Daten sind der Treibstoff des Onlinehandels, doch sobald sie in die falschen Hände geraten, wird aus einem alltäglichen Geschäftsvorgang ein juristisches Pulverfass. Kaum ein anderes Thema sorgt für so viel Unsicherheit, denn eine Datenpanne ist mehr als nur ein technischer Defekt.
Sie zieht rechtliche Fragen, Meldepflichten und mitunter auch finanzielle Katastrophen nach sich. Wer Onlinegeschäfte betreibt, bewegt sich daher in einem Spannungsfeld aus Vertrauen, Recht und Technik.
Wann eine Datenpanne zur meldepflichtigen Verletzung wird
Nicht jede Störung ist gleich ein Fall für die Aufsichtsbehörde. Entscheidend ist, ob personenbezogene Daten tatsächlich betroffen sind und ob daraus ein Risiko für die Rechte der Betroffenen entsteht. Kommt es dazu, tickt die Uhr: Innerhalb von 72 Stunden muss die zuständige Behörde informiert werden, andernfalls droht ein Verfahren wegen verspäteter Meldung. Bloße Vermutungen reichen nicht, dennoch bleibt die Abwägung riskant.
Wer zu lange zögert, trägt die Verantwortung. Betroffene müssen zusätzlich informiert werden, sobald ein hohes Risiko besteht, etwa wenn sensible Daten wie Zahlungsinformationen oder Passwörter unverschlüsselt abgeflossen sind. Die Information darf dabei nicht aus technischen Fachbegriffen bestehen, sondern muss klar darstellen, was passiert ist und wie gehandelt wird.
Besonders bei Passwörtern lässt sich das Risiko durch Prävention stark senken, denn schwache Zugangsdaten sind ein Einfallstor für Angriffe. Ein Business Passwort Manager kann hier helfen, da er nicht nur sichere und komplexe Kennwörter generiert, sondern diese auch zentral verwaltet und bei Bedarf schnell austauscht. So sinkt die Wahrscheinlichkeit, dass gestohlene Passwörter überhaupt Schaden anrichten, und die Schwelle zur meldepflichtigen Datenpanne wird deutlich höher.
Haftungsfragen im Überblick
Juristisch ist klar geregelt, dass der Betreiber des Shops als Verantwortlicher gilt. Er haftet, wenn Sicherheitsstandards nicht eingehalten werden oder eine notwendige Information unterbleibt. Die Geschäftsführung kann persönlich in die Pflicht genommen werden, insbesondere wenn organisatorische Sorgfaltspflichten verletzt wurden.
Mitarbeitende wiederum haften nur in engen Grenzen, bei Vorsatz oder grober Fahrlässigkeit. Leichte Fahrlässigkeit führt in der Regel nicht zu privater Haftung. Eine besondere Rolle spielt der Datenschutzbeauftragte: interne Beauftragte unterliegen denselben Regeln wie andere Angestellte, während externe in der Regel vertraglich für ihre Beratung einzustehen haben.
Folgen für die Praxis
Die Datenschutzgrundverordnung ist kein zahnloser Tiger, sie hat einen ziemlich scharfen Biss. Wer die Regeln ignoriert, riskiert Strafen, die theoretisch bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Jahresumsatzes erreichen können. Diese Summen klingen nach einem Horrorfilm, in der Praxis liegen die Bußgelder oft niedriger, aber selbst ein mittlerer fünfstelliger Betrag kann für einen mittelgroßen Onlinehändler das Geschäftsmodell ins Wanken bringen.
Neben den behördlichen Sanktionen kommt noch eine zweite Baustelle hinzu: Kundinnen und Kunden können Schadensersatz verlangen, wenn ihre Daten schlecht geschützt oder zu spät gesichert wurden. Grundlage ist nicht nur die DSGVO, sondern auch das klassische Zivilrecht, das von Händlern Sorgfalt und Schutzpflichten erwartet.
Identitätsdiebstahl und seine rechtlichen Konsequenzen
Ein besonders heikles Szenario ist der Identitätsdiebstahl. Wird ein fremder Name für Bestellungen missbraucht, haftet das Opfer in der Regel nicht. Entscheidend ist, ob grobe Fahrlässigkeit vorlag, was jedoch selten nachzuweisen ist. Vielmehr muss der Shopbetreiber darlegen können, dass eine Bestellung tatsächlich vom Kunden stammt. Fehlt dieser Nachweis, bleiben offene Forderungen auf dem Händler sitzen.
Dauerhafte Pflichten
Die rechtlichen Vorgaben sind nicht nur auf den Ernstfall ausgerichtet, sondern verlangen auch eine stabile Struktur im Alltag. Dazu gehört der risikobasierte Einsatz technischer Maßnahmen wie Verschlüsselung oder Pseudonymisierung, ebenso wie die Pflicht, Zugriffe klar zu regeln und regelmäßig zu prüfen.
Betroffene haben jederzeit ein Recht auf Auskunft, Löschung oder Datenübertragbarkeit, was organisatorisch abgesichert sein muss. Hinzu kommt die Pflicht, sämtliche Verarbeitungstätigkeiten sauber zu dokumentieren, Dienstleister sorgfältig auszuwählen und vertraglich einzubinden.
Bildquelle Titelbild:
- Lee Charlie/shutterstock.com
