Das 1×1 des Datenschutzes für den E-Commerce

Bereits seit Mai 2018 gehört sie zu den ständigen Begleitern im E-Commerce: die Datenschutzgrundverordnung, kurz DSGVO. Häufig haben vor allem kleinere Betriebe Mitarbeitern der eigenen Firma das Thema Datenschutz als zusätzliches Aufgabenfeld übertragen. Aber nicht selten fühlen sich diese überfordert von einem so komplexen Themenbereich, der dann zusätzlich zu der eigentlichen Arbeit in ihrer Verantwortung liegt.

„Darüber hinaus treten immer wieder Änderungen in Kraft, sodass sich Datenschutzverantwortliche auch stetig weiterbilden müssen. Aber auch im allgemeinen Arbeitsalltag ist das Thema Datenschutz noch längst nicht in allen Unternehmen und Köpfen der Mitarbeiter angekommen“, erklärt Haye Hösel, Geschäftsführer und Gründer der HUBIT Datenschutz GmbH & Co. KG.

Anzeige

Maßnahmen auch festhalten

Ein komplexer Bereich, der sich häufig aber bereits durch einfache Maßnahmen regeln lässt, betrifft die TOM. Diese Abkürzung steht für die technischen und organisatorischen Maßnahmen eines Unternehmens, die es zum Schutz personenbezogener Daten ergreift. Zu den technischen Maßnahmen zählen etwa physische Verfahrensweisen – zum Beispiel ein Schloss, um das Unternehmensgebäude zu schützen. Eine organisatorische Maßnahme wäre wiederum die Dokumentation darüber, wer einen Schlüssel besitzt. Aber auch auf digitaler Ebene gibt es einiges zu beachten. So gilt es laut Art. 32 Abs. 1(b) der DSGVO „die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen“. Dazu können etwa Maßnahmen wie der Einsatz einer geeigneten Firewall oder auch die Festlegung der Zugriffsberechtigungen für EDV-Systeme gehören. Für den elektronischen Handel besonders wichtig sind aber auch die Richtlinien rund um das Thema Auftragsverarbeitung, da Unternehmen ihre Daten häufig outsourcen, um Ressourcen wie Kosten, Raum und Zeit zu sparen. Sie nutzen dabei nicht nur externe Speicher, sondern lagern zudem immer mehr Arbeitsprozesse vollständig an externe Dienstleister aus – beispielsweise durch die Nutzung eines externen Rechenzentrums oder die Beauftragung eines Callcenters oder einer Marketingagentur, die in irgendeiner Form Kundendaten verarbeitet. Somit beauftragt das Unternehmen einen externen Dienstleister, in diesem Fall Auftragnehmer genannt, personenbezogene Daten weisungsgebunden zu verarbeiten. Hösel weist darauf hin: „Zwar muss der Auftragsverarbeiter garantieren, dass seine TOM den Datenschutzbestimmungen entsprechen, der Großteil der Verantwortung für die Einhaltung der Anforderungen liegt aber trotzdem beim Auftraggeber, denn eine Auslagerung befreit ihn nicht von seinen datenschutzrechtlichen Pflichten.“ Dabei müssen Art und Zweck sowie Gegenstand und Dauer der Verarbeitung genauso vertraglich festgehalten werden wie die Löschung oder Rückgabe der Daten nach Beendigung des Auftrages.

Cookies auf der Website

Ebenfalls keine Neuigkeit und dennoch häufig nicht datenschutzkonform eingesetzt: Cookies auf Unternehmenswebsites. Laut DSGVO gelten Cookies, die für den technischen Betrieb von Websites erforderlich sind, als erlaubt, während alle anderen Cookies eine Einwilligung des Nutzers benötigen. „Diese muss aufgrund einer eindeutigen, aktiven Handlung der betreffenden Person erfolgen und Einwilligungsfelder dürfen nicht vorausgefüllt sein“, so der Datenschützer. Zudem darf sich die Einwilligung nicht an andere Leistungen koppeln, muss also frei von jedem Zwang sein und vom Nutzer jederzeit widerrufen werden können. Darüber hinaus muss die Website die betreffende Person eindeutig über die Datenverarbeitung und Speicherdauer informieren. Eine Website darf außerdem erst dann Cookies setzen, wenn die Einwilligung erfolgt ist. Auch viele Marketingmaßnahmen stellen eine Herausforderung für Betriebe dar, wie beispielsweise das datenschutzkonforme Tracking. Dieses Tool nutzen die meisten Unternehmen, um beispielsweise nachvollziehen zu können, welche User wie lange auf der Website bleiben. Diese Ergebnisse können Unternehmen einsetzen, um Nutzerprofile zu erstellen, die wiederum das Ausspielen personalisierter Werbung ermöglichen. Für datenschutzkonformes Tracking gibt es einerseits die Möglichkeit, auf der Website pseudonymisierte Nutzerprofile zu erfassen, bei denen beispielsweise personenbeziehbare Daten durch eine Kennziffer ersetzt werden. Andererseits können Betreiber auf der Website eine Opt-in-Option einrichten. Das bedeutet, Nutzer müssen der Nutzung ihrer Daten aktiv zustimmen und diese Zustimmung muss auch widerrufbar sein.

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Bewerbungsdaten

Jedes Unternehmen hat in der Regel früher oder später auch mit der datenschutzrechtlichen Auseinandersetzung mit Bewerbungsdaten zu tun. Laut DSGVO müssen die Bewerber, sobald die Unterlagen eingehen, Informationen über die Datenverarbeitung erhalten. Hösel erklärt: „Dazu zählt unter anderem, welche Daten die Personalverantwortlichen verarbeiten, zu welchem Zweck und wie lange sie aufbewahrt werden.“ Indem ein Unternehmen beispielsweise eine automatisch generierte Eingangsbestätigung mit den entsprechenden Angaben versendet, kommt es dieser Pflicht nach. Darüber hinaus müssen Unternehmen ein Verzeichnis führen, in dem die Verarbeitungstätigkeiten, die im Rahmen des Bewerbermanagements stattfinden, festgehalten werden. Konnte die offene Stelle besetzt werden, müssen Verantwortliche die personenbezogenen Daten der anderen Bewerber löschen, wenn Einspruchsfristen abgelaufen sind. Auch Kundendaten gilt es sensibel zu behandeln. Vielfach bleiben beispielsweise Bestelldaten in Shopsystemen auf ewig gespeichert.

Anzeige

Sicher – im Büro und unterwegs

Wenn Mitarbeiter auch unterwegs arbeiten, benötigen sie dafür oft eine Internetverbindung. In den meisten Fällen gelten öffentliche WLAN-Netzwerke allerdings nicht als sicher. An dieser Stelle sollten virtuelle private Netzwerke, sogenannte VPNs, zum Einsatz kommen, die sich auch für den Zugriff auf die Daten des Firmenservers empfehlen. Aber auch der Laptop sollte vor heimlichen Blicken von Außenstehenden geschützt werden. Eine recht einfache Möglichkeit bieten dabei Blickschutzfilter, die beispielsweise auf den Bildschirm gelegt werden können. „Auch am Handy sollten sich Mitarbeiter möglichst zurückhalten und keine sensiblen Firmeninterna ausplaudern. Zwar scheint das auf den ersten Blick eine Selbstverständlichkeit zu sein, doch in der Realität sieht es häufig anders aus. Führungskräfte sollten ihre Mitarbeiter daher regelmäßig daran erinnern, sensibel mit dem Thema umzugehen“, so Hösel. Aber nicht nur im eigenen Interesse sollten Unternehmer sich an die Regelungen der DSGVO halten. Onlineshops haben häufig ein hohes Abmahnrisiko durch Mitbewerber – auch in puncto Datenschutz.

www.hubit.de

Anzeige

Artikel zu diesem Thema

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.