Vorsicht, Datenschutz! Wie oft hört man diesen warnenden Ausruf? Eindeutig zu oft – und dennoch wird er in der Praxis häufig noch belächelt statt erfolgreich umgesetzt. Einem Online-Händler, den die auf Online-Handel spezialisierte Wirtschaftskanzlei BPM legal in Rechtsfragen vertritt, ist nun das Lachen aber gehörig vergangen! Zwar angemeldet, aber dennoch unverhofft stand kürzlich ein ungebetener Gast vor den Geschäftstüren: Vor Ort führte das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) eine umfassende fokussierte Datenschutzprüfung durch.
Worauf die Datenschutzaufsicht dabei besonders ihre Adleraugen fixierte, erklärt Rechtsanwalt Felix Gebhard auf seinem Blog. Mein Fundstück der Woche, damit ihr auch seht, warum es sich wirklich lohnt, meine Warnungen bezüglich Datenschutz nicht einfach in den Wind zu schlagen 😉
Was passiert mit Kundendaten?
Auf seinem Weg durch’s Leben hinterlässt ein Mensch viele Spuren; Spuren der Liebe, des Glücks, der Freude. Zu den Spuren, die wir nicht gerne hinterlassen, zählen aber eindeutig diejenigen, die wir auf einer Spritztour durch’s Netz zurücklassen: Hier ein Like-Klick oder das Häckchen für ein Newsletter-Abonnement, dort eine kurze Online-Bestellung in meinem Lieblings-Webshop. Doch was passiert dabei eigentlich mit meinen Daten? Werden sie erfasst und datenschutzrechtlich sicher gespeichert? Bei besagtem Fall schauten die Datenschützer nicht nur bei diesen Fragen genauer hin, sondern drängten auch in Geschäftsbereiche vor, die nicht Anlass der Prüfung waren. Felix Gebhard, Rechtsanwalt bei BPM legal, hat auf seinem Blog den Ablauf der Datenschutzprüfung schrittweise nachgezeichnet und hervorgehoben, was geprüft und auf welche erforderlichen Maßnahmen gepocht wurde.
Schludern ist der falsche Ansatz
Datenschutz ist dauerbrennendes Thema und Sorgenkind zugleich. Wer im Wirrwarr der zahlreichen Normen und Regeln auch nur eine übersieht oder missachtet, gerät schnell unter Abmahnbeschuss. Und das kann einem kleinen Online-Shop tatsächlich ein großes Loch in die Tasche reißen. Und erst richtig teuer wird’s, wenn sich die Datenschutzbehörde einschaltet, die dem Unternehmen nicht nur einen enormen zeitlichen und finanziellen Mehraufwand aufbürdet (z.B. Ausfall von Mitarbeitern, die sich um die Datenschutzbeauftragten kümmern), sondern im Falle schwerwiegender Verstöße auch mit hohen Bußgeldforderungen gegenübertritt.
Datenschutzprüfung in acht Schritten
Bei der Prüfung des Webshops ging die Behörde ganz gezielt ans Werk. In acht Schritten bzw. Themenschwerpunkten setzten sie Ihre Prüfung um:
- Arten personenbezogener Daten
- Perfect Foward Secrecy und HTTPS
- Passwortmanagement
- Google Analytics
- Newsletter-Versand
- Patchmanagement
- Log-Dateien
- Schutzmaßnahmen gegen Hacking
Dabei sind also ganz alltägliche Dinge in Sachen Datenschutz, die wirklich jeder, nicht nur Webshop-Betreiber, auf dem Schirm haben muss. So sollten Passwörter beispielsweise keinesfalls unverschlüsselt per Mail übertragen werden, sondern – so die Vorgaben der Prüfer – in einer zeitlich etwas verzögerten Mail, die dem Kunden einen Passwort-Ändern-Link zustellt. Und auch an gezielte Maßnahmen gegen Cyber-Angriffe muss unbedingt gedacht werden, im besten Fall orientieren diese sich sogar an den sogenannten Open Web Application Security Projects (OWASP).
Manche Überprüfungspunkte hingegen sind vielen Webshop-Betreibern, gerade kleineren, vermutlich eher neu. Wusstet ihr beispielsweise, dass der Webserver so konfiguriert sein muss, dass das Verfahren Perfect Forward Secrecy, das bei der verschlüsselten Übertragung von Daten die spätere Entschlüsselung vehement erschwert, unterstützt wird? Sogar gesetzlich vorgeschrieben (gemäß §9 BDSG) ist der Webshop-Betreiber verpflichtet, die erforderlichen Maßnahmen zum Schutz personenbezogener Daten zu ergreifen.
