Von Lösegeldforderungen bis KI: Best Practices & Strategien für deinen Online-Shop

Dass sich Menschen um ihre persönlichen Daten sorgen, ist ein Fakt. Diese wachsende Sorge macht alle, die als Datenschutzbeauftragte in oder für Unternehmen arbeiten, zu einer wichtigen Schnittstelle. In unserem Interview mit Katharina Däberitz, einer erfahrenen Datenschutzbeauftragten, beleuchten wir, wie sie Unternehmen durch die Herausforderungen und Best Practices navigiert und was E-Commerce-Unternehmen tun können, um das Vertrauen ihrer Kundschaft zu gewinnen und zu erhalten.

Vertrauen ist gut, Kontrolle ist besser

Onlinehändler News: Katharina, danke, dass du dir die Zeit nimmst und uns Rede und Antwort stehst. Du bist nicht nur Rechtsanwältin und E-Commerce-Expertin, sondern auch zertifizierte Datenschutzbeauftragte. Welche Datenschutz-Herausforderungen siehst du in der E-Commerce-Branche am häufigsten und was rätst du Unternehmen? 

Katharina Däberitz: Sehr gern. Die größten Herausforderungen sind natürlich der technische Wandel und die Digitalisierung. Immerhin müssen die zum Schutz personenbezogener Daten ergriffenen Maßnahmen dem aktuellen Stand der Technik entsprechen. Das kann sich heutzutage schnell ändern. 

Auch wissen viele Unternehmen gar nicht, dass die im Daily Business eingesetzten Dienstleister und Tools viel mehr Daten verarbeiten als notwendig und dies teilweise auch noch zu eigenen Zwecken. Wir raten daher immer dazu, mit den Dienstleistern, die eingesetzt werden, auch ins Gespräch zu gehen und die Verträge nicht nur einfach in der Datenschutz-Schublade verschwinden zu lassen. Immerhin bleibt oft das Unternehmen selbst datenschutzrechtlich verantwortlich – auch wenn der eingesetzte Dienstleister den Mist gebaut hat. 

Ganz wichtig ist auch, früh genug mit der gesamten Dokumentation zu beginnen. Die Datenschutzgrundverordnung (DSGVO) sieht viele Dokumentations- und Nachweispflichten vor. Wenn man erst später damit beginnt, lässt sich vieles gar nicht mehr nachvollziehen. Dann wird es schwierig. 

Viele kleine Unternehmen führen an, keine Zeit und Ressourcen für den Datenschutz zu haben. Wie gestaltest du mit deinen Mandanten den Datenschutz so effektiv, dass Letztere den rechtlichen Anforderungen genügen, aber der Datenschutz nicht den kompletten Raum einnimmt?

Es ist natürlich abzuwägen, wie groß das Unternehmen ist. An KMUs stellen auch die Aufsichtsbehörden bei der Umsetzung des Datenschutzes nicht so hohe Anforderungen wie an große Unternehmen, welche sich z. B. auch entsprechende Tools und Technik leisten können. Wir setzen daher in erster Linie darauf, Verantwortliche im Unternehmen auf den Datenschutz zu sensibilisieren und zu erklären, warum das Thema so wichtig ist und wie groß der Schaden sein kann, wenn personenbezogen Daten nicht ausreichend geschützt werden (Identitätsdiebstahl, der mit viel Rennerei für den Einzelnen einhergeht sowie z. B. finanzielle Einbußen, wenn Kontodaten unbefugt verwendet werden). 

Anschließend erfolgt die Feststellung des IST-Zustands, um zu sehen, was datenschutzrechtlich schon in Ordnung ist und was noch fehlt. Oft wird z. B. der Datenschutz im Unternehmen bereits gelebt, aber es fehlt an der entsprechenden Dokumentation. Ist die erste große Hauruck-Aktion geschafft, fühlen sich die Unternehmen jedoch für eventuelle Auskunftsersuchen von Betroffenen oder Verfahren vor der Aufsichtsbehörde besser gewappnet. 

Mit den Folgen „genug gestraft“

Kannst du uns vielleicht von einem interessanten Fall berichten, in dem du und ein von dir betreutes Unternehmen mit einem unerwarteten Datenschutzrisiko konfrontiert wart und wie ihr es gelöst habt?

In einem Fall, der sich Ende letzten Jahres ereignet hat, wurden die Server meiner Mandantschaft durch eine wahrscheinlich aus Russland stammende Organisation gehackt und verschlüsselt. Anschließend erhielt die Mandantschaft eine Lösegeldforderung. Sofern mein Mandant nicht zahlen sollte, sollten die Daten im Darknet veröffentlicht werden. Glücklicherweise konnten die Daten nach zwei Arbeitstagen wiederhergestellt werden. 

Gleichzeitig erfolgte eine Meldung an die zuständige Aufsichtsbehörde in Bayern, da ja eindeutig eine Datenpanne vorlag. Diese arbeiten auch eng mit dem LKA und der Abteilung für Cybercrime zusammen, sodass ich hier einen Einblick in die Arbeit zwischen der Datenschutz- und Strafverfolgungsbehörde bekommen habe.

Gegen den Mandanten wurde aufgrund der Meldung an die Aufsichtsbehörde kein Bußgeldverfahren eingeleitet. Die Behörde war auch der Ansicht, dass der Mandant genug gestraft war, da dieser einige Einbußen erlitten hat. Immerhin stand das Tagesgeschäft zwei Tage still. Allerdings konnte das LKA keine Veröffentlichung der Daten im Darknet feststellen. 

Und beim Thema Datenschutz kommen wir auch um die künstliche Intelligenz nicht herum. Welche Rolle spielt künstliche Intelligenz (KI) im Kontext des Datenschutzes für E-Commerce-Unternehmen und welche potenziellen Risiken sind damit verbunden?

KI ist tatsächlich ein großes Thema, welches Fluch und Segen zugleich darstellen kann. Natürlich kann der Einsatz von KI-gestützten Tools zur Steigerung der Produktivität führen, was sich auch positiv auf den Umsatz des Unternehmens auswirken kann. Die KI-gestützten Tools weisen allerdings teilweise Funktionen auf, wie u. a. Profiling oder auch Tracking, welche Gefahren wie die Beeinflussung von Inhalten oder den Verlust der Anonymität bergen. Weiterhin erfordern die Tools in der Regel einen Zugriff auf eine große Menge an Daten, um diese überhaupt trainieren zu können, weil die KI nur auf Grundlage der ihr zugeführten Daten im Vorfeld eine Entscheidung treffen kann. Da im Datenschutz der Grundsatz der Datenminimierung herrscht, besteht Konfliktpotenzial. 

Risikobehaftet ist zudem, dass der Ablauf der involvierten Logik der KI und die entscheidungsrelevanten Prozesse oft nicht nachvollziehbar sind, sodass auch das Transparenzgebot nicht immer eingehalten werden kann. Es sind daher zusätzliche Maßnahmen durch das Unternehmen zu ergreifen, um die KI datenschutzkonform einsetzen zu können wie z. B. die Durchführung einer Datenschutz-Folgeabschätzung, die Ergänzung des Verarbeitungsverzeichnisses sowie die Anpassung technisch-organisatorischer Maßnahmen.

Datenschutz muss gelebt werden – schon mit einfachen Mitteln

Die DSGVO wird schon sechs Jahre alt. Inwiefern hat sich die Datenschutzlandschaft in den letzten Jahren speziell für E-Commerce-Unternehmen verändert?

Oftmals haben die Unternehmen den Eindruck, dass durch die DSGVO der Aufwand wesentlich größer geworden ist. Dabei gab es viele Pflichten auch schon vorher in unserem Bundesdatenschutzgesetz (BDSG). Durch das Inkrafttreten der DSGVO sind diese Pflichten nur weiter in den Vordergrund gerückt. Zudem wissen viele Betroffene nun um ihre Rechte. Unsere Erfahrung zeigt daher, dass sich viele Unternehmen – neben dem normalen Abmahnwahnsinn – jetzt auch mehr mit geltend gemachten Ansprüchen durch ihre Kunden wie Schadensersatz z. B. wegen einer Werbe-Mail oder Auskunftsansprüchen auseinandersetzen müssen. 

Da die Europäische Kommission jedoch weitere Gesetzesänderungen der DSGVO angekündigt hat und auch durch die Rechtsprechung noch viele Änderungen auf Unternehmer zukommen, wird es im Bereich Datenschutz daher auch zukünftig nicht langweilig. 

Wenn du einen finalen Tipp für unsere Leserinnen hast, was sie sofort, mit minimalem Aufwand, aber großer Wirkung umsetzen können, welcher Tipp wäre das?

Auch wenn der Datenschutz im Unternehmen gelebt werden muss, machen sich viele Unternehmen natürlich aufgrund ihrer Außendarstellung angreifbar, wenn Newsletter ohne Einwilligung versandt werden, eine E-Mail an den falschen Adressaten übermittelt wird oder die Datenschutzerklärung unvollständig oder veraltet ist. Daher sollte dringend die Website datenschutzrechtlich gepflegt und vor allem auch die Mitarbeiter sensibilisiert werden.

Oftmals passieren Fehler (wir sind alle nur Menschen) nicht aus Mutwillen, sondern weil der Mitarbeiter schlichtweg nicht wusste, dass sein Verhalten datenschutzrechtlich unzulässig ist. So kann dem Unternehmen letztlich viel Ärger und Aufwand erspart werden, der für das Tagesgeschäft notwendig ist. 

Vielen Dank für das Gespräch!

Rechtsanwältin Katharina Däberitz ist in der HB E-Commerce Rechtsanwaltsgesellschaft mbH tätig und auf die Bereiche des Wettbewerbsrechts, des IT-Rechts sowie des Datenschutzrechts spezialisiert. Sie ist zertifizierte Datenschutzbeauftragte (TÜV Nord). Im IT-Recht ist sie insbesondere Ansprechpartnerin bei der Gestaltung von Individualverträgen und Allgemeinen Geschäftsbedingungen und anderen speziell für den Online-Handel notwendigen Rechtstexten. Darüber hinaus berät sie Mandanten bei Abmahnungen und in Fragen des Datenschutzrechts und betreut dabei den gesamten Prozess zur Umsetzung eines Datenschutzkonzepts.

Artikelbild: http://www.depositphotos.com