, HEC Consulting. All Rights reserved. 27. März 2000...

, HEC Consulting. All Rights reserved. 27. März 2000

_________________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

Datenschutz beim E-Commerce

Köln, den 27. März 2000Erfa-Kreis Datenschutzbeauftragte

Harald EulHEC ConsultingDatenschutz + Datensicherheit Auf der Höhe 3450321 BrühlTel 02232 200879Fax 02232 200884e-mail: [email protected]: www.datenschutz-help.de

2

_____________________________________________________________ Harald Eul Consulting


Überblick1. E-Commerce im allgemeinen/Kundenerwartungen

2. Anwendbares Recht

3. Datenschutzgrundsätze

4. Was muß eine Website enthalten

5. Was darf eine Website nicht enthalten?

6. Auswirkungen auf den Verarbeitungsprozeß

7. Schutz der Internet-Inhalte/Datenbank

8. Codes of Conduct

3



(1) E-Commerce

E-Business

B2B Business to Business

B2C Business to Consumer

fast täglich neue Dienstleistungen Gesetze unzureichend, interpretationsbedürftig höchste Wachstumsraten prognostiziert

4



(1) prognostiziertes Wachstum nur möglich,

wenn Sicherheit geschaffen wird durch

Gesetze, Maßnahmen, Verhalten und Technik

Datenschutz und Datensicherheit sind damitzentrale Erfolgsfaktoren des E-Commerce

5



(1) Untersuchungen bestätigen hohe Verbrauchererwartungen

Ohne Datenschutz und Sicherheit keine tragfähige Akzeptanz des Verbrauchers

Ohne Datenschutz kein E-Commerce

Mit Datenschutz mehr E-Commerce, also mehr Umsatz und Gewinn.

6



(1) Anforderungen von Vertrieb und Marketing

One-to-one-Marketing

CRM/ eRM

Data Warehouse/Data Mining

Spielregeln und Kundenakzeptanzzu beachten!

7



(2) E-Commerce = Teledienst (IuKDG) (§ 2 Abs. 1 TDG)

elektronische Informations-/Kommunikationsdienste

individuelle Nutzung kombinierbarer Daten

Übermittlung mittels Telekommunikation

8



(2) Teledienst in der Praxis u.a. (§ 2 Abs. 2 TDG):

Angebote mit Bestellmöglichkeit

Info über Dienstleistungsangebote

jede Homepage!

(sofern nicht Mediendienst)

9



(2) IuKDG

Evaluierungsbericht (Mitte 1999)

“Im Hinblick auf die Neuartigkeit der Regelungsmaterie und der entwicklungsoffenen Struktur des Gesetzes treten vielfach Unsicherheiten bei der Umsetzung und Auslegung von einzelnen Regelungen auf. Hier braucht die Entwicklung in Praxis und Rechtsprechung erfahrungsgemäß noch Zeit".

10



(2) 3-Schichten-Modell

Telekommunikation TKG

Teledienst TDDSG

Inhalt/Vertrag BDSG

11



(3) Datenschutzrechtliche Verantwortlichkeit für

nicht aber für fremde Inhalte z.B. Zugangsvermittlung (§ 5 Abs. 2 TDG)

Ausnahme: Bereithalten bei Kenntnis und

technischer Möglichkeit/Zumutbarkeit, Nutzung zu verhindern

(§ 5 Abs. 2 TDG)

eigene Inhalte (§ 5 Abs. 1 TDG)

12



(3) Zulässigkeit der Zweckänderung

Soweit Inhaltsdaten § 28 Abs. 1 Satz 1 Nr. 2 BDSG

bei anderen DatenEinwilligung erforderlich(auch elektronisch § 3 Abs. 7 TDDSG;

Hinweis auf Widerrufsrecht § 3 Abs. 6

TDDSG)

13



(3) Datenvermeidung/Anonymisierung/Pseudonymisierung

Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen (§ 3 Abs. 4 TDDSG)

Empfehlung umzusetzen: unabhängig von der rechtlichen Einordnung

Potentiell größeres Interesse der Verbraucher

14



(4) Was muß eine Website enthalten?

Anbieterkennzeichnung

Name und Anschrift ggf. auch Namen und Anschrift der

Vertretungsberechtigten

Link auf Impressum oder „Über uns“-Seite auf jeder Seite

15




Unterrichtungshinweise

vor der Erhebung über Art, Umfang, Ort und Zwecke der Verarbeitung (§ 3 Abs. 5 TDDSG)

über das Setzen von ‚cookies‘ (§ 3 Abs. 5 Satz 2 TDDSG)

wenn keine Verschlüsselung der Kommunikation

16




jederzeitige Abbruchmöglichkeitdurch den Nutzer (§ 4 Abs. 2 Nr.1. TDDSG)

Anzeige der Weitervermittlung zu einem anderen Diensteanbieter (§ 4 Abs. 3 TDDSG)

17



(5) Was darf eine Website nicht enthalten ?

Eine Einwilligung des Nutzers in eine Verarbeitung und Nutzung seiner Daten für andere Zwecke darf nicht Bedingung für die Nutzung des Teledienstes sein (§ 3 Abs. 3 TDDSG).

(ggf. Ausnahmen zulässig)

18




Daten von Mitarbeitern!!!

Ausnahmen: Mitarbeiter nimmt Funktion mit Außenwirkung wahr (z.B. Vorstand, Pressesprecher), es sei denn, der Mitarbeiter erhebt Widerspruch.

Wenn Mitarbeiter ausdrücklich eingewilligt hat (wegen des weltweit freien Zugriffs sollte dies auch bei auf den ersten Blick relativ harmlosen Daten gelten)

19




Organisations-/Geschäftspläne

Es gelten die Grundsätze wie bei Daten von Mitarbeitern.Auch die Veröffentlichung eines kompletten Telefonverzeichnisses wird i.d.R. unzulässig sein.

20




Andere Daten mit Personenbezug

Nur zulässig, wenn die Daten anonymisiert werden. Das gilt z.B. bei der Veröffentlichung von Forschungsergebnissen.

In jedem Fall ist größte Vorsicht und Sorgfalt erforderlich.

Ggf. müssen Daten zusätzlich verändert werden, um jegliches Identifizierungsrisiko (z.B. aus dem Bekanntenkreis) auszuschließen.

21



(6) Auswirkungen auf den Verarbeitungsprozeß

Daten mit Doppelcharakter

Soweit Daten Doppelcharakter haben (d.h. Diensteebene/Inhaltsebene), ist eine getrennte Verarbeitung entsprechend der Zweckbestimmung empfehlenswert.

22




Sofortige Löschung von Nutzungsdaten

personenbezogene Daten über den Ablauf des Abrufs oder Zugriffs oder der sonstigen Nutzung sind unmittelbar nach deren Beendigung zu löschen (§ 4 Abs. 2 Nr. 2, § 6 Abs. 2 Nr. 2 TDDSG).

Ausgenommen sind für Abrechnungszwecke benötigte Daten gemäß § 6 Abs. 2 Nr. 2 TDDSG

23




Verschlüsselung

Der Nutzer muß den Teledienst gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können (§ 4 Abs. 2 Nr. 3 TDDSG).

Ob nach dieser Vorschrift die Übertragung personenbezogener Daten ausschließlich verschlüsselt zulässig ist, dürfte strittig sein. Die verschlüsselte Kommunikation (Online-Formular, Kreditkartennummer,E-Mail) sollte aber präferiert werden.

24




getrennte Verarbeitung bei mehreren Telediensten

Im Regelfall wird ein Unternehmen (Content-Provider) seine Produkte nur über einen Teledienst abwickeln.

25




Verbot von Nutzungsprofilen

Nutzungsprofile sind nur bei der Verwendung von Pseudonymen zulässig (§ 4 Abs. 4 TDDSG).

Die Rückführung des Nutzungsprofils auf die konkrete Person ist verboten.

26




Auskunftsrecht des Betroffenen

Der Nutzer ist berechtigt, jederzeit die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten unentgeltlich beim Diensteanbieter einzusehen. Die Auskunft ist auf Verlangen auch elektronisch zu erteilen (§ 7 Satz 1 und 2 TDDSG).

27



(7) Schutz der Internet-Inhalte/Datenbank

Schutz des eigenen Netzes gegenüber dem Internet

Security Policy Sicherheitskonzept Firewall-Systeme

Hacker + Cracker

28



(8) Codes of Conduct

unternehmerische Selbstverpflichtung

Datenschutzerklärung =umfassende Erklärung zu Grundsätzen und Verfahrensweisenbei der Erhebung, Speicherung und Verarbeitungpersonenbezogener Datenim Zusammenhang mit Internetangebot

29



(8) Codes of Conduct

Gut durchdachte Datenschutzerklärung kann E-Commercefür eigenes Unternehmen steigern

30



Fazit

E-Commerce erfordert Vertrauen

Vertrauen muß erworben und gepflegt werden

Datenschutz ist

vertrauensbildend=

Mit Datenschutz mehr

E-Commerce!

31



Empfehlung

Der betriebliche Datenschutzbeauftragte ist in die Entwicklung und den Aufbau ein E-Commerce-Angebotes von Anfang an einzubeziehen!

, HEC Consulting. All Rights reserved. 27. März 2000...

Documents

Transcript of , HEC Consulting. All Rights reserved. 27. März 2000...