< Zurück   INHALT   Weiter >

4.3 Datenschutz und Compliance von Datenanwendungen

Das Recht auf Privatsphäre gilt – neben Handlungsfreiheit, Gewissensfreiheit, Meinungsfreiheit, Versammlungsfreiheit u. a. – als eines der Freiheitsrechte. Der Privatbereich kann in die Gruppen physische Privatsphäre, organisatorische Privatsphäre und Informations-Privatsphäre eingeteilt werden. In letztere Kategorie fällt der nachfolgend näher behandelte Datenschutz im Internet.

Oberster Grundsatz für alle Formen der Datenverarbeitung ist die Zweckbindung, auch für den Zeitraum der Aufbewahrung von Information. Als Mindeststandards für die Rechte der von Datenanwendungen Betroffenen gelten das Auskunftsrechts, der Anspruch auf Berichtigung, Löschung und Sperrung der Daten sowie weitergehende, zivilrechtlich einzufordernde Schadenersatzansprüche. Die grundlegende „Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ betont, dass Datenverarbeitungssysteme im Dienste des Menschen stehen und demnach deren Privatsphäre zu achten haben. Dabei definiert sie Datenschutz als den Schutz der Privatsphäre natürlicher Personen bei der Verarbeitung und Übermittlung personenbezogener Daten.

Datenverkehr mit Empfängern in Drittstaaten mit angemessenem Datenschutz ist genehmigungsfrei, sofern der Inhalt der Übermittlung das schutzwürdige Geheimhaltungsinteresse des Betroffenen nicht verletzt. Darüber hinaus erleichtert das „Safe Harbor Agreement“ den Datenverkehr zwischen der Europäische Union und den Vereinigten Staaten. Die Vereinbarung erlaubt europäischen Unternehmen die Übermittlung personenbezogener Daten in die USA, wenn ihre „Privacy Policy“ hinreichenden Datenschutz gewährleistet.

Eine besondere Rolle spielt das Datenschutzrecht bei Data Retention bzw. Vorratsdatenspeicherung. Unter letzterer versteht man die Bereitstellung von Daten, die durch öffentlich zugängliche elektronische Kommunikationsdienste oder -netze erzeugt oder verarbeitet werden. Ein weitgehendes Zugriffsrecht wird amerikanischen Terrorfahndern im Zuge des „Swift-Abkommens“ gewährt. Der völkerrechtliche Vertrag erlaubt seit 2010 US-amerikanischen Behörden, bei Kontrolle durch die europäische Polizeibehörde Europol, im Zuge internationaler Terrorfahndung Überweisungen europäischer Banken zu überprüfen.

Im fernöstlichen China besteht ein anderer Zugang zum Schutz der Privatsphäre. In einem Land, in welchem Kollektivismus großgeschrieben wird, wird die Privatsphäre weniger als Regelwerk denn als schützenswertes psychologisches Konzept verstanden, von dem schon der Lehrmeister Konfuzius in seinen Doktrinen als „yin-si“, im Sinne eines „schamhaften Geheimnisses“ und „familiärer Vertrautheit“, gesprochen hat. Ein indirekter Zugang zu Datenschutz besteht in dem Chinesischen Grundgesetz von 1982 über den Sachverhalt der Verletzung der persönlichen Würde bzw. Rufschädigung, welcher durch das Bloßlegen persönlicher Informationen erfüllt wäre.

Im Zusammenhang mit Betrügereien im Online-Umfeld wird der Begriff „Dot Cons“ verwendet, der sich von dem Begriff „Con Artist“, also Schwindler, herleitet. Unter den häufigsten Delikten finden sich Internet-Auktionen, Kreditkartenbetrug ebenso wie die Rekrutierung zu scheinbar lukrativen Geschäftsmöglichkeiten. Im Falle eines Online-Betrugs sind es wiederum rechtliche Gegebenheiten, die Konsumentenschutz garantieren. Darunter fallen die „Regulation E“ zum Schutz von elektronischem Zahlungsverkehr in den USA sowie Policies der Kreditkartenunternehmen, welche das Beeinspruchen und Rückgängigmachen von betrügerischen Kreditkartentransaktionen ermöglichen.

Zur Vorbeugung gegen derartige Zwischenfälle bestehen für sensible Daten verschärfte Regeln für eine gesicherte Übermittlung. „Secured Electronic Transaction (SET)“ stellt einen Standard für Kreditkartengeschäfte im Internet dar. Dabei werden Verfahren und Formate zum Nachweis von Vertrauenswürdigkeit aller an einer elektronischen Transaktion beteiligten Parteien geregelt. Es wird festgelegt, welche Methoden für Verschlüsselung und Identitätsnachweis zu verwenden sind.

Compliance beschreibt die Einhaltung von Konformität mit entsprechenden Regularien und Vorschriften. Weitere Beispiele für Compliance-Anforderungen betreffen den Sicherheitsstandard zu Kreditkartentransaktionen „Payment Card Industry Data Security Standard (PCI DSS)“, die US-amerikanische Verordnung zum Schutz von Gesundheitsdaten „Health Insurance Portability and Accountability Act (HIPAA)“ oder das deutsche „Bundesdatenschutzgesetz (BDSG)“. Datensicherheitsgefährdungen und damit Gefährdung von Compliance bestehen vorrangig bei Applikationen, externen Mitarbeitern, mobilen Geräten, Laptops und externen Geschäftspartnern. Ein weiteres Risiko für Unternehmen stellen dabei die vermehrt aufkommenden Cloud-Computing-Dienste dar. Maßnahmen zur Erfüllung von Compliance-Anforderungen reichen von dem sogenannten „NeedTo-Know-Prinzip“ über die Installation und Instandhaltung von Firewalls bis zur Datenverschlüsselung. Diese kann auf unterschiedlichen Ebenen des Datenflusses erfolgen und insbesondere in öffentlichen Netzwerken die Informationssicherheit auf ein erforderliches Niveau heben.

Abhängig von ihrem Inhalt, etwa bei Speicherung von Namen oder Kundennummer, können auch Cookies datenschutzrechtlich relevant sein. Cookies sind Dateien, die von dem Server einer Webseite erzeugt werden, an das Browserprogramm gesendet werden und auf dem Rechner des Besuchers der Webseite lokal abgespeichert werden. Sie enthalten Zahlenfolgen, anhand derer frühere Zugriffe und Einstellungen im Zusammenhang mit dem Besuch einer Webseite ermittelt werden können. Dadurch ist ein Anlegen detaillierter Benutzerprofile über Kundenverhalten und -vorlieben möglich, was technisch jedoch ohne Wissen des Nutzers erfolgt. Cookies ermöglichen es, dem Kunden, der wiederholt an die „elektronische Haustür“ eines Unternehmens klopft, „zuzuhören“, selbst dann, wenn der Kunde gar nicht wirklich spricht.

Doch nicht nur gesetzlich verankerte Regeln sind zu beachten. Faktoren wie Familie, Geschichte, Religion und kulturelle Identität beeinflussen unser Denken und Handeln. Internationalisierungsbestrebungen haben auf diese oft als selbstverständlich vorausgesetzten Regeln ein besonderes Augenmerk zu legen.

 
< Zurück   INHALT   Weiter >