Um die gesetzlichen Anforderungen hinsichtlich des Datenschutzes erfüllen zu können, brauchen Unternehmen ein umfassendes Datenschutzmanagement, das die Rahmenbedingungen festlegt. Für die Erhebung von Daten im Bereich des E-Commerce gilt laut Telemediengesetz (TMG), dass die Einwilligung zur Speicherung der Daten unter folgenden Bedingungen auch elektronisch erklärt werden kann: Wenn der Nutzer seine Einwilligung bewusst und eindeutig erteilt, die Einwilligung vom Webseitenbetreiber protokolliert wird, der Nutzer den Inhalt der Einwilligung jederzeit abrufen und die Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen kann. Damit dies reibungslos funktioniert, müssen alle diese Prozesse bestimmt und im Datenschutzmanagement hinterlegt sein. Unternehmen sollten außerdem darauf achten, dass sie bei der Erfassung von Daten die Hauptprinzipien Datensparsamkeit und Datenvermeidung, Erforderlichkeit sowie Zweckbindung einhalten. In der Praxis bedeutet das, dass verpflichtend nur solche Daten abgefragt werden, die für den Vorgang des Online-Einkaufs nötig sind, und dass diese dann auch nur für die in der obligatorischen Datenschutzunterrichtung angegebenen Zwecke genutzt werden. Eine Erhebung und Verwendung von Daten darüber hinaus erfordert eine explizite Zustimmung des Betroffenen, zum Beispiel Mittels einer zu aktivierenden Checkbox. Eine Ausnahme davon ergibt sich aus dem Wettbewerbsrecht in § 7 Abs. 3 UWG. Demnach soll es dem Online-Händler unter Berücksichtigung einiger Randbedingungen möglich sein, für den Verkauf ähnlicher Produkte mittels E-Mail zu werben, ohne die Einwilligung des Kunden eingeholt zu haben.

Unternehmen müssen gemäß § 9 BDSG technisch-organisatorische Maßnahmen treffen, um die erforderliche Sicherheit der erhobenen Daten zu gewährleisten. Dazu sollte zunächst definiert werden, welche Daten vorhanden sind, welchen Schutzbedarf sie haben und welchen Risiken sie ausgesetzt sind. Hier sind die Grundwerte der Informationen Verfügbarkeit, Integrität sowie Vertraulichkeit zu berücksichtigen. Verfügbarkeit bedeutet, dass Daten stets dann verfügbar sein müssen, wenn sie benötigt werden und nicht verloren gehen oder zufällig zerstört werden dürfen, während Integrität festlegt, dass alle Daten vollständig und unverändert sein müssen. Unter Vertraulichkeit ist zu verstehen, dass die Daten vor unbefugter Preisgabe geschützt sind. In diesem Rahmen sollten auch verschiedene Bedrohungsszenarien skizziert werden, um einzuschätzen: Wie wahrscheinlich ist die Bedrohung, welche Auswirkungen würden daraus resultieren und wie schnell kann das Szenario entdeckt werden? Anhand dieser Klassifizierung erfolgt dann die Implementierung entsprechender Maßnahmen. Das kann in Form von technischen Maßnahmen oder über organisatorische Regelungen wie die Schulung von Mitarbeitern erfolgen. Eine wichtige Rolle spielt hier der Datenschutzbeauftragte. Unternehmen mit mehr als neun Personen, die personenbezogene Daten automatisiert erheben, verarbeiten oder nutzen, haben laut Bundesdatenschutzgesetz einen Beauftragten für den Datenschutz schriftlich zu bestellen. Er wirkt aktiv auf die Umsetzung des Datenschutzes im Unternehmen hin, berät, entwickelt Datenschutzkonzepte, schult die Mitarbeiter, ist Anlaufstelle bei Fragen oder Beschwerden und ist zusammen mit den Fachabteilungen für die Erstellung von Verfahrensübersichten zuständig.

Diese Aufgaben erfordern Zeit und Fachwissen. Häufig ist es aber so, dass der Datenschutzbeauftragte noch weitere Aufgaben hat und der Datenschutz nur nebenbei läuft. Damit hat er oftmals nicht genug Zeit, es fehlen oft Weiterbildungen und damit das entsprechende Fachwissen. So ist ein verlässlicher Datenschutz nicht gewährleistet und es entstehen gefährliche Lücken. Wenn intern die Ressourcen oder das Know-how fehlen, kann der Datenschutzbeauftragte auch über einen externen Dienstleister bestellt werden. Dadurch ist auch sichergestellt, dass es zu keinem Interessenskonflikt mit anderen Aufgaben kommt und die Fragen des Datenschutzes mit der notwenigen Aufmerksamkeit qualifiziert bearbeitet werden.

Eine weitere Hauptquelle für Datenschutzlücken ist die Tatsache, dass in vielen Betrieben neue oder geänderte Prozesse und Projekte nicht auf Datenschutzbelange hin überprüft werden. Bereits bei der Planung sollte der Projektverantwortliche den Datenschutzbeauftragten mit einbeziehen, der dann beurteilen kann, ob das Projekt oder der Prozess datenschutzkonform ist und ob beispielsweise die Datenschutzerklärung auf der Homepage geändert werden muss.

Hält sich ein Anbieter nicht an die Bestimmungen des BDSG, kann das gravierende Folgen haben. Neben erheblichen Bußgeldern bis zu 300.000 Euro pro Fall und Freiheitsstrafen von bis zu zwei Jahren, können Schadenersatzforderungen erhoben werden. So kommt es zum einen zu einem großen finanziellen Schaden, zum anderen entsteht ein massiver Image- und Vertrauensverlust auf Seiten der Kunden.

Informationssicherheit soll verarbeitete Informationen schützen und die Einhaltung der Grundwerte Vertraulichkeit, Verfügbarkeit und Integrität sicherstellen. Sie vereint die folgenden Begriffe:

IT-Sicherheit bezeichnet den Schutz von soziotechnischen Systemen wie IT oder ITK-Systemen. Zu den Aufgaben der IT-Sicherheit gehört der Schutz von Organisationen und deren Werte gegen Bedrohungen.

Datensicherheit hat das technische Ziel, Daten jeglicher Art in ausreichendem Maß gegen Verlust, Manipulationen und andere Bedrohungen zu sichern. Datensicherheit ist eine Voraussetzung für effektiven Datenschutz.

Datenschutz bezeichnet den Schutz persönlicher Daten vor Missbrauch und ist unter anderem im Bundesdatenschutzgesetz (BDSG) festgeschrieben. Es soll damit die Privatsphäre geschützt werden.

Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder einer bestimmbaren Person. Dazu zählen beispielsweise Name, Adresse, Alter, E-Mail-Adresse, Firmenzugehörigkeit oder Gehalt.

zur Ausgabe