Datenschutzmanagement bei Online-Shops

Der Gesetzgeber hat 2009 das Bundesdatenschutzgesetz verändert und die Bußgeldvorschriften deutlich verschärft. Unternehmen, die in Online-Projekte einsteigen, sollten daher bereits in der ersten Entstehungsphase ein umfassendes Qualitäts- und Datenschutzmanagement für alle Prozesse implementieren.

So beeindruckend der Online-Umsatz 2009 mit Waren in Höhe von rund 15,4 Milliarden Euro ist, so enttäuschend sind nach wie vor das geringe Verständnis und die Fehler der Anbieter, wenn es um Datenschutz und -sicherheit im Internet geht. Datenschutzrechtler bezeichnen das vergangene Jahr nicht ohne Grund als Skandaljahr und die Verschärfung des Bundesdatenschutzgesetzes ist eine konsequente Folge daraus. Von nun an können Bußgelder in Höhe von bis zu 300.000 Euro und mehr für Verstöße erhoben werden. Viele Unternehmen sollten sich ernsthaft Gedanken darüber machen, ob sie sich einen lässlichen Umgang mit sensiblen Daten und das Ignorieren von Gesetzesvorgaben noch leisten können und wollen. Denn eine negative Presse beim Thema Datenschutz kann äußerst geschäftsschädigend sein, zumal jeder neue Skandal auch Schatten auf die gesamte Branche wirft. Schnell können die Rekordumsätze wieder sinken. Vertrauen, das beim Verbraucher erst einmal zerstört ist, lässt sich nur sehr schwer wieder aufbauen.

Die meisten Fehler von Online-Shops passieren aufgrund von mangelndem Know-how und oft nicht vorhandenen Strukturen und Prozessen im Unternehmen. Beim richtigen Umgang mit Daten oder beim Schutz von Daten stoßen viele Betreiber an die Grenzen ihrer Kompetenz. Manche können hierzu nicht einmal die wichtigsten Fragen beantworten: Wer ist der Datenschutzbeauftragte, gibt es überhaupt einen? Welche Verfahren zur Datenverarbeitung bestehen, wie werden sie konkret angewendet? Was passiert mit den Daten? An welche Partner werden Daten weitergegeben und haben diese die gleichen Qualitätsansprüche? Denn wenn ein Shop alles richtig macht, heißt das noch lange nicht, dass es nicht zu Fehlern durch Partner kommt. Die technische Sicherheit einer Shop-Plattform spielt aber eine ebenso wichtige Rolle. Häufige technische Mängel sind beispielsweise ungesicherte Datenübertragungen, sichtbare Administrationskonsolen oder unzureichende Einschränkungen bei der Passwortvergabe.

Datenschutz ist mehr als Datensicherheit

Egal ob Privatperson, Geschäftskunde oder Lieferant, wer geschäftliche oder private Beziehungen im Internet pflegt, muss sich auf den Schutz seiner persönlichen Daten durch den jeweiligen Anbieter verlassen können. Dieser gewährleistet die Sicherheit von Daten durch eine technisch einwandfreie und reibungslos funktionierende Infrastruktur, so dass alle gespeicherten Informationen nur für autorisiertes Personal zugänglich sind. Datenschutz geht darüber hinaus und greift dann, wenn in der Organisation Richtlinien zur Datenerfassung sowie zur Datenverarbeitung festgelegt sind und eingehalten werden. Zum Beispiel sollte geregelt sein, welche Daten unter welchen Voraussetzungen erfasst werden, wer auf welche Daten wie lange Zugriff hat, wer sie wie verwenden darf oder welche Daten wie lange gespeichert werden. Deshalb ist es sinnvoll, dass Online-Shops ein individuell auf ihre Bedürfnisse zugeschnittenes Datenmanagement mit strukturierten und überschaubaren Prozessen und Verantwortlichkeiten aufsetzen und dieses fest in der eigenen Unternehmensstrategie verankern. So muss Datenschutz auch Chefsache sein. Nur wenn die Geschäftsleitung von der Wichtigkeit des Datenschutzes überzeugt ist und ihn vorlebt, wird er auch von den Mitarbeitern umgesetzt. Und nur gut informierte Mitarbeiter können dazu beitragen, die Datenschutzrisiken des Unternehmens zu mindern und vor Haftung zu bewahren.

Rechtskompetenz als Voraussetzung für Online-Projekte

Das mangelhafte Bewusstsein beim Datenschutz zeigt sich beispielsweise darin, dass es in vielen Unternehmen keinen Datenschutzbeauftragten gibt. Böse Absicht mag das nicht sein, sondern vielmehr die Unwissenheit über rechtliche Bestimmungen und Vorgaben. Vor allem kleinen Anbietern fällt es schwer, den Überblick über die aktuelle Gesetzeslage zu behalten und entsprechende Anforderungen korrekt zu erfüllen. Die Folge sind Fehler und mögliche rechtliche Verfahren oder Abmahnungen. Doch das darf sich heute kein Unternehmer mehr leisten. Wer beabsichtigt, einen Online-Shop zu betreiben, sollte deshalb selbst über eine gewisse Rechtskompetenz verfügen oder von Anfang an eine rechtliche Begleitung in Anspruch nehmen. Nur so sind gravierende Mängel beim Datenschutz auszuschließen.

Es ist daher empfehlenswert, bereits in der Konzeptionsphase eines Online-Shops ein umfassendes Projekt- und Datenschutzmanagement aufzusetzen. Gleich zu Beginn sollten datenschutzrelevante Prozesse identifiziert werden, damit alle zutreffenden Regelungen rechtzeitig im Projektablauf mitberücksichtigt werden. Zudem ist zu überlegen, wie sichergestellt wird, dass neue datenschutzrechtliche Entwicklungen beachtet und zeitnah umgesetzt werden und wie bei Änderungen in den Online-Prozessen die Konformität in Sachen Datenschutz gewahrt bleibt.

Eine wichtige Rechtsquelle, die jeder Online-Händler kennen muss, ist das Telemediengesetz. Hier finden sich unter anderem auch Anforderungen an den Datenschutz eines Online-Shops. Transparenz spielt eine zentrale Rolle. Ein Nutzer muss stets umfassend über die Datenerhebungsprozesse im Bilde sein. Art, Umfang und Zweck sind eindeutig und jederzeit zugänglich anzugeben. Die Weitergabe an Dritte und auch die eventuelle Einbindung von Auskunfteien ist anzuzeigen. Der Verwendung von Kundendaten für Werbezwecke muss der Nutzer jederzeit widersprechen können. Es empfiehlt sich, immer eine aktive Zustimmung, auch für elektronische Werbung wie einen Newsletter, einzuholen.

Nicht zu vernachlässigen ist die Bestimmung des Bundesdatenschutzgesetzes, dass alle privatwirtschaftlichen Unternehmen, bei denen mehr als neun Mitarbeiter auf personenbezogene Daten wie Namen, Adressen und Bankverbindungen zugreifen, verpflichtet sind, einen Datenschutzbeauftragten zu bestellen. Er muss darauf hinwirken, dass datenschutzrechtliche Vorgaben eingehalten und gegebenenfalls Vorabkontrollen durchgeführt werden. Zudem hat er die Verfahren der Datenerhebung, Datenverarbeitung und Datennutzung zu kennen und hält das interne Verfahrensverzeichnis bereit, in dem unter anderem klar dargestellt werden muss, an wen Daten weitergegeben werden und wie Dritte in die Unternehmensorganisation eingebunden sind – vertraglich und technisch organisatorisch. Wichtig ist, dass der Datenschutzbeauftragte – in kleinen Unternehmen ohne Beauftragten der Unternehmer selbst – sein Wissen aktuell hält. Aber nicht nur der Datenschutzbeauftragte sollte auf dem Laufenden sein. Schulungen zum Thema Datenschutz sind auch für alle anderen Mitarbeiter eines Online-Shops wichtig. Denn der Faktor Mensch ist oft die schwächste Stelle in der Prozesskette. Zum Beispiel im Kundenservice stellt sich häufig die ganz praktische Frage, wie jemand, der persönliche Auskünfte haben möchte, authentifiziert wird. Nicht zu vergessen sind Datenträger, ob elektronisch oder in Papierform. Hier muss unbedingt auf eine sichere Entsorgung geachtet werden.

Kundendaten sind sicher zu speichern und die Fristen bis zum Löschen einzuhalten. Backup-Konzepte sollten auf ihre Praxistauglichkeit hin regelmäßig durch Widerherstellungstests überprüft werden. Fällt die Zweckbindung für die Datenerhebung weg, müssen Daten gelöscht werden, wobei die gesetzlichen Aufbewahrungsfristen einzuhalten sind. Unbekannt ist vielen Online-Händlern, dass ihre Kunden ein Recht auf Auskunft, Berichtigung und Löschung beziehungsweise Sperrung ihrer Daten haben. Anfragen bei Hotlines decken häufig die Unkenntnis über die jeweiligen Prozesse bei den Service-Mitarbeitern auf.

Qualität überprüfen

Um den Anforderungen von Datenschutz und Sicherheit gerecht zu werden, ist es notwendig, dass Unternehmen eine Sicherheitsstrategie entwickeln und diese auch konsequent in allen Bereichen leben. Angefangen beim Qualitätsmanagement der eigenen Datensicherheit, ist dieses Verständnis auch auf die Partner zu übertragen. Viele Online-Händler arbeiten mit Drittleistern zusammen, wobei es zu ständigem Datenaustausch kommt. Daher ist es umso wichtiger zu prüfen, wie das Thema Datenschutz und -sicherheit hier behandelt wird und ob man in Sachen Qualität die gleiche Sprache spricht.

Grundsätzlich sollten sämtliche getroffenen Maßnahmen zum Datenschutz regelmäßig kontrolliert werden. Auch alle weiteren Online-Prozesse, egal ob physischer oder personeller Natur, müssen aktuell gehalten werden. Denn schnell kann der Überblick verloren gehen. Es empfiehlt sich, Prozesse und Systeme sowie bestimmte Abläufe von externen Dienstleistern prüfen und zertifizieren zu lassen. Der geschulte Blick von außen erkennt schneller Schwachstellen und durch den Willen zur eigenen Qualitätskontrolle werden auch Mitarbeiter sensibilisiert. Dabei gehen Zertifikate wie das s@fer-shopping Siegel von TÜV SÜD weit über die gesetzlichen Anforderungen hinaus und geben zusätzliche Anstöße für Verbesserungen. Zumal neben den technischen Anforderungen vor allem auch das Qualitätsmanagement im Hintergrund betrachtet wird. Es ist maßgeblich dafür, dass mit Daten sowie mit dem Thema Sicherheit richtig umgegangen wird und der Abwicklungsprozess mit dem Kunden zu seiner vollsten Zufriedenheit verläuft. Dazu zählt auch, dass es klare Regelungen gibt, sollte etwas im Kaufprozess schief gehen. Ein Zertifikat kann somit auch werbewirksam eingesetzt werden, denn es bestätigt dem Gesamtangebot eines Online-Shops ein hohes Maß an Seriosität, was besonders in tendenziell unsicheren Branchen und bei einer sensiblen Öffentlichkeit von großer Bedeutung ist.

(Autor: Rainer Seidlitz, Leiter strategische Geschäftseinheit IT & Internet bei TÜV SÜD, nimmt Webseiten in Sachen Sicherheit ins Visier.)