Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Politik- und Selbstregulierungsansätze der Vertrauenssicherung Audit-Verfahren.

Ähnliche Präsentationen


Präsentation zum Thema: "Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Politik- und Selbstregulierungsansätze der Vertrauenssicherung Audit-Verfahren."—  Präsentation transkript:

1 Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Politik- und Selbstregulierungsansätze der Vertrauenssicherung Audit-Verfahren V Juni Dozent: Rainer Kuhlen IB-HU-Berlin

2 Muster vielen Audit-Verfahren ist das Öko-Audit
Zum Audit-Verfahren – Öko-Audit Muster vielen Audit-Verfahren ist das Öko-Audit Grundlage ist das Umweltmanagement- und –betriebsprüfungssystem der EU (jetzt EMAS II (vgl. Umweltmanagementsysteme dienen dazu, den betrieblichen Umweltschutz nach den Vorgaben einer Norm zu organisieren. (international ISO 14000: Einen "offizielleren" Rechtsrahmen für den Aufbau eines Umweltmanagementsystems ist das "Environmental Management and Audit Scheme" ( "EMAS“). Mit der Veröffentlichung der neuen EU-Verordnung (EMAS II) am 24. April 2001 im Amtsblatt der EU gibt es eine neue Rechtsgrundlage. EMAS II sieht vor, dass die Unternehmen für ihre Standorte eine Umwelterklärung erstellen und diese von einem zugelassenen unabhängigen Umweltgutachter für gültig erklären lassen müssen. Zum Verfahren s. Informationen: umis-links - Informationen zum Umweltmanagement und Betrieblichen Umweltschutz:

3 Zum Audit-Verfahren – Basis DIN ISO 9001
Audit-Verfahren stützen sich häufig auf die internationale DIN EN Norm ISO 9001 ab, durch die Maßstäbe für die Qualität von Geschäftsabläufen sowie die Dokumentation in der Produktion definiert werden. Information/Support: Deutsch Musterhandbuch: FAQ (detailliert): Das ISO 9001-Zertifikat ist ein international anerkanntes Qualitätssiegel, der Prozeß der Zertifizierung ein hervorragendes Werkzeug zur Optimierung des kompletten Geschäftsablauf. Der Prüfungskatalog sieht zum Beispiel die Regelung von Zuständigkeiten, die Qualifikation der Mitarbeiter, eine Dokumentationspflicht für den gesamten Produktionsprozeß sowie die Überprüfung aller Schnittstellen im Geschäftsablauf vor. Beim Zertifizierungsaudit wird die Organisation der internen Abläufe durch die externen Sachverständigen begutachtet und bewertet. Die Inhalte bzw. die Qualität der Produkte selber werden nicht bewertet, sind als nicht Gegenstand der Zertifizierung.

4 Zum Audit-Verfahren – Basis DIN ISO 9001
1. Verantwortung der Leitung 2. Qualitätsmanagementsystem 3. Vertragsprüfung 4. Designlenkung (für ISO 9002/ISO 9003 nicht relevant) 5. Lenkung der Dokumente und Daten 6. Beschaffung (für ISO 9003 nicht relevant) 7. Lenkung der vom Auftraggeber beigestellten Produkte 8. Kennzeichnung und Rückverfolgbarkeit von Produkten 9. Prozeßlenkung (für ISO 9003 nicht relevant) 10. Prüfungen 11. Prüfmittelüberwachung 12. Prüfstatus 13. Lenkung fehlerhafter Produkte 14. Korrektur- und Vorbeugemaßnahmen 15. Handhabung, Lagerung, Verpackung, Konservierung und Versand 16. Lenkung von Qualitätsaufzeichnungen 17. Interne Qualitätsaudits 18. Schulung 19. Wartung/Kundendienst (für ISO 9003 nicht relevant) 20. Statistische Methoden

5 Zum Audit-Verfahren -Wettbewerbsvorteil
Viele Unternehmen der deutschen Wirtschaft stellen sich zur Zeit der ISO 9001-Normprüfung. Sie versprechen sich durch das Zertifikat, das nach einer positiv verlaufenen Zertifizierung verliegen wird und das als Siegel an der (Online-/Web-) Darstellung angebracht werden kann, einen vertrauenssichernden Wettbewerbsvorteil. Audit und Gütesiegel sollen den Verbrauchern, Nutzern und Kunden signalisieren, dass das Produkt, die Dienstleistung oder die Behörde vorab in einem geregelten Verfahren geprüft worden sind. In der Wirtschaft werden Vertrauensbeziehungen zwischen großen Firmen und kleineren Zulieferbetrieben über institutionalisierte Formen des Quality audits bzw. durch Nachweis der Zertifizierung nach den ISO-9000-Normen aufgebaut. Die Abhängigkeit der kleineren Firmen von den großen kann die Anwendung von Vertrauensmechanismen erzwingen.

6 Zum Audit-Verfahren – von welcher Organisation?
Große Firmen, die auf Grund fortgeschrittener Just-in-time- und international diversifizierter Produktion sich darauf verlassen müssen, daß die angelieferten Zulieferstücke in Ordnung sind – eine individuelle Prüfung der einzelnen Teile ist nicht mehr möglich – beauftragen spezielle Audit-Teams mit einer Überprüfung der Produktionsweise, ggfls. auch der gesamten Organisation des kleineren Partnerunternehmens. Für das Etablieren von Vertrauensbeziehungen auf Grund von Zertifizierung ist es sehr wichtig, welche Institution damit beauftragt ist. Ist es die größere Firma, die die kleinere dem Audit unterzieht, sind es staatliche Organisationen, große privatwirtschaftlich organisierte Firmen oder sind es besser kleine oder ein Netzwerk von kleinen unabhängigen?

7 Zum Audit-Verfahren – Delegation der Vertrauenssicherung an private Firmen
In welcher Form das institutionelle Problem der Zertifizierung, der Durchführung des Quality audit, gelöst wird, ist auch in hohem Maße von der jeweiligen nationalen Kultur abhängig. Staaten mit langer etatistischer Tradition, wie z.B. Frankreich oder Rußland, behandeln das Problem anders als Staaten mit langer Marktorientierung wie eher in den angelsächsischen Ländern. In Frankreich wird z.B. die Aufgabe der Qualitätssicherung von zuliefernden Firmen, nach den ISO 9000 Normen an eine private Agentur delegiert, an die Association Franaise pour l’Assurance de la Qualité (AFAQ). AFAQ hat sich Vertrauen bei den meisten Unternehmen dadurch erworben, daß sie hohen professionellen Standard ihrer Mitarbeiter nachweisen konnte, aber auch dadurch, daß die quasi-staatliche Institution, die für die Zertifizierung der Produktqualität zuständig ist, die Agence Franaise de Normalisation (AFNOR), die AFAQ-Zertifikate ebenfalls zertifiziert.

8 Zum Audit-Verfahren – delegiert - selber
Die private Agentur (die Association Franaise pour l’Assurance de la Qualité (AFAQ)) wird also noch einmal selber von einer staatlichen Organisation quasi zertifiziert. Das scheint in einem Land wie Frankreich, das nach wie vor in vielen Bereichen auf staatliche Autorität setzt, vertrauensfördernd zu sein. Der Erfolg dieser Organisationsform zeigt sich darin, daß mehr als die Hälfte aller großen Firmen in Frankreich ihre eigenen Audit-Maßnahmen mit Blick auf die Zulieferfirmen aufgegeben haben und auf die Zertifizierung durch AFAQ vertrauen. Einige große Unternehmen, obgleich in Staatsbesit, wie PSA, Renault oder die Energieunternehmen EDF und GDF, beharren auf ihrem eigenen Audit, delegieren also nicht an AFAQ.

9 Zum Audit-Verfahren allgemein
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) gemäß BSI-Errichtungsgesetz für die Aufgabe zuständig, für Produkte (Systeme oder Komponenten) der Informationstechnik Sicherheitszertifikate zu erteilen. Im Informationsbereich war das FIZ Chemie Berlin Vorreiter für die Zertifizierung im hochschulnahen Raum. Hier wurde die Prüfung im FIZ Chemie von der Deutschen Gesellschaft zur Zertifizierung von Qualitätsmanagementsystemen mbH (DQS) durchgeführt und vom BMBF in einem Projekt (Volumen über 12 Mio DM) gefördert.

10 Die Analyse der Informationssituation (Audit)
Zum Audit-Verfahren – Qualitätssicherung von Informationsleistungen – Clair 1 Qualitäts(sicherungs)management/Evaluation von Dienstleistungen in Informationseinrichtungen [Vgl. Jürgen Plieninger: Bibliotheksmanagement. Tübinger Bibliotheksinformationen (TBI), , H. 1, S (http://homepages.uni-tuebingen.de/juergen.plieninger/2000bibman.htm)] Checkliste aus: aus: St. Clair, Guy: One-Person Libraries : Checkliste als Orientierungshilfe für den Betrieb von OPLs. - Berlin : DBI, (Arbeitshilfen) - S. 25f. Vgl. St. Clair, Guy : Total quality management in information services / Guy St. Clair. - London: Bowker Saur, 1996 Die Analyse der Informationssituation (Audit) Sind die Informationsprodukte gemäß den Ergebnissen einer Analyse der Informationssituation und des Bedarfs konzipiert? Entsprechen sie an Qualität dem, was der One-Person Library für ihre Arbeit an Platz, Ausstattung und Mitteln zugewiesen wurde? Wenn nicht, warum nicht? Die Sicht des Nutzers Sind die Nutzer zufrieden mit den Dienstleistungen, die sie bekommen? Gibt es Beschwerden? Worüber? Sind die Erwartungen der Nutzer hinsichtlich der Produkte und der One-Person Library mit der Realität in Einklang zu bringen?

11 Messung im Wirkungsbereich
Zum Audit-Verfahren – Qualitätssicherung von Informationsleistungen - Clair 2 Input-Kostenmessung Was kostet es, den Informationsnutzer mit den Informationsprodukten zu versorgen, die er haben möchte? Was sind die Arbeits-, Betriebs- und Immobilienkosten usw., wenn diese Dienstleistungen erbracht werden sollen? Output-Messung Was für Zahlen kommen ins Spiel (d.h. wieviele Suchanfragen wurden gestartet, wieviele Dokumente beschafft usw.)? Wie gut ist die Dienstleistung? Wird sie prompt/pünktlich/genau im richtigen Moment erbracht? Ist die Bibliothek zugänglich, wenn die Nutzer sie brauchen? Wie leicht sind ihre Produkte für die Nutzer erreichbar? Leistungsmessung Was ist der Gebrauchswert des Informationsproduktes, das die One-Person Library anbietet? Wie wird dieser Wert gemessen? Messung im Wirkungsbereich Wieviele Angehörige der gesamten Belegschaft der Dienststelle werden von der One-Person Library bedient? Was sind deren demographischen Attribute (Spezialisierung, Rolle im Arbeitsleben, Alter, Jahre an Berufserfahrung usw.)?

12 Datenschutz und Datenrecht - Datenschutzaudit
Vorschläge zur Regelung von Datenschutz und Rechtssicherheit in Online-Multimedia-Anwendungen für das BMBf ( ): Autoren: Dr. jur. Johann Bizer; Dipl.-Inform. Volker Hammer; Dipl.-Inform. Ulrich Pordesch Univ.-Professor Dr. jur. habil. Alexander Roßnagel Datenschutzaudit - Konzept und Entwurf eines Gesetzes für ein Datenschutzaudit Rechtsgutachten für das BM WT (5/99): Prof. Dr. Alexander Roßnagel (Universität GH Kassel - Projektgruppe verfassungsverträgliche Technikgestaltung (provet)) (Vgl. Roßnagel, Alexander: Datenschutzaudit. Konzeption, Durchführung, gesetzliche Regelung S., br., DM 69,-- ISBN ) Datenschutz - Sicherheitsdienste: Vortrag Uhrlau Ausweitung des Dateibegriff - jeder Text ist heute Datei, da maschinen(auswert-) verarbeitbar ist Projekt Modernisierung des Datenschutzes des Bundestags-Unterausschusses Neue Medien (Vorsitzender Jörg Tauss): (vorher:Tauss Eckwerte-Papier)

13 Datenschutz und Datenrecht – Stand Deutschland - Datenschutzaudit
Die Bundesregierung hat am 14. Juni 2000 den Gesetzentwurf zur Änderung des Bundesdatenschutzgesetzes und anderer Gesetze beschlossen. Mit dieser Änderung soll die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr in nationales Recht umgesetzt werden. Ferner enthält der Gesetzentwurf bereits einige Ansätze zur Modernisierung des Bundesdatenschutzgesetzes insgesamt (z.B. Datenschutz durch datenminimierende Gestaltung und Auswahl von Kommunikationstechnik; Datenschutzaudit; Videoüberwachungsregelung), die innerhalb der laufenden Wahlperiode fortgeführt werden soll.

14 Rechtsgutachten Roßnagel zum Datenschutzaudit
Zur Verbesserung von Datenschutz und Datensicherheit können Anbieter von Mediendiensten ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen. Das Datenschutzaudit ist eine neues, marktförmiges Instrument des Datenschutzes. Es belohnt denjenigen, der Datenschutz und Datensicherheit für seine Anwendung nachprüfbar verbessert mit der Möglichkeit, mit einem Datenschutzauditzeichen zu werben. Datenschutzaudit war ursprünglich auch im Entwurf für das IuKDG vorgesehen, so wie es auch im Mediendienste-Staatsvertrag (MDStV) enthalten ist. Die meisten gesellschaftlichen Gruppen (auch VDMA, Gesellschaft für Datenschutz und Datensicherheit(GDD), auch Bundestagsfraktion SPD, setzten sich für Datenschutzaudit ein - die damalige Koalition (CDU, FDP) konnte sich (aus Sorge vor Überregulierung) nicht dazu entschließen. Das schleswig-holsteinische Landesdatenschutzgesetz 2000 enthält zu Audit und Gütesiegel bereits die notwendigen gesetzlichen Regelungen:

15 3.6 Kommunikations- und Werbemöglichkeiten
Rechtsgutachten Roßnagel Datenschutzaudit - Inhalt Die Idee eines Datenschutzaudits Ziele eines Datenschutzaudits Stärkung der Selbstverantwortung und Stimulierung von Wettbewerb Verringerung des Vollzugsdefizits Kontinuierliche Verbesserung des Datenschutzes und der Datensicherung Datenschutzaudit als Lernsystem ... Anforderungen an ein Datenschutzaudit Interessen der Anbieter von Telediensten Interessen der Nutzer Interessen der Allgemeinheit Konzeption eines Datenschutzaudits Vorbild Umweltschutz-Audit Auditierungskonzept .... Verfahren Kommunikations- und Werbemöglichkeiten Datenschutzerklärung und ihre Verwendung Datenschutzauditzeichen und Werbemöglichkeiten Datenschutzgutachter Notwendigkeit einer rechtlichen Regelung? Unternehmenseigene Datenschutzprüfung? Datenschutzaudit im Rahmen des Qualitätsmanagements? Datenschutzaudit auf rechtlicher Grundlage? Wettbewerbsrechtliche Absicherung

16 Ziel: Rechtsgutachten Roßnagel - Zielsetzung
Datenschutzaudit (Rechtsgutachten Alexander Roßnagel Mai 1999) Ziel: Durch die abgesicherte Möglichkeit, mit seinen Datenschutzanstrengungen werben zu können, soll der Datenverarbeiter veranlaßt werden, freiwillig ein Datenschutz-Managementsystem zu errichten, das zu einer kontinuierlichen Verbesserung des Datenschutzes beiträgt. (Prinzip: Selbstverantwortung des Datenverarbeiters den Datenschutz) Datenschutz ist ein entscheidender Akzeptanzfaktor für alle Formen des elektronischen Handels und der elektronischen Verwaltung. Nach einer repräsentativen Umfrage, die das Freizeit-Forschungsinstitut in Hamburg bei 3000 Personen über 14 Jahren zum Thema Multimedia und Datenschutz durchgeführt hat, würden gern 46% aller Befragten und 57% der Berufstätigen behördliche Teledienste in Anspruch nehmen. Ein Drittel der Bevölkerung (33% der Befragten) würden gern online Informationen über Produkte und Dienstleistungen erhalten und eventuell auch kaufen und in Anspruch nehmen. Mehr Bürger sogar (37% der Befragten) würden auf diese Weise Reiseinformationen abrufen und Reisen organisieren.

17 Rechtsgutachten Roßnagel - Akzeptanzfaktor Datenschutz
Allerdings sind 47% der Bevölkerung der Ansicht, es werde derzeit zu wenig für den Datenschutz getan. Diese Einschätzung nimmt mit steigender Schulbildung zu und wird unter den Personen mit Hochschulabschluß sogar von 60% vertreten. Für die Zukunft fordern sie – auch angesichts der neuen Möglichkeiten der Multimediatechnik – eine Verbesserung des Datenschutzes. Mit 55% von allen Befragten votiert die Mehrheit für einen Ausbau des Datenschutzes. Weitere 30% würden ihn zumindest auf dem Niveau von heute halten und lediglich jeder Zwölfte (8% der Befragten) meint, dem Datenschutz könnte gern weniger Bedeutung beigemessen werden.

18 Roßnagel - Ziel: Verringerung des Vollzugsdefizits
Nicht nur im Umweltschutzrecht, auch im Datenschutzrecht besteht ein erhebliches Vollzugsdefizit. Die öffentlichen Datenschutzbeauftragten und die Aufsichtsbehörden sind durch die weltweite Vernetzung und die ubiquitäre Verwendung von Informations- und Kommunikationstechniken überfordert. Hier könnte das Datenschutzaudit zu einer Entlastung beitragen. Mit dem von ihm geschaffenen Anreiz zur Selbstkontrolle verringert das Datenschutzaudit Defizite in der Einhaltung des geltenden Datenschutzrechts. Es etabliert neue Formen und Instanzen der Datenschutzkontrolle, indem es interne Kontrollverfahren vorsieht, externe private Gutachter einbezieht und der kritischen öffentlichkeit Kontrollinformationen bietet und Bewertungsmöglichkeiten eröffnet. Maßstab der Prüfung dieser Kontrollinstanzen sind die für die Datenverarbeitung geltenden Anforderungen des Datenschutzrechts.

19 Roßnagel - Ziel3: Kontinuierliche Verbesserung des Datenschutzes
Beim Umweltschutz-Audit haben die teilnehmenden Unternehmen nicht nur die einschlägigen Vorschriften einzuhalten, sondern auch auf eine angemessene kontinuierliche Verbesserung des betrieblichen Umweltschutzes hinzuwirken, wie sie sich mit der wirtschaftlich vertretbaren Anwendung der besten verfügbaren Technik erreichen läßt. Ebenso sollte das materielle Hauptziel des Datenschutzaudits die kontinuierliche Verbesserung des Datenschutzes und der Datensicherung sein. Bisher bestehen für die Datenverarbeiter keine Anreize, eigene Anstrengungen zur Verbesserung des Datenschutzes und der Datensicherung zu ergreifen. Das Datenschutzaudit ermöglicht, solche Anstrengungen zu dokumentieren, zu prüfen und zu prämieren, und schafft dadurch einen Marktanreiz, sie zu ergreifen.

20 Roßnagel - Interessen der Wirtschaft
Für die Unternehmen ist es besonders wichtig, daß ein Datenschutzaudit für sie freiwillig ist. Sie wollen die Möglichkeit haben, darüber zu entscheiden, ob es für ihr Unternehmen oder ihr Angebot vorteilhafter ist, am Datenschutzaudit teilzunehmen oder nicht. Mit zusätzlichen Regulierungsvorgaben für ein Datenschutzaudit darf der marktwirtschaftliche Ansatz nicht konterkariert werden. Das Datenschutzaudit soll gegenüber Behörden, Gerichten und Betroffenen Rechtssicherheit gewährleisten. Für die Teilnahme am Datenschutzaudit muß es einen ausreichend hohen Anreiz geben, der neben internen Verbesserungen des Datenschutzes und der Datensicherheit vor allem in der Verwendung des Ergebnisses in der Außendarstellung ... Allerdings müssen die Kosten im Vergleich zum Ergebnis in einem vertretbaren Rahmen bleiben. Dies ist nur dann gewährleistet, wenn das Datenschutzaudit nicht bürokratisch aufgebläht wird und zu einem unnütz hohen Dokumentationsaufwand führt. Es muß organisatorisch zu bewältigen sein.

21 Roßnagel - Verfahren In Anlehnung an das Umweltschutz-Audit sollte das Datenschutzaudit in neun Schritten durchgeführt werden: 1.Die datenverarbeitende Stelle beginnt das Datenschutzaudit damit, daß sie eine Eingangsprüfung durchführt. Diese erbringt für jede Anwendung eine Bestandsaufnahme des Status der Verarbeitung personenbezogener Daten und des Status geltender Datenschutzregeln. 2.Nach dieser Bestandsaufnahmen verpflichtet sich die datenverarbeitende Stelle schriftlich zu einer die gesamte Organisation oder eine Anwendung betreffenden Datenschutzpolitik. 3.Auf dieser Grundlage erstellt die datenverarbeitende Stelle ein Datenschutzprogramm mit den konkreten Datenschutzzielen und dem Katalog konkreter Maßnahmen und dem Fristenplan zur Umsetzung der Datenschutzpolitik für die jeweilige Anwendung.

22 Roßnagel - Verfahren 4. Parallel zum Datenschutzprogramm wird ein Datenschutzmanagementsystem eingerichtet, das die Organisationsstruktur, die Zuständigkeiten sowie die Verfahren, Abläufe und Mittel zur Verwirklichung der Datenschutzpolitik festlegt. 5.In periodischen Abständen führt die datenverarbeitende Stelle selbst eine Datenschutzprüfung als systematische und dokumentierte Analyse durch ob Organisation, Management und Betriebsabläufe mit der Datenschutzpolitik und dem Datenschutzprogramm übereinstimmen und die angestrebte Verbesserung des Datenschutzes erreicht haben. 6.Als Ergebnis der jeweiligen Betriebsprüfung verfaßt die datenverarbeitende Stelle eine Datenschutzerklärung.

23 Roßnagel - Verfahren 7.Anschließend prüft ein zugelassener unabhängiger Datenschutzgutachter die Datenschutzpolitik, das Datenschutzprogramm, das Datenschutzmanagementsystem, die Datenschutzprüfung und die Datenschutzerklärung und bestätigt die Datenschutzerklärung Bestätigt der externe Datenschutzgutachter die Datenschutzerklärung wird diese an die zuständige Behörde zur Registrierung im Verzeichnis der am Datenschutzaudit teilnehmenden Stellen weitergeleitet und anschließend veröffentlicht 9. Aufgrund der Registrierung ist die datenverarbeitende Stelle berechtigt, ein Datenschutzauditzeichen für Werbezwecke zu nutzen. Dieses Logo kann die Stelle für die Kommunikation mit der öffentlichkeit, insbesondere für Vertrauenswerbung nutzen

24 Rechtsgutachten Roßnagel - Zusammenfassung
Die Diskussion um ein Datenschutzaudit kann für die Bundesrepublik Deutschland so zusammengefaßt werden: Das Datenschutzaudit ist ein neues Instrument der Selbstorganisation des Datenschutzes in Unternehmen und Verwaltungen. Es wird vor allem aufgrund seines wettbewerbsorientierten Ansatzes als sinnvolle Ergänzung bestehender Datenschutzinstrumente und aufgrund seines kommunikativen Ansatzes als hoffnungsvolles Instrument der Vertrauensbildung angesehen.


Herunterladen ppt "Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte Politik- und Selbstregulierungsansätze der Vertrauenssicherung Audit-Verfahren."

Ähnliche Präsentationen


Google-Anzeigen