Prüfung eines Online-Shops durch Datenschutzaufsicht

von Felix Gebhard

Wir hatten in einem unserer letzten Beiträge darauf hingewiesen, dass bei einem von uns betreuten Online-Händler eine sogenannte fokussierte Datenschutzprüfung nach § 38 Abs. 1 BDSG durchgeführt wurde. Nun liegt uns der Prüfbericht des Bayerischen Landesamts für Datenschutzaufsicht vor. Dieser zeigt einmal mehr, dass Datenschutz auch für kleinere Shops weit mehr bedeuten sollte, als ein ordentliches Newsletter-Opt-In zu haben.

Anhand dieses Falles wollen wir beispielhaft erläutern, welche Punkte die Behörde geprüft hat und welche Maßnahmen sie für erforderlich hält.

Die Prüfung lief so ab, dass die Behörde dem Händler zunächst Fragebögen zuschickte, in denen bereits vorab Angaben zu datenschutzrelevanten Bereichen gemacht werden mussten. Einige Zeit später kamen die Prüfer in die Geschäftsräume des Händlers und führten Interviews und Überprüfungen durch.

1. Arten personenbezogener Daten

Zunächst verschafften sich die Prüfer dabei einen Überblick über die Arten personenbezogener Daten, welche von dem Händler verarbeitet werden. Dies sind – wie im Online-Handel üblich – zunächst Namen, Postadressen und E-Mail-Adressen von Kunden. Beim Newsletter-Versand zudem E-Mail-Adressen von Nicht-Kunden. Hinzu kommen im Rahmen der Zahlungsabwicklung gegebenenfalls Bankdaten, soweit diese nicht vom Kreditkartenaussteller oder Zahlungsdiensteanbieter selbst erhoben werden. Die Prüfer wiesen darauf hin, dass beim Verlust von Bankdaten die Regelungen des § 42 a BDSG eingreifen.

2. Perfect Forward Secrecy und HTTPS

Im nächsten Schritt prüften die Datenschützer die Verschlüsselung der Datenübertragung im Online-Shop. Hierzu führten sie aus:

Der Webserver muss so konfiguriert werden, dasss Perfect Forward Secrecy unterstützt wird ...

Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK