Persönliche Daten, die wir im Netz angeben, entziehen sich ein Stückweit unserer Kontrolle. Auch Online-Shops fordern mit Adressen und Zahlungsinformationen sensible Kundendaten zur Kaufabwicklung an. Betreiber müssen diese Daten zehn Jahre lang speichern und dabei schützen.
iXtenso sprach mit Doktor Peter Schill über den Schutz von Kundendaten in Shops. Schill erläutert, wo Schwierigkeiten liegen und wie Diebstahl und Missbrauch von Daten verhindert werden können. Er ist Leiter des Fachbereichs Datenschutz & Datensicherheit beim Bundesverband der Dienstleister für Online-Anbieter e.V. (BDOA) und Geschäftsführer Vertrieb & Marketing der Leading Security Experts GmbH in Darmstadt.
Unter welchen Voraussetzungen darf der Betreiber eines Shops Kundendaten speichern? Wie lange darf er sie behalten und was darf er damit machen?
Ein Betreiber darf Kundendaten nur zum Zweck des Auftrags, den er erfüllen soll, erheben und speichern. Das ist eindeutig geregelt. Grundsätzlich muss er alle Daten abfragen, die er benötigt: Wird die Ware postalisch versendet, braucht er die Postanschrift, verschickt er eine E-Mail-Bestätigung, benötigt er auch die E-Mail-Adresse. Normalerweise muss er die gesammelten Daten nicht löschen. Im Gegenteil: Aus steuerlichen Gründen müssen Daten, die für die Nachvollziehbarkeit des abgeschlossenen Geschäfts notwendig sind, zehn Jahre lang aufbewahrt werden. Jeder Kunde kann im Zuge des Datenschutzrechtes jedoch verlangen, dass die Daten nach Abwicklung des Auftrags gesperrt und nicht mehr verwendet werden. Er muss jede weitergehende Verarbeitung, Speicherung und Verwendung der Daten ausdrücklich autorisieren. Eine Löschung in dem Sinne kann er aber nicht verlangen.
Was ist der derzeitige technische Standard für den Schutz von Kundendaten? Mit welchen Methoden wird versucht, unberechtigt an diese Daten zu kommen?
Es gibt leider keinen technischen Standard. Es gibt zwar Methoden, mit denen man Daten schützen kann, aber keine verbindlichen Richtlinien.
Üblicherweise versucht jeder Angreifer zuerst, von außen eine Schwachstelle im Shop zu finden. Das kann beispielsweise der Webserver sein, der mit einer alten Version läuft, die eine bekannte Schwachstelle aufweist. Auch ältere Versionen von Shop-Applikationen, die nicht gepatcht wurden, können bekannte Schwachstellen haben. Viele Shopsysteme werden auch nicht im Auslieferungszustand verwendet. Der Betreiber kann zusätzliche Erweiterungen installieren. Wurden diese nicht sorgfältig geprüft, ist vielleicht der Zugang über Eingabefelder möglich.
Wenn ein Angreifer Zugang zum System erhalten hat, wird er versuchen, auf die Datenbanken zuzugreifen. Er wird versuchen, ob er einen Administratorzugang übernehmen kann oder ob es auf dem System ein schwaches Passwort oder Standardpasswort gibt. Auch Cross-Site-Scriptings sind sehr beliebt.
Wo findet der Betreiber Hilfe, wenn er Probleme bei der Umsetzung oder Einhaltung des Datenschutzes hat?
Es gibt verschiedene Verbände wie den Bundesverband der Dienstleister für Online-Anbieter e.V., die Hilfestellungen bieten. Das Bundesamt für Sicherheit in der Informationstechnik bietet Handreichungen und Papiere zum Thema an, ebenso der TÜV. Bei vielen Organisationen, die sich professionell mit dem Schutz von Daten auseinandersetzen, gibt es kostenfreie Informationen auch zum Download. Im Normalfall ist erst eine individuelle Beratung kostenpflichtig.
Was sind mögliche rechtliche Konsequenzen für fehlenden Datenschutz? Was passiert schlimmstenfalls, falls Kundendaten abhandenkommen?
Wenn Daten abhandenkommen, liegt meist eine Verletzung der Datenschutzrichtlinien vor. Im Falle der Fahrlässigkeit drohen dem Betreiber entsprechende Bußgelder oder Abmahnungen. Außerdem können Kunden Schadensersatzansprüche geltend machen, wenn sie durch den Datenverlust geschädigt werden. Der Betreiber ist dann in der Haftung, denn er ist auch für die Sicherheit der Daten zuständig.
Was ist bei internationalen Geschäften wichtig? Müssen Betreiber Datenschutzgesetze in anderen Ländern berücksichtigen oder gilt grundsätzlich deutsches Recht, wenn der Geschäftsstandort in Deutschland ist?
Wenn ein Geschäft in Deutschland getätigt wird und es gibt einen deutschen Shop, dann gilt auch das deutsche Datenschutzrecht. Auch dann, wenn ein deutscher Shop Waren ins Ausland versendet. Es ist die Rechtsprechung des Landes anzuwenden, in dem die Daten erhoben werden. Wir haben insofern Glück, als das deutsche Datenschutzgesetz sehr strikt ist.
Können Sie abschließend eine Empfehlung an Betreiber geben: Gibt es Regeln oder Richtlinien, die einen effektiven Datenschutz gewährleisten?
Hier muss man zwischen dem organisatorischen und dem technischen Datenschutz unterscheiden. Auf der organisatorischen Seite muss natürlich jeder Mitarbeiter, der Zugriff auf die Daten hat, unterwiesen werden. Er muss eine entsprechende Datenschutzerklärung unterschreiben. Und es sollten nur die Mitarbeiter Zugriff auf Daten erhalten, die tatsächlich damit umgehen müssen.
Auf der technischen Seite wiederum besteht die einfachste Möglichkeit zum Datenschutz darin, die Datenbank auf einem anderen, entsprechend gesicherten, Server zu betreiben als den Shop. Falls jemand in das Shop-System eindringen kann, erhält er so nicht automatisch Zugriff auf die Datenbank. Ganz wichtig ist es natürlich auch, alle Patches zu installieren, damit das System auf dem neuesten Sicherheitsstand ist. Die Administratoren sollten eine sichere Zwei-Faktor-Authentisierung verwenden. Wenn die Daten sehr sensibel sind, sollte der Betreiber ein System erwägen, das die Verschlüsselung der Daten erlaubt. Hier ist aber immer die Frage, ob er sich das leisten kann. Gerade bei kleinen Shops ist das schwierig. Die Systeme befinden sich dann in großen Hosting-Farmen und der Betreiber hat keinen Einfluss. Vielleicht besitzt er auch keinen eigenen Server, sondern nur gemieteten Webspace. Damit sind bei kleineren Systemen die Möglichkeiten des technischen Schutzes häufig geringer als bei großen.
Das Interview führte Timo Roth; iXtenso.com
Erstveröffentlichung auf EuroCIS.com
