Notwendige Elemente für die Vergabe eines Gütesiegels im E-Commerce aus datenschutzrechtlicher Sicht

Der globale Charakter des elektronischen Geschäftsverkehrs (E-Commerce) bringt einen intensiven Austausch von Personendaten mit sich, der unter Umständen die Privatsphäre der betroffenen Personen verletzen kann. Deshalb ist es von grösster Bedeutung, dass die Grundprinzipien des Datenschutzes auch im Umfeld des E-Commerce Anwendung finden.

Um das Vertrauen der Benutzer in den E-Commerce zu stärken, sollen - wie dies auch vom DSG vorausgesetzt wird - die Anbieter die Kundendaten transparent bearbeiten. Sie müssen die Benutzer informieren, welche Personendaten sie für welchen Zweck bearbeiten möchten. Aufgrund dieser Überlegungen begrüssen wir die Schaffung eines Gütesiegels, das u.a. die datenschutzkonforme Bearbeitung von Personendaten garantiert und somit das Vertrauen der Kunden in den E-Commerce stärkt.

Bei einem Gütesiegelverfahren gilt als Grundvoraussetzung, dass die gesetzlichen Anforderungen für den Schutz der Privatsphäre mittels einer Normierung technisch umgesetzt werden. Für die Wirksamkeit eines Gütesiegels müssen aus datenschutzrechtlicher Sicht folgende Anforderungen und Prüfungskriterien berücksichtigt werden:

Verlässlicher Prozess bei der Vergabe des Gütesiegel

Die Vergabe des Gütesiegels darf nur über einen transparenten Vergabeprozess mit nachvollziehbaren Prüfungskriterien erfolgen. Deshalb muss sichergestellt werden, dass das Verfahren zur Erteilung des Gütesiegels sowie die Prüfungskriterien klar definiert und in einer verbindlichen Norm festgelegt werden. Der somit klar festgelegte Zertifizierungsvorgang hat anschliessend zur Vergabe des Gütesiegels zu führen durch eine dafür geeignete Institution im Rahmen eines Auditverfahrens.

Einhaltung und Umsetzung der gesetzlichen Datenbearbeitungsgrundsätze

Vor der Vergabe des Gütesiegels ist die Einhaltung der gesetzlichen Anforderungen für die Bearbeitung von Personendaten über den Zertifizierungsvorgang zu überprüfen. Deshalb müssen insbesondere folgende Anforderungen geprüft werden:

Transparente Information an den Benutzer/Kunden (z.B. Privacy Policy).
  • Erfüllung der gesetzlichen Anforderungen bei Datenbearbeitungen (wie Kriterien zur Speicherung, Löschung und Weitergabe von Personendaten).
  • Gewährung von Auskunfts- und Berichtigungsrecht sowie Klagerechte bei Streitfällen oder Persönlichkeitsverletzungen.
  • Gewährung eines Wahlrechts an die Benutzer/Kunden für die Verwendung seiner Daten.
  • Gewährung der Datensicherheit durch technisch-organisatorische Massnahmen. Verbindlicher Kontrollprozess mit Sanktionen und Massnahmen bei Nichteinhaltung der Regeln

Mittels eines verbindlichen und verlässlichen Prozesses muss nach der Vergabe des Gütesiegels die Nachkontrolle, z.B. auf jährlicher Basis, gewährleistet werden. Bei Nichteinhaltung der Anforderungen und Regeln sind schliesslich auch Sanktionen und Massnahmen vorzusehen wie z.B. der Entzug des Gütesiegels.

Berücksichtigung der europäischen Anforderungen in Sachen Datenschutz

Die europäischen gesetzlichen Anforderungen an die Bearbeitung von Personendaten müssen bei der Prüfung einbezogen werden, damit auch die internationale Verlässlichkeit des Siegels erwirkt werden kann.

[Juli 2001]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/8--taetigkeitsbericht-2000-2001/notwendige-elemente-fuer-die-vergabe-eines-guetesiegels-im-e-com.html