Sehr geehrte Damen und Herren,

seit längerer Zeit bin ich zufriedener Kunde Ihres Online-Shops (Kundenummer xyz).

In den letzten Tagen haben mich einige Datenpannen (Libri.de, Sparkassen-Shop, Fanshop des 1. FC Köln – siehe http://projekt-datenschutz.de) aufgeschreckt, so dass ich mir Gedanken um die Sicherheit meiner Kundendaten in Ihrem Online-Shop mache. Die Ergebnisse der XAMIT-Studie “Datenschutzbarometer 2008 – Datenschutz im Internet”
(http://www.xamit-leistungen.de/downloads/XamitDatenschutzbarometer2008.pdf)
haben meine Beunruhigung verstärkt: Gerade einmal 19% der dort überprüften Webshops verwendeten aktuelle Softwareversionen.

Deshalb meine Fragen:

Welche Shop-Software setzen Sie ein? Verwenden Sie die aktuelle Version, um gegen bekannte Angriffe auf Ihre und meine Daten geschützt zu sein?

Falls Ihre Shop-Software auf PHP basiert: Welche PHP-Version verwenden Sie?

Neben der Verwendung aktueller Software: Welche weiteren Maßnahmen zum Schutz meiner Kundendaten haben Sie ergriffen?

Auf Ihre Antwort freut sich

Steffen Schröder
Berater für Datenschutz & Datensicherheit
usw.

[Update - Die Antworten]

• 05.11.2009 12.00 Uhr
  Die Anfragen gehen raus. Einige Eingangsbestätigungen flattern ein.
• 05.11.2009 16.08 Uhr tonermonster.de
  Der Geschäftsführer antwortet. Flott, aber eher allgemein a la “umfangreicher Schutz” und “größter Wert auf Sicherheit”. Shop ist Eigenentwicklung, kein PHP.
• 06.11.2009 09.58 Uhr buhl.de
  Der CTO antwortet. Detailliert, engagiert, realistisch: “Jedoch wird Ihnen und uns auch bewusst sein, dass es NIE eine 100%-ige Sicherheit geben kann. Wir versuchen jedoch möglichst dicht an diese Marke heran zu kommen.”. Shop ist Eigenentwicklung, kein PHP. Regelmäßige externe Überprüfung.
• 06.11.2009 14:39 Uhr staples.de
  Der Kundendienst antwortet. Ich solle mir zunächst die AGB und auf der Webseite die Punkte “Datenschutz und Datensicherheit” durchlesen, “Hierin finden Sie schon eingie Informationen zumThema Datensicherheit”. Shop benutzt kein PHP.
  Die Seiten habe ich mir angeschaut: Allgemeine Aussagen. Wenn es konkret wird, dann eher erschreckend: “Software-Firewall” oder “Das System befindet sich vorwiegend in den Vereinigten Staaten” . Wenigstens “Safe harbor”.
• 06.11.2009 16:21 Uhr office-discount.de
  Der Kundenservice antwortet. Geheimniskrämerei: “Bitte haben Sie Verständnis dafür, dass wir Ihnen zu Ihrer Anfrage keine detaillierten Angaben machen möchten.” Hinweis auf die Webseite, dort aber nichts zum Thema.
• 09.11.2009 11:43 Uhr webmiles.de (Ja, auch Datenschützer nutzen Bonusprogramme. Immer seltener)
  Das Service-Team antwortet. Geheimniskrämerei: “aktuellsten Versionen”, “regelmässige Sicherheitschecks”, “keine Sicherheitsprobleme”, “geeignete Betriebskonzepte”.”Welche Versionen und welche Software wir im einzelnen einsetzen, können wir Ihnen nicht mitteilen,da diese Auskünfte unserem Sicherheitskonzept widersprechen.” Da bin ich aber beruhigt   Nicht mal ein Verweis auf die etwas aussagefreudigere Webseite zum Thema.
• 11.11.2009 11:27 Uhr hrs.de
  Das IT Helpdesk antwortet. Ähnlich schwammig: Kein Shopsystem, sondern selbst entwickelte Software, basierend auf “gängigen Internettechniken”. Die “passende Serversoftware” sei auf dem “neuesten Stand”. Etwas konkreter, aber nicht überraschend: Daneben werden IDS, IPS & Firewalls in entsprechender Stückzahl eingesetzt. Die SSL-Verschlüsselung für den Übertragungsweg wird nur auf der Webseite erwähnt.

Heute bin ich einem höflichen Gegenüber der anderen Art begegnet: Ich hatte – inzwischen fast vergessen – irgendeine nette kleine und kostenlose Schutzsoftware heruntergeladen und dabei auf der Webseite des Anbieters eine Mailadresse zur Übersendung des Downloadlinks hinterlassen. Heute bekam ich nun eine freundliche Mail mit der Frage, wie denn  mein erster Eindruck von der Software sei?

*stutz* Was sollte ich davon halten? War das ein freundlich hingeworfener Keks, gebacken aus ehrlichem Interesse, oder doch ein raffiniert verpackter Köder? Der Absender war “Account Manager”. Donnerwetter, ich hatte also einen Account. Kein Anmeldelink, nur der Hinweis auf die abgerufene Software.

Gelegentlich lässt mich mein Gedächtnis im Stich, und so fragte ich zurück, ob ich denn in irgendeiner Weise in die Zusendung von E-Mails eingewilligt hatte. Die Antwort folgte prompt: Man wollte nur “aus Höflichkeit” nachfragen, ob ich denn z.B. Probleme bei der Installation gehabt habe.  Nun habe man meine Daten gelöscht und gehe davon aus, dass ich mich bei Fragen selbst melden würde.

In der blitzschnellen Reaktionsmail war der Schreck “meines” Account Managers deutlich zu spüren, vielleicht Angst vor einer Abmahnung oder anderem Ungemach – deshalb wurde zur Sicherheit lieber alles schnell gelöscht.

Eine Mail-Nachfrage “aus Höflichkeit”. War ich vielleicht unhöflich, weil ich auf meinem Recht bestand? Hätte ich bis zur zweiten Mail warten sollen, die wahrscheinlich in ein paar Wochen gefolgt wäre, inklusive einem unvermeintlichen Angebot für eine Kaufversion mit deutlich erweitertem Funktionsumfang?

Manchmal nehme ich mir die Zeit und zeige meinem Gegenüber, wie der Prozess datenschutzgerecht und kundenfreundlich ablaufen könnte. In konkreten Fall hätte ein Opt-In-Kästchen gereicht.

Aber die verbeitete Unbeholfenheit im Umgang mit ganz normalen Anfragen und Auskunftsersuchen verwundert mich schon. Die Xamit-Studie zum Datenschutz bei Parteien bringt ein paar erschreckende Beispiele dafür.

“Wir bemühen uns um die Wahrung Ihrer Privatsphäre”, heißt es auf der Webseite meines Softwareanbieters.

Bemüht Euch bitte ein bißchen mehr.