Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 1 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Vertrauen ein ökonomisches und ethisches Prinzip elektronischer Märkte V5 Vertrauenssicherung in der Wirtschaft 30. Mai 2001 Dozent: Rainer Kuhlen IB-HU-Berlin
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 2 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21-Initiative Inhalt W3C – P3P TRUSTe VeriSign WebTrust GlobalSign
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 3 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich): für Internet-Angebote PDF-Folien Rieß/DaimlerPDF-Folien Rieß/Daimler: mailbox:/D|/Mailfiles-HU/Inbox?id=7B4C96A066E0D EBFA1015B76FC%40MCHH236E&number= &part=1.2 Eine Initiative der Selbstregulierung: Um die wirtschaftlichen Chancen des E-Commerce auszuschöpfen, muss... beim Verbraucher die Unsicherheit über die rechtlichen Bestimmungen und die Angst vor Betrug und Datenmissbrauch abgebaut werden. Vertrauen durch Transparenz, Verlässlichkeit und Glaubwürdigkeit sind die entscheidenden Voraussetzungen für eine breite Akzeptanz des elektronischen Handels. Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 4 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich): Ziel des Online-Sigels:Qualitätskriterien für Internet-Angebote uVerbrauchern eine klare Orientierung zu geben und sie in die Lage zu versetzen, im In- und Ausland seriöse Anbieter zuverlässig zu identifizieren, uHändlern ein Selbstregulierungssystem zur Verfügung zu stellen, dass das Vertrauen von Verbrauchern in möglichst vielen Ländern genießt und somit insbesondere für kleine und mittlere Betriebe Märkte öffnet und Marketingvorteile bietet. uGleichzeitig kann durch international vereinheitlichte Regelungen die Übersichtlichkeit und Transparenz der Geschäftsprozesse verbessert werden. Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 5 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlichtungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 6 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Der Kunde muss insbesondere über den vollen Namen des Unternehmens und die Identität es Anbieters, Handelsregister-nummer sowie deren Sitz, deren elektronische und geogra-fische Adresse, unter der der Anbieter erreichbar ist, informiert werden. Es muss ein Verantwortlicher namentlich benannt werden, an den der Kunde sich wenden kann. Neben einer -Adresse sollte dem Kunden auch unter einer Telefonnummer die zügige Kontaktaufnahme mit dem Diensteanbieter ermöglicht werden. Die Anbieterangabe sollte z.B. unter Impressum oder Wir über uns leicht und an gut sichtbarer Stelle in dem E-Commerce-Auftritt auffindbar und ausdruckbar sein.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 7 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Angesichts der Globalität der Internetangebote müssen die Preise, die Währung und Nebenkosten, wie z. B. Mehrwertsteuer, Gebühren und Versandkosten für den Kunden vor Abgabe der verbindlichen Bestellung transparent und vollständig dargestellt werden. In angemessenen Umfang soll auch über Zölle informiert werden. Auf die Gültigkeitsdauer befristeter Angebote sowie mögliche Änderungen von Preisen und Nebenkosten nach der Bestellung muss der Kunde deutlich hingewiesen werden.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 8 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Informationen zu den Zahlungsbedingungen müssen vollständig sein. Dazu gehören insbesondere: - Umfassende Information über die Zahlungswege - Anbieterseitige besondere Zahlungsbedingungen (z.B. besonderes Entgelt für das Zahlungsverfahren) - Zeitpunkt des Zahlungsvorganges bei Einzugsermächtigung oder einer elektronischen Zahlung - Informationen über Datensicherheit bei elektronischen Zahlungsverfahren und elektronischen Einzugsermächtigungen - Wahrnehmung von Meldeplichten - Evtl. Konditionalstrafen
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 9 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Die Prozesse der Leistungserbringung und gegebenenfalls der Lieferung müssen eindeutig festgelegt sein und dem Kunden klar dargestellt werden. Dazu gehören wesentliche Eigenschaften der Leistungen, Informationen über Kundendienst, Garantie- und Gewährleistungsrechte sowie Hinweise zur Nutzung der Leistungen und eventueller technischer und sonstiger Voraussetzungen-
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 10 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Die Rückgabe sollte für den Kunden möglichst einfach sein. Hierfür sollte ein leicht zugängliches Formular bereitgestellt werden. Es muss klargestellt werden, welche Kosten auf den Kunden bei einer Rückgabe insgesamt zukommen und wie die Rückerstattung bereits bezahlter Beträge erfolgt. Fristen für die Rückgabe müssen eindeutig definiert werden.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 11 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Zum Schutz der personen- bezogenen Daten sind nationale und internationale Vorschriften zu beachten. Es existieren zudem nationale und internati-onale Empfehlungen, die Orientierung bieten. Deutschland: Teledienstedatenschutz-gesetz, Telekommunikationsgesetz, Telekommunikationsdatenschutz-verordnung, Bundesdatenschutzgesetz. Europäische Richtlinien: Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24.Oktober 1995; Richtlinie 97/66 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation. U.S. Department of Commerce: Draft International Safe Harbor Privacy Principles. Internationale Datenschutzempfehlungen: OECD: Empfehlung des Rates über Leitlinien für den Schutz des Persönlichkeitsbereichs und den grenzüberschreitenden Verkehr personenbezo- gener Daten( ), UNO: Richtlinien betreffend personenbezogene Daten in automatisierten Dateien ( ).
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 12 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel Der Anbieter soll eine Kontaktadresse angeben, an die der Kunde sich bei Beschwerden per , schriftlich oder telefonisch wenden kann. Dies deckt sich mit den Anforderungen an die Anbieterkennzeichnung. Wichtig ist, dass dem Kunden eine dem Medium entsprechende schnelle Reaktionsmöglichkeit bereit gestellt wird. Beschwerdeverfahren können auch über Gütezeichenanbieter abgewickelt werden. Es sollten alternative Streitschlichtungsverfahren angeboten werden, die zielgerichteter und kostengünstiger Entscheidungen herbeiführen können als dies bei Inanspruchnahme des Rechtsweges möglich ist.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 13 Vertrauen – SS Vertrauenssicherung in der Wirtschaft D21 – Qualitätskriterien für Internet-Angebote (im B2C-Bereich):Qualitätskriterien für Internet-Angebote Anbieterkennzeichnung Preisinformation Vertragsbedingungen Leistungserbringung/Lieferung Widerruf und Rückgabe Datenschutz Beschwerde und alternative Streitschlich- tungsverfahren Gütezeichen Vertrauenssicherung als Selbstregulierung durch Qualitätssicherung/Gütesiegel D21 unterstützt die Herausgabe von Gütezeichen, die die Umsetzung der Qualitätskriterien für den Kunden transparent machen und die entsprechenden Verfahren zur Umsetzung und Kontrolle anbieten. Der Herausgeber eines Gütezeichens muss seine Qualitätsanforderungen im Web für jedermann abrufbar halten und ein Beschwerde- und Überwachungsverfahren zur Einhaltung des Gütezeichens bereitstellen. Erste D21-Empfehlungen für Gütesiegelanbieter:Empfehlungen de/home.php3?nav=ssi&t easer=ssi&text=guetesieg el/guetesiegel.html
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 14 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Gateway: Platform for Privacy Preferences - P3P: The Platform for Privacy Preferences Project (P3P), developed by the World Wide Web Consortium, is emerging as an industry standard providing a simple, automated way for users to gain more control over the use of personal information on Web sites they visit. At its most basic level, P3P is a standardized set of multiple-choice questions, covering all the major aspects of a Web site's privacy policies. Taken together, they present a clear snapshot of how a site handles personal information about its users. P3P-enabled Web sites make this information available in a standard, machine-readable format. P3P enabled browsers can "read" this snapshot automatically and compare it to the consumer's own set of privacy preferences. P3P enhances user control by putting privacy policies where users can find them, in a form users can understand, and, most importantly, enables users to act on what they see.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 15 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Kritik an P3P aus deutsche Datenschutzsicht (Rossnagel) Vom deutschen Datenschutzrecht her gesehen verbessert P3P nur die Transparenz der Datenverarbeitung und bietet keine Unterstützung des Systemdatenschutzes, der Zweckbindung und der Nutzerrechte. Insbesondere werden folgende Anforderungen nicht unterstützt und müssen auf andere Weise gewährleistet werden: P3P macht keine Aussagen über das Verhalten eines Dienstes, wenn ein Nutzer in eine vorgeschlagene Policy nicht einwilligt. Nach § 3 Abs. 4 TDDSG und § 12 Abs. 5 MDStV darf ein Diensteanbieter einen Nutzer nicht von einem Dienst ausschließen, wenn diesem Nutzer kein anderer Zugang zu diesen Telediensten überhaupt oder in zumutbarer Weise möglich ist. Weder die Authentifizierung der Policy noch die elektronische Einwilligung des Nutzers ist vorgesehen, schon gar nicht in der von § 3 Abs. 7 TDDSG und § 12 Abs. 8 MDStV geforderten Art und Weise.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 16 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Kritik an P3P aus deutsche Datenschutzsicht (Rossnagel)Rossnagel Es gibt bisher nur eine Handvoll pauschaler Zweckbeschreibungen (Purpose). In einem Others-Feld kann ein Verwendungszweck zwar in freien Worten beschrieben werden, aber das erfordert zur Entscheidung über Annahme oder Ablehnung einer Policy in derRegel eine direkte Interaktion mit dem Nutzer. Das Beschreibungsmaterial für eine automatische Interpretation dagegen ist zu gering. Inwieweit das P3P-Vokabular mit den daten- schutzrechtlichen Anforderungen übereinstimmt, bedarf genauer Prüfung. Kontrollrechte der Nutzer auf Auskunft, Berichtigung, Sperrung und Löschung werden nicht unterstützt.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 17 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Kritik an P3P aus EU-Datenschutzsicht Eine technische Plattform für den Schutz der Privatsphäre wird per se nicht ausreichen, um die Privatsphäre im Netz zu schützen. Sie muß im Zusammenhang mit einem Rahmen verbindlicher Datenschutzbestimmungen Anwendung finden, der für alle Individuen ein Minimum an nichtverhandelbarem Datenschutz vorsieht. Die Verwendung von P3P und OPS in Ermangelung eines derartigen Rahmens bringt die Gefahr mit sich, die Verantwortung für den eigenen Schutz vordringlich dem einzelnen Nutzer zuzuschieben, und diese Entwicklung würde den weltweit eingeführten Grundsatz untergraben, demzufolge der Dateiverantwortliche für die Einhaltung der Grundsätze des Datenschutzes zuständig ist (OECD-Leitlinien 1980, Übereinkommen Nr. 108 des Europarats aus dem Jahre 1981, VN-Leitlinien 1990, EU-Richtlinien 95/46/EG und 97/66/EG). Eine derartige Umkehrung der Zuständigkeit setzt außerdem einen Kenntnisstand im Hinblick auf die Gefahren voraus, die die Datenverarbeitung für die Privatsphäre des Individuums nach sich zieht, der realistischerweise von den meisten Bürgern nicht erwartet werden kann.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 18 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Kritik an P3P aus EU-Datenschutzsicht Es besteht die Gefahr, daß P3P nach ihrer Realisierung bei der nächsten Generation der Software der Navigationsprogramme in der Europäischen Union niedergelassene Betreiber irreführenderweise veranlassen könnte, zu glauben, daß sie von einigen ihrer gesetzlichen Verpflichtungen entlastet werden können (beispielsweise Gewährleistung des Rechts einzelner Nutzer auf Zugriff zu ihren Daten), wenn der einzelne Nutzer diesem als Teil der On-line-Verhandlung zustimmt. De facto werden die Unternehmen, Organisationen und Einzelpersonen, die in der Europäischen Union niedergelassen sind und über das Internet Dienstleistungen anbieten, in jedem Fall die in der Datenschutzrichtlinie 95/46/EG niedergelegten Bestimmungen im Hinblick auf alle personenbezogenen Daten zu befolgen haben, die sie erfassen und verarbeiten.
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 19 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Kritik an P3P aus EU-Datenschutzsicht P3P kann somit nicht nur unter den Betreibern im Hinblick auf ihre Verpflichtungen, sondern auch unter den Internet-Nutzern im Hinblick auf den Charakter ihrer Datenschutzrechte zur Verwirrung führen. Software für Navigationsprogramme, die in der Europäischen Union verkauft oder vertrieben wird, muß deshalb so gestaltet und ausgelegt werden, daß sie gewährleistet, daß On-line-Vereinbarungen, die im Widerspruch zu geltenden Datenschutzgesetzen stehen, nicht möglich sind. Für Nutzer in der Europäischen Union, die mit Internetseiten mit Sitz in Nicht-EU- Ländern in Kontakt treten, ist das Hauptproblem, daß die Organisation, der sie personenbezogene Daten liefern, nicht unter die EU-Richtlinie oder sonstige tatsächlich umgesetzte Datenschutzbestimmungen fallen könnte
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 20 Vertrauen – SS Vertrauenssicherung in der Wirtschaft The IBM P3P Policy EditorThe IBM P3P Policy Editor: (4.6MB download) The IBM P3P Policy Editor is a visual tool for creating a Web site's privacy policy that can be interpreted by Web browsers and other user agents that support the P3P specification from the W3C. P3P (Platform for Privacy Preferences Project) offers a way for users to automate the acceptance or rejection of a Web site's requests for information, based on preferences users can set from their browsers or client devices. This provides assurance to users that their privacy is protected without having to read each Web site's privacy policy. Using P3P, an organization posts an XML-formatted privacy policy (machine-readable) on their Web site that describes their privacy practices, including the type of information collected, how the information is used, and who can get access to the information. P3P specification for declaring the types of data collected at a site can become complicated, leaving Webmasters susceptible to errors and requiring a lot of time to develop and test. The P3P Policy Editor takes the complexity out of creating the machine-readable policy by hand. The editor includes standard data types and categories that you can quickly drop into your policy. Information zum Einrichten von P3P – Stand Einrichten von P3P
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 21 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Vertrauenssicherung durch Dritte uTRUSTe: truste.org/TRUSTe
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 22 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Vertrauens- sicherung durch Dritte: GlobalSign: t/ GlobalSign
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 23 Vertrauen – SS Vertrauenssicherung in der Wirtschaft uVeriSign: Authentication - Assure your customer your site is legitimate. Confidentiality - Keep sensitive transactions and communications private. Data Integrity - Protect data transmission from third-party alterations. Nonrepudiation - Validate transactions to authenticate customer's intent. Payment Gateway - Process credit card transactions in real-time! Vertrauenssicherung durch Dritte
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 24 Vertrauen – SS Vertrauenssicherung in der Wirtschaft uWebTrust: Eine Initiative des American Institute of Certified Public Accountants: WebTrust identifies and helps to reduce e-Commerce business risks and encourages online confidence and activity. Performed by CPAs and their equivalents worldwide, WebTrust can: uIdentify risks, including possible privacy breaches, security gaps, and other systems affecting the customer interface uBenchmark and encourage best practices uProvide independent verification that the site complies with the international WebTrust Standards for e-Commerce. Vertrauenssicherung durch Dritte
Institut für Bibliothekswissenschaft an der Humboldt-Universität Berlin 25 Vertrauen – SS Vertrauenssicherung in der Wirtschaft Vertrauenssicherung durch Dritte - WebTrust