Wie verhalte ich mich aber bei unbestellten Werbe-Newslettern mehr oder weniger seriöser Anbieter, die den Weg in meinen Posteingang gefunden haben? Hier mache ich mir einen schlanken Fuß und verweise einfach auf einen aktuellen Artikel im Datenschutz-Blog inclusive Muster-Antwortschreiben. Empfehlung:  Nachmachen!

Ausdrücklich lege ich Online-Shop-Betreibern den letzten Absatz ans Herz:

Shop-Betreiber sollten sich umgehend um Auskunftsanfragen kümmern. Nicht auch, sondern vor allem um die, die per Mail eingehen. Viele deuten das als nicht ernst gemeint oder sogar als Zeichen von wenig Willen das durch zu ziehen: Falsch gedacht. Vielmehr ist es die einzige Chance, das mit möglichst wenig Aufwand und ohne größere Kosten durch zu ziehen. Wer meint, dass er das nicht braucht, der soll hinterher auch nicht jammern, wenn es dann teuer wird.

Immer daran denken: Beschwerden sind kostenlose Beratungsleistungen.

Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz).

In den letzten Tagen haben mich einige Datenpannen (Libri.de, Sparkassen-Shop, Fanshop des 1. FC Köln – siehe http://projekt-datenschutz.de) aufgeschreckt, so dass ich mir Gedanken um die Sicherheit meiner Kundendaten in Ihrem Online-Shop mache. Die Ergebnisse der XAMIT-Studie “Datenschutzbarometer 2008 – Datenschutz im Internet”
(http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2008.pdf)
haben meine Beunruhigung verstärkt: Gerade einmal 19% der dort überprüften Webshops verwendeten aktuelle Softwareversionen.

Deshalb meine Fragen:

Welche Shop-Software setzen Sie ein? Verwenden Sie die aktuelle Version, um gegen bekannte Angriffe auf Ihre und meine Daten geschützt zu sein?

Falls Ihre Shop-Software auf PHP basiert: Welche PHP-Version verwenden Sie?

Neben der Verwendung aktueller Software: Welche weiteren Maßnahmen zum Schutz meiner Kundendaten haben Sie ergriffen?

Auf Ihre Antwort freut sich

Steffen Schröder
Berater für Datenschutz & Datensicherheit
usw.

[Update - Die Antworten]

• 05.11.2009 12.00 Uhr
  Die Anfragen gehen raus. Einige Eingangsbestätigungen flattern ein.
• 05.11.2009 16.08 Uhr tonermonster.de
  Der Geschäftsführer antwortet. Flott, aber eher allgemein a la “umfangreicher Schutz” und “größter Wert auf Sicherheit”. Shop ist Eigenentwicklung, kein PHP.
• 06.11.2009 09.58 Uhr buhl.de
  Der CTO antwortet. Detailliert, engagiert, realistisch: “Jedoch wird Ihnen und uns auch bewusst sein, dass es NIE eine 100%-ige Sicherheit geben kann. Wir versuchen jedoch möglichst dicht an diese Marke heran zu kommen.”. Shop ist Eigenentwicklung, kein PHP. Regelmäßige externe Überprüfung.
• 06.11.2009 14:39 Uhr staples.de
  Der Kundendienst antwortet. Ich solle mir zunächst die AGB und auf der Webseite die Punkte “Datenschutz und Datensicherheit” durchlesen, “Hierin finden Sie schon eingie Informationen zumThema Datensicherheit”. Shop benutzt kein PHP.
  Die Seiten habe ich mir angeschaut: Allgemeine Aussagen. Wenn es konkret wird, dann eher erschreckend: “Software-Firewall” oder “Das System befindet sich vorwiegend in den Vereinigten Staaten” . Wenigstens “Safe harbor”.
• 06.11.2009 16:21 Uhr office-discount.de
  Der Kundenservice antwortet. Geheimniskrämerei: “Bitte haben Sie Verständnis dafür, dass wir Ihnen zu Ihrer Anfrage keine detaillierten Angaben machen möchten.” Hinweis auf die Webseite, dort aber nichts zum Thema.
• 09.11.2009 11:43 Uhr webmiles.de (Ja, auch Datenschützer nutzen Bonusprogramme. Immer seltener)
  Das Service-Team antwortet. Geheimniskrämerei: “aktuellsten Versionen”, “regelmässige Sicherheitschecks”, “keine Sicherheitsprobleme”, “geeignete Betriebskonzepte”.”Welche Versionen und welche Software wir im einzelnen einsetzen, können wir Ihnen nicht mitteilen,da diese Auskünfte unserem Sicherheitskonzept widersprechen.” Da bin ich aber beruhigt   Nicht mal ein Verweis auf die etwas aussagefreudigere Webseite zum Thema.
• 11.11.2009 11:27 Uhr hrs.de
  Das IT Helpdesk antwortet. Ähnlich schwammig: Kein Shopsystem, sondern selbst entwickelte Software, basierend auf “gängigen Internettechniken”. Die “passende Serversoftware” sei auf dem “neuesten Stand”. Etwas konkreter, aber nicht überraschend: Daneben werden IDS, IPS & Firewalls in entsprechender Stückzahl eingesetzt. Die SSL-Verschlüsselung für den Übertragungsweg wird nur auf der Webseite erwähnt.

Xamit hat sich vor der Wahl einen guten Namen durch die Studie “Parteien und Datenschutz – Datenschutzpraxis deutscher Parteien und parteinaher Organisationen” (pdf) gemacht. Aufschlussreich ist auch das “Datenschutzbaromter 2008 – Datenschutz im Internet” (pdf), bereits Ende 2008 veröffentlicht und inzwischen aktualisiert. An den Zahlen wird sich wenig geändert haben.

Mehr als 26.000 deutsche Webpräsenzen wurden untersucht, darunter knapp 10.000 mit installiertem PHP. Davon hatten nur 29% die damals aktuelle Version installiert.

162 Webshops mit Standardshopsoftware konnten erkannt werden. Was schätzen Sie, wie viele dieser Shops a) eine aktuelle PHP-Version und b) die aktuelle Version ihrer Standard-Shopsoftware im Einsatz hatten?

Es waren ganze 19 (neunzehn) Prozent.

Klartext: 81% der entdeckten Online-Shops mit Standard-Shopsoftware auf PHP-Basis waren zum Zeitpunkt der Untersuchung anfällig für bereits bekannte Angriffe von außen. Die Kundendaten waren potentiell in Gefahr.

Wer sich nicht nur aufregen, sondern handeln will: Bei selbst regelmäßig genutzten Webshops nachschauen oder nachfragen, ob und wie die eigenen Daten geschützt sind. Höflich, formlos, bestimmt.[Update 05.11.2009 Habe ich heute bei 10 "meiner" Shops gemacht. Siehe nächster Artikel] Für ein umfassenderes Bild könnte sich auch das Verfahrensverzeichnis nach § 4e Bundesdatenschutzgesetz (BDSG) nützlich machen, aber die Wahrscheinlichkeit ist gering, in der Praxis auf ein gut erhaltenes und aussagefähiges Exemplar dieser seltenen Spezies zu stossen.

Kann man natürlich alles auch ohne Fragen herausbekommen, aber das sprengt den Rahmen des Artikels

Marketing entdeckt Datenschutz

Vor einer Woche überraschten mich die Ergebnisse einer lesenswerten Studie von Client Vela und TU München. Siehe dazu hier im Blog:

Auf die Frage „Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?“ erhielt der Punkt „Datenschutz“ insgesamt die drittbeste Bewertung, wurde aber von 43%  als „sehr starker“ Faktor genannt – Spitzenwert!

Datenschutz rangierte damit hinter dem Preis und der Mitarbeiterkompetenz, aber vor Serviceleistungen, den Kernleistungen des Produktes und sieben weiteren Faktoren.

Langfristige Kundenbindung funktioniert nicht ohne den respektvollen Umgang mit der Person des Vertragspartners. Im Ladengeschäft wird die Person des Kunden auch, im Online-Geschäft nur durch ihre Daten verkörpert. Diese Botschaft ist in der Bevölkerung offensichtlich schneller angekommen als in vielen Handelsunternehmen. Kluge Unternehmer haben die Chance, dass steigende Interesse am Datenschutz zu nutzen und dabei schneller als die Konkurrenz zu sein.

Marketing als größte Gefahr für den Datenschutz

Auf der anderen Seite der Medaille verblüffte mich IT-Guru Bruce Schneier  in einem Interview für eine Kolumne auf cnet.com. Auf die Frage, woher die größte Gefahr für unsere Privatsphäre droht, antwortete er nicht etwa mit “Sicherheitsbehörden” oder “Unterwelt”, sondern:

Marketing. The legal collection, storage, resale, and reuse of personal information. Information brokers are doing more to hurt consumer privacy than anything criminals or the government can do. And, even worse, the government can buy information from them, and criminals can break into their databases.

Marketingleute horten die Informationen, die dann von Regierungen gekauft oder von Kriminellen gestohlen werden können. Passenderweise verlor kurz danach der Britische Guardian durch einen Einbruch etwa eine halbe Million Datensätze von Online-Bewerbern inklusive Lebenslauf.

“Ich brauche Dich, aber ich kann gefährlich für Dich werden!”, das klingt nach einer Schnulze mit Krimi-Potential. Hat die Beziehung eine Zukunft?

Wie können Marketing und Datenschutz miteinander leben?

Es gab in den vergangenen Tagen noch mehr Neuigkeiten u nd bekanntlich sind ja aller guten Dinge drei. Aber wer hätte das gedacht: Ausgerechnet im aktuellen Koalitionsvertrag finden sich Ansatzpunkte für ein Happy End zwischen Marketing und Datenschutz. Das Zauberwort heißt “Datensparsamkeit” und wird für eGovernment-Projekte ebenso beschworen wie für den privaten Bereich. Daneben halte ich die Transparenz durch klare, faire Einwilligungen für den richtigen Weg und bin damit auf einer Spur mit der Bundesregierung:

Die Einwilligung ist eine wesentliche Säule des informationellen Selbstbestimmungsrechts. Ziel der Reform muss daher auch sein, verbesserte Rahmenbedingungen für informierte und freie Einwilligungen zu schaffen. Dazu sollen Informationspflichten erweitert und der Freiwilligkeit der Einwilligung größere Bedeutung beigemessen werden.

Natürlich besteht die Gefahr der Gewöhnung: Allzuleicht unterschreiben wir im Angesicht des greifbaren Sonderangebotes alles Mögliche, auch weitreichende Einwilligungen (Glauben Sie nicht? Dann werfen Sie mal einen genauen Blick auf die Einwilligung bei der ebay-Anmeldung, die Sie vermutlich so wie ich nur flüchtig überflogen haben). Dennoch gibt es aus meiner Sicht keine Alternative zu einer Einwilligungskultur. Wenn beide Seiten, Kunden und Unternehmer, dazulernen und darauf eingehen, kann ein fairer Interessensaugleich gelingen.

Der Preis ist der wichtigste Faktor für einen erneuten Kauf bzw. eine Weiterempfehlung. Auch die Mitarbeiter eines Unternehmens und der Datenschutz haben einen großen Einfluss auf die Kaufentscheidung. Das hat eine Online-Befragung von Client Vela und TU München ergeben. 89 Prozent der Kunden lassen sich demnach vom Preis stark oder sehr stark beeinflussen. Die Freundlichkeit und Kompetenz der Mitarbeiter ist für 81 Prozent wichtig. Gut drei Viertel achten stark oder sehr stark auf den Datenschutz. Die angebotenen Serviceleistungen rangieren dahinter, allerdings noch vor den Kernleistungen des Produkts selbst. Erhoben wurden die Meinungen von rund 300 Kunden. Weitere Ergebnisse finden Sie hier. (ms)

Kurze Ergänzung: Auf die Frage “Wie beeinflussen die folgenden Faktoren Ihre Absicht, bei einem Unternehmen erneut zu kaufen und/oder dieses weiterzuempfehlen?” erhielt der Punkt “Datenschutz” insgesamt die drittbeste Bewertung, wurde aber von 43%  als “sehr starker” Faktor genannt – Spitzenwert!

Eigentlich mag ich das Wort “Kundenbindung” überhaupt nicht – aber hier zeigt sich: Kundenbindung ohne Datenschutz funktioniert langfristig nicht.