Datendiebstahl

Die Onlineshops sind stetig in Gefahr, Opfer eines Hackerangriffs zu werden. Neben den persönlichen Daten der Kunden sind es vor allem die Bank- und Kreditkartendaten, auf die es Cyberkriminelle abgesehen haben. Hat ein Onlinehändler den Verdacht, Opfer einer Cyberattacke geworden zu sein, bei dem Kundendaten entwendet wurden, verpflichtet ihn das Gesetz zu schnellen Reaktionen. 

Welche Schritte in einem solchen Fall zu unternehmen sind wissen die Meisten nicht.

Kommen Webshop-Betreibern Kundendaten abhanden, besteht sowohl eine öffentlichtrechtliche als auch eine zivilrechtliche Informationspflicht. Im Falle der öffentlichrechtlichen Informationspflicht muss der Onlinehändler den vermuteten Datenverlust sowohl der zuständigen Aufsichtsbehörde als auch den betroffenen Nutzern melden.

Personenbezogene Daten sind relevant Voraussetzung für die Melde pflicht ist, dass es sich bei den entwendeten Daten um eine bestimmte Art personenbezogener Daten handelt und dass durch den Diebstahl die Rechte und schutzwürdigen Interessen der Betroffenen in Gefahr sind. 

Solche Daten geben beispielsweise Auskunft über rassische oder ethnische Herkunft, politische Ansichten, religiöse Überzeugungen oder die Gesundheit, sollten aber im Normalfall bei einem Angriff auf Webshops keine Rolle spielen. In solchen Fällen sind vor allem die Daten über Bank-und Kreditkartenkonten relevant. Zudem müssen die Bank-und Kreditdaten unverschlüsselt in die Hände von Dritten gelangt sein. 

Dies ist der Fall, wenn sich Hacker Zugriff zu Kundendaten verschafft.-
Bei jeder Art von Datenleck muss der Onlinehändler seinen Kunden zum Beispiel per E-Mail oder SMS informieren. Sind die abgegriffenen Infor mationen aber nach dem Stand der Technik verschlüsselt gewesen und somit für die Angreifer unbrauchbar, ist der Tatbestand der Kenntniserlangung nicht er füllt und die Meldepflicht entfällt. 

Gleichzeitig gilt die Meldepflicht selbstverständlich nur dann, wenn das Unternehmen selbst von dem möglichen Diebstahl der Daten Kenntnis hat. Ein alleiniger vager Verdacht reicht nicht aus, um die Meldepflicht auszulösen. Haben Online-Händler eine Vermutung, sollten sie Logfiles und Serverdaten auswerten, um nachzuprüfen, ob und auf welchem Wege Dritte Nutzerdaten entwendet haben. 

Zu guter Letzt muss der Webshop-Betreiber abschätzen, ob seinen Kunden durch den Datendiebstahl erheblicher Schaden droht.

Werden die betroffenen Kunden informiert, muss ihnen mitgeteilt werden, welche Daten in fremde Hände gefallen sind und welche Maßnahmen sie nun am besten ergreifen sollten. Wenn zu viele Kunden betroffen sind, kann der Händler auch in der Öffentlichkeit durch Anzeigen informieren. Dieselben Informationen müssen auch an die zuständige Aufsichtsbehörde weitergeben werden, nur schwer zu prognostizieren sind und im Falle einer Fehleinschätzungen negative Konsequenzen drohen. Lieber einmal zu viel als zu wenig Bescheid zu geben. Treffen die genannten Faktoren zu, muss die zuständige Behörde 24 bis 48 Stunden danach über den Tatbestand informiert werden. Dazu genügt eine E-Mail, in Notfällen aber auch ein Telefonanruf oder eine SMS. Auch die Betroffenen sollen laut Gesetz »unverzüglich« informiert werden.

Bußgelder bis zu 300.000 Euro drohen. Neben den Informationspflichten gibt es eine Datensicherungspflicht. Wer dagegen verstößt, muss finanzielle Konsequenzen fürchten: 

• Onlinehändler müssen alle Kundendaten immer nach dem Stand der Technik schützen 

• Verstößt ein Händler fahrlässig oder vorsätzlich dagegen, muss er dem Kunden den entstandenen Schaden ersetzen 

• Unter den entstandenen Schaden fallen Käufe, die Kriminelle mit den Daten des Käufers abwickeln oder auch Kosten, die durch illegale Transaktionen vom betroffenen Kundenkonto entstehen.

Eine Liste der zuständigen Stellen kann auf der Website des Bundesbeauftragten für Datenschutz und Informationssicherheit abgerufen werden (www. bfdi.bund.de). 

Wer vorsätzlich oder fahrlässig gegen die Informationspflicht verstößt, begeht eine Ordnungswidrigkeit. In solchen Fällen sind für den Webshop-Betreiber Bußgelder in Höhe von bis zu 300.000 Euro möglich. Eine Lücke im Gesetzestext macht es laut Huber möglich, dass zwar auch Nutzungs- und Bestandsdaten wie im Internet getätigte Einkäufe, das Surfverhalten und die Adressdaten der Kunden unter die Daten fallen, die im Falle eines Diebstahls meldepflichtig sind, ein Verstoß da-gegen aber keine Ordnungswidrigkeit darstellt. 

Dafür sorgt laut Rechtsexperten schlicht ein redaktionelles Versehen des Gesetzgebers, denn der entsprechende Verweis fehlt. Webshop-Betreiber müssen also gegenwärtig keine Geldbußen fürchten, wenn sieden zuständigen Behörden umgehend melden welche Daten abhanden gekommen sind.

Neben den öffentlich-rechtlichen Meldepflichten sind Onlinehändler auch zivilrechtlich dazu verpflichtet, die vom Datenklau Betroffenen zu informieren. Wichtiger Unterschied im Vergleich zur öffentlich-rechtlichen Pflicht der Information: Bei der zivilrechtlichen Meldepflicht spielt die Art der Daten oder ihr Inhalt keine Rolle. Bei jeder Art von Datenleck muss der Online-Händler seine Kunden beispielsweise per E-Mail oder SMS informieren. 

Der Unterschied zwischen öffentlich-rechtlichen und zivilrechtlichen Informationspflichten ist vor allem dann wichtig, wenn der Händler nicht die zuständige Aufsichtsbehörde informieren muss, aber dennoch die betroffenen Kunden. Verstößt der Händler gegen die zivilrechtliche Informationspflicht, muss der Kunde ihm einen daraus entstandenen Schaden und auch die Höhe des Schadens nachweisen, um den Händler dafür haftbar zu machen.

Eine Lücke im Gesetzestext macht es möglich, dass zwar auch Nutzungs- und Bestandsdaten wie im Internet getätigte Einkäufe, das Surfverhalten und die Adressdaten der Kunden unter die Daten fallen, die im Falle eines Diebstahls meldepflichtig sind, ein Verstoß dagegen aber keine Ordnungswidrigkeit darstellt. 

Dafür sorgt laut Rechtsexperten schlicht ein redaktionelles Versehen des Gesetzgebers, denn der entsprechende Verweis fehlt.