Online-Shop gehackt – was nun? Anleitung für eine DSGVO-konforme Reaktion auf Datenpannen

Schon nach der bisherigen Rechtslage waren Online-Händler wie alle anderen Verantwortlichen auch dazu verpflichtet, durch geeignete technische und organisatorische Maßnahmen die Sicherheit und Vertraulichkeit der von ihnen verarbeiteten Daten zu gewährleisten und so ihre Systeme gegen ein Durchsickern oder freies Verfügbarwerden von personenbezogenen Informationen zu wappnen. Dies wird sich auch unter der ab dem 25.05.2018 geltenden DSGVO nicht ändern. Allerdings sieht der neue Rechtsakt für Fälle derartiger Datenpannen eine Benachrichtigungspflicht gegenüber der Meldebehörde und gegebenenfalls des Betroffenen vor. Aufgrund der hierbei einzuhaltenden kurzen Frist sollte der Händler vorbereitet sein. Nachstehend zeigt die IT-Recht Kanzlei auf, wie auf Datenpannen angemessen zu reagieren ist.

Datenpannen im Online-Shop

Datenpannen sind Verletzungen des Schutzes personenbezogener Daten, die durch ein Versagen oder eine unzureichende Implementierung von angemessenen technischen und organisatorischen Maßnahmen entstehen. Im Internet bestehen derartige Verletzungen insbesondere darin, dass Daten von einem Verantwortlichen so gespeichert und verfügbar gehalten werden, dass Dritte ungehindert auf diese zugreifen können. Auch denkbar sind aber gezielte Hacking-Angriffe auf Shop-Systeme. Die Auswirkungen sind regelmäßig katastrophal, weil sensible private Informationen einem weltweiten Publikum zugänglich gemacht werden und so Missbrauch und Piraterie alle Tore und Türen geöffnet werden.

Datenlecks in Online-Shops können aufgrund der Art und Anzahl der zu Kunden gespeicherten Informationen in Form von gebündelten Adress-, Mail- und Zahlungsdaten zu besonders gravierenden Beeinträchtigungen für die betroffenen Kunden führen und diese erheblichen Risiken finanzieller und persönlichkeitsrechtlicher Ausbeutung aussetzen.

Aus diesem Grund sind Online-Händler nach Art. 32 DSGVO grundsätzlich gehalten, Datenpannen durch geeignete Maßnahmen präventiv entgegenzuwirken, und gespeicherte Datensätze insbesondere zu verschlüsseln sowie deren Speicherorte und Verarbeitungssysteme mit Zugriffspasswörtern und Firewalls zu schützen.

 

Leck entdeckt – was nun?

Sollte sich trotz oder mangels hinreichender technischer und organisatorischer Maßnahmen im Shop eine Datenpanne durch Leck oder Hacking ergeben, durch die Kundendaten unbefugten Dritten oder der Allgemeinheit zugänglich werden, ist der Händler ab Kenntnis der Datenverletzung nach Art. 33 ff. DSGVO zu verschiedenen unmittelbaren Reaktionen verpflichtet. Unterbleiben diese Reaktionen, kann der Händler gemäß Art. 83 Abs. 4 lit. a DSGVO mit empfindlichen bis existenzbedrohenden Geldbußen belegt werden.

 

1.) Frühzeitige Erkennung der Datenpanne

Grundsätzlich knüpft die DSGVO die Handlungspflichten im Falle einer Datenpanne an den Zeitpunkt der Kenntnisnahme des Online-Händlers von eben dieser. Um diesen nicht unbillig nach hinten zu verlagern und mithin den Betroffenen einem zunehmenden Risiko der Beeinträchtigung seines Datenschutzes auszusetzen, sollten Online-Händler durch technische Warnsysteme hinreichend sicherstellen, dass Datenanomalien so früh wie möglich gemeldet werden. 

Insbesondere Alarmsysteme für unbefugte Fremdzugriffe und -zugriffsversuche sind als erforderliche technische und organisatorische Maßnahmen i.S.d. Art. 32 DSGVO einzurichten.

Unter den Landesdatenschutzbehörden ebenso für wirksam befunden wurde die Errichtung eines sog. „Data Breach Notification Management“-Systems, das insbesondere Kommunikationswege, Kooperationen verschiedener Untergliederungen miteinander, den Informationsaustausch mit Auftragsverarbeitern und die rechtzeitige Einbindung von Entscheidungsträgern verbindlich und ablaufspezifisch festlegt.

 

2.) Dokumentation der Datenpanne

Gemäß Art. 33 Abs. 5 DSGVO hat der verantwortliche Online-Händler Datenpannen unverzüglich, also ohne schuldhaftes Zögern (§ 121 BGB), nach Kenntniserlangung hinreichend zu dokumentieren. Diese Dokumentation muss auf Verlangen der Aufsichtsbehörde (Art. 58 Abs. 1 lit. a DSGVO) vorgelegt werden können, die anhand der aufgezeichneten Fakten überprüfen können muss, ob der Online-Händler seiner Meldepflicht (dazu sogleich) hinreichend und vor allem hinreichend rechtzeitig nachgekommen ist.

Die Dokumentation muss im Zuge der Datenpanne alle mit ihr im Zusammenhang stehenden Fakten dokumentieren und so insbesondere enthalten:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • eine Beschreibung des konkreten Ereignisses unter Nennung der Ursache, des technischen Anknüpfungspunkts, evtl. der ausgehebelten oder fehlgegangenen technischen und organisatorischen Maßnahme, den genauen Umständen, Angaben zum Verschuldens und der Person(en), in deren Verantwortungsbereich sich die Datenpanne ereignete
  • den Ort und die Zeit des Ereignisses
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen

 

3.) Benachrichtigung der Aufsichtsbehörde

Art. 33 DSGVO verpflichtet Verantwortliche dazu, innerhalb von 72 Stunden nach Kenntniserlangung von der Datenpanne die für sie zuständige Aufsichtsbehörde über die Verletzung zu benachrichtigen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Sofern die Datenpanne im Online-Shop aber die Kundendaten von Privatpersonen betrifft, ist ein solches Risiko immer gegeben mit der Folge, dass die Meldepflicht eingreift.

Der zuständigen Aufsichtsbehörde gegenüber sind in der kurzen 3-Tagesfrist folgende Angaben zu machen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (sollte ein Datenschutzbeauftragter nicht bestellt werden müssen, sind Name und Kontaktdaten des Händlers anzugeben)
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der vom Händler ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Hinweis: Die zuständige Aufsichtsbehörde ist die Datenschutzbehörde des Bundeslandes, in welchem der Online-Händler seinen Sitz hat.

Kann der Online-Händler der Meldepflicht nicht innerhalb von 3 Tagen nach Kenntniserlangung Folge leisten, so muss der verspäteten Meldung eine Begründung für die Verzögerung beigefügt werden.

Wenn der Online-Händler der Benachrichtigung aus tatsächlichen Gründen nicht sofort alle erforderlichen Bestandteile beifügen kann, so wahrt er die 3-Tagesfrist gemäß Art. 33 Abs. 4 DSGVO auch dann, wenn lediglich das Auftreten der Datenpanne gemeldet wird und die weiteren Pflichtinformationen ohne unangemessene weitere Verzögerung schrittweise nachgereicht werden.

Vor allem in Anbetracht der kurzen Meldefrist ist das Bereithalten einer Mustermeldung unbedingt empfehlenswert, in welche im Falle einer Datenpanne sodann allein die erforderlichen Eckdaten eingetragen werden müssen. Ein solches Muster kann unter III. abgerufen werden.

 

4.) Gegebenenfalls Benachrichtigung des Betroffenen

Dann, wenn die Datenpanne ein hohes Risiko in sich birgt, dass Rechte und Freiheiten von privaten Kunden beeinträchtigt werden, sind gemäß Art. 34 DSGVO zusätzlich zur Aufsichtsbehörde auch alle konkret Betroffenen in einfacher und verständlicher Art und Weise zumindest über Folgendes zu informieren:

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (sollte ein Datenschutzbeauftragter nicht bestellt werden müssen, sind Name und Kontaktdaten des Händlers anzugeben)
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Ein die zusätzliche Meldepflicht auslösendes hohes Risiko ist im Online-Shop vor allem dann anzunehmen, wenn Zahlungsdaten der Kunden oder als besonders sensibel geltende Gesundheitsdaten durchsickern und dem ungehinderten Zugriff Dritter zugänglich werden.

Die konkret Betroffenen sind unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung von der Datenpanne zu informieren.

Zu beachten ist allerdings, dass gemäß Art. 33 Abs. 3 DSGVO die zusätzliche Benachrichtigungspflicht gegenüber Betroffenen entfällt, wenn

  • der Online-Händler geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten nachträglich angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung oder
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht

Insbesondere in Fällen also, in denen der Händler nach Kenntniserlangung von der Datenpanne unverzüglich deren Abrufbarkeit gegenüber Unbefugten verhindert und demgemäß den Zugriff sperrt, sind die individuell Betroffenen nicht zu informieren.

 

III. Fazit

Datenpannen im Online-Shop konfrontieren Händler nicht nur mit dem Risiko eines Imageschadens und eines Vertrauensverlustes der betroffenen Kunden, sondern zwingen sie rechtlich auch dazu, weitreichende Dokumentations- und Informationspflichten zu erfüllen. Insbesondere die hohen Bußgeldandrohungen für Pflichtverstöße und die kurzen Fristen sollten Anlass geben, geeignete Methoden und Abläufe aufzustellen, um im Falle von Datenpannen kurzfristig und angemessen reagieren zu können.

Hinweis: Die nachträgliche Abhilfe entbindet nur von der Meldepflicht gegenüber Betroffenen, nicht aber von derjenigen gegenüber der Behörde. Diese ist stets anzurufen.

Das war die K5 Future Retail Conference 2019

Am 4. und 5. Juni präsentierten sich auch in diesem Jahr wieder 150 namenhafte Aussteller auf der K5 Future Retail Conference. Auch wir waren vor Ort und gestalteten sogar das Programm mit.

Daten Dashboard idealo Business

Optimieren Sie Ihre idealo Direktkauf Angebote für das Weihnachtsgeschäft

Nicht nur zum bevorstehenden Weihnachtsgeschäft ist es wichtig, Ihr Inventar im idealo Direktkauf optimal auszusteuern. Erfahren Sie hier, wie!

idealo Public Viewing

Das diesjährige Public Viewings bei idealo in den Ritterhöfen war ein voller Erfolg. Hier sehen Sie die Bilder.

Die K5 FUTURE RETAIL CONFERENCE 2018

K5 2018 Die Leitveranstaltung der E-Commerce Branche findet am 3. und 4. Juli 2018 erneut in Berlin statt. Was können Besucher erwarten?

Pflichttermin und Branchentreff für Deutschlands E-Commerce-Enthusiasten – Die OXID Commons stellt sich vor

Handelsgrößen, Digitalexperten, Shop Betreiber, OXID Partner und die Community machen sich am 14. Juni nach Freiburg auf, um an der OXID Commons teilzunehmen.

Der e-Commerce Day 2018 in Köln

Mit über 30 Fachvorträgen und Workshops und 1750 erwarteten Teilnehmern im RheinEnergie Stadion findet der real e-Commerce Day am 25. Mai 2018 bereits zum neunten Mal statt.

plentymarkets Online-Händler-Kongress 2018 – plentymarkets macht Händler zu Helden

Am 03. März 2018 öffnet plentymarkets die Pforten des Kongress Palais in Kassel für Händler aus aller Welt. Treffen Sie die Glocal Heroes of E-Commerce und erfahren Sie, wie Sie sich ihre Superkräfte für Ihr Business zunutze machen!

Einfache Umstellung von Magento 1 auf Magento 2

Durch ein neues PlugIn ist es idealo Händlern einfach möglich von Magento 1 auf Magento 2 zu wechseln. Hier erfahren Sie, wie es funktioniert.

Das erwartet die Besucher auf der E-Commerce-Messe

Was Besucher auf der diesjährigen Net & Work erwartet, erfahren Sie in unserem ausführlichen Eventbeitrag.

Net&Work: Die Dortmunder Westfalenhalle wird zum E-Commerce-Hotspot

Die Dortmunder Westfalenhalle wird im kommenden Jahr zum Hotspot für den E-Commerce. Am 17. Februar 2018 öffnet die E-Commerce-Messe Net&Work erstmals ihre Pforten.

Das war der erste idealo Partnertag

Am 19. Oktober haben wir unseren ersten idealo Partnertag bei uns in den Ritterhöfen veranstaltet. Einen Rückblick zu diesem gelungenen Event lesen Sie hier.

idealo Webinare

Mit unseren regelmäßigen Webinaren geben wir unseren Händlern die Chance, sich up to date zu halten: Informieren Sie sich über unsere kostenlosen Trainings jeglicher relevanter Themen rund um idealo und idealo Direktkauf.

Das war: idealo insights in Düsseldorf

Die 4. idealo insights Veranstaltung fand dieses Mal in den Design Offices Düsseldorf statt. Wir haben über 31 Händler in die Design Offices gebeten, um ihnen spannende Insights zum idealo Direktkauf aus erster Hand zu zeigen.

Knallt richtig! Mit einfacher technischer Anbindung

Plugin, API, CSV? Im letzten Teil unserer idealo Direktkauf-Serie wird es technisch, denn es gibt verschiedene Möglichkeiten, Ihren Onlineshop an idealo anzubinden.

Knallt richtig! Mit bis zu 25 % mobiler Conversion Rate

Der vierte Teil unserer Knallt richtig!-Serie erklärt, wie Händler über idealo Direktkauf bis zu 25 Prozent Mobile Conversion erreichen.

Knallt richtig! Mit hoher Markenpräsenz

Im dritten Teil unserer Knallt richtig!-Serie beschäftigen wir uns mit dem Thema Branding und zeigen, warum Ihre Marke bei idealo Direktkauf nicht untergeht.

Neuer Partner: novomind iMarket

Ab sofort können Händler sich mit ihrem Onlineshop auch über novomind iMarket an idealo Direktkauf anbinden.

Vertrauen fördert Verkäufe

In unserem Webinar mit EHI Geprüfter Online Shop zeigen wir Ihnen, wie Sie Ihren Onlineshop noch erfolgreicher machen.

Knallt richtig! Ganz ohne finanzielles Risiko

Im zweiten Teil unserer Knallt richtig!-Serie erklären wir Ihnen, warum die Teilnahme an idealo Direktkauf finanziell für Sie völlig risikofrei ist.

Knallt richtig! Mit erhöhter Sichtbarkeit

In unserer Knallt richtig!- Serie stellen wir in den nächsten Woche die Erfolgsfaktoren von idealo Direktkauf vor. Teil 1: Erhöhte Sichtbarkeit im Preisvergleich.

idealo beim OMR Festival 2017

Online Marketing Rockstars Festival 2017 verpasst? Kein Problem, wir haben das E-Commerce-Panel mit Philipp Peitsch, Marc Opelt und Tarek Müller in voller Länge.

idealo @K5 WORLD EXPO

Auf der K5 präsentierten sich auch dieses Jahr wieder 100 Aussteller den knapp 5.000 Besuchern. Wir waren zum ersten Mal mit einem eigenen Stand dabei!

4 Fragen an: mediadeal.de

Wie läuft idealo Direktkauf eigentlich aus Händlersicht? Das interessiert nicht nur uns, sondern auch unsere Händler. Deshalb haben wir Nico Klostermann von mediadeal.de bei unserem Event idealo insights genauer dazu befragt.

idealo @ JTL-Connect 2017

Auch in diesem Jahr findet die JTL-Connect wieder in Düsseldorf statt und bietet viel Raum für inspirierenden Austausch – wir sind auch dabei und haben Freikarten für Sie.

Schöne neue Arbeitswelt

Was haben effiziente Meetings mit der Neuen Arbeit zu tun? idealo beantwortet diese Frage im Workshop auf der XING New Work Experience.

idealo beim plentymarkets Online-Händler-Kongress

Gleich Termin vereinbaren und beim Ticketkauf sparen.

Das war: idealo insights

Über 40 Shops und Dienstleister nutzten die Gelegenheit, sich in spannenden Vorträgen über idealo und idealo Direktkauf zu informieren. 

Neue Direktkauf-Schnittstelle

Ab sofort können Händler sich auch über die E-Commerce Middleware brickfox bei idealo Direktkauf anbinden.

Neue Features in idealo Business

Wir haben unseren Händlerbereich idealo Business mit neuen und hilfreichen Features für Sie verbessert!

Was idealo-Kunden “Jetzt kaufen”

Teuer oder günstig, luxuriös oder alltäglich: Gibt es Produkte oder Kategorien, die bei Kunden im idealo Direktkauf beliebter sind als andere? Wir haben den Vergleich gemacht und die Top-Verkäufe analysiert.

ChannelPilot-Anbindung

Lernen Sie idealo Direktkauf im Webinar kennen und sehen Sie in der Live-Demo, wie Sie Ihren Shop unkompliziert über ChannelPilot anbinden.

Webinar zum JTL-Plugin

Lernen Sie idealo Direktkauf im Webinar kennen und sehen Sie anhand einer Live-Demo, wie Sie Ihren JTL-Shop unkompliziert anbinden können.

Webinar zum OXID-Plugin

Lernen Sie idealo Direktkauf im Webinar kennen und sehen Sie in der Live-Demo, wie Sie Ihren OXID-Shop unkompliziert anbinden können.

Shopware-Plugin

Lernen Sie idealo Direktkauf im Webinar kennen und sehen Sie in der Live-Demo, wie Sie Ihren Shopware-Shop einfach anbinden können.