Datenschutz

Kundenkonten in Online-Shops als Risiko begreifen

14.03.2008

Anbieter genauso wie Kunden müssen lernen, dass ein so genannten Kundenkonto, das man heute allzu leichtfertig in Online-Shops anlegt, Risiken für alle Beteiligten bergen. Ein kurzer Artikel der aufklären soll.

Wenn man Kundenkonten anlegt, oder sogar anlegen muss bei einer Bestellung, birgt das die Möglichkeit, Kunden ohne deren Wissen oder Einwilligung zu analysieren in Surf- und Kaufverhalten im Shop. Das ist offensichtlich und hier nicht das Thema. Ebenfalls hat der Kunde einen Auskunfts- und Löschungsanspruch, was für den Anbieter ebenfalls mehr Arbeit bedeutet, als wenn er dem Kunden direkt die Wahl lässt ob er überhaupt ein Konto haben möchte. Auch dies ist hier nicht das Thema, so wenig wie die Frage ob der Zwang ein Kundenkonto anzulegen mit §12 III TMG überhaupt vereinbar ist. All dies habe ich schon thematisiert und will es nicht neu aufrollen.

Nein, es geht hier um das ganz praktische Risiko der Sicherheit: Bei solchen Kundenkonten hinterlegt man regelmässig Zahlungsdaten, etwa seine Bankverbindung oder seine Kreditkartendaten. Wer nur einmal bestellt, hinterlegt hier ggfs. sensible Daten und vergisst dann, dass sie dort liegen. Es spielt keine Rolle, ob man dem Anbieter vertraut, das Risiko ist viel mehr, dass jemand die Kundendatenbank hackt oder stiehlt. Hier stehen dann nicht nur individuelle Existenzen auf dem Spiel, sondern auch das Vertrauen in den Anbieter. Eines der prominentesten Beispiele, wie schnell ein solcher GAU eintreten kann, war der Kartenhaus-Fall Ende 2007 in Deutschland (Hier bei Heise zu finden). Es war weder der einzige Fall, noch der kleinste letztes Jahr weltweit.
Es gilt, ein Bewusstsein zu schaffen. Anbieter sollten auf keinen Fall denken, dass ihr System “sicher”ist – solange die Daten hinterlegt sind und ausgelesen werden können ist es das nicht. Die Beispiele alleine im Jahr 2007 zeigen dabei das enorme Risiko – und als Anbieter muss man berechnen, wie gross ein Image-Schaden hier sein kann.
Und ein Kunde sollte sich des Risikos bewusst sein. Im einfachsten Fall empfehle ich, einfach nach der Bestellung die Zahlungsdaten im Account zu löschen, bei Simyo z.B. geht das, indem man auf “Überweisung” umstellt.Nachdem man umgestellt hat, sollte man einfach später wieder die vorherige Option auswählen um zu sehen, ob das System die früheren Daten wieder abrufen kann. Wenn man merkt, dass die Daten nicht entfernt werden (können), sollte man auf einer Löschung des Kundenkontos bestehen.

Beitrag teilen:

Kontakt

Rechtsanwalt Dr. Sebastian Kraska,
externer Datenschutzbeauftragter

Telefon: 089-1891 7360
E-Mail: email@iitr.de
www.iitr.de

6 Kommentare zu diesem Beitrag:

Ein Mensch

Das im letzten Absatz thematisierte Risiko ist aber keineswegs auf Daten in Kundenkonten beschränkt. Mancher Anbieter hebt auch die Transaktionsdaten bis zum St. Nimmerleinstag auf. Der neue Industriestandard PCI DSS, obwohl offiziell im Sept. 2007 in Kraft getreten, ist noch längst nicht von allen Online-Händlern umgesetzt.

Kommentar schreiben:

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

IITR Chatbot IITR Chatbot