, HEC Consulting. All Rights reserved. 27. März 2000...

Post on 06-Apr-2015

104 views 2 download

Tags:

Transcript of , HEC Consulting. All Rights reserved. 27. März 2000...

, HEC Consulting. All Rights reserved. 27. März 2000

_________________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

Datenschutz beim E-Commerce

Köln, den 27. März 2000Erfa-Kreis Datenschutzbeauftragte

Harald EulHEC ConsultingDatenschutz + Datensicherheit Auf der Höhe 3450321 BrühlTel 02232 200879Fax 02232 200884e-mail: H.Eul@HE-C.deInternet: www.datenschutz-help.de

2

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

Überblick1. E-Commerce im allgemeinen/Kundenerwartungen

2. Anwendbares Recht

3. Datenschutzgrundsätze

4. Was muß eine Website enthalten

5. Was darf eine Website nicht enthalten?

6. Auswirkungen auf den Verarbeitungsprozeß

7. Schutz der Internet-Inhalte/Datenbank

8. Codes of Conduct

3

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(1) E-Commerce

E-Business

B2B Business to Business

B2C Business to Consumer

fast täglich neue Dienstleistungen Gesetze unzureichend, interpretationsbedürftig höchste Wachstumsraten prognostiziert

4

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(1) prognostiziertes Wachstum nur möglich,

wenn Sicherheit geschaffen wird durch

Gesetze, Maßnahmen, Verhalten und Technik

Datenschutz und Datensicherheit sind damitzentrale Erfolgsfaktoren des E-Commerce

5

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(1) Untersuchungen bestätigen hohe Verbrauchererwartungen

Ohne Datenschutz und Sicherheit keine tragfähige Akzeptanz des Verbrauchers

Ohne Datenschutz kein E-Commerce

Mit Datenschutz mehr E-Commerce, also mehr Umsatz und Gewinn.

6

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(1) Anforderungen von Vertrieb und Marketing

One-to-one-Marketing

CRM/ eRM

Data Warehouse/Data Mining

Spielregeln und Kundenakzeptanzzu beachten!

7

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(2) E-Commerce = Teledienst (IuKDG) (§ 2 Abs. 1 TDG)

elektronische Informations-/Kommunikationsdienste

individuelle Nutzung kombinierbarer Daten

Übermittlung mittels Telekommunikation

8

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(2) Teledienst in der Praxis u.a. (§ 2 Abs. 2 TDG):

Angebote mit Bestellmöglichkeit

Info über Dienstleistungsangebote

jede Homepage!

(sofern nicht Mediendienst)

9

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(2) IuKDG

Evaluierungsbericht (Mitte 1999)

“Im Hinblick auf die Neuartigkeit der Regelungsmaterie und der entwicklungsoffenen Struktur des Gesetzes treten vielfach Unsicherheiten bei der Umsetzung und Auslegung von einzelnen Regelungen auf. Hier braucht die Entwicklung in Praxis und Rechtsprechung erfahrungsgemäß noch Zeit".

10

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(2) 3-Schichten-Modell

Telekommunikation TKG

Teledienst TDDSG

Inhalt/Vertrag BDSG

11

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(3) Datenschutzrechtliche Verantwortlichkeit für

nicht aber für fremde Inhalte z.B. Zugangsvermittlung (§ 5 Abs. 2 TDG)

Ausnahme: Bereithalten bei Kenntnis und

technischer Möglichkeit/Zumutbarkeit, Nutzung zu verhindern

(§ 5 Abs. 2 TDG)

eigene Inhalte (§ 5 Abs. 1 TDG)

12

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(3) Zulässigkeit der Zweckänderung

Soweit Inhaltsdaten § 28 Abs. 1 Satz 1 Nr. 2 BDSG

bei anderen DatenEinwilligung erforderlich(auch elektronisch § 3 Abs. 7 TDDSG;

Hinweis auf Widerrufsrecht § 3 Abs. 6

TDDSG)

13

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(3) Datenvermeidung/Anonymisierung/Pseudonymisierung

Gestaltung und Auswahl technischer Einrichtungen für Teledienste hat sich an dem Ziel auszurichten, keine oder so wenige personenbezogene Daten wie möglich zu erheben, zu verarbeiten und zu nutzen (§ 3 Abs. 4 TDDSG)

Empfehlung umzusetzen: unabhängig von der rechtlichen Einordnung

Potentiell größeres Interesse der Verbraucher

14

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(4) Was muß eine Website enthalten?

Anbieterkennzeichnung

Name und Anschrift ggf. auch Namen und Anschrift der

Vertretungsberechtigten

Link auf Impressum oder „Über uns“-Seite auf jeder Seite

15

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(4) Was muß eine Website enthalten?

Unterrichtungshinweise

vor der Erhebung über Art, Umfang, Ort und Zwecke der Verarbeitung (§ 3 Abs. 5 TDDSG)

über das Setzen von ‚cookies‘ (§ 3 Abs. 5 Satz 2 TDDSG)

wenn keine Verschlüsselung der Kommunikation

16

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(4) Was muß eine Website enthalten?

jederzeitige Abbruchmöglichkeitdurch den Nutzer (§ 4 Abs. 2 Nr.1. TDDSG)

Anzeige der Weitervermittlung zu einem anderen Diensteanbieter (§ 4 Abs. 3 TDDSG)

17

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(5) Was darf eine Website nicht enthalten ?

Eine Einwilligung des Nutzers in eine Verarbeitung und Nutzung seiner Daten für andere Zwecke darf nicht Bedingung für die Nutzung des Teledienstes sein (§ 3 Abs. 3 TDDSG).

(ggf. Ausnahmen zulässig)

18

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(5) Was darf eine Website nicht enthalten ?

Daten von Mitarbeitern!!!

Ausnahmen: Mitarbeiter nimmt Funktion mit Außenwirkung wahr (z.B. Vorstand, Pressesprecher), es sei denn, der Mitarbeiter erhebt Widerspruch.

Wenn Mitarbeiter ausdrücklich eingewilligt hat (wegen des weltweit freien Zugriffs sollte dies auch bei auf den ersten Blick relativ harmlosen Daten gelten)

19

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(5) Was darf eine Website nicht enthalten ?

Organisations-/Geschäftspläne

Es gelten die Grundsätze wie bei Daten von Mitarbeitern.Auch die Veröffentlichung eines kompletten Telefonverzeichnisses wird i.d.R. unzulässig sein.

20

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(5) Was darf eine Website nicht enthalten ?

Andere Daten mit Personenbezug

Nur zulässig, wenn die Daten anonymisiert werden. Das gilt z.B. bei der Veröffentlichung von Forschungsergebnissen.

In jedem Fall ist größte Vorsicht und Sorgfalt erforderlich.

Ggf. müssen Daten zusätzlich verändert werden, um jegliches Identifizierungsrisiko (z.B. aus dem Bekanntenkreis) auszuschließen.

21

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

Daten mit Doppelcharakter

Soweit Daten Doppelcharakter haben (d.h. Diensteebene/Inhaltsebene), ist eine getrennte Verarbeitung entsprechend der Zweckbestimmung empfehlenswert.

22

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

Sofortige Löschung von Nutzungsdaten

personenbezogene Daten über den Ablauf des Abrufs oder Zugriffs oder der sonstigen Nutzung sind unmittelbar nach deren Beendigung zu löschen (§ 4 Abs. 2 Nr. 2, § 6 Abs. 2 Nr. 2 TDDSG).

Ausgenommen sind für Abrechnungszwecke benötigte Daten gemäß § 6 Abs. 2 Nr. 2 TDDSG

23

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

Verschlüsselung

Der Nutzer muß den Teledienst gegen Kenntnisnahme Dritter geschützt in Anspruch nehmen können (§ 4 Abs. 2 Nr. 3 TDDSG).

Ob nach dieser Vorschrift die Übertragung personenbezogener Daten ausschließlich verschlüsselt zulässig ist, dürfte strittig sein. Die verschlüsselte Kommunikation (Online-Formular, Kreditkartennummer,E-Mail) sollte aber präferiert werden.

24

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

getrennte Verarbeitung bei mehreren Telediensten

Im Regelfall wird ein Unternehmen (Content-Provider) seine Produkte nur über einen Teledienst abwickeln.

25

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

Verbot von Nutzungsprofilen

Nutzungsprofile sind nur bei der Verwendung von Pseudonymen zulässig (§ 4 Abs. 4 TDDSG).

Die Rückführung des Nutzungsprofils auf die konkrete Person ist verboten.

26

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(6) Auswirkungen auf den Verarbeitungsprozeß

Auskunftsrecht des Betroffenen

Der Nutzer ist berechtigt, jederzeit die zu seiner Person oder zu seinem Pseudonym gespeicherten Daten unentgeltlich beim Diensteanbieter einzusehen. Die Auskunft ist auf Verlangen auch elektronisch zu erteilen (§ 7 Satz 1 und 2 TDDSG).

27

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(7) Schutz der Internet-Inhalte/Datenbank

Schutz des eigenen Netzes gegenüber dem Internet

Security Policy Sicherheitskonzept Firewall-Systeme

Hacker + Cracker

28

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(8) Codes of Conduct

unternehmerische Selbstverpflichtung

Datenschutzerklärung =umfassende Erklärung zu Grundsätzen und Verfahrensweisenbei der Erhebung, Speicherung und Verarbeitungpersonenbezogener Datenim Zusammenhang mit Internetangebot

29

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

(8) Codes of Conduct

Gut durchdachte Datenschutzerklärung kann E-Commercefür eigenes Unternehmen steigern

30

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

Fazit

E-Commerce erfordert Vertrauen

Vertrauen muß erworben und gepflegt werden

Datenschutz ist

vertrauensbildend=

Mit Datenschutz mehr

E-Commerce!

31

_____________________________________________________________ Harald Eul Consulting

Datenschutz + Datensicherheit

Empfehlung

Der betriebliche Datenschutzbeauftragte ist in die Entwicklung und den Aufbau ein E-Commerce-Angebotes von Anfang an einzubeziehen!