Wo liegt der Hase im Pfeffer?

Oder: Welche Phase ist die sensibelste für Daten & Informationen während eines E-Commerce-Prozesses?

16.09.2020, Radinka Danilov Sehovic

„Datensicherheit (84,4%), Kostentransparenz (83%) und Übersichtlichkeit (80%) sind die wichtigsten Erfolgsfaktoren.“

Leitfaden E-Marketing & E-Commerce


Je mehr Möglichkeiten und Potenziale das Internet entdeckt hat, insbesondere seit es nicht mehr als Paralleluniversum und Konkurrenz der „realen Welt“ existiert, desto sensibler sind unsere Rechte auf Privatsphäre, Datenschutz und Informationssicherheit geworden, und wir selbst wurden entlarvt und wie nie zuvor dem Evolutionsprozess ausgesetzt. Dies hat die Beschleunigung der Komplexität des Datenschutz- und Informationssicherheitsbereichs zur Folge, und es treten immer mehr Gesetze in Kraft, um die Rechte von allen Marktteilnehmern zu stützen. Man darf dabei nicht vergessen, dass das Recht auf Privatsphäre eines des grundlegenden, durch die Konvention (Art. 8) garantierten Menschenrechte ist.

E-Commerce, zusammen mit seiner Extension M-Commerce, ist einer der komplexesten Prozesse aus dem Blickwinkel der Informationssicherheit. Fast alle Gesetze, welche die erwähnten Bereiche regulieren, finden sich in diesem scheinbar einfachen Prozess wieder. In das komplexe Rechtsbild ist auch eine Dimension der Unendlichkeit, bzw. die Möglichkeit des Verkaufs durch alle Meridiane, und damit auch (Nicht)existenz der nationalen Rechtsvorschriften sowie deren Spezifitäten einzuführen. Wo befinden sich meine Server? Welches Gesetz schützt meinen Kunden? Soll ich eine juristische Person auf den Territorien von USA / EU / Brasilien oder von einem anderen Land, das einige der Datenschutzgesetze durchsetzt, gründen? Wo liegt der Hase im Pfeffer und wie kann ich ihn am einfachsten fangen?

Sofern Sie Ihre Kunden fragen würden, wovor sie beim On-line-Einkauf Angst haben, wird die Mehrheit „den Missbrauch von Informationen in der Zahlungsphase“ antworten. Nur wenigen ist bewusst, dass der Missbrauch sensibler personenbezogener Daten, die sich in fast allen E-Commerce-Phasen verstecken, das E-Commerce-Unternehmen das Leben kosten kann.

Der Kunde wird sich weniger wohl fühlen, sofern seine Bankkontonummer gestohlen würde, im Vergleich mit Diebstahl der Daten zu seinen sexuellen Affinitäten oder politischen Überzeugungen. Jedes Unternehmen könnte das andere viel mehr kosten. Dementsprechend liegt der Hase in verschiedenen Pfeffern, je nach Blickwinkel. Oder genauer gesagt gibt es aus Sicht des Datenschutzes und der Informationssicherheit überall viele Hasen im Pfeffer, die entkommen könnten.

Wozu sind Sie verpflichtet, was dürfen Sie gar nicht machen, was ist doch erlaubt und unter welchen Bedingungen, können Sie nur dann verstehen, wenn Sie ein ganz klares Bild von Ihrem On-line-Verkauf, Phase für Phase, haben. Wenngleich unter der ersten Phase eines E-Commerce-Prozesses die Angebotspräsentation verstanden wird, verschieben Informations- und Datenschutzbeauftragte den Anfang des Prozesses einen Schritt zurück. Hier geht’s nicht nur um verantwortungsbewussten Umgang mit der Arbeit, sondern auch um eine rechtliche Verpflichtung. Es gibt Gesetze, die Datenschutz als aktiven Teil des Prozesses bereits von Anfang an vorschreiben (DSGVO, Art. 25, Privacy by Design). Die Strategievorbereitung erfordert irgendwelche Daten, weshalb es sehr wichtig ist, ob diese Daten direkt oder indirekt eine Person identifizieren können. Wenn ja, passen Sie bitte darauf auf, dass Informationen über Ihre Pläne nur dann an das Tageslicht kommen, wenn es für Ihre Web-Shop-Sonnenschein (Sprössling) am wenigsten schädlich ist, sowie dass Sie alle notwendigen Maßnahmen und andere Sicherheitsschritte unternehmen.

Eine Verkaufsplattform zu erstellen, ist einer der ersten großen Schritte, und technisch gesehen ebenso einer der komplexesten. Ihre Möglichkeiten und Verpflichtungen hängen davon ab, ob Sie Gast auf einer anderen Plattform sind oder alles eigenständig machen, ob Sie den Code selbst entwickeln oder fertiggestellte Module benutzen, ob diese Module Open Source oder von kommerziellen Lösungen sind, usw. In jedem Fall haben Sie alle notwendigen technischen Maßnahmen zu ergreifen, wie z. B. sichere Datenbank, bereitgestellter Proxyserver, technisch-vordefinierte Datenzugriffskontrolle, sichere Interfaces, usw. Nicht weniger wichtig sind auch organisatorische Maßnahmen (die Ausbildung des Teams, Einführung von Leitfäden und Richtlinien, Einhaltung von gesetzlichen Vorschriften, usw.).

Ab dem Moment, wenn Ihr Web-Shop live goes, wird er zum Ziel verschiedener bösartiger Personen und Schadsoftwares und Sie sind dauerhaft verpflichtet, ihn davor zu schützen: Passwort-Management, Antivirenlösung, permanente Ausbildung der Mitarbeiter, Datenverschlüsselung, usw. Man darf nicht vergessen, dass E-Commerce-Unternehmen verantwortlich für alle einzelnen personenbezogenen Daten sind, die durch den Registrationsprozess des Benutzers gesammelt wurden (weshalb empfohlen wird, so wenig Daten wie möglich zu sammeln und zu speichern).

Sofern wir uns einig sind, dass das Erfolgsgeheimnis beim On-line-Verkauf die Erzeugung eines Bildes von den Bedürfnissen eines potenziellen Käufers (sowie adäquate Präsentierung) ist, sind wir uns dann auch einig, dass im Hintergrund der Data-Profiling-Prozess steht, der noch ein sensibler Datenschutzpunkt ist. Durch das Profiling kommen wir bis zu einigen Prozessphasen, die sich auf Produktpräsentation, CRM und weitere Beziehung mit dem Kunden (Loyalty-Programme, Gewinnspiele, usw.), sowie Datenspeicherung und Datenbankmanagement beziehen. Zusätzlich zu dem Prinzip der Datenminimierung, merken Sie sich, dass die Verarbeitung von personenbezogenen Daten einen rechtlich zulässigen Zweck haben muss. Wenn Sie Daten ohne irgendwelche zulässige Zwecke sammeln, sind Sie nicht auf dem richtigen Weg. Fügen Sie noch das Prinzip der Speicherbegrenzung hinzu - sobald Sie den Verarbeitungszweck erfüllt haben, sind Sie verpflichtet die Daten zu löschen / anonymisieren. Das Prinzip der Integrität und der Vertraulichkeit verlangt, Daten und Informationen gegen unautorisierten Zugriff und Missbrauch von jeder Seite, auch vor sich selbst zu sichern. Das beste Beispiel dafür ist das Senden von kommerziellen E-Mails. Wenn der Käufer ausdrücklich und nachweisbar nicht damit einverstanden ist, kommerzielle Newsletters zu erhalten, dürfen Sie ihm / ihr gar nichts senden. Wenn er / sie nicht alle Cookie-Kategorien (da IP-Adresse auch personenbezogene Daten darstellt) genehmigt hat, dürfen Sie diese gar nicht setzen. Die Phasen der Produktpräsentierung, Web-Shop-Beförderung und weiterer Kommunikation mit dem Käufer hängt fast vollständig von der Einwilligung des Käufers ab. Die meisten Aktivitäten sind nur in jenem Fall erlaubt, wenn der Käufer zustimmt. Außerdem, jede Form vom Informationstransfer ist sensibel, da er besondere Kommunikationssicherheit erfordert. In einigen europäischen Ländern ist es notwendig, die E-Mail-Korrespondenz zu verschlüsseln. In einigen Ländern gibt es auch eine Liste mit E-Mail-Adressen, an welche Sie keine kommerziellen E-Mails senden dürfen (Robinson Liste). Nun, wie können Sie Kunden gewinnen? Zum Glück derjenigen, die auf Direktwerbung angewiesen sind, gibt es andererseits die Agenturen, bei denen Sie die Adress-Listen der Personen, die Ihre kommerziellen Newsletters erhalten wollen, mieten können.

E-Commerce, Datenschutz, Datenschutzerklärung, DSGVO, Datenschutzbeauftragter

M-Commerce, Datenschutz, Datenschutzerklärung, DSGVO, Datenschutzbeauftragter

 

Die Zahlungsphase stellt die größte Herausforderung im Hinblick auf den Datenschutz und die Informationssicherheit dar, zum großen Teil, weil sie für Diebe am interessantesten ist und da sie mindestens noch einen Teilnehmer in den Prozess einbezieht, weshalb die Kommunikation zwischen mindestens zwei Systemen besteht und daher auch ein Sicherheitsschwachpunkt vorhanden ist. Die Sicherheitssysteme werden alltäglich verbessert und eines der populärsten heutzutage ist 3FA. Es besteht aus drei unterschiedlichen Elementen: einem, das ich habe (Karte, Token, usw.), einem, das ich kenne (PIN, ID, usw.) und einem, das ich bekomme (w. z. B. TAN). Doch diese Phase ist weitaus komplexer und erfordert mehrfachen Schutz, weshalb es die optimale Lösung ist, bereits überprüfte Applikationen mit Qualitätssiegeln und -zertifikaten zu benutzen.

Jeder E-Commerce-Prozess endet mit der Produktlieferung und eventueller Rücksendung. In diesem Moment ist zu betonen, dass Sie auch für personenbezogene Daten verantwortlich sind, die in Ihrem Namen auf der Grundlage eines Vertrags durch eine andere Person (w. z. B. Lieferant) verarbeitet werden. Damit kommen wir zu Google Analytics, sowie „Like“ oder „Twittern“ Button neben des Produktbildes. Wieso? Ganz einfach. Für alle personenbezogenen durch die Webseite oder Cookies gesammelten Daten, die weiter zur Verarbeitung an Dritte übermittelt wurden, sind Sie auch Sie verantwortlich. Außerdem, FB App, die mit Ihrem Web-Shop verbunden wurde, sammelt manche Benutzerinformationen, wofür Sie ebenso verantwortlich sind. Das bedeutet natürlich nicht, dass Sie es in keiner Weise tun sollten. Im Gegenteil. Es ist durch die Maßnahmen klar definiert, was zu tun ist, um sich zu schützen. Doch, obgleich die Gesetze und Vorschriften genau geklärt sind, ist es in der Praxis besser, sich an sichere Zonen zu halten. Sofern Sie in der Europäischen Union Geschäfte machen, ist es immer besser europäische Unternehmen mit Servern auf EU-Territorium für die Zusammenarbeit auszuwählen, oder solche, die keine Daten und Informationen aus der EU in ein Drittland übermitteln, sogar wenn sie ihren Hauptsitz auf einem anderen Kontinent haben.

Aufgrund einiger hier ausgewählter Beispiele können Sie erkennen, wie komplex der Prozess ist und weshalb es wichtig ist, drakonische Geldbußen, die sicherlich das Schicksal Ihres Webshops beeinflussen würden, zu vermeiden. You sell on the web by making it ease to buy (Jakob Nielsen), aber je mehr Sie versuchen, alles zu vereinfachen, desto komplexer wird es. Je mehr Sie versuchen, alles zu personalisieren, desto tiefer treten Sie ins Datenschutz-Wasser. Dieses immer wichtigere Thema ist nicht neu, aber gewinnt im Laufe der Entwicklung des e-Business blitzschnell an Kraft. Machen Sie einen Schritt und surfen Sie ohne Angst, da die Zukunft der Geschäfte ohne dieses Thema nicht existieren wird.

Der Artikel wurde originell für Magazin „Diplomacy & Commerce“ geschrieben und kann hier auf Englisch gelesen werden.


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.