Prüfung eines Online-Shops durch Datenschutzaufsicht

Wir hatten in einem unserer letzten Beiträge darauf hingewiesen, dass bei einem von uns betreuten Online-Händler eine sogenannte fokussierte Datenschutzprüfung nach § 38 Abs. 1 BDSG durchgeführt wurde. Nun liegt uns der Prüfbericht des Bayerischen Landesamts für Datenschutzaufsicht vor. Dieser zeigt einmal mehr, dass Datenschutz auch für kleinere Shops weit mehr bedeuten sollte, als ein ordentliches Newsletter-Opt-In zu haben.

Anhand dieses Falles wollen wir beispielhaft erläutern, welche Punkte die Behörde geprüft hat und welche Maßnahmen sie für erforderlich hält.

Die Prüfung lief so ab, dass die Behörde dem Händler zunächst Fragebögen zuschickte, in denen bereits vorab Angaben zu datenschutzrelevanten Bereichen gemacht werden mussten. Einige Zeit später kamen die Prüfer in die Geschäftsräume des Händlers und führten Interviews und Überprüfungen durch.

1. Arten personenbezogener Daten

magnifierZunächst verschafften sich die Prüfer dabei einen Überblick über die Arten personenbezogener Daten, welche von dem Händler verarbeitet werden. Dies sind – wie im Online-Handel üblich – zunächst Namen, Postadressen und E-Mail-Adressen von Kunden. Beim Newsletter-Versand zudem E-Mail-Adressen von Nicht-Kunden. Hinzu kommen im Rahmen der Zahlungsabwicklung gegebenenfalls Bankdaten, soweit diese nicht vom Kreditkartenaussteller oder Zahlungsdiensteanbieter selbst erhoben werden. Die Prüfer wiesen darauf hin, dass beim Verlust von Bankdaten die Regelungen des § 42 a BDSG eingreifen.

2. Perfect Forward Secrecy und HTTPS

Im nächsten Schritt prüften die Datenschützer die Verschlüsselung der Datenübertragung im Online-Shop. Hierzu führten sie aus:

Der Webserver muss so konfiguriert werden, dass Perfect Forward Secrecy unterstützt wird.

Perfect Forward Secrecy ist ein Verfahren, das bei der verschlüsselten Übertragung von Daten die spätere Entschlüsselung durch Unbefugte erschwert, indem es für jeden Verbindungsaufbau neue Schlüssel erzeugt. Technische Einzelheiten zum PFS-Verfahren hat beispielsweise heise Security übersichtlich zusammengefasst.

Woraus ergibt sich jedoch, dass Shop-Betreiber verpflichtet sind, gerade dieses Verfahren anzuwenden?

keyhole§ 9 BDSG bestimmt, dass Unternehmer, die personenbezogene Daten erheben, verarbeiten oder nutzen, die erforderlichen technischen Maßnahmen zum Schutz dieser Daten treffen müssen. Die Anlage zu § 9 BDSG konkretisiert diese Pflicht unter Nr. 4 näher. Danach hat der Unternehmer zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (sogenannte Weitergabekontrolle). Der letzte Satz dieser Vorschrift bestimmt, dass eine geeignete Maßnahme insbesondere das Verwenden eines Verschlüsselungsverfahren darstellt, das dem Stand der Technik entspricht.

Welche kryptographischen Verfahren aktuell dem Stand der Technik entsprechen, kann das Gesetz aufgrund der Schnelllebigkeit der Technik nicht definieren. Die Datenschutzbeauftragten von Bund und Ländern hielten jedoch auf einer Konferenz am 27.03.2014 in der Anlage zu einer Entschließung fest:

Für die Sicherung der Übertragungswege sollen Verfahren zum Einsatz kommen, die eine nachträgliche Entschlüsselung des abgeschöpften Datenverkehrs erschweren (perfect forward secrecy).

Damit wird deutlich, dass jedenfalls die Datenschutzbehörden das PFS-Verfahren für erforderlich nach dem Stand der Technik erachten.

Hintergrund: Anlass der Konferenz der Datenschutzbeauftragten im März vergangenen Jahres waren übrigens die Enthüllungen des Whistleblowers Edward Snowden im NSA Skandal. Diese hatten gezeigt, dass Geheimdienste auch verschlüsselte Daten abfangen und speichern, um diese gegebenenfalls später entschlüsseln zu können. Dies soll durch PFS-Verfahren erschwert werden.

3. Passwortmanagement

Ferner machten die Prüfer Vorgaben, wie das Passwortmanagement aus ihrer Sicht auszusehen habe.

Passwörter dürften nach Auffassung der Prüfer im Rahmen einer “Passwort-vergessen”-Funktion nicht unverschlüsselt per E-Mail übertragen werden. Stattdessen könne ein zeitlich befristeter (15 Minuten) Passwort-Ändern-Link dem Kunden per E-Mail zugestellt werden. Dieser müsse auf eine HTTPS-verschlüsselte Seite führen, in der das neue Passwort vom Kunden eingegeben werden kann.

passwordPasswörter sollten nach Ansicht der Prüfer mindestens zehn Stellen und eine ausreichende Zeichenkomplexität besitzen (Groß- und Kleinbuchstaben, Ziffern). Falls sich der Kunde freiwillig entscheidet, ein schwächeres Passwort zu wählen, sei dies nur dann zulässig, wenn wirksam über die Risiken informiert wurde. Dies könne zum Beispiel mit Hilfe eines “Passwortbalkens” geschehen, der entsprechend der Komplexität und Länge des Passworts seine Farbe von rot (unsicher) auf grün (sicher) ändert.

 

4. Google Analytics

Die Prüfer machten deutlich, worauf auch wir schon mehrfach hingewiesen hatten. Für einen beanstandungsfreien Einsatz von Google Analytics muss die IP-Adresse vor der systematischen Verarbeitung bei Google anonymisiert werden. Andernfalls drohen Abmahnungen oder Bußgelder.

Wie sich Google Analytics datenschutzrechtskonform nutzen lässt, haben wir in einem gesonderten Beitrag ausführlich erläutert.

Zudem wiesen die Datenschützer darauf hin, dass die Widerspruchsmöglichkeiten für mobile Endgeräte in der Datenschutzerklärung enthalten sein müssen.

Weitere Informationen zu den datenschutzrechtlichen Voraussetzungen bei der Nutzung von Google Analytics finden sich auch auf der Website der Bayerischen Landesdatenschutzaufsicht.

5. Newsletter-Versand

Die Prüfer äußerten sich zu der aktuell diskutierten und von Gerichten noch nicht eindeutig geklärten Frage, welche Daten der Versender von E-Mail-Werbung zum Nachweis der erforderlichen Einwilligungen im Double-Opt-In-Verfahren konkret dokumentieren und speichern muss.

Nach Auffassung der Datenschützer sei eine elektronische Einwilligung derart zu dokumentieren, dass die ursprüngliche Einwilligunserklärung (E-Mail-Adresse, Zeitpunkt und IP-Adresse sowie den Einwilligungstext), die Bestätigungsmail (Text einschließlich Link und Zeitpunkt) sowie die nochmalige Bestätigung per Link (E-Mail-Adresse, Zeitpunkt und IP-Adresse) nachgewiesen werden kann. Wichtig: Die Daten müssen im Streitfall ausgedruckt und zum Beweis vorgelegt werden können.

Widerspricht ein Empfänger dem Empfang von E-Mail-Werbung, so kann nach Ansicht der Behörde die bloße Löschung aus der Verteilerliste ausreichen, wenn der Händler nur einen klassischen Newsletter betreibt. Eine Sperrliste (Blacklist) sei dann nicht zwingend erforderlich.

Achtung: Wir empfehlen Händlern dennoch, eine Blacklist zu führen. Jedenfalls wenn der Händler die Möglichkeit des § 7 Abs. 3 UWG (Werbung für ähnliche Waren) nutzt, ist die Einrichtung einer Blacklist praktisch unerlässlich. Die Löschung aus der Verteilerliste genügt dann nämlich möglicherweise nicht, weil der Empfänger dennoch Werbung (für ähnliche Waren) erhalten könnte. Dies sollte durch geeignete technische Maßnahmen jedoch unbedingt verhindert werden.

6. Patchmanagement

Die Datenschützer wiesen darauf hin, dass ein geregelter Prozess zum Einspielen von Sicherheits-Updates eingerichtet werden müsse, der auch bei Abwesenheit des IT-Sicherheitsbeauftragten zeitnah für eine Aktualisierung von Softwarekomponenten sorge.

7. Log-Dateien

Ferner wiesen die Prüfer darauf hin, dass bei der Verarbeitung von Log-Files IP-Adressen vor der Verarbeitung anonymisiert werden sollten.

8. Schutzmaßnahmen gegen Hacking

brickwallSchließlich forderten die Datenschützer Dokumente darüber an, welche Schutzmaßnahmen gegen Web-Hacking-Bedrohungen vorgenommen werden. Die Maßnahmen sollten sich an den sogenannten OWASP Top 10 orientieren. In diesen Top 10 listet das Open Web Application Security Projects (OWASP) die aus seiner Sicht schwersten Sicherheitsschwachstellen von Webanwendungen auf.

Fazit: Wenn die Datenschutzaufsicht erst einmal zur fokussierten Prüfung im Haus ist, schauen die Datenschützer durchaus genau hin. Insbesondere beschränken sie sich nicht auf die Überprüfung derjenigen Komplexe, die Anlass der Prüfung waren. Dies ist für den betroffenen Unternehmer mit einem nicht unerheblichen Zeit- und Kostenaufwand verbunden. Stellen die Prüfer schwerwiegende Verstöße fest, droht außerdem ein Bußgeld. Sobald wir von unserem Mandanten weitere Informationen bekommen, insbesondere zu den schlussendlichen Kosten, werden wir selbstverständlich darüber berichten.

1 reply

Comments are closed.