Verantwortung im Umgang mit Daten

TRUSTED PRIVACY
Verantwortung im Umgang mit Daten,
Datenschutzzertifizierung für mehr Qualität und
was das für die Praxis bedeutet
Prof. Dr. Christoph Bauer
ePrivacy GmbH
Goldbach Seminar: Data Driven marketing, Küsnacht 29.6.16
Zahlen und Fakten
150
vielen Ländern
weltweit tätig
OBA Framework
bestimmt den
Marktstandard
Vergebene
ePrivacyseal
Version EU / DE
70
Vergebene
OBA Trust Seal
Zertifizierungen
80
10
ePrivacy ist in
Kunden der
ePrivacy
GmbH
Kooperationen mit
verschiedenen
Institutionen
Andere Zertifikate:
DTSG Brand Safety,
Targeting Seal…
2011
ePrivacy
privacy
European Seal for your
250
Geprüfte
Mobile Apps
Consulting Projekte:
Big Data
Privacy by Design
20
16
Beteiligte
Auditoren und
Gutachter
950
15
20
2
Referenzen
ePrivacy
privacy
European Seal for your
3
ePrivacy – Internationale Präsenz
China
USA
Hamburg
London
ePrivacy zertifiziert in
17 Ländern weltweit
Brüssel
Paris
Zürich
Mailand
Büro in Hamburg,
Deutschland
Madrid
Internationale Produkte:
Internationale Kooperationen:
Vertretungen in
-
-
-
-
ePrivacyseal EU (nach neuer
EU-DSGVO)
OBA-Zertifikation (EU-weit)
DTSG UK Brand Safety
ePrivacyseal CH/DE
ePrivacy
privacy
European Seal for your
-
IAB Europe
Local Based Marketing
Association (LBMA)
International Association of
Privacy Professionals (IAPP)
London (UK)
Paris (FR)
Zürich (CH)
Brüssel (BE)
Mailand (IT)
Madrid (ES)
4
Angebot im Überblick
1
Externer Datenschutzbeauftragter
Analyse des Status Quo, Beratung und Erstellung aller Standard-Dokumente
Hauptansprechpartner für Behörden, interner Ansprechpartner in allen
Datenschutzangelegenheiten
2
Datenschutz Workshops
Produktanalyse – Privacy by Design
EPRIVACYSEAL
VERSION
DE
Erforderliche und empfohlene Anpassungen; erweiterte Zusammenarbeit
3
Privacy Evaluierung
Komplette Produktanalyse und Bewertung – Privacy by Design
Offizielle Dokumentation von ePrivacy
4
Gütesiegel & OBA Zertifizierung
Detaillierte technische und rechtliche Evaluierung – Wettbewerbsvorteil durch unser
Siegel
OBA ZERTIFIZIERUNG
Offizielles Siegel von ePrivacy und von der EDAA, powered by ePrivacy
Siegel und Evaluation können zur externen Kommunikation verwendet werden
5
Schlüsselkunden
Datenschutzbehörden
Webseiten
Andere Prüfer oder Investoren
Datensicherheit ISO 27001
Detaillierte technische Beratung und Zertifizierung
EPRIVACYSEAL
VERSION
EU
Offizieller Anbieter der ISO 27001 Prüfung
ePrivacy
privacy
European Seal for your
5
Prozess
Datenschutzkonforme Prozesse
Datenschutz in der Nutzer- und
Kunden-Kommunikation
Siegelerstellung
ePrivacyseal DE Version
ePrivacyseal EU Version
Aktiver Datenschutz für
Marketing und Kundenbindung
Ziel
Datenschutzkonforme Produkte
Aufgabe
1.
Datenschutz als
Wettbewerbsvorteil
Technische Produkte
Rechtliche Grundlagen
Nutzerechte, Opt-out/Opt-in
Verträge etc.
2.
Zertifizierung
Antragsverfahren
für das Gütesiegel
Gütesiegelerteilung
ePrivacyseal
Ziel
Transparenz
Stand der Technik
Handlungsbedarf
Konzept und Planung
5.
Analyse
Organisation / Prozesse,
Datenfluss und -architektur
3.
Schwerpunkte
Optimierung
finaler
Audit
Ziel
Ziel
4.
Optimierung
des Status Quo durch Kunden
Datenvermeidung und -transparenz,
Nutzungen rechtlicher Gestaltungen,
UseCases, Anonymisierung von Daten
Vorbereitung auf die Prüfung
Organisation Prüfungsverfahren
ePrivacy
privacy
European Seal for your
Prüfung durch Gutachter
Technik, Prozesse und
Rechtslage
Auflagen
für das Gütesiegel
Empfehlungen
für weitere Verbesserungen
Zertifizierung und Gutachten,
Erteilung Gütesiegel
6
Kriterien der Zertifizierung
Öffentlicher Kriterienkatalog kann auf der Website www.eprivacy.eu heruntergeladen werden
Basierend auf strengem Deutschen oder Europäischen Datenschutzrecht, umfasst aber auch
weitere Anforderungen
Kriterienkatalog von deutschen Datenschutzbeauftragten empfohlen
Unsere akkreditierten Gutachter sind auf der Website von ePrivacy veröffentlicht
Durch die Veröffentlichung der Unterlagen können Kunden, Investoren, Wettbewerber und
andere Parteien das verliehene Siegel und dessen Anforderungen einsehen
Öffentliche Kriterien
ePrivacy GmbH ist einer der wenigen Zertifizierungsdienstleister, die den eigenen
Kriterienkatalog veröffentlichen. Vertrauen und Transparenz, sowohl für unsere Kunden
als für die Nutzer, ist für uns sehr wichtig. Dies ist der Grund dafür, dass wir
beschlossen haben, die Standards für unsere Produkte öffentlich zu machen.
Audit
Unser Kriterienkatalog ist öffentlich und
kann
auf
unserer
Website
heruntergeladen werden. Dieser Katalog
ist die Basis für unsere Prüfung und
Zertifizierung. Die Analyse der aktuellen
Situation beinhaltet die Prüfung der
technischen
Prozesse
und
ein
rechtliches Gutachten.
ePrivacy
privacy
European Seal for your
Technisches Gutachten
Das technische Gutachten ist das finale
Dokument, welches auf der Grundlage der
Erkenntnisse, die wir beim Audit erhalten,
erstellt wird.
Die Auflagen und
Empfehlungen zeigen alle notwendigen
und optionalen Verbesserungen auf, die zur
Vergabe des ePrivacyseal umzusetzen
sind.
Rechtliches Gutachten
Das rechtliche Gutachten ist ein offizielles
Dokument,
basierend
auf
den
Erkenntnissen
der
rechtlichen
Umsetzung, die wir beim Audit erhalten
haben. Unsere Kunden erhalten dieses
Gutachten,
welches
für
Anfragen
bezüglich
Datenschutz und Datensicherheit verwendet werden kann.
7
Unsere Expertise
Um das höchste Niveau von Know-How und Support für unsere Kunden zu
garantieren, haben wir ein Netzwerk von Partnern und Verbänden aufgebaut. Wir
stellen sicher, dass die Diskussionen über den Datenschutz und die Sicherheit der
User vorsichtig in Medien und Politik platziert werden. Die Publikationen von ePrivacy
werden als Fachartikel von anerkannten Medien und Organisationen veröffentlicht.
Wir sind auch Teilnehmer des EU Round Table (Data Protection).
Anerkannt vom ULD
Mitglied des IT-Gipfels
Prof. Dr. Bauer und Dr. Eickmeier sind
anerkannte
Sachverständige
beim
Unabhängigen
Landeszentrum
für
Datenschutz Schleswig-Holstein (ULD).
Deswegen ist ePrivacy dazu berechtigt,
das ULD-Siegel zu vergeben. Das ULD
nimmt die Position staatlicher Kontrolle
und eine Beraterfunktion ein.
Der Nationale IT-Gipfel ist die zentrale
Plattform für die Zusammenarbeit von
Politik, Wirtschaft und Wissenschaft, um
den
IKT-Standort
Deutschland
zu
stärken. ePrivacy ist Mitglied der
Arbeitsgruppe „Mobile Security“ mit ITSicherheit von Smartphones und Tablets
als Kernthema.
ePrivacy
privacy
European Seal for your
Mitglied von Verbänden
ePrivacy ist Mitglied etlicher deutscher
und internationaler Verbände und
Organisationen
mit
Fokus
auf
Datenschutz
und
Datensicherheit.
BVDW, BITKOM, IAB Europe, LBMA
sind ein wichtiger Bestandteil der
Vernetzung und des Austauschs von
Spezialisten.
8
IAB Europe OBA Framework – EDAA Siegel
Im April 2011 haben die europäischen Verbände IAB und EASA eine
Selbstverpflichtung für das Online Behavioral Advertising eingeführt, das IAB Europe
OBA Framework. Mehr als 250 Unternehmen im Online-Profiling, Targeting, UserProfiling und Ad-Networks haben den Vertrag bis heute unterzeichnet. Sie
verpflichten sich damit selbst im Interesse ihrer Kunden und zeigen ihr Engagement
mit dem EDAA Trust-Seal.
Einhaltung des OBA Frameworks
Das IAB EDAA Framework enthält 6 Hauptkriterien:
Ausschluss sensitiver Segmentierung
Erkennbarkeit von OBA für Nutzer
Prozess zur Beantwortung von NutzerBeschwerden
Betroffene Unternehmen
Das EDAA OBA Framework betrifft alle
Unternehmen, die an der Sammlung und
Nutzung von OBA-Daten beteiligt sind,
ebenso wie Unternehmen und Agenturen,
die in die Ausspielung von OBA involviert
(third party) sind. Dieser Katalog ist die
Basis
für
unsere
Prüfung
und
Zertifizierung.
ePrivacy
privacy
European Seal for your
Datenschutz und Transparenz
Opt-out-Möglichkeit für die Benutzer
Cookies-Präferenzmanagement
ADMARKER
Zertifizierungsprozess
Der Zertifizierungsprozess mit unserer
eigenen Software PIT® - Privacy Inspection
Technology ist in drei Schritte unterteilt:
ICI® – Initial Compliance Inspection
30CI® – 30 Days Compliance Inspection
CCI® – Continuous Compliance Inspection
Vergebene Siegel
Alle Unternehmen, die den Prozess
erfolgreich durchlaufen, erhalten das
EDAA Siegel für die Einhaltung des IAB
Europe
OBA
Frameworks.
Die
Veröffentlichung der vergebenen Siegel
ist eine weitere positive Aussage zum
Datenschutz unserer Kunden.
9
Datenschutzgütesiegel “ePrivacyseal CH“
Zertifizierung als Bedürfnis der Wirtschaft (ISO 27001; ISAE 3402; etc.)
Wettbewerbsvorteil
Ausgangslage in der Schweiz: staatliches Datenschutz-Qualitätszeichen
(Art. 11 DSG), aber auch die Möglichkeit, private Gütesiegel einzuführen
Erfolgreiches privates Gütesiegel in Deutschland
ePrivacy
privacy
European Seal for your
10
Was ist das ePrivacyseal CH Datenschutzgütesiegel?
Erteilung des Gütesiegels:
Bei Einhaltung des Kriterienkatalogs verleiht und publiziert ePrivacy das
Datenschutz-Gütesiegel für eine befristete Dauer (i.d.R. 2 Jahre). Es gibt
Siegel basierend auf dem schweizerischen, deutschen oder europäischen
Recht.
ePrivacy
privacy
European Seal for your
11
Verantwortung im Umgang mit Daten – der Nutzen von Zertifizierungen
1
Einhaltung des gesetzlichen Datenschutzes – ein Hygienefaktor
Grundprinzipien des Datenschutzes einhalten:
Einwilligungen beachten
Transparenz, Information für Nutzer umsetzen
EPRIVACYSEAL
VERSION
DE
Nutzerentscheidungen akzeptieren
Wer (etwas) höhere Anforderungen umsetzt, erzielt Wettbewerbsvorteile!
2
Gefühlter Datenschutz – die Nutzer schätzen Privatsphäre
Wirkungen der Werbung / Aktionen auf Nutzer beachten, insb.
Privatsphäre ist zu beachten
OBA ZERTIFIZIERUNG
Schwer zu messende Effekte, aber Nutzer wenden sich sonst ab (z.B.
Adblocker-Diskussion)
3
Effiziente Zertifizierungen sind notwendig
Zertifizierungen müssen den Standards entsprechen (u.a. Abdeckung der
Kriterien-Standards, öffentlicher Kriterienkatalog, öffentliche Siegel,
akkreditierte Gutachter etc.)
Zertifizierungen müssen effizient sein bzgl. Kosten/Nutzen, Input/Output
ePrivacy
privacy
European Seal for your
EPRIVACYSEAL
VERSION
EU
12
Unser Service und unsere Produkte
EDAA OBA
ZERTIFIZIERUNG
DTSG UK
EPRIVACYAPP
Audit Scope
Datenschutz und Datensicherheit
von persönlichen Daten
Compliance Inspektionen
ICI® and 30CI®
wir berichten an die EDAA
Analyse des Status Quo
rechtliche und Prozess-Auswertung
Bericht an JICWEBS
Datenschutz und Datensicherheit
basierend auf Deutschen
Datenschutzgesetz
Zertifizierungs
Standards
BDSG Bundesdatenschutzgesetz
EU Richtlinie 95/46/EC
EASA
IAB Europe
OBA Framework
DTSG Good Practice
Richtlinien
ePrivacyApp
Kriterienkatalog
Gültigkeit
normalerweise zwei Jahre
kann aber individuell festgelegt werden
ein Jahr
für zwei Tracking-Cookies
ein Jahr
individuell
CCI®
monatliche Kontrollen
Quartalsberichte
von Änderungen am
Produkt abhängig
von Änderungen am
Produkt abhängig
EDAA Trust Seal
DTSG Seal
ePrivacyApp Seal
SERVICE
EPRIVACYSEAL
Ongoing Auditing von Änderungen am
Produkt abhängig
and Support
Gütesiegel
ePrivacyseal DE Version
ePrivacyseal EU Version
PRIVACY BY
SERVICE DESIGN
DATENSCHUTZ
EXTERNER
IM BEZUG AUF BIG DATENSCHUTZDATA
BEAUFTRAGTER
ISO 27001
Prüfung von Location-Based Werbung
mit Smartphone-Tracking
Aktuelle Analysen und Unterstützung
beim öffentlichen Verfahrensverzeichnis
Mitarbeiterinformationen und
Datenschutzerklärung
Analyse und Empfehlungen zur
Informationssicherheit
Implementierung Workshops
Datenschutzkompatibles Design
Aufbau von Data-ManagementPlattformen (DMP)
Gestaltung von Offline- und OnlineDaten-Zusammenführung
Klärung von Datenschutzfragen
abhängig von Empfehlungen
ProzessOptimierung
abhängig vom Ergebnis des
Workshops
Sichere und datenschutzkompatible
Kombinationen von Online- und OfflineDatenpools mit CRM-Daten
wir geben Empfehlungen für
weitere Optimierungen
abhängig von Empfehlungen
Beratung
und Support
Erstellung Datenschutzerklärung
Erstellung Impressum
European Seal for your
Erstellung Datenschutzerklärung
Erstellung Impressum
Ansprechpartner für Kunden, Mitarbeiter,
Produkt-Entwicklung, für
Datenschutzbehörden und andere
Empfehlung zur Siegelerteilung
nach ISO 27001
Audit Scope
und Analyse
Data Protection Workshops
abhängig vom Ergebnis des
ePrivacy
privacy
13
ePrivacy
Prof. Dr. Christoph Bauer
CEO
20 Jahre Erfahrung in der Medienindustrie, CFO und COO bei Bertelsmann und
AOL, CFO/COO bei wunderloop. Mitglied mehrerer Gruppen zu den Themen
Datensicherheit und Datenschutzes (IAB EU, BVDW, BITKOM, BvD, GDD), mit
einer Vielzahl an Publikationen zu Online Behavioral Targeting, Privatsphäre und
Datenschutz. Akkreditierter Gutachter beim ULD, zertifizierter Prüfer ISO 27001 /
Datensicherheit.
ePrivacy
privacy
European Seal for your
14
Sie finden uns hier
Besuchen Sie uns gerne
oder rufen Sie uns an
Unser Büro befindet in der
schönen Hamburger Innenstadt,
in direkter Nähe zur Alster. Die
nächstgelegene Station heißt
„Jungfernstieg“.
Sie erreichen uns mit den S-BahnLinien S1, S2 und S3 - mit den UBahn-Linien U1, U2 und U4 - oder
mit zahlreichen Buslinien.
ePrivacy GmbH
Grosse Bleichen 21
20354 Hamburg
Germany
+49 40 6094518-10
[email protected]
Die Zeitpläne der Bahnen und
Busse finden Sie hier:
www.hvv.de
EPRIVACY
ePrivacy
privacy
European Seal for your
linkedin.com/company/eprivacy-gmbh
xing.com/companies/eprivacygmbh
15

Download Report