Es wurde leider kein Ergebnis gefunden. Bitte versuchen Sie es erneut.

keine Ergebnisse
Affiliate-Marketing
Afterbuy
Amazon
Apotheken-Online-Shop
Apps (Datenschutzerklärung)
Argato
Avocadostore
Azoo
BILD Marktplatz
Booklooker
Branchbob
Brick Owl
BrickLink
Cardmarket
Cdiscount.com
Check24
Chrono24
clicksale
Coaching
commerce:seo
Conrad
Consulting
CosmoShop
Decathlon
Delcampe
Dienstleistungen
Discogs
Dropshipping
Dropshipping-Marktplatz
eBay
ecwid
eGun
Einkaufsbedingungen (B2B)
ePages
Etsy
Etsy (digitale Inhalte)
Facebook
Facebook (Warenverkauf)
Fairmondo
Fernunterricht
Flow Shopsoftware
For-vegans
Fotografie und Bildbearbeitung
Freizeitkurse
Galaxus
Galeria
Gambio
Gambio-Cloud
Gastro-Lieferservice (Restaurants)
German Market
Germanized for WooCommerce
GTC for Shopify
GTC-Kaufland.de
Handmade at Amazon
home24
Homepage ohne Verkauf
Hood
Hornbach
Hosting
Hosting B2B
Impressum für Webseiten
Individuelle Kundenkommunikation (B2B)
Individuelle Kundenkommunikation (B2C)
Instagram
Instagram (Warenverkauf)
Jimdo
Joomla
JTL
Kasuwa
Kaufland
Kaufland - alle Marktplätze
Kaufland DE,CZ,SK
Kleinanzeigen.de
Kleinanzeigen.de (Vermietung)
Leroy Merlin
Lightspeed
LinkedIn
Lizenzo
Magento
Manomano
Mediamarkt
MeinOnlineLager
metro.de
modified eCommerce-Shops
Online-Shop
Online-Shop (digitale Inhalte)
Online-Shop - B2B
OnlyFans
OpenCart
Otto
Oxid-Shops
Pinterest
plentymarkets
Praktiker
Prestashop
Printkataloge
Productswithlove
RAIDBOXES
Restposten
Restposten24
Ricardo.ch
Selbstbedienungsläden
Seminare
SHOMUGO
Shop - Online-Kurse (live oder on demand)
DE Shop - Online-Kurse (live oder on demand) DE
Shop - Verkauf von eigener Software
Shop - Verkauf von fremder Software
Shop - Vermietung von Waren
Shop Apotheke
Shopify
Shopware
Shpock
Shöpping
Smartvie
Snapchat
Spandooly
Squarespace
Stationärer Handel
STRATO
SumUp
Teilehaber.de
Tentary
Threads
TikTok
Tumblr
Twitch
TYPO3
Verkauf von Veranstaltungstickets
Vermietung Ferienwohnungen
Vermietung von Shops (inkl. Hosting)
VersaCommerce
VirtueMart
Voelkner
webador
Webdesign
Webflow
Webshop Factory
Werky
WhatsApp Business
WhatsApp Business (Warenverkauf)
Wix
WooCommerce
WordPress
Wordpress (Warenverkauf)
wpShopGermany
X (ehemals Twitter)
Xanario
XING
xt:Commerce
XXXLutz
YouTube
zalando
Zen-Cart
Zoho
ZVAB

Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung

07.06.2024, 11:46 Uhr | Lesezeit: 6 min
Online-Shop gehackt: DSGVO-konforme Reaktion auf Datenpannen - Anleitung & Musterbenachrichtigung

Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop Hinweis: Interessante weiterführende Informationen zum Thema hat die IT-Recht Kanzlei in ihrem Beitrag "Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop" veröffentlicht.

Die DSGVO sieht für Fall einer Datenpanne eine Benachrichtigungspflicht gegenüber der Meldebehörde und ggf. dem Betroffenen vor. Aufgrund der hierbei einzuhaltenden kurzen Frist sollten Online-Händler vorbereitet sein. Wir zeigen, wie man auf Datenpannen richtig reagiert und stellen ein Muster für die obligatorische Benachrichtigung bereit.

I. Datenpannen im Online-Shop

Datenpannen sind Verletzungen des Schutzes personenbezogener Daten, die durch ein Versagen oder eine unzureichende Implementierung von angemessenen technischen und organisatorischen Maßnahmen entstehen. Im Internet bestehen derartige Verletzungen insbesondere darin, dass Daten von einem Verantwortlichen so gespeichert und verfügbar gehalten werden, dass Dritte ungehindert auf diese zugreifen können. Auch denkbar sind aber gezielte Hacking-Angriffe auf Shop-Systeme. Die Auswirkungen sind regelmäßig katastrophal, weil sensible private Informationen einem weltweiten Publikum zugänglich gemacht werden und so Missbrauch und Piraterie alle Tore und Türen geöffnet werden.

Datenlecks in Online-Shops können aufgrund der Art und Anzahl der zu Kunden gespeicherten Informationen in Form von gebündelten Adress-, Mail- und Zahlungsdaten zu besonders gravierenden Beeinträchtigungen für die betroffenen Kunden führen und diese erheblichen Risiken finanzieller und persönlichkeitsrechtlicher Ausbeutung aussetzen.

Aus diesem Grund sind Online-Händler nach Art. 32 DSGVO grundsätzlich gehalten, Datenpannen durch geeignete Maßnahmen präventiv entgegenzuwirken, und gespeicherte Datensätze insbesondere zu verschlüsseln sowie deren Speicherorte und Verarbeitungssysteme mit Zugriffspasswörtern und Firewalls zu schützen.

Banner Starter Paket

II. Leck entdeckt – was nun?

Sollte sich trotz oder mangels hinreichender technischer und organisatorischer Maßnahmen im Shop eine Datenpanne durch Leck oder Hacking ergeben, durch die Kundendaten unbefugten Dritten oder der Allgemeinheit zugänglich werden, ist der Händler ab Kenntnis der Datenverletzung nach Art. 33 ff. DSGVO zu verschiedenen unmittelbaren Reaktionen verpflichtet. Unterbleiben diese Reaktionen, kann der Händler gemäß Art. 83 Abs. 4 lit. a DSGVO mit empfindlichen bis existenzbedrohenden Geldbußen belegt werden.

1.) Behebung der Panne

Zunächst muss der Händler unverzüglich und im Rahmen des ihm Möglichen versuchen, die Datenpanne so zu beheben, dass von Ihr keine Gefahren mehr für den Schutz der betroffenen personenbezogenen Daten ausgehen.

Maßnahmen sind hier insbesondere die sofortige nachträgliche Verschlüsselung, die Einrichtung bzw. Wiederherstellung von Zugriffssperren und – falls die Beeinträchtigung nicht auf andere Weise abgestellt werden kann – ultimativ die Löschung der betroffenen Datensätze

2.) Benachrichtigung der Aufsichtsbehörde

Art. 33 DSGVO verpflichtet Verantwortliche dazu, innerhalb von 72 Stunden nach Kenntniserlangung von der Datenpanne die für sie zuständige Aufsichtsbehörde über die Verletzung zu benachrichtigen, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.

Sofern die Datenpanne im Online-Shop die Kundendaten von Privatpersonen betrifft, ist ein solches Risiko immer gegeben mit der Folge, dass die Meldepflicht eingreift.

Der zuständigen Aufsichtsbehörde gegenüber sind in der kurzen 3-Tagesfrist folgende Angaben zu machen:

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze
  • der Name und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (sollte ein Datenschutzbeauftragter nicht bestellt werden müssen, sind Name und Kontaktdaten des Händlers anzugeben)
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der vom Händler ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Kann der Online-Händler der Meldepflicht nicht innerhalb von 3 Tagen nach Kenntniserlangung Folge leisten, so muss der verspäteten Meldung eine Begründung für die Verzögerung beigefügt werden.

Kann der Online-Händler der Benachrichtigung aus tatsächlichen Gründen nicht sofort alle erforderlichen Bestandteile beifügen, so wahrt er die 3-Tagesfrist gemäß Art. 33 Abs. 4 DSGVO auch dann, wenn lediglich das Auftreten der Datenpanne gemeldet wird und die weiteren Pflichtinformationen ohne unangemessene weitere Verzögerung schrittweise nachgereicht werden.

Vor allem in Anbetracht der kurzen Meldefrist ist das Bereithalten einer Mustermeldung unbedingt empfehlenswert, in welche im Falle einer Datenpanne sodann allein die erforderlichen Eckdaten eingetragen werden müssen.

3.) Dokumentation der Datenpanne

Gemäß Art. 33 Abs. 5 DSGVO hat der Online-Händler die Datenpanne einschließlich aller im Zusammenhang mit ihr stehenden Fakten, ihrer Auswirkungen und der ergriffenen Abhilfemaßnahmen zwingend zu dokumentieren. Diese Dokumentation muss so detailliert sein, dass sie der Aufsichtsbehörde die Überprüfung der Einhaltung der Punkte 1) und 2) ermöglicht.

4.) Gegebenenfalls Benachrichtigung des Betroffenen

Dann, wenn die Datenpanne ein hohes Risiko in sich birgt, dass Rechte und Freiheiten von privaten Kunden beeinträchtigt werden, sind gemäß Art. 34 DSGVO zusätzlich zur Aufsichtsbehörde auch alle konkret Betroffenen in einfacher und verständlicher Art und Weise zumindest über Folgendes zu informieren:

  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen (sollte ein Datenschutzbeauftragter nicht bestellt werden müssen, sind Name und Kontaktdaten des Händlers anzugeben)
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  • eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen

Ein die zusätzliche Meldepflicht auslösendes hohes Risiko ist im Online-Shop vor allem dann anzunehmen, wenn Zahlungsdaten der Kunden oder als besonders sensibel geltende Gesundheitsdaten durchsickern und dem ungehinderten Zugriff Dritter zugänglich werden.

Die konkret Betroffenen sind unverzüglich, also ohne schuldhaftes Zögern, nach Kenntniserlangung von der Datenpanne zu informieren.

Zu beachten ist allerdings, dass gemäß Art. 33 Abs. 3 DSGVO die zusätzliche Benachrichtigungspflicht gegenüber Betroffenen entfällt, wenn

  • der Online-Händler geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und diese Vorkehrungen auf die von der Verletzung betroffenen personenbezogenen Daten nachträglich angewandt wurden, insbesondere solche, durch die die personenbezogenen Daten für alle Personen, die nicht zum Zugang zu den personenbezogenen Daten befugt sind, unzugänglich gemacht werden, etwa durch Verschlüsselung oder
  • der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht

Insbesondere in Fällen also, in denen der Händler nach Kenntniserlangung von der Datenpanne unverzüglich deren Abrufbarkeit gegenüber Unbefugten verhindert und demgemäß den Zugriff sperrt, sind die individuell Betroffenen nicht zu informieren.

Hinweis: die nachträgliche Abhilfe entbindet nur von der Meldepflicht gegenüber Betroffenen, nicht aber von derjenigen gegenüber der Behörde. Diese ist stets anzurufen.

III. Musterbenachrichtigung der Aufsichtsbehörde bei festgestellter Datenpanne

Die IT-Recht Kanzlei stellt ihren Mandanten DSGVO-konforme Muster zur Verfügung, die im Falle möglicher Datenpannen im eigenen Online-Shop gegenüber den betroffenen Kunden eingesetzt werden können.

Tipp: Sie haben Fragen zu dem Beitrag? Diskutieren Sie hierzu gerne mit uns in der Unternehmergruppe der IT-Recht Kanzlei auf Facebook.


Link kopieren

Als PDF exportieren

Drucken

|

Per E-Mail verschicken

Zum Facebook-Account der Kanzlei

Zum Instagram-Account der Kanzlei

0 Kommentare

weitere News

Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
(19.06.2024, 11:21 Uhr)
Das Recht auf Datenlöschung nach der DSGVO mit Mustermitteilungen
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
(19.06.2024, 11:17 Uhr)
Löschpflichten für ungenutzte Kundenkonten im Online-Shop nach der DSGVO?
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
(10.06.2024, 14:40 Uhr)
Schutz vor Hacking: Musterschreiben für Händler bei Online-Angriffen
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
(07.06.2024, 11:26 Uhr)
Muster für DSGVO-konforme Reaktion auf Datenpanne im Online-Shop
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
(06.06.2024, 07:39 Uhr)
OLG Stuttgart: Personalisierte Briefwerbung nach DSGVO ohne Einwilligung zulässig
LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
(13.05.2024, 11:02 Uhr)
LG Hamburg: Gastzugang in Online-Shops kann datenschutzrechtlich entbehrlich sein
Kommentar
verfassen
Ihre Meinung zu unserem Beitrag.
* mit Sternchen gekennzeichnete Felder sind Pflichtfelder
speichern

Vielen Dank für Ihren Kommentar

Wir werden diesen nach einer kurzen Prüfung
so schnell wie möglich freigeben.
Ihre IT-Recht Kanzlei
Vielen Dank!

Ihr Kommentar konnte nicht gespeichert werden!

Bitte versuchen Sie es zu einem späteren Zeitpunkt noch einmal.
Ihre IT-Recht Kanzlei
Vielen Dank!
© 2004-2024 · IT-Recht Kanzlei