Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 Vertrauen – SS 2001...

Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin

1

Vertrauen – SS 2001

30.5.2001 Vertrauenssicherung in der Wirtschaft

Vertrauen ein ökonomisches und ethisches Prinzip

elektronischer Märkte

V5 Vertrauenssicherung in der Wirtschaft

30. Mai 2001 Dozent: Rainer Kuhlen

IB-HU-Berlin


2



D21-Initiative

Inhalt

W3C – P3P

TRUSTe VeriSign

WebTrust GlobalSign


3



D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich): http://www.initiativeD21.de/broschure/Kriterienkatalog.pdf PDF-Folien Rieß/Daimler: mailbox:/D|/Mailfiles-HU/Inbox?id=7B4C96A066E0D21192180060976EBFA1015B76FC%40MCHH236E&number=87852535&part=1.2

Eine Initiative der Selbstregulierung:

Um die wirtschaftlichen Chancen des E-Commerce auszuschöpfen, muss ... beim Verbraucher die Unsicherheit über die rechtlichen Bestimmungen und die Angst vor Betrug und Datenmissbrauch abgebaut werden. Vertrauen durch Transparenz, Verlässlichkeit und Glaubwürdigkeit sind die entscheidenden Voraussetzungen für eine breite Akzeptanz des elektronischen Handels.

Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel


4



D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich): Ziel des Online-Sigels:Verbrauchern eine klare Orientierung zu geben und sie in die Lage zu versetzen, im In- und Ausland seriöse Anbieter zuverlässig zu identifizieren, Händlern ein Selbstregulierungssystem zur Verfügung zu stellen, dass das Vertrauen von Verbrauchern in möglichst vielen Ländern genießt und somit insbesondere für kleine und mittlere Betriebe Märkte öffnet und Marketingvorteile bietet. Gleichzeitig kann durch international vereinheitlichte Regelungen die Übersichtlichkeit und Transparenz der Geschäftsprozesse verbessert werden.



5



D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):

Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlichtungsverfahren Gütezeichen



6




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Der Kunde muss insbesondere über den vollen Namen des Unternehmens und die Identität es Anbieters, Handelsregister-nummer sowie deren Sitz, deren elektronische und geogra-fische Adresse, unter der der Anbieter erreichbar ist, informiert werden.Es muss ein Verantwortlicher namentlich benannt werden, an den der Kunde sich wenden kann.Neben einer E-Mail-Adresse sollte dem Kunden auch unter einer Telefonnummer die zügige Kontaktaufnahme mit dem Diensteanbieter ermöglicht werden.Die Anbieterangabe sollte z.B. unter „Impressum“ oder „Wir über uns“ leicht und an gut sichtbarer Stelle in dem E-Commerce-Auftritt auffindbar und ausdruckbar sein.


7




•Anbieterkennzeichnung

•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Angesichts der Globalität der Internetangebote müssen die Preise, die Währung und Nebenkosten, wie z. B. Mehrwertsteuer, Gebühren und Versandkosten für den Kunden vor Abgabe der verbindlichen Bestellung transparent und vollständig dargestellt werden. In angemessenen Umfang soll auch über Zölle informiert werden.Auf die Gültigkeitsdauer befristeter Angebote sowie mögliche Änderungen vonPreisen und Nebenkosten nach der Bestellung muss der Kunde deutlichhingewiesen werden.


8




•Anbieterkennzeichnung•Preisinformation

•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Informationen zu den Zahlungsbedingungen müssen vollständig sein. Dazu gehören insbesondere:- Umfassende Information über die Zahlungswege- Anbieterseitige besondere Zahlungsbedingungen (z.B. besonderes Entgelt für das Zahlungsverfahren)- Zeitpunkt des Zahlungsvorganges bei Einzugsermächtigung oder einer elektronischen Zahlung- Informationen über Datensicherheit bei elektronischen Zahlungsverfahren und elektronischen Einzugsermächtigungen- Wahrnehmung von Meldeplichten- Evtl. Konditionalstrafen


9




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen

•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Die Prozesse der Leistungserbringung und gegebenenfalls der Lieferung müssen eindeutig festgelegt sein und dem Kunden klar dargestellt werden. Dazu gehören wesentliche Eigenschaften der Leistungen, Informationen über Kundendienst, Garantie- und Gewährleistungsrechte sowie Hinweise zur Nutzung der Leistungen und eventueller technischer und sonstiger Voraussetzungen-


10




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung

•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Die Rückgabe sollte für den Kunden möglichst einfach sein. Hierfür sollte ein leicht zugängliches Formular bereitgestellt werden. Es muss klargestellt werden, welche Kosten auf den Kunden bei einer Rückgabe insgesamt zukommen und wie die Rückerstattung bereits bezahlter Beträge erfolgt. Fristen für die Rückgabe müssen eindeutig definiert werden.


11




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe

•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Zum Schutz der personen-bezogenen Daten sind nationale und internationale Vorschriften zu beachten. Es existieren zudem nationale und internati-onale Empfehlungen, die Orientierung bieten.

Deutschland: Teledienstedatenschutz-gesetz, Telekommunikationsgesetz,Telekommunikationsdatenschutz-verordnung, Bundesdatenschutzgesetz.Europäische Richtlinien: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995; Richtlinie 97/66 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation.U.S. Department of Commerce: Draft International Safe Harbor Privacy Principles.Internationale Datenschutzempfehlungen:OECD: Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und dengrenzüberschreitenden Verkehr personenbezo-gener Daten(23.09.1980), UNO: Richtlinien betreffend personenbezogene Daten in automatisierten Dateien (14.12.1990).


12




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz

•Beschwerde und alternative Streitschlich- tungsverfahren•Gütezeichen


Der Anbieter soll eine Kontaktadresse angeben, an die der Kunde sich beiBeschwerden per E-Mail, schriftlich oder telefonisch wenden kann. Dies deckt sichmit den Anforderungen an die Anbieterkennzeichnung. Wichtig ist, dass dem Kundeneine dem Medium entsprechende schnelle Reaktionsmöglichkeit bereit gestellt wird.Beschwerdeverfahren können auch über Gütezeichenanbieter abgewickelt werden.Es sollten alternative Streitschlichtungsverfahren angeboten werden, diezielgerichteter und kostengünstiger Entscheidungen herbeiführen können als dies beiInanspruchnahme des Rechtsweges möglich ist.


13




•Anbieterkennzeichnung•Preisinformation•Vertragsbedingungen•Leistungserbringung/Lieferung•Widerruf und Rückgabe•Datenschutz•Beschwerde und alternative Streitschlich- tungsverfahren

•Gütezeichen


D21 unterstützt die Herausgabe von Gütezeichen, die die Umsetzung derQualitätskriterien für den Kunden transparent machen und die entsprechendenVerfahren zur Umsetzung und Kontrolle anbieten.Der Herausgeber eines Gütezeichens muss seine Qualitätsanforderungen im Webfür jedermann abrufbar halten und ein Beschwerde- und Überwachungsverfahren zurEinhaltung des Gütezeichens bereitstellen.

Erste D21-Empfehlungen für Gütesiegelanbieter:http://www.initiativeD21.de/home.php3?nav=ssi&teaser=ssi&text=guetesiegel/guetesiegel.html


14



Gateway: Platform for Privacy Preferences - P3P: http://www.w3.org/P3P/

The Platform for Privacy Preferences Project (P3P), developed by the World Wide Web Consortium, is emerging as an industry standard providing a simple, automated way for users to gain more control over the use of personal information on Web sites they visit. At its most basic level, P3P is a standardized set of multiple-choice questions, covering all the major aspects of a Web site's privacy policies. Taken together, they present a clear snapshot of how a site handles personal information about its users. P3P-enabled Web sites make this information available in a standard, machine-readable format. P3P enabled browsers can "read" this snapshot automatically and compare it to the consumer's own set of privacy preferences. P3P enhances user control by putting privacy policies where users can find them, in a form users can understand, and, most importantly, enables users to act on what they see.


15


30.5.2001 Vertrauenssicherung in der WirtschaftKritik an P3P aus deutsche Datenschutzsicht (Rossnagel)

http://www.emr-sb.de/news/jtg-p3p.pdf

Vom deutschen Datenschutzrecht her gesehen verbessert P3P nur die Transparenz der Datenverarbeitung und bietet keine Unterstützung des Systemdatenschutzes, der Zweckbindung und der Nutzerrechte. Insbesondere werden folgende Anforderungen nicht unterstützt und müssen auf andere Weise gewährleistet werden:

•P3P macht keine Aussagen über das Verhalten eines Dienstes, wenn ein Nutzer in eine vorgeschlagene Policy nicht einwilligt. Nach § 3 Abs. 4 TDDSG und § 12 Abs. 5 MDStV darf ein Diensteanbieter einen Nutzer nicht von einem Dienst ausschließen, wenn diesem Nutzer kein anderer Zugang „zu diesen Telediensten“ überhaupt oder in zumutbarer Weise möglich ist.•Weder die Authentifizierung der Policy noch die elektronische Einwilligung des Nutzers ist vorgesehen, schon gar nicht in der von § 3 Abs. 7 TDDSG und § 12 Abs. 8 MDStV geforderten Art und Weise.


16



Kritik an P3P aus deutsche Datenschutzsicht (Rossnagel)

• Es gibt bisher nur eine Handvoll pauschaler Zweckbeschreibungen („Purpose“). In einem „Others“-Feld kann ein Verwendungszweck zwar in freien Worten beschrieben werden, aber das erfordert zur Entscheidung über Annahme oder Ablehnung einer Policy in derRegel eine direkte Interaktion mit dem Nutzer.

• Das Beschreibungsmaterial für eine automatische Interpretation dagegen ist zu gering. Inwieweit das P3P-Vokabular mit den daten-schutzrechtlichen Anforderungen übereinstimmt, bedarf genauer Prüfung.

• Kontrollrechte der Nutzer auf Auskunft, Berichtigung, Sperrung und Löschung werden nicht unterstützt.


17


30.5.2001 Vertrauenssicherung in der WirtschaftKritik an P3P aus EU-Datenschutzsicht

http://europa.eu.int/comm/internal_market/en/media/dataprot/wpdocs/wp11de.pdf

Eine technische Plattform für den Schutz der Privatsphäre wird per se nicht ausreichen, um die Privatsphäre im Netz zu schützen. Sie muß im Zusammenhang mit einem Rahmen verbindlicher Datenschutzbestimmungen Anwendung finden, der für alle Individuen einMinimum an nichtverhandelbarem Datenschutz vorsieht. Die Verwendung von P3P und OPS in Ermangelung eines derartigen Rahmens bringt die Gefahr mit sich, die Verantwortung für den eigenen Schutz vordringlich dem einzelnen Nutzer zuzuschieben, und diese Entwicklung würde den weltweit eingeführten Grundsatz untergraben, demzufolge der Dateiverantwortliche für die Einhaltung der Grundsätze des Datenschutzes zuständig ist (OECD-Leitlinien 1980, Übereinkommen Nr. 108 desEuroparats aus dem Jahre 1981, VN-Leitlinien 1990, EU-Richtlinien 95/46/EG und 97/66/EG).Eine derartige Umkehrung der Zuständigkeit setzt außerdem einenKenntnisstand im Hinblick auf die Gefahren voraus, die die Datenverarbeitung für die Privatsphäre des Individuums nach sich zieht, der realistischerweise von den meisten Bürgern nicht erwartet werden kann.


18




Es besteht die Gefahr, daß P3P nach ihrer Realisierung bei der nächsten Generation der Software der Navigationsprogramme in der Europäischen Union niedergelassene Betreiber irreführenderweise veranlassen könnte, zu glauben, daß sie von einigen ihrer gesetzlichen Verpflichtungen entlastet werden können (beispielsweise Gewährleistung des Rechts einzelner Nutzer auf Zugriff zu ihren Daten), wenn der einzelne Nutzer diesem als Teil der On-line-Verhandlung zustimmt. De facto werden die Unternehmen, Organisationen und Einzelpersonen, die in der Europäischen Union niedergelassen sind und über das Internet Dienstleistungen anbieten, in jedem Fall die in der Datenschutzrichtlinie 95/46/EG niedergelegten Bestimmungen im Hinblick auf alle personenbezogenen Daten zu befolgen haben, die sie erfassen und verarbeiten.


19




P3P kann somit nicht nur unter den Betreibern im Hinblick auf ihre Verpflichtungen, sondern auch unter den Internet-Nutzern im Hinblick auf den Charakter ihrer Datenschutzrechte zur Verwirrung führen. Software für Navigationsprogramme, die in der Europäischen Union verkauft oder vertrieben wird, muß deshalb so gestaltet und ausgelegt werden, daß sie gewährleistet, daß On-line-Vereinbarungen, die im Widerspruch zu geltenden Datenschutzgesetzen stehen, nicht möglich sind.Für Nutzer in der Europäischen Union, die mit Internetseiten mit Sitz in Nicht-EU-Ländern in Kontakt treten, ist das Hauptproblem, daß die Organisation, der siepersonenbezogene Daten liefern, nicht unter die EU-Richtlinie oder sonstige tatsächlich umgesetzte Datenschutzbestimmungen fallen könnte


20



The IBM P3P Policy Editor: http://www.alphaworks.ibm.com/tech/p3peditor (4.6MB download)

The IBM P3P Policy Editor is a visual tool for creating a Web site's privacy policy that can be interpreted by Web browsers and other user agents that support the P3P specification from the W3C. P3P (Platform for Privacy Preferences Project) offers a way for users to automate the acceptance or rejection of a Web site's requests for information, based on preferences users can set from their browsers or client devices. This provides assurance to users that their privacy is protected without having to read each Web site's privacy policy. Using P3P, an organization posts an XML-formatted privacy policy (machine-readable) on their Web site that describes their privacy practices, including the type of information collected, how the information is used, and who can get access to the information. P3P specification for declaring the types of data collected at a site can become complicated, leaving Webmasters susceptible to errors and requiring a lot of time to develop and test. The P3P Policy Editor takes the complexity out of creating the machine-readable policy by hand. The editor includes standard data types and categories that you can quickly drop into your policy.

Information zum Einrichten von P3P – Stand 10.5.2001http://www.w3.org/TR/2001/NOTE-p3pdeployment-20010510


21



Vertrauenssicherung durch Dritte

TRUSTe: http://www.truste.org/


22



Vertrauens-sicherung

durch Dritte:GlobalSign: http://www.globalsign.ne

t/


23



VeriSign: http://www.verisign.com/

Authentication - Assure your customer your site is legitimate.

Confidentiality - Keep sensitive transactions and communications private.

Data Integrity - Protect data transmission from third-party alterations.

Nonrepudiation - Validate transactions to authenticate customer's intent.

Payment Gateway - Process credit card transactions in real-time!



24



WebTrust: http://www.webtrust.org/

Eine Initiative des American Institute of Certified Public Accountants:WebTrust identifies and helps to reduce e-Commerce business risks and encourages online confidence and activity. Performed by CPAs and their equivalents worldwide, WebTrust can: Identify risks, including possible privacy breaches, security gaps, and other systems affecting the customer interface Benchmark and encourage best practices Provide independent verification that the site complies with the international WebTrust Standards for e-Commerce.



25



Vertrauenssicherung durch Dritte - WebTrust

Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 Vertrauen – SS 2001...

Documents

Transcript of Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 Vertrauen – SS 2001...