Datenschutzalltag

Ich bin heute mal die Liste der Online-Shops durchgegangen, bei denen ich in den letzten zwei Jahren bestellt habe: Donnerwetter, das waren mehr als gedacht! An zehn davon habe ich folgende Nachricht gemailt und bin auf die Reaktionen gespannt:

Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz).

In den letzten Tagen haben mich einige Datenpannen (Libri.de, Sparkassen-Shop, Fanshop des 1. FC Köln – siehe http://projekt-datenschutz.de) aufgeschreckt, so dass ich mir Gedanken um die Sicherheit meiner Kundendaten in Ihrem Online-Shop mache. Die Ergebnisse der XAMIT-Studie “Datenschutzbarometer 2008 – Datenschutz im Internet”
(http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2008.pdf)
haben meine Beunruhigung verstärkt: Gerade einmal 19% der dort überprüften Webshops verwendeten aktuelle Softwareversionen.

Deshalb meine Fragen:

Welche Shop-Software setzen Sie ein? Verwenden Sie die aktuelle Version, um gegen bekannte Angriffe auf Ihre und meine Daten geschützt zu sein?

Falls Ihre Shop-Software auf PHP basiert: Welche PHP-Version verwenden Sie?

Neben der Verwendung aktueller Software: Welche weiteren Maßnahmen zum Schutz meiner Kundendaten haben Sie ergriffen?

Auf Ihre Antwort freut sich

Steffen Schröder
Berater für Datenschutz & Datensicherheit
usw.

[Update - Die Antworten]

• 05.11.2009 12.00 Uhr
  Die Anfragen gehen raus. Einige Eingangsbestätigungen flattern ein.
• 05.11.2009 16.08 Uhr tonermonster.de
  Der Geschäftsführer antwortet. Flott, aber eher allgemein a la “umfangreicher Schutz” und “größter Wert auf Sicherheit”. Shop ist Eigenentwicklung, kein PHP.
• 06.11.2009 09.58 Uhr buhl.de
  Der CTO antwortet. Detailliert, engagiert, realistisch: “Jedoch wird Ihnen und uns auch bewusst sein, dass es NIE eine 100%-ige Sicherheit geben kann. Wir versuchen jedoch möglichst dicht an diese Marke heran zu kommen.”. Shop ist Eigenentwicklung, kein PHP. Regelmäßige externe Überprüfung.
• 06.11.2009 14:39 Uhr staples.de
  Der Kundendienst antwortet. Ich solle mir zunächst die AGB und auf der Webseite die Punkte “Datenschutz und Datensicherheit” durchlesen, “Hierin finden Sie schon eingie Informationen zumThema Datensicherheit”. Shop benutzt kein PHP.
  Die Seiten habe ich mir angeschaut: Allgemeine Aussagen. Wenn es konkret wird, dann eher erschreckend: “Software-Firewall” oder “Das System befindet sich vorwiegend in den Vereinigten Staaten” . Wenigstens “Safe harbor”.
• 06.11.2009 16:21 Uhr office-discount.de
  Der Kundenservice antwortet. Geheimniskrämerei: “Bitte haben Sie Verständnis dafür, dass wir Ihnen zu Ihrer Anfrage keine detaillierten Angaben machen möchten.” Hinweis auf die Webseite, dort aber nichts zum Thema.
• 09.11.2009 11:43 Uhr webmiles.de (Ja, auch Datenschützer nutzen Bonusprogramme. Immer seltener)
  Das Service-Team antwortet. Geheimniskrämerei: “aktuellsten Versionen”, “regelmässige Sicherheitschecks”, “keine Sicherheitsprobleme”, “geeignete Betriebskonzepte”.”Welche Versionen und welche Software wir im einzelnen einsetzen, können wir Ihnen nicht mitteilen,da diese Auskünfte unserem Sicherheitskonzept widersprechen.” Da bin ich aber beruhigt   Nicht mal ein Verweis auf die etwas aussagefreudigere Webseite zum Thema.
• 11.11.2009 11:27 Uhr hrs.de
  Das IT Helpdesk antwortet. Ähnlich schwammig: Kein Shopsystem, sondern selbst entwickelte Software, basierend auf “gängigen Internettechniken”. Die “passende Serversoftware” sei auf dem “neuesten Stand”. Etwas konkreter, aber nicht überraschend: Daneben werden IDS, IPS & Firewalls in entsprechender Stückzahl eingesetzt. Die SSL-Verschlüsselung für den Übertragungsweg wird nur auf der Webseite erwähnt.