsätzlich anzeige-/genehmigungspflichtig
○ 200 TEUR Grenze für die Prüfung durch die EU-Kommission
○ Ausnahme Fördermöglichkeiten bei benachteiligten Regionen oder der allgemeinen Förderung neuer Technologien

Question 24

24. Erläutern Sie die wesentlichen Unterschiede zwischen einem Dienstvertrag und einem Werkvertrag beim Fremdbezug von IT-Dienstleistungen. (4 Punkte)

Answer 24

Dienstvertrag: Lieferung von Input (für genau die Zeit die ich abgemacht habe)
Werksvertrag: Lieferung des Ergebnisses (egal wie lange ich brauche)

Question 25

Erläutern Sie, welche Vorgehensweise Sie in Ihrem Unternehmen wählen würden um die IT-Sicherheit bei Nutzung der Dienstleistungen eines Cloud-Service-Providers vor Eingang einer Geschäftsbeziehung angemessen zu prüfen und sicherzustellen. (4 Punkte) (Ergänzungen und weitere Ausführungen zur Antwort notwendig)

Answer 25

Solidität, BSI-Vorgaben als Grundlage, 5C-Standard, Bekannte IT-Sicherheitsvorfälle
● Nachfrage ob Cloud-Provider bereits gemäß BSI-Vorgaben Meldungen leisten musste
● Beschreibung des Cloud-Service Provider welche sicherheitstechnischen Maßnahmen getroffen werden

Question 26

Zu welchen vertraglichen Regelungen würden Sie greifen, wenn Sie externe Dienstleistungen für ein komplexes, mehrjähriges IT-Projekt in Anspruch nehmen würden? Was würden Sie bei der Auswahl der Vertragspartner besonders beachten? (4 Punkte)

Answer 26

Non-Disclosure-Agreementals Grundlage
● besondere vertragliche Regelungen
● Berater unterschreibt Vertraulichkeitserklärungen und sorgt für Datenschutz
● Wettbewerbsklauseln (diese sind bei eigenen Arbeitnehmern häufiger)
● Vertraulichkeitsklauseln
● Erhöhung der Planungssicherheit (bei Großprojekte)

Question 27

Erläutern Sie, welche Neuregelungen die Bundesregierung mit dem „GWBDigitalisierungsgesetz“ hinsichtlich wettbewerbsrechtlicher Vorgaben für IT-/internetbasierte Geschäftsmodelle vorschlägt. Bewerten Sie den Nutzen dieser Vorgaben für die Produktnutzer und Wettbewerber der regulierten Unternehmen. (4 Punkte)

Answer 27

● besserer Zugang von Facebook-Nutzer zu den gesammelten Daten
● Verbot der Ungleichbehandlung
● schneller einstweilige Maßnahmen zum Schutz von Konkurrenten ergreifen

Question 28

**28. Fassen Sie zusammen, welche wesentliche Neuerungen der aktuell diskutierte Entwurf zum IT-‘Sicherheitsgesetz 2.0 vom Mai 2020 enthält. (3 Punkte)

Answer 28

BSI erhält Verbraucherschutz Aufgaben → IT-Sicherheitskennzeichen
• BSI kann Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegen
• stärkere Zusammenarbeit des BSI mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz
• BSI plant 600 Planstellen für Ausbau der personellen Ressourcen
• Zusätzliche Pflichten für KRITIS
• Hersteller Sicherheitsrelevanter Komponenten müssen Vertrauenswürdig sein → müssen Vertrauenswürdigkeitsgarantie abgeben

Question 29

**29. Bewerten Sie, welche Auswirkungen die Neuerungen im IT-Sicherheitsgesetz 2.0 für die ITSicherheit in Ihrem Unternehmen haben können. (2 Punkte)

Answer 29

Hersteller Sicherheitsrelevanter Komponenten müssen Vertrauenswürdig sein → müssen Vertrauenswürdigkeitsgarantie abgeben
• Zusätzliche Pflichten für KRITIS
• Automobilzulieferer:
o Freiwillige Kopplung an freiwillige Zertifizierungen von Geräten
o Wenn man der „Lieferkette“ eines Automobilzulieferers angehört → Da UN unter Umständen mit besonderem öffentlichen Interesse stehen (Daimler) ist man ebenfalls indirekt betroffen → höhere Anforderungen an Lieferanten, etc …

Question 30

**Erläutern Sie kurz, wie die mit dem Sicherheitgesetz 2.0 geplanten rechtlichen Neuerungen den Umgang mit ausländischen Herstellern von IT-Komponenten wie der chinesischen Firma Huawei erleichtern können. (2 Punkte)

Answer 30

Hersteller Sicherheitsrelevanter Komponenten müssen Vertrauenswürdig sein → müssen Vertrauenswürdigkeitsgarantie abgeben
• Provider muss Bestandsauskunft geben
• Provider muss Cybercrime Vorfälle melden
• Cybercrime Vorfälle werden von Sicherheitsbehörden verfolgt
• Verbraucher werden gewarnt
• Der neue $ 9b BSIG-E wird einen Beinahmen bekommen „Lex5G“ or „Lex Huawei“ → hier zeigt sich die aktuelle Diskussion über die Nutzung der chinesischen Komponenten beim Aufbau von 5G → Neben der technischen Zertifizierung soll auch die Vertrauenswürdigkeitsprüfung durch das BMI in Kraft treten.

Question 31

Erläutern Sie kurz, wie gut die Möglichkeiten für das Erlangen von Patentschutz für eine Software in Deutschland sind. (2 Punkte)

Answer 31

Grundsätzlich existiert kein Patentschutz für Software innerhalb Deutschlands. Patente sind für Erfindungen und technische Lösungen gedacht. Die technische Komponente (Technizität) der Software ist in Deutschland umstritten. Anstatt des Patentschutzes tritt in Deutschland der Schutz von Software durch das Urheberrecht.

Question 32

Erläutern Sie kurz, welche rechtlichen Vorgaben zur Aufteilung der Rechte an einer von ihr erstellten Software zwischen der Mitarbeiterin eines Unternehmens und ihrem Arbeitgeber greifen können. (1 Punkt)

Answer 32

Nutzungsrechtsvereinbarung zwischen dem AN und AG, das auf dem Arbeitsvertrag basiert. Geistiges Eigentum wird während der Arbeitszeit für den AG geschaffen. Das Nutzungsrecht wird durch Arbeitsentgelt abgegolten. (Siehe “5.3 Nutzungsrechtevereinbarung Auftragsnehmer” auf Moodle)
Ausnahme: Bereits entwickelte Programme durch den AN können von dieser Regelung ausgenommen werden und gehen so nicht als geistiges Eigentum des AG. In der Freizeit entwickelte Programme des AN fallen unter das Arbeitnehmererfindungsgesetz. AN muss AG über Programme, die in der Freizeit geschrieben werden, informieren. AG hat dann die Möglichkeit das Programm zu kaufen. Auf diese Weise ist sichergestellt, dass die Programme des Unternehmens nicht vom AN im privaten Rahmen “nachprogrammiert” werden können.

Question 33

Seit wann und durch welche gesetzliche Vorgabe wurde der Urheberrechtsschutz für Software in Deutschland eingeführt? (1 Punkt)

Answer 33

Mitte der 1980er durch Klarstellungen im Urheberrechtsgesetz

Question 34

Erläutern Sie anhand eines Beispiels aus der Praxis, in welchen Punkten der Umfang des Urheberrechtsschutzes für Software in Deutschland strittig ist. (1 Punkt)

Answer 34

Wird im Rahmen eines Arbeitsverhältnisses durch angestellte Softwareentwickler ein Computerprogramm entwickelt, wird automatisch das Urheberrecht auf den Arbeitgeber übertragen. Der Arbeitgeber ist zur Ausübung aller vermögensrechtlichen Befugnisse an der Software berechtigt, welches der Angestellte in seinen arbeitsvertraglichen Pflichten entwickelt hat. Der Arbeitgeber enthält also automatisch eine Lizenz.

Question 35

Erläutern Sie kurz, zu welchen Einschränkungen die Nutzung von Open Source Software auf Basis einer General Public Licence (GPL) für den Vertrieb darauf aufbauender Produkte führen kann. (1 Punkt)

Answer 35

Open Source kann nur dann vertrieben werden, wenn die Weiterentwicklung durch andere nicht eingeschränkt wird. Die Weiterentwicklung durch Dritte darf ebenfalls kommerziell vertrieben werden. Open Source Software, die vertrieben wird bleibt Open Source Software.

Question 36

Erläutern Sie anhand zweier Beispiele Themenfelder, in den Sie persönlich in den nächsten Jahre eine Fortentwicklung des IT-Rechts erwarten. (2 Punkte)

Answer 36

Künstliche Intelligenz:
● Wer entscheidet über den Algorithmus, den die KI letztendlich einsetzt? Welche Folgen hat man zu erwarten?
Wettbewerbsrecht:
8
● Große IT-Unternehmen haben eine sehr dominante Marktstellung