Ein angeknackster Ruf wäre schon teuer genug. Wer allzu sorglos mit den Daten seiner Kunden umgeht, muss mit weiteren Kosten rechnen. Welche, das verrät Ihnen IT4Retailers hier.
Christoph M. traut seinen Augen nicht. Gestern hatte er sich im Onlineshop seines Vertrauens ein paar neue Kopfhörer bestellt, eben wollte er nachsehen, ob sie schon verschickt wurden. Nach dem Login und einem Klick auf den Link „Bestellübersicht“ füllt sich sein Bildschirm minutenlang mit einer stetig länger werdenden Liste. Es sind viele Bestellungen, die er sieht, von vielen verschiedenen Kunden. Er sieht Namen, Adressen, IBANs, Artikelnummern, Rechnungsbeträge. Christoph M. erstellt einen Screenshot. Erst hat er vor, diesen Screenshot an den Shopbetreiber zu schicken, mit einem Hinweis auf die offenkundige Fehlfunktion. Dann überlegt er es sich anders. Auf Facebook werden ihm seine Freunde für die Warnung dankbar sein.
Ein Fall wie der geschilderte mag selten sein, undenkbar ist er nicht: Ein Fehler beim Konfigurieren des Shopsystems, eine Inkonsistenz in der Datenbank oder irrtümlich geänderte Benutzerrechte können Dritten Zugriff auf Daten gewähren, die nicht für ihre Augen bestimmt sind. Bei IT-Sicherheitsunternehmen gehört es zum guten Ton, die betroffenen Unternehmen zu informieren, bevor sie gefundene Sicherheitslücken publik machen. Verärgerte, weil selbst betroffene Kunden zögern da weniger lang. Und über soziale Medien verbreiten sich derartige Nachrichten in Windeseile.
Nicht nur das Image nimmt Schaden
Ist das Kind im Brunnen, drohen neben einem Schaden für den guten Ruf auch Geldbußen. Rührt die Datenpanne daher, dass die Kundendaten unverschlüsselt gespeichert wurden, droht Unternehmen nach der DSGVO ein Bußgeld von bis zu zwei Prozent seines gesamten weltweiten Umsatzes des letzten Geschäftsjahres, oder alternativ bis zu zehn Millionen Euro. Ob und in welcher Höhe solche Bußgelder tatsächlich anfallen, dürfte sich nach den Umständen des Einzelfalls richten – bislang (die DSGVO ist ja erst seit Mai 2018 in Kraft) ist noch kein Präzedenzfall bekannt geworden.
Die DSGVO umfasst darüber hinaus eine Pflicht zur „Selbstanzeige“. Innerhalb von 72 Stunden nachdem der Unternehmer entdeckt hat, dass der Schutz personenbezogener Daten verletzt wurde, muss er von sich aus die Landesdatenschutzbehörde seines Bundeslandes darüber informieren. Es gibt zwar ein paar Ausnahmen von dieser Verpflichtung. Die greifen aber nicht, wenn Kundendaten über das Internet frei zugänglich gewesen sind.
Die Meldung muss zum Inhalt haben:
- welche Daten, wie viele Datensätze und wie viele Personen betroffen sind, und auf welche Art der Schutz der Daten verletzt wurde;
- wer als Datenschutzbeauftragter weitere Auskünfte erteilen kann;
- welche Folgen die Verletzung des Datenschutzes wahrscheinlich nach sich zieht;
- welche Maßnahmen der Verantwortliche getroffen hat, um den Schutz wieder herzustellen und die Schäden zu begrenzen.
Daneben sieht die DSGVO auch eine Information an die betroffenen oder vielleicht betroffenen Kunden vor. Der Shopbetreiber muss seine Kunden in jedem Fall informieren, wenn eine Gefahr für die Rechte und Freiheiten der Kunden besteht – zum Beispiel also, wenn auch Kreditkartennummern offen einsehbar waren oder sich Dritte Zugang zu anderen sensiblen Daten verschaffen konnten.
Der Betreiber muss die Betroffenen nicht unbedingt über Art und Umfang des Schadens informieren, soweit Dritte betroffen sind. Aber die Informationen des zweiten bis vierten Punktes aus der Meldung an die Landesdatenschutzbehörde sollten auch die Kunden erhalten.
Schweigen kann teuer werden
Eine Datenpanne auszusitzen, statt Behörde und Kunden zu informieren, kann die Situation verschlimmern: Die DSGVO sieht nicht nur die oben erwähnten Informationspflichten vor, sondern auch empfindliche Sanktionen für Unternehmer, die diesen Pflichten nicht nachkommen. Jedes der beiden Versäumnisse kann den Unternehmer noch einmal zwei Prozent des letzten Jahresumsatzes oder zehn Millionen Euro kosten.
Aber: Unternehmer können vorbeugen. Zum ersten, indem sie ein Shop-System auf dem gegenwärtigen Stand der Technik verwenden, das alle personenbezogenen Daten ausschließlich verschlüsselt speichert. Zum zweiten, indem sie ein in der DSGVO gefordertes Verarbeitungsverzeichnis zu allen Vorgängen erstellen, bei denen sie personenbezogene Daten verarbeiten. Die in diesem Verarbeitungsverzeichnis beschriebenen technischen und organisatorischen Maßnahmen zum Schutz der Daten dienen dann auch gleich als Checklisten, bei deren Einhaltung Pannen wie die oben beschriebene sehr unwahrscheinlich werden. Zum dritten, indem sie Blanko-Meldungen für den schlimmsten anzunehmenden Fall vorbereiten. Dann können sie zumindest die sehr engen Fristen einhalten, wenn Daten trotz aller Sorgfalt verloren gehen.
Nur Minuten, nachdem Christoph M. seine Nachricht bei Facebook abgesetzt hat, geht eine E-Mail in seinem Postfach ein. Der Betreiber seines Onlineshops hat die Panne bemerkt und alle betroffenen Kunden zeitnah informiert, auch Christophs Facebook-Freunde. Die Mehrheit reagiert gelassen. Beim zuständigen Landesamt für Datenschutz ist die Meldung des Betreibers ebenfalls angekommen. Bis sie dort jemand bearbeitet, wird aber wohl noch Zeit vergehen.
„Entscheidend ist zudem, dass das Unternehmen im Zuge der Digitalisierung bereit ist, eine durchgängige IT-Sicherheits- und Datenschutzkultur zu etablieren und konsequent durchzusetzen.“ Ingo Legler, IT-Sicherheitsexperte bei DEKRA (https://www.dekra.de)