Kategorien
Datenschutzrecht & Medienrecht Online-Shop und eCommerce

Schutz von Bankdaten: Ein Thema für Online-Shops

Heute wird bekannt, dass es einen erneuten Angriff auf ein Sony-Netzwerk gegeben hat, bei dem sich ein Angreifer wohl wieder viele Daten verschafft hat, wahrscheinlich laut Spiegel auch „Bankdaten“. Ich hatte bereits ausgeführt, dass ich bei diesem Thema auch den Mittelstand betroffen sehe, und möchte das hier konkretisieren:

Dank kostenloser oder auch günstiger Software-Lösungen, kann heute jeder in relativ kurzer Zeit einen Online-Shop aufziehen. Das ist grundsätzlich nichts schlimmes, auch wenn es bedenklich ist, wenn man sich „blind“ in das Haifischbecken des abmahnwütigen Online-Handelns begibt. Das Problem ist aber, dass dabei häufig ohne eigene technische Kenntnisse oder technische Unterstützung eine solche Seite betrieben wird. Gerade wenn der Handel anfängt gut zu laufen und der kaufmännische Betrieb die gesamten Ressourcen des „Ein-Person-Unternehmens“ verschlingt, wird schnell als erstes die technische Pflege der eigenen Webseite – des Online-Shops – vernachlässigt. Technische Updates mit Bugfixes werden verschleppt und bestenfalls halbherzig eingespielt. Wenn man dann Opfer eines Hacks wird, bei dem Nutzerdaten entwendet werden, steht man vor dem Problem, unmittelbar die Kunden informieren zu müssen (§42a BDSG). Im Zuge dieser Information wird man merkliche Umsatzeinbußen erleben, im schlimmsten Fall droht das Ende des Projekts.

Dabei sind Hacks nicht ungewöhnlich: Gerade wenn man Standard-Software einsetzt, zumal wenn diese verbreitet ist, muss man damit rechnen, dass Sicherheitslücken auftreten und massenhaft zum Einsatz kommen. Wer dann auch noch besonders sensible Daten in seinem Shop speichert, wie etwa Bankdaten, und durch eigene Nachlässigkeit im Shop dazu beigetragen hat, dass ein Hacker diese Daten erlangt und weiterveräußert hat, der kann sich auf weiteren Ärger einstellen.

Für Online-Shops daher folgende sehr kurze und nicht abschliessende Hinweise:

  1. Das Prinzip der Datensparsamkeit im eigenen Interesse beachten: Zwingen Sie Kunden nicht, ein Online-Konto anzulegen. Speichern Sie nur Daten, die sie auch wirklich brauchen. Besonders sensible und wirtschaftsträchtige Daten wie Bankverbindungen sollten auf einem ausgelagerten Speicherplatz in verschlüsselter Form aufbewahrt werden. Bieten Sie Kunden die Möglichkeit, wahlweise Bankdaten nur für den Bestellprozess zu hinterlegen und dann nach der Bestellung wieder zu entfernen.
  2. Achten Sie auf die Datensicherheit: Ihre Shopsoftware muss gepflegt werden, ebenso wie der Server den sie nutzen. Wenn Sie das eigene technische Wissen oder die Zeit dazu nicht mehr haben, greifen Sie auf einen externen Dienstleister zurück, der das für Sie übernimmt. Laufende Backups ihrer Daten sind Pflicht.
  3. Achten Sie auf das Datenschutzrecht: Bei externen Dienstleistern bedenken Sie immer §11 BDSG. Bereiten Sie sich auf den Notfall vor, insbesondere haben Sie die Informationspflicht nach §42a BDSG im Blick.

Nutzer dagegen sind auch zur Eigenverantwortung aufgerufen: Speichern Sie Bankdaten nirgendwo dauerhaft. Wo es nicht anders geht und sie nicht verzichten wollen, wie etwa im iTunes-Store oder bei Spiele-Systemen, bedenken Sie die Möglichkeit einer PrePaid-Kreditkarte. Viele Seiten (etwa Simyo oder Amazon) bieten die Möglichkeit, dass man seine Kartendaten angibt, die Bestellungen ausführt und unmittelbar nach Bestätigung die Daten aus dem System wieder entfernt. Denken Sie immer daran: Dadurch, dass Sie ihre Daten dauerhaft bei einem Dritten speichern, geben sie die Verfügungsgewalt über diese Daten aus der Hand. Und selbst bei der größtmöglichen Sorgfalt ist eine 100%ige Sicherheit eines IT-Systems nicht zu gewährleisten. Das sind denkbar ungünstige Voraussetzungen, zumal es genügend Alternativen gibt, um sich nicht der Gefahr des persönlichen Ruins auszusetzen.

Rechtsanwalt Jens Ferner

Von Rechtsanwalt Jens Ferner

Ich habe mich als Strafverteidiger & Fachanwalt für IT-Recht spezialisiert auf Rechtsfragen rund um Strafrecht, Technik & Arbeit: IT-Recht, IT-Vertragsrecht & Softwarerecht künstliche Intelligenz, Datenschutzrecht, Medienrecht ebenso wie IT-Arbeitsrecht, IT-Strafrecht, digitales Werberecht & Urheberrecht.

Meine juristische Expertise ergänze ich mit umfangreicher technischer Erfahrung als Programmierer & Linux-Systemadministrator inkl. Netzwerksicherheit, IT-Forensik & IT-Risikomanagement.