, HEC Consulting. All Rights reserved. 27. März 2000...
-
Upload
ambros-stolpe -
Category
Documents
-
view
104 -
download
2
Transcript of , HEC Consulting. All Rights reserved. 27. März 2000...
, HEC Consulting. All Rights reserved. 27. März 2000
_________________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
Datenschutz beim E-Commerce
Köln, den 27. März 2000Erfa-Kreis Datenschutzbeauftragte
Harald EulHEC ConsultingDatenschutz + Datensicherheit Auf der Höhe 3450321 BrühlTel 02232 200879Fax 02232 200884e-mail: [email protected]: www.datenschutz-help.de
2
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
Überblick1. E-Commerce im allgemeinen/Kundenerwartungen
2. Anwendbares Recht
3. Datenschutzgrundsätze
4. Was muß eine Website enthalten
5. Was darf eine Website nicht enthalten?
6. Auswirkungen auf den Verarbeitungsprozeß
7. Schutz der Internet-Inhalte/Datenbank
8. Codes of Conduct
3
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(1) E-Commerce
E-Business
B2B Business to Business
B2C Business to Consumer
fast täglich neue Dienstleistungen Gesetze unzureichend, interpretationsbedürftig höchste Wachstumsraten prognostiziert
4
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(1) prognostiziertes Wachstum nur möglich,
wenn Sicherheit geschaffen wird durch
Gesetze, Maßnahmen, Verhalten und Technik
Datenschutz und Datensicherheit sind damitzentrale Erfolgsfaktoren des E-Commerce
5
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(1) Untersuchungen bestätigen hohe Verbrauchererwartungen
Ohne Datenschutz und Sicherheit keine tragfähige Akzeptanz des Verbrauchers
Ohne Datenschutz kein E-Commerce
Mit Datenschutz mehr E-Commerce, also mehr Umsatz und Gewinn.
6
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(1) Anforderungen von Vertrieb und Marketing
One-to-one-Marketing
CRM/ eRM
Data Warehouse/Data Mining
Spielregeln und Kundenakzeptanzzu beachten!
7
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(2) E-Commerce = Teledienst (IuKDG) (§ 2 Abs. 1 TDG)
elektronische Informations-/Kommunikationsdienste
individuelle Nutzung kombinierbarer Daten
Übermittlung mittels Telekommunikation
8
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(2) Teledienst in der Praxis u.a. (§ 2 Abs. 2 TDG):
Angebote mit Bestellmöglichkeit
Info über Dienstleistungsangebote
jede Homepage!
(sofern nicht Mediendienst)
9
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(2) IuKDG
Evaluierungsbericht (Mitte 1999)
“Im Hinblick auf die Neuartigkeit der Regelungsmaterie und der entwicklungsoffenen Struktur des Gesetzes treten vielfach Unsicherheiten bei der Umsetzung und Auslegung von einzelnen Regelungen auf. Hier braucht die Entwicklung in Praxis und Rechtsprechung erfahrungsgemäß noch Zeit".
10
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(2) 3-Schichten-Modell
Telekommunikation TKG
Teledienst TDDSG
Inhalt/Vertrag BDSG
11
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(3) Datenschutzrechtliche Verantwortlichkeit für
nicht aber für fremde Inhalte z.B. Zugangsvermittlung (§ 5 Abs. 2 TDG)
Ausnahme: Bereithalten bei Kenntnis und
technischer Möglichkeit/Zumutbarkeit, Nutzung zu verhindern
(§ 5 Abs. 2 TDG)
eigene Inhalte (§ 5 Abs. 1 TDG)
12
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(3) Zulässigkeit der Zweckänderung
Soweit Inhaltsdaten § 28 Abs. 1 Satz 1 Nr. 2 BDSG
bei anderen DatenEinwilligung erforderlich(auch elektronisch § 3 Abs. 7 TDDSG;
Hinweis auf Widerrufsrecht § 3 Abs. 6
TDDSG)
13
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(3) Datenvermeidung/Anonymisierung/Pseudonymisierung
Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen (§ 3 Abs. 4 TDDSG)
Empfehlung umzusetzen: unabhängig von der rechtlichen Einordnung
Potentiell größeres Interesse der Verbraucher
14
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(4) Was muß eine Website enthalten?
Anbieterkennzeichnung
Name und Anschrift ggf. auch Namen und Anschrift der
Vertretungsberechtigten
Link auf Impressum oder „Über uns“-Seite auf jeder Seite
15
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(4) Was muß eine Website enthalten?
Unterrichtungshinweise
vor der Erhebung über Art, Umfang, Ort und Zwecke der Verarbeitung (§ 3 Abs. 5 TDDSG)
über das Setzen von ‚cookies‘ (§ 3 Abs. 5 Satz 2 TDDSG)
wenn keine Verschlüsselung der Kommunikation
16
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(4) Was muß eine Website enthalten?
jederzeitige Abbruchmöglichkeitdurch den Nutzer (§ 4 Abs. 2 Nr.1. TDDSG)
Anzeige der Weitervermittlung zu einem anderen Diensteanbieter (§ 4 Abs. 3 TDDSG)
17
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(5) Was darf eine Website nicht enthalten ?
Eine Einwilligung des Nutzers in eine Verarbeitung und Nutzung seiner Daten für andere Zwecke darf nicht Bedingung für die Nutzung des Teledienstes sein (§ 3 Abs. 3 TDDSG).
(ggf. Ausnahmen zulässig)
18
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(5) Was darf eine Website nicht enthalten ?
Daten von Mitarbeitern!!!
Ausnahmen: Mitarbeiter nimmt Funktion mit Außenwirkung wahr (z.B. Vorstand, Pressesprecher), es sei denn, der Mitarbeiter erhebt Widerspruch.
Wenn Mitarbeiter ausdrücklich eingewilligt hat (wegen des weltweit freien Zugriffs sollte dies auch bei auf den ersten Blick relativ harmlosen Daten gelten)
19
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(5) Was darf eine Website nicht enthalten ?
Organisations-/Geschäftspläne
Es gelten die Grundsätze wie bei Daten von Mitarbeitern.Auch die Veröffentlichung eines kompletten Telefonverzeichnisses wird i.d.R. unzulässig sein.
20
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(5) Was darf eine Website nicht enthalten ?
Andere Daten mit Personenbezug
Nur zulässig, wenn die Daten anonymisiert werden. Das gilt z.B. bei der Veröffentlichung von Forschungsergebnissen.
In jedem Fall ist größte Vorsicht und Sorgfalt erforderlich.
Ggf. müssen Daten zusätzlich verändert werden, um jegliches Identifizierungsrisiko (z.B. aus dem Bekanntenkreis) auszuschließen.
21
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
Daten mit Doppelcharakter
Soweit Daten Doppelcharakter haben (d.h. Diensteebene/Inhaltsebene), ist eine getrennte Verarbeitung entsprechend der Zweckbestimmung empfehlenswert.
22
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
Sofortige Löschung von Nutzungsdaten
personenbezogene Daten über den Ablauf des Abrufs oder Zugriffs oder der sonstigen Nutzung sind unmittelbar nach deren Beendigung zu löschen (§ 4 Abs. 2 Nr. 2, § 6 Abs. 2 Nr. 2 TDDSG).
Ausgenommen sind für Abrechnungszwecke benötigte Daten gemäß § 6 Abs. 2 Nr. 2 TDDSG
23
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
Verschlüsselung
Der Nutzer muß den Teledienst gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können (§ 4 Abs. 2 Nr. 3 TDDSG).
Ob nach dieser Vorschrift die Übertragung personenbezogener Daten ausschließlich verschlüsselt zulässig ist, dürfte strittig sein. Die verschlüsselte Kommunikation (Online-Formular, Kreditkartennummer,E-Mail) sollte aber präferiert werden.
24
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
getrennte Verarbeitung bei mehreren Telediensten
Im Regelfall wird ein Unternehmen (Content-Provider) seine Produkte nur über einen Teledienst abwickeln.
25
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
Verbot von Nutzungsprofilen
Nutzungsprofile sind nur bei der Verwendung von Pseudonymen zulässig (§ 4 Abs. 4 TDDSG).
Die Rückführung des Nutzungsprofils auf die konkrete Person ist verboten.
26
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(6) Auswirkungen auf den Verarbeitungsprozeß
Auskunftsrecht des Betroffenen
Der Nutzer ist berechtigt, jederzeit die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten unentgeltlich beim Diensteanbieter einzusehen. Die Auskunft ist auf Verlangen auch elektronisch zu erteilen (§ 7 Satz 1 und 2 TDDSG).
27
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(7) Schutz der Internet-Inhalte/Datenbank
Schutz des eigenen Netzes gegenüber dem Internet
Security Policy Sicherheitskonzept Firewall-Systeme
Hacker + Cracker
28
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(8) Codes of Conduct
unternehmerische Selbstverpflichtung
Datenschutzerklärung =umfassende Erklärung zu Grundsätzen und Verfahrensweisenbei der Erhebung, Speicherung und Verarbeitungpersonenbezogener Datenim Zusammenhang mit Internetangebot
29
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
(8) Codes of Conduct
Gut durchdachte Datenschutzerklärung kann E-Commercefür eigenes Unternehmen steigern
30
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
Fazit
E-Commerce erfordert Vertrauen
Vertrauen muß erworben und gepflegt werden
Datenschutz ist
vertrauensbildend=
Mit Datenschutz mehr
E-Commerce!
31
_____________________________________________________________ Harald Eul Consulting
Datenschutz + Datensicherheit
Empfehlung
Der betriebliche Datenschutzbeauftragte ist in die Entwicklung und den Aufbau ein E-Commerce-Angebotes von Anfang an einzubeziehen!