Ein Leitfaden für die Berücksichtigung datenschutzrechtlicher Fragen bei der Entwicklung von betrieblichen Anwendungssystemen
- Art: Diplomarbeit
- Autor: Vassilios Karanikas
- Abgabedatum: Januar 2004
- Umfang: 145 Seiten
- Dateigröße: 632,1 KB
- Note: 2,0
- Institution / Hochschule: Universität - Gesamthochschule Essen Deutschland
- ISBN (eBook): 978-3-8324-8651-8
-
ISBN (Paperback) :
978-3-8324-8651-8 P - ISBN (CD) :978-3-8324-8651-8 CD
- Sprache: Deutsch
- Prämierung:
- Arbeit zitieren: Karanikas, Vassilios Januar 2004: Ein Leitfaden für die Berücksichtigung datenschutzrechtlicher Fragen bei der Entwicklung von betrieblichen Anwendungssystemen, Hamburg: Diplomica Verlag
- Schlagworte: Personalmanagement, E-Commerce, Bundesdatenschutzgesetz, Softwareentwicklung, Informationssysteme
In den Warenkorb
74,00 €
Diplomarbeit von Vassilios Karanikas
Einleitung:
Die globale Vernetzung und die rasante Entwicklung in der Informations- und Kommunikationstechnik weist immer größere Mittel und Chancen der Datenverarbeitung, des Datentransfers und der Datenauswertung auf. Der zunehmende Handel mit Daten und Informationen und die Beurteilung der Werthaltigkeit von Unternehmen, gemessen an dem Bestand von Kundendaten, impliziert bei Unternehmen eine größere Bedeutung des Aspektes Einhaltung von datenschutzrechtlichen Vorgaben. Möglichst viele Informationen insbesondere personenbezogene Daten zu sammeln und auszuwerten mit dem Ziel, neue Geschäftsfelder aufzudecken, wird als primärer Antrieb von Unternehmen betrachtet. Die Ware „Information“ wird folglich von Unternehmen verstärkt als strategischer Wettbewerbsfaktor bezeichnet. Die negative Folge der Ausweitung an Informationen sind immer größere Datenschutzprobleme und Gefahren auf die sich Unternehmen, Behörden und einzelne Personen nur bedingt einstellen können.
Daher bedarf es klarer Regelungen, wie die informationelle Selbstbestimmung des Individuums vor allgemeiner Verfügbarkeit seiner Daten zu schützen ist. Zum Schutze der informationellen Selbstbestimmung hat die Europäische Union Datenschutzrichtlinien eingeführt mit der Zielausrichtung, im Bereich der Technologieentwicklung einen gemeinsamen Standard zu erreichen. Die Datenschutzrichtlinien sind in den europäischen Ländern in nationales Gesetz umzusetzen bzw. umgesetzt worden. In Deutschland wird der Datenschutz durch das Bundesdatenschutzgesetz (BDSG) und zahlreiche bereichsspezifische Rechtsvorschriften geregelt.
Basierend auf der Zielsetzung einen Leitfaden für Unternehmen zu entwickeln, werden zunächst die grundlegenden Begrifflichkeiten erläutert, die im Kontext mit betrieblichen Anwendungssystemen stehen. Dazu gehört die Erläuterung der Begriffe Information, System und die Abgrenzung des Begriffes Anwendungssystem.
Diese Diplomarbeit, die als Empfehlung für Unternehmen und nicht als verbindliche Richtlinie anzusehen ist, orientiert sich am Lebenszyklus von Produkten, speziell denen der betrieblichen Anwendungssysteme, die anhand des Phasenkonzeptes auf datenschutzrechtliche Fragen untersucht werden. Die Aufteilung anhand des Phasenmodells im Rahmen eines IT-Projektes soll aufzeigen, dass der Datenschutz nicht erst auf der Anwendungsebene zu unterstützen ist, sondern bereits zum Zeitpunkt der Vorüberlegung und Gestaltung von Anwendungssystemen datenschutzrechtliche Aspekte zu beachten sind.
Die grundlegendsten und wichtigsten Datenschutzgesetze, das BDSG und bereichsspezifische Vorschriften im Zusammenhang mit Anwendungssystemen sind inhaltliche Schwerpunkte des zweiten Kapitels.
Anschließend erfolgt ein Überblick über die unterschiedlichen Arten von Vorgehensmodellen zur Systementwicklung und das für diese Arbeit ausgewählte Phasenkonzept. Das klassische Phasenkonzept mit dem Aufbau Vorphase, Ist-Analyse, Soll-Konzeption, Entwurf, Realisierung, Test, Einführung und Wartung dient als Basis für die Verknüpfung datenschutzrechtlicher Fragen bei der Entwicklung von betrieblichen Anwendungssystemen.
Die Zertifizierung und Datenschutzauditierung als neue Instrumente des Datenschutzes werden im Hinblick auf Anwendungen der Informationstechnologie explizit im Kapitel 11 betrachtet. Abschließend erfolgt die Beurteilung von datenschutzrechtlichen Regelungen im Hinblick auf die Entwicklung von betrieblichen Anwendungssystemen.
Inhaltsverzeichnis:
| II. | Abbildungsverzeichnis | 3 |
| III. | Tabellenverzeichnis | 4 |
| IV. | Abkürzungsverzeichnis | 5 |
| 1. | Einleitung und Aufgabenstellung | 7 |
| 2. | Grundlagen betriebswirtschaftlicher Anwendungen | 9 |
| 2.1 | Information und Daten | 9 |
| 2.2 | Systembetrachtung | 10 |
| 2.3 | Betriebliche Anwendungssysteme | 11 |
| 3. | Grundlagen des Datenschutzes | 15 |
| 3.1 | Terminologie des Datenschutzes und der Datensicherheit | 15 |
| 3.2 | Gesetzliche Rahmenbedingungen | 17 |
| 3.2.1 | EG-Datenschutzrichtlinie | 17 |
| 3.2.2 | EU-Datenschutzrichtlinie für elektronische Kommunikation | 19 |
| 3.2.3 | Bundesdatenschutzgesetz | 21 |
| 3.2.4 | Multimediagesetze | 27 |
| 4. | Systementwicklung | 34 |
| 4.1 | Beschreibung von Vorgehensmodellen | 35 |
| 4.2 | Phasenkonzept | 39 |
| 5. | Vorphase der Projektbegründung | 42 |
| 5.1 | Projekt und Projektmanagement | 43 |
| 5.2 | Möglichkeiten datenschutzrechtlicher Maßnahmen | 45 |
| 5.3 | Mitwirkung des Datenschutzbeauftragten im Entwicklungsprozess | 46 |
| 5.3.1 | Bestellung eines Datenschutzbeauftragten | 47 |
| 5.3.2 | Aufgaben des Datenschutzbeauftragten | 49 |
| 5.4 | Technische und organisatorische Vorüberlegungen | 52 |
| 5.4.1 | Risikomanagement | 53 |
| 5.4.2 | Wirtschaftlichkeit | 55 |
| 6. | Analyse | 57 |
| 6.1 | Analyse des Ist-Zustandes | 57 |
| 6.1.1 | Methoden zur Erfassung des Ist-Zustandes | 58 |
| 6.1.2 | Internwirksame Schicht | 59 |
| 6.1.2.1 | Personalinformationssystem | 59 |
| 6.1.2.2 | Datenschutzrechtliche Fragen | 61 |
| 6.1.3 | Externwirksame Schicht | 65 |
| 6.1.3.1 | E-Commerce-Anwendungen | 65 |
| 6.1.3.2 | Datenschutzrechtliche Fragen | 66 |
| 6.1.4 | Datenauswertung und Datenverwendung | 69 |
| 6.1.5 | Informationspflichten und Kennzeichnungspflichten | 73 |
| 6.1.6 | Rechte der Betroffenen | 75 |
| 6.1.7 | Technisch-organisatorische Ist-Zustandserfassung | 77 |
| 6.2 | Soll-Konzept | 81 |
| 6.2.1 | Grundsatz der Transparenz | 82 |
| 6.2.2 | Datensparsamkeit und Datenvermeidung | 85 |
| 6.2.3 | Anforderungen an die Datenverarbeitung | 87 |
| 6.2.4 | Technisch-organisatorische Anforderungen | 89 |
| 7. | Entwurf | 98 |
| 7.1 | Einsatzbedingungen | 98 |
| 7.2 | System- und Programmentwurf | 99 |
| 8. | Realisierung und Test | 104 |
| 8.1 | Prinzipien der Programmierung | 104 |
| 8.2 | Programm- und Systemtest | 107 |
| 9. | Einführungsphase | 110 |
| 10. | Wartung | 112 |
| 10.1 | Anforderungen an die Wartung | 112 |
| 10.2 | Datenschutz in der Wartungsphase | 114 |
| 11. | Konzept der Zertifizierung | 118 |
| 11.1 | Zertifizierungsprozess | 118 |
| 11.2 | Datenschutzaudit | 120 |
| 12. | Zusammenfassung und Schlussfolgerung | 126 |
| Literatur- und Quellenverzeichnis | 128 | |
| Eidesstattliche Versicherung | 142 |
Datenerhebung, -verarbeitung und -nutzung beim E-Commerce Im Zusammenhang mit Telediensten, den entscheidenden Anwendungsbereich für ECommerce, können folgende Arten von personenbezogenen Daten differenziert werden [HAN02, S. 176]: • • Primärdaten sind Daten, an die sich die Datenverarbeitung hauptsächlich richtet wie Bestandsdaten, Inhaltsdaten oder Abrechnungsdaten. Sekundärdaten sind Daten, die bei der Datenverarbeitung zusätzlich anfallen wie z. B. Protokoll- oder Nutzungsdaten. Bevor die Datenkategorien erläutert werden, ist der Begriff „Personenbezogene Daten“ zu konkretisieren. Personenbezogene Daten sind „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener).“.28 Zu den persönlichen und sachlichen Verhältnissen zählen Name, Anschrift, Telefonnummer, E-Mail-Adresse, Geburtsdatum, Staatsangehörigkeit, Religionszugehörigkeit sowie Kundennummern, Identifikationsnummern und Berechtigungskennzeichen (Passwörter, PIN, TAN). Eine Person wird als bestimmt definiert, wenn die vorliegenden Daten direkte Auskunft über die Identität des Nutzers erlauben. Eine Person ist bestimmbar, wenn sie nicht unmittelbar zugeordnet werden kann, jedoch durch jeweilige Zusatzinformationen identifiziert wird. Daten, die keine Zuordnung einer Person zulassen, werden anonyme Daten genannt [ROß03, S. 149 ff.]. Das Recht auf Anonymität stellt eine grundlegende Bedingung für die persönliche Freiheit dar. Die einzelne Person kann die Entscheidung treffen, ob der Name beim Kommunizieren genannt wird. Die Anonymität zeigt somit einen Schutz vor der Offenlegung der Identität einer Person auf. Pseudonyme Daten gehören ebenfalls zu den nicht personenbezogenen Daten. Pseudonymisieren bedeutet das Austauschen des Namens oder anderer Identifizierungsmerkmale durch ein Kennzeichen zur nicht direkten Bestimmung einer [...]
6.1.3.2 Datenschutzrechtliche Fragen Im Hinblick auf datenschutzrechtliche Aspekte sind in dieser Phase folgende Fragen von entscheidender Bedeutung, die nachstehend detailliert betrachtet werden: 1. Welche Daten werden erhoben, verarbeitet und genutzt? 2. Welche Verfahren der Datenauswertung und Verwendung gibt es und welche Bedrohungen können daraus entstehen? 3. Welche datenschutzrechtlichen Vorgaben sind einzuhalten? a. Sind die Informations- und Kennzeichnungspflichten erfüllt? b. Ist eine anonyme und/oder pseudonyme Nutzung möglich? c. Werden die Rechte der Betroffenen beachtet (Löschfristen, Benachrichtigung, Einwilligung usw.)? Zur Erfüllung der genannten datenschutzrechtlichen Vorgaben sind die aus dem § 9 BDSG abgeleiteten organisatorischen und technischen Vorkehrungen zu analysieren und zu bewerten. Ferner ist zu prüfen, ob Dokumentationen, Handbücher und Anleitungen der E-Commerce-Anwendung den datenschutzrechtlichen Anforderungen entsprechen. Die Dokumentationen sollen folgenden Inhalt aufweisen: • • • • • Erläuterung und Dokumentation des Datenschutzbegriffes Beschreibung der Aufgaben des Datenschutzbeauftragten Darstellung der Rechte der Betroffenen Erklärung der technisch-organisatorischen Maßnahmen nach § 9 BDSG Aufführen von Risiken und Bedrohungen bei der Nutzung des Anwendungssystems. Zweck der Dokumentationen ist, dem Anwender einen verständlichen Überblick zu gewähren, ohne ihn mit schwer verständlichen gesetzlichen Regelungen zu konfrontieren. Daher sollte der Umfang der Dokumentationen so gering wie möglich gehalten werden [WED01, S. 85 ff.]. Nachstehende Fragen sind in diesem Zusammenhang zu stellen: [...]
6.1.3 Externwirksame Schicht In der externwirksamen Schicht werden die Beziehungen zwischen natürlichen Personen (Kunden, Nutzer) und dem datenverarbeitenden Unternehmen unter Berücksichtigung datenschutzrechtlicher Aspekte beschrieben. E-Commerce Anwendungen werden in diesem Zusammenhang exemplarisch betrachtet. Unter E-Commerce versteht man das Ausüben von Geschäften mittels neuer elektronischer Medien. E-CommerceAnwendungen unterliegen den Vorgaben des BDSG und den bereichsspezifischen Teledienstegesetzen und sind bei der automatisierten Verarbeitung von personenbezogenen Daten grundsätzlich geeignet, die Beziehungen zwischen Datenschutzgesetzen, Sicherheitsproblemen und technischen Lösungsmöglichkeiten zu beschreiben. Der Informationsbedarf an personenbezogenen Daten als wirtschaftliches Gut wird bei ECommerce-Anwendungen wesentlich höher bewertet als bei anderen Dienstofferten. Das Informationsgefälle, das Kunden unzureichende Informationen über die Erhebung ihrer Daten erhalten, versuchen datenschutzrechtliche Bestimmungen zu lösen [ROH03, S. 76]. [...]
In den Warenkorb
74,00 €
Link zur Arbeit:
http://www.diplom.de/ean/9783832486518
Arbeit zitieren:
Karanikas, Vassilios Januar 2004: Ein Leitfaden für die Berücksichtigung datenschutzrechtlicher Fragen bei der Entwicklung von betrieblichen Anwendungssystemen, Hamburg: Diplomica Verlag
Schlagworte:
Personalmanagement, E-Commerce, Bundesdatenschutzgesetz, Softwareentwicklung, Informationssysteme
Entdecken Sie mehr zum Thema
