Informationsmaterial zum Datenschutz
Homepage

Wir über Uns
Berlin
National
Europäische Union
International
Recht
T.O Maßnahmen
Aktuelles
Kontrolle
Materialien
Service
Themen

Symposium
Datenschutz - Brücke zwischen Privatheit und Weltmarkt
bei der
Internationalen Funkausstellung Berlin
30. August 1999

Datenschutz in einem globalen Unternehmen

Prof. Dr. Alfred Büllesbach

Konzernbeauftragter für den Datenschutz DaimlerChrysler AG, Stuttgart

Infolge des technischen Fortschritts der letzten Jahre ist eine weltweite Vernetzung eingetreten. Vor dem Hintergrund dieser Entwicklung wird die "Information" immer mehr zum strategischen Wettbewerbsfaktor für viele Unternehmen. [1] Zum Schutz dieses bedeutenden Gutes haben auch Fragen des Datenschutzes und der Datensicherheit einen beachtlichen Einfluß auf moderne Managementkonzepte erlangt.
Hinzu kommt die wachsende Bedeutung des Electronic Commerce. Um den Electronic Commerce zum Nutzen aller Beteiligten zu fördern, ist es insbesondere für global ausgerichtete Unternehmen wichtig, vertrauenswürdige Infrastrukturen zu gewährleisten. Dabei werden insbesondere Fragen des Datenschutzes und der Datensicherheit in zunehmendem Maße wahrgenommen.
Grundsätzlich bestehen unterschiedliche Ansätze der Organisation des Datenschutzes in global ausgerichteten Unternehmen, wobei allgemein zunächst zwischen einer zentralisierten und einer dezentralisierten Organisationsform unterschieden werden kann. In diesem Zusammenhang spielt die Frage der Selbstregulierung eine wesentliche Rolle.

Bestandsaufnahme


Die fortschreitende Entwicklung der Informationsgesellschaft führt neben technologischen Änderungen auch zu einer Neuordnung des Marktes.
Im Bereich der Technologieentwicklung ist ein weltweit einheitliches Bestreben zu beobachten, sich auf gemeinsame Standards zu einigen. Diese Entwicklung kann insbesondere durch das Schlüsselwort "Konvergenz" charakterisiert werden.
Fraglich ist, ob auch hinsichtlich des Datenschutzes und der Sicherheit der Informationsverarbeitung eine Konvergenzentwicklung hin zu einer globalen Informationssicherheit und einem internationalen Datenschutzrecht zu verzeichnen ist.
Es ist im Interesse der Industrie, daß vorhersehbare gesetzliche Rahmenbedingungen geschaffen werden, die gleichzeitig hinreichend Raum für Selbstregulierung bieten. In diesem Zusammenhang ist die Schaffung von Strukturen, die die Bürger befähigen, ihre Interessen durch Selbstbestimmung durchzusetzen, sehr bedeutend. Die neuen Tendenzen, wie Selbst- und Systemdatenschutz[2] in Kombination mit Privacy Enhancing Technologies und verläßliche Dienste sind deshalb zu fördern.

Aufgrund der strategischen Bedeutung der Ware "Information" ist die Wettbewerbsfähigkeit der Unternehmen gefährdet, wenn es nicht gelingt, das gewachsene Risikopotential, das aus der mißbräuchlichen Nutzung von Daten folgt, einzudämmen. Besonders global orientierten Unternehmen stellt sich die Aufgabe, die Risiken für den Datenschutz und die Datensicherheit zu beseitigen oder wenigstens stark zu reduzieren. Dabei gilt es insbesondere den durch die Nutzung moderner Informations- und Kommunikationstechniken eröffneten Möglichkeiten der Erstellung von Nutzerprofilen, des Abhörens von nicht verschlüsselten Verbindungen und der mißbräuchlichen Verwendung von Daten (wie. z.B. Kreditkartennummern) sowie des Vorspiegelns einer anderen Identität und des Verändern des Inhalts von Nachrichten[3] mit geeigneten Maßnahmen zu begegnen. Staatliche Initiativen zur Beschränkung der Bürgerrechte, wie beispielsweise durch die Aufzeichnung von Telekommunikationsverbindungen oder restriktive Kryptoregulierungen, namentlich Exportkontrollen für Verschlüsselungsprodukte können sich in diesem Zusammenhang als Hemmschuh erweisen und sollten vermieden werden.[4]

IT-Sicherheit als ein Wettbewerbselement


Die Unternehmen stehen in einem globalen Wettbewerb im Kampf um alte und neue Märkte sowie um neue technologische Entwicklungen. Dieser harte Wettbewerb ist allgegenwärtig und damit natürlich auch eine Komponente der IT-Sicherheitspolitik.

Henry Kissinger bemerkte beispielsweise, daß wir Zeugen des Zusammenbruchs der alten Weltordnung sind und nun in einer Ära leben, in der neue internationale Systeme entstehen, die weniger ideologisch orientiert sind und die Anlaß zu vielen Rivalitäten geben.
Diese Rivalitäten finden ihren ökonomischen Niederschlag in dem Bemühen der etablierten und entstehenden Industrienationen, für ihre Industrien weltweit Märkte zu entwickeln und zu sichern. Dieses Bestreben geht einher mit der Isolation von der restlichen Weltwirtschaft. Daraus ergibt sich, daß die Marktwirtschaft, die bestimmte Schlüsselindustrien und -technologien entwickelt und einen entsprechenden Marktanteil erlangt, auch einen strategischen Vorteil im Sicherheitsbereich hat. Sicherheit in diesem Zusammenhang schließt auch IT-Sicherheit ein.

Die umfassenden und globalen Entwicklungen hin zu einer Informationsgesellschaft müssen bei der Auswahl der Maßnahmen zur Gewährleistung einer entsprechenden Sicherheit in der Informationsverarbeitung berücksichtigt werden. Was wir brauchen ist ein integriertes Sicherheitsmanagement für die Informationsverarbeitung, welches sowohl die Systeme, die Prozesse und Personen als auch die verarbeiteten Informationen für die weltweite Nutzung in ihren jeweiligen Anwendungen umfaßt. Schließlich muß dieses umfassende IT-Sicherheitsmanagement mit einer klaren Kompetenzzuweisung gekoppelt werden.

Einheitliche Datenschutzphilosophie


Die Gewährleistung des Datenschutzes, des Schutzes der Privatsphäre sowie der Datensicherheit sind elementare Wettbewerbsfaktoren in der Informationsgesellschaft. Aus diesem Grund sind entsprechende Maßnahmen auch fundamentale Elemente von Produkten und Dienstleistungen und bilden so einen integralen Bestandteil von Geschäftsprozessen. Vor dem Hintergrund der zunehmenden Globalisierung einerseits und der sehr unterschiedlichen nationalen Regelungen andererseits werden neben dem Systemdatenschutz Instrumente des Selbstdatenschutzes immer bedeutender.

Unterschiedliche rechtliche Rahmenbedingungen


Weltweit bestehen sehr unterschiedliche Ansätze zur Regulierung des Datenschutzes. Prinzipiell gesehen besteht folgende Regulierungssituation: Es gibt Länder
  • mit allgemeinen nationalen Datenschutzgesetzen
  • mit Datenschutzgesetzen, die in ihrem Anwendungsbereich auf öffentlichen Institutionen beschränkt sind
  • die lediglich Datenschutzbestimmungen für bestimmte Bereiche erlassen haben, grundsätzlich jedoch keine nationalen Datenschutzgesetze besitzen
  • die überhaupt keine Datenschutzgesetze erlassen haben.[5]

Global entwickelt sich das Datenschutzrecht durch seine zunehmende Komplexität zu einem Spezialgebiet. Neben den nationalen Datenschutzgesetzen, von denen es ungefähr 50 gibt, sind weiterhin die UN-Richtlinie, die OECD-Richtlinien und auch das Europäische Recht zu beachten. In Deutschland gibt es neben dem Bundesdatenschutzgesetz noch weitere 16 Landesdatenschutzgesetze. Darüber hinaus existieren bereichsspezifische Regelungen wie z.B. ein umfassendes Recht für Teledienste und Telekommunikationsdienste.

Die Bandbreite der unterschiedlichen und disparaten gesetzlichen Regelungen und politischen Ansätze auf dem Gebiet des Datenschutzes reicht von gesetzlicher Regulierung bis zu Ansätzen, die eine adäquate Regelung Selbstregulierungskräften überlassen. Während in Europa der sogenannte "top-down Ansatz" vorherrscht, ist beispielsweise in den Vereinigten Staaten der "buttom-up-Ansatz" zu finden. In Europa ist Datenschutzrecht meist ein verfassungsrechtlich gewährtes Recht. So leitete das Bundesverfassungsgericht[6] in Deutschland in seiner Entscheidung aus dem Jahr 1983 das "Recht auf informationelle Selbstbestimmung" aus dem Grundgesetz ab.

Die Unterschiede in der augenblicklichen gesetzlichen Situation in Europa und in anderen Teilen der Welt, wie beispielsweise in den Vereinigten Staaten, aber auch Teilen Asiens, spiegelt auch die Diskussion zum Artikel 25 Abs. 1 der EU-Datenschutzrichtlinie wider. Diese Bestimmung erklärt die Übermittlung personenbezogener Daten in ein Land außerhalb der EU nur dann für zulässig, wenn dieses Drittland ein angemessenes Schutzniveau gewährleistet. So zeigt die Diskussion über die EU-Richtlinie auf der einen Seite und die Auseinandersetzungen beispielsweise in den Vereinigten Staaten über die sogenannten "safe-harbor"- Prinzipien auf der anderen Seite die spezielle Situation zwischen zwei Weltwirtschaftregionen. Aus diesen Diskussionen wird aber auch die Bedeutung des Datenschutzes und der Datensicherheit sowie die neue Tendenz deutlich, daß das Recht auf Datenschutz für den Einzelnen in der sogenannten Informationsgesellschaft zunehmend an Bedeutung gewinnt.

Obwohl das weltweite Datenschutzrecht bislang noch nicht einheitlich ist, kann man verglichen mit der Konvergenz in der Informationstechnologie dennoch beobachten, daß die derzeitige Heterogenität im Datenschutzrecht auf dem Weg einer rechtskonvergenten Entwicklung ist.[7]

Selbstregulierung


Der gegenwärtige Trend der Globalisierung verdeutlicht, daß wir in einer Epoche der Entgrenzung leben. Auch den einzelnen Staatsbürgern wird mehr und mehr bewußt, daß staatliche Gewalt begrenzt ist. Dies wird insbesondere auch dadurch ersichtlich, daß die Staaten zunehmend nicht mehr in der Lage sind, den Bedürfnissen ihrer Bürger nach Sicherheit und Schutz gerecht zu werden, weil ihre staatliche Gewalt an der Grenze des nationalen Territoriums endet. Gegenwärtig erleben wir, daß die Verantwortlichkeit des modernen Staates von der Erfüllungsverantwortung zur Strukturverantwortung mutiert. Der Staat kann zunehmend nur noch generelle Regeln für ein geordnetes Zusammenleben in der Gesellschaft erstellen. Zur Lösung der durch die Globalisierung auftretenden Probleme sind internationale Regelungen notwendig. Da es keinen internationalen Gesetzgeber gibt, müssen globale Unternehmen ihre eigenen Verhaltensregeln für den Datenschutz und die Datensicherheit entwickeln.


Gegenwärtig werden vier verschiedene Mechanismen der Selbstregulierung diskutiert. Die erste Alternative ist die Schaffung von Privacy Codes of Conduct. Die zweite Möglichkeit ist eine vertragliche Einigung unter Verwendung von Modellklauseln in verschiedenen Anwendungszusammenhängen, die dritte Variante ist die Diskussion über die "Safe Harbor"- Prinzipien in den Vereinigten Staaten und viertens werden Privacy Statements zur Unterrichtung der Internetnutzer verwendet. Auch eine parallele sich ergänzende Anwendung dieser Ansätze ist denkbar bzw. teilweise sogar notwendig.


Ein Beispiel für die technische Umsetzung des Selbstregulierungsgedankens ist der "Privacy Policy Generator". Der Privacy Policy Generator, eine von DaimlerChrysler unterstützte OECD Initiative, ist ein Online-Instrument ("wizard") auf der Basis eines Fragenkataloges, der Unternehmen und Organisationen bei der Erstellung und Implementierung eines Privacy Statements für ihren Internetauftritt dienen soll.[8]
Die Entwicklung des Privacy Policy Generators ist im Zusammenhang mit den Bemühungen der Platform for Privacy Preferences (P3P) des World Wide Web Consortiums (W3C) zu sehen. P3P Anwendungen gestatten dem Nutzer, seine Anforderungen an den Schutz der Privatsphäre in seinem Browser festzulegen. Ziel ist eine Verknüpfung zwischen dem Browser und Server herzustellen, indem ein Abgleich der Privacy Präferenzen der Nutzer mit der Privacy Policy des Webservers bzw. des Anbieters vorgenommen wird. Liegt eine Differenz vor, wird der Nutzer über eine Warnung über diese Tatsache informiert und gefragt, ob er den Aufruf der Webseiten fortsetzen möchte. Der Privacy Policy Generator umfaßt alle wesentlichen Aspekte des Datenschutzes in globalen Netzwerken, indem er die unterschiedlichen nationalen und internationalen Regelungen des Datenschutzes (OECD-Guideline, nationale und multinationale Gesetze, Selbstregulierungsinstrumente) integriert.

Ausgewählte datenschutzrechtliche Schwerpunkte in einem global ausgerichteten Unternehmen

Customer Relationship Management (CRM)/Kundendaten

Customer Relationship Management umfaßt einen komplexen Datenfluß. Die wesentlichen Aspekte des Datenschutzes sind dabei:
  • Einwilligung durch Modellklauseln in der Beziehung zwischen dem Händler und dem Kunden
  • Verschiedene vertragliche Lösungen hinsichtlich Datenübermittlungen und für die Organisation des Customer Assistance Centers
  • Die Information und Benachrichtigung von gegenwärtigen und potentiellen Kunden
  • Technische und organisatorische Sicherheitsmaßnahmen.

Internetanwendungen

Das Internet bietet die Möglichkeit neben einseitigen Informationsflüssen (Darstellung von Produkten) eine Interaktion zwischen dem Unternehmen und dem Nutzer stattfinden zu lassen. Dabei werden oftmals auch personenbezogene Daten übertragen. Aufgrund der Weltumspannung des Internet kann eine solche Übertragung gegebenenfalls über die ganze Welt stattfinden. Für die datenschutzrechtliche Bewertung ist in diesem Zusammenhang das Informations- und Kommunikationsdienstegesetz von 1997[9] von Bedeutung.
Wesentliche Punkte zur Realisierung des Datenschutzes im Internet sind:
  • Anbieterkennzeichnung
  • Datensparsamkeit
  • Datensicherheit und Vertraulichkeit der Nutzung
  • Unterrichtung des Nutzers
  • In jedes Internetangebot, in dem personenbezogene Daten verarbeitet werden, muß eine Unterrichtung über Art, Umfang, Art und Zweck der Erhebung, Verarbeitung und Nutzung personenbezogener Daten aufgenommen werden (sog. Privacy Statement).
  • In der Cookie-Information muß konkret und verständlich beschrieben werden, welche Funktionen das Cookie, bezogen auf personenbezogene Daten, ausführt.
  • Rechtliche Behandlung von Bestands-, Nutzungs- und Abrechnungsdaten:
  • Personenbezogene Nutzungsdaten, wie. z.B. IP-Adressen, sind frühestmöglich zu löschen.
  • Nutzerprofile dürfen nur bei Verwendung von Pseudonymen erstellt werden.
  • Sollen die Daten auch für die Beratung, Werbung, Marktforschung oder zur bedarfsgerechten Gestaltung des Informationsangebots gespeichert und genutzt werden, muß in das Angebot eine entsprechende Einwilligungserklärung aufgenommen werden. Soll die Einwilligung elektronisch gegeben werden, sind folgende technische Anforderungen zu erfüllen:
  • Es muß sichergestellt sein, daß es sich bei der Einwilligung um eine eindeutige und bewußte Handlung des Nutzers handelt, z.B. durch Bestätigung einer Erläuterung durch ein Button.
  • Die Einwilligung muß gegen Manipulationen geschützt werden, z.B. mit Hilfe von Verschlüsselungsverfahren.
  • Der Urheber muß identifiziert werden können; z.B. durch ein Namensfeld, die User-ID, Paßwort
  • Die Einwilligung muß protokolliert werden.
  • Auskunftsrecht des Kunden

Arbeitnehmer- und Personaldaten

Die Verarbeitung von Personaldaten hat ebenso dem geltenden Datenschutzrecht zu entsprechen. Der Datenschutzbeauftragte hat die Einhaltung der Vorschriften bezüglich der Datenerhebung und Datenverarbeitung sicherzustellen. Daneben besteht die Verpflichtung personenbezogene Daten vertraulich zu behandeln und die Zweckbindung zu beachten. Es bestehen neben dem Datenschutzrecht auch konzernweite bzw. lediglich auf der Ebene der einzelnen konzernangehörigen Unternehmen geregelte Betriebsvereinbarungen insbesondere hinsichtlich der Personaldatenverarbeitungssysteme, für die Datenübertragung zwischen den Konzerngesellschaften und für die Nutzung der Telekommunikationseinrichtungen.
Datenschutzregelungen und die Verpflichtung auf das Datengeheimnis sind zudem in den Verträgen enthalten. Desweiteren können innerhalb eines Konzern verschiedene Richtlinien existieren, wie Richtlinien hinsichtlich der Nutzung des Arbeitsplatzcomputers oder des Datenschutzes am Arbeitsplatz.

Wie organisiert man Datenschutz in einem global ausgerichteten Unternehmen?


Erfahrungsgemäß gibt es unterschiedliche Ansätze zu der Frage, wie man Datenschutz in einem globalen Unternehmen organisieren kann, wobei grundsätzlich zwischen der zentralisierten und der dezentralisierten Organisationsform unterschieden werden kann. Zentralisiert ist der Datenschutz beispielsweise dann organisiert, wenn es einen Konzernbeauftragten für den Datenschutz mit globalen Kompetenzen gibt.
Von einer dezentralisierten Organisationsform kann man dann sprechen, wenn für jedes Land oder für jede juristische Person jeweils ein Datenschutzbeauftragter bestellt wurde.
Ein weiteres Unterscheidungsmerkmal ist die Bandbreite der Kompetenzen.
Bevorzugt ein Konzern eine einheitliche Datenschutzpolitik und –philosophie, bietet sich eher die zentralisierte Variante der Datenschutzorganisation mit globalen Kompetenzen und Verantwortlichkeiten an. Wenn die Verantwortlichkeiten eher regional verteilt und wahrgenommen werden sollen, läßt sich dies durch den dezentralisierten Ansatz verwirklichen.

Der DaimlerChrysler Konzern wählt eine Mischform mit Elementen einer zentralisierten und dezentralisierten Organisation. Der Konzern hat eine einheitliche Unternehmensphilosophie. Der Konzernbeauftragte für den Datenschutz hat die Richtlinienkompetenz und wird von den dezentralen Datenschutzkoordinatoren in den jeweiligen Regionen und Gesellschaften unterstützt.


Bei der Zuweisung von datenschutzrechtlichen Verantwortlichkeiten müssen die Zuständigkeiten des zentralen Datenschutzbereichs festgelegt werden. Im DaimlerChrysler Konzern hat der zentrale Datenschutzbereich, z.B. folgende Aufgaben:
  • Konzernbeauftragter für den Datenschutz
  • Strategische Ausrichtung und Umsetzung des Datenschutzes im Konzern anhand der gesetzlichen Anforderungen
  • Entwicklung und Festlegung von Datenschutzgrundsätzen für den Konzern
  • Entwicklung und Anpassung der daraus resultierenden Datenschutzorganisation
  • Koordination des Datenschutzes weltweit
  • Beratung in Datenschutz- und Datensicherheitsfragen weltweit
  • Entwicklung und Durchführung von Sensibilisierungs- und Schulungsprogrammen
  • Monitoring und Beobachtung der rechtlichen Situation des Datenschutzes weltweit
  • Entwicklung, Beratung von datenschutzkonformen Verträgen und Vertragsklauseln
  • Technologiebeobachtung hinsichtlich technischer Datenschutzinstrumente
  • Beratung bei Vertragsschlüssen (nationales und internationales Recht)
  • Konzeption von Datenschutz- und Datensicherheitsrichtlinien
  • Vertretung des Konzerns in nationalen und internationalen Organisationen und Gremien.

Datenschutz im DaimlerChrysler Konzern wird als eine Konzernmanagementaufgabe angesehen. Der zentrale Datenschutzbereich arbeitet als Kompetenzcenter für datenschutzrechtliche Fragen und Probleme im gesamten Konzern.

Die Art und Weise wie der Datenschutz im DaimlerChrysler Konzern organisiert ist, hat zwei Dimensionen, namentlich die funktionale unternehmensbezogene und die regionale. Wegen des regionalen Aspekts koordiniert und berät der Konzernbeauftragte ein weltweites Netz von Datenschutzkoordinatoren mit verschiedenen regionalen Datenschutzkoordinationsgremien. Insgesamt existieren vier Datenschutzkoordinationsausschüsse; jeweils einer in Europa, in Nordamerika, in Mittel- und Südamerika und in Asien. Innerhalb Europas gibt es noch zusätzliche Subkomitees.

Die Konzerndatenschutzpolitik wird bei der DaimlerChrysler AG in einem Konzernausschuß koordiniert, dem der Konzerndatenschutzbeauftragte vorsteht.

Der Code of Conduct

In Anbetracht der weltweit uneinheitlichen gesetzlichen Situation ist der DaimlerChrysler Konzern überzeugt, daß ein Privacy Code of Conduct ein angemessenes Instrument der Selbstregulierung eines global orientierten Unternehmens in Übereinstimmung mit den gesetzlichen Anforderungen und über diese hinaus ist.

Ziel des Privacy Code of Conduct ist es, eine einheitliche Philosophie hinsichtlich des Managements und der Umsetzung des Datenschutzes und der Datensicherheit in der Beziehung zu den Kunden des Konzerns aufzustellen. Der Privacy Code of Conduct stellt verbindliche interne Richtlinien für die Mitarbeiter des Konzerns bezüglich des Datenschutzes und des Schutzes der Privatsphäre auf. Zudem soll der Code of Conduct auch der Vereinheitlichung und Harmonisierung in diesem Bereich dienen. Das Ziel besteht darin, den Anforderungen des Art. 25 Abs. 1 der EU-Datenschutzrichtlinie an den Datentransfer in Drittstaaten außerhalb der Europäischen Union zu genügen. Den größten Teil personenbezogener Daten bilden Daten von Kunden, Lieferanten und Mitarbeitern. Jedoch sind unterschiedliche Regelungsanforderungen bei Kundendaten einerseits und Personaldaten andererseits zu berücksichtigen.

Bezüglich der Implementierung eines Privacy Code of Conduct zur Regelung des Datenschutzes bedarf es einer dezentralisierten Kontrolle. Dem Ziel, diese Aufgabe zu regeln, dient die konzernweite Datenschutzorganisation. Die unabhängige Stellung des Konzerndatenschutzbeauftragten ist ein Garant für die Einhaltung der Datenschutzregelung im Konzern. Außerdem unterliegt der unternehmensinterne Konzerndatenschutzbeauftragte der Kontrolle durch die staatlichen Datenschutz-Aufsichtsbehörden.

Inhalt von Privacy Code of Conducts sollten sein:
  • Zielbestimmung und Festlegung eines Geltungsbereiches
  • Grundsätze für die Verarbeitung personenbezogener Kundendaten
  • Spezielle Regelungen für besonders sensitive Daten
  • Unterrichtung und Einwilligung der Kunden
  • Weitere Rechte der Kunden (z.B. Auskunft)
  • Vertraulichkeit der Verarbeitung
  • Grundsätze der Datensicherheit
  • Datenverarbeitung im Auftrag/Einbeziehung Dritter
  • Geltung einzelstaatlichen Rechts
  • Abhilfe/Sanktionen/Verantwortlichkeiten
  • Der (Konzern-)Beauftragte für den Datenschutz


Schlußfolgerungen: Datenschutz und Datensicherheit in der Zukunft


Die Stärkung der nationalen und internationalen Netze, die universelle Erreichbarkeit von Personen, die weltweite Datenverarbeitung und die wachsende Zahl von Applikationen hat zu einer Erhöhung der Risiken und der mißbräuchlichen Nutzung von Daten geführt. Die Nutzer/ Bürger/Verbraucher fragen nach dem Schutz ihrer personenbezogenen Daten. Sie wollen wissen, was mit ihren persönlichen Daten passiert, wo sie gespeichert sind, wer Zugang zu ihnen hat und welche Mißbrauchsmöglichkeiten bestehen.
Mit dem Internet wird die unbegrenzte Verknüpfung bestehender Rechner möglich, wodurch insbesondere das sogenannte "Matching" von Daten in bisher ungeahnten Dimensionen möglich wird. Bislang bestehende Grenzen gibt es nicht mehr, wichtige Informationen sind allgemein zugänglich, Daten werden dezentral zur zweckmäßigen Entscheidungsunterstützung organisiert und aufbereitet. Diese Formen der modernen Datenverarbeitung und –nutzung sind gegenwärtig unter den Stichworten "Data Mining" und "Datawarehouse"[10] in der Diskussion, wobei unter "Data Mining" die Technik der Verdichtung dieser Daten (Klassifikation, Clustern, Zusammenfassen) zu verstehen ist.[11] So können bislang unbekannte Datenbeziehungen hergestellt werden. Während bisher Daten gezielt erfaßt wurden, fallen elektronische Spuren praktisch als ein Nebenprodukt der Nutzung elektronischer Dienste an und schaffen damit die notwendigen Voraussetzungen um ein detailliertes Persönlichkeitsprofil zu erstellen. Dies tritt besonders bei den vielfältigen Formen der Nutzung von Telekommunikation, Bankautomat-Abhebungen, Zugangskontrollen, Aufruf von WWW-Seiten beim Surfen durch das Internet und ähnlichem auf. Gerade unter dem Aspekt des Datenschutzes hat diese Diskussion eine breite Öffentlichkeit erreicht. Unbegrenzte Nutzungsmöglichkeiten einerseits und mangelnde Kontrollmöglichkeiten andererseits durch die betroffenen Personen verbunden mit einer zunehmenden Sensibilisierung der Nutzer/ Bürger/Verbraucher kann die Akzeptanz des Electronic Commerce beträchtlich verringern und hat zusätzlich eine negative Auswirkung auf die Entwicklung der Kommunikationsgesellschaft.

  • Vor diesem Hintergrund gewinnt die Diskussion über den Selbst- und Systemdatenschutz sowie über die Technologie zur Gestaltung des Datenschutzes zunehmend an Bedeutung.

Ein integriertes Datenschutz- und Datensicherheitsmanagement ist ein Element, das über den Erfolg im Wettbewerb mitentscheidet. Vor dem Hintergrund der Globalisierung lassen sich effektive Datenschutzmaßnahmen nicht mehr gesetzlich verordnen. Selbstregulierungmechanismen werden daher zukünftig an Bedeutung erheblich hinzu gewinnen.

Weitere Literaturhinweise


1. Kurt Bauknecht, Alfred Büllesbach, Hartmut Pohl, Stephanie Teufel (Hrsg.); Sicherheit in Informationssystemen; Zürich, Switzerland; 1998.
2. Helmut Bäumler; Der neue Datenschutz;
Neuwied, Germany; 1998.
3. Alfred Büllesbach; Innovative and Technology-Shaping Data Protection – Social and Commercial Requirements; In: Günter Müller, Kai Rannenberg (Eds.); Multilateral Security in Communications; München, Germany; 1999.
4. Alfred Büllesbach, Datenschutz als prozeßorientierter Wettbewerbsbestandteil, PIK (Praxis der Informationsverarbeitung und Kommunikation), 1999, 162ff.
5. Alfred Büllesbach (Hrsg.), Datenverkehr ohne Datenschutz? - Eine globale Herausforderung, Köln, Germany, 1999.
6. Herbert Kubicek, Hans-Joachim Braczyk, Dieter Klumpp, Günter Müller, Werner Neu, Eckart Raubold, Alexander Roßnagel (Eds.); Multimedia @Verwaltung, Jahrbuch Telekommunikation und Gesellschaft 1999; Heidelberg, Germany; 1999.
7. Günter Müller, Kai Rannenberg (Hrsg.); Multilateral Security in Communications; München, Germany; 1999.

[1] Vgl. dazu Alfred Büllesbach, Datenschutz als prozeßorientierter Wettbewerbsbestandteil, in: Günter, Müller; Kurt-Hermann Stapf (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley, 1999, 431, 440f; Alfred Büllesbach, Datenschutz und Datensicherheit als Qualitäts- und Wettbewerbsfaktor, RDV 1997, 239ff.
[2] Vgl. dazu insbesondere Alfred Büllesbach, Hansjürgen Garstka, Systemdatenschutz und persönliche Verantwortung, in: Günter Müller, Andreas Pfitzmann (Hrsg.), Mehrseitige Sicherheit in der Kommunikationstechnik, Addison-Wesley, 1997, 383, 451f; Alexander Roßnagel, Globale Datennetze: Ohnmacht des Staates – Selbstschutz der Bürger, ZRP 1997, 26, 29.
[3] Siehe insbesondere zum Vortäuschen einer falschen Identität und zum Verändern des Inhalts einer Nachricht, Ulrich Pordesch, Kai Nissen, Fälschungsrisiken elektronisch signierter Dokumente, CR 1995, 562ff.
[4] Vgl. dazu auch Johann Bizer, Die Kryptokontroverse. Innere Sicherheit und Sicherungsinfrastrukturen, in: Volker Hammer (Hrsg.), Sicherungsinfrastrukturen – Gestaltungsvorschlage für Technik, Organisation und Recht, 1995, S. 179ff; Hal Abelson; Ross Anderson; M. Steven Bellovin; Josh Benaloh; Matt Blaze; Whitfield Diffie; John Gilmore; Peter G. Neumann; Ronald L. Rivest; Jeffrey I Schiller; Bruce Schneier; The risks of key recovery, key escrow & Trusted Third-Party Enryption; http://www.crypto.com/key_study.
[5] Vgl. zur internationalen Datenschutzregulierung insbesondere Paul M. Schwartz; Joel R. Reidenberg, Data Privacy Law - A Study of United States Data Protection -, Michie Law Publishers, Charlottesville Va., USA, 1996; Electronic Privacy Information Center, Privacy and Human Rights - An International Survey of Privacy Laws and Developments, Washington D.C., USA, 1999; Marc Rotenberg, The Privacy Law Sourcebook 1999 - United States Law, International Law, and Recent Developments, , EPIC Publications, Washington D.C., USA 1999.
[6] BVerfGE 65, S. 1ff.
[7] OECD-Datenschutzrichtlinie 1981; EU-Datenschutzrichtlinie 1995; UN-Richtlinie betreffend personenbezogene Daten in automatisierten Dateien1990; Global Business Dialogue für Electronic Commerce, The Paris Recommendations, Conference Communiqué, September 1999.
[8] Für weitere Informationen siehe unter http://www.oecd.org/scripts/PW/PWHome.ASP.
[9] BGBl I, 1870.
[10] Siehe dazu auch Alfred Büllesbach, Datenschutz bei Data Warehouses und Data Mining CR 1/2000, 11 ff.
[11] Siehe zum "Datamining" insbesondere auch Schweighofer, Erich, Data Mining und Datenschutz, DuD 1997, 458.
Seitenanfang

Zuletzt geändert:
am 03.03.2000

mail to webmaster