Search Icon
ConnectProfessional Logo
Search Icon
Startseite > Software & Services > Richtig Verhalten nach dem Diebstahl von Kundendaten

Leitfaden der IT-Recht-Kanzlei

Richtig Verhalten nach dem Diebstahl von Kundendaten

3. November 2015, 16:51 Uhr | Peter Tischer
Fortsetzung des Artikels von Teil 1

Personenbezogene Daten sind relevant

Voraussetzung für die Meldepflicht ist, dass es sich bei den entwendeten Daten um eine bestimmte Art personenbezogener Daten handelt und dass durch den Diebstahl die Rechte und schutzwürdigen Interessen der Betroffenen in Gefahr sind. Solche Daten geben beispielsweise Auskunft über rassische oder ethnische Herkunft, politische Ansichten, religiöse Überzeugungen oder die Gesundheit, sollten aber im Normalfall bei einem Angriff auf Webshops keine Rolle spielen. In solchen Fällen sind vor allem die Daten über Bank- und Kreditkartenkonten relevant. Zudem müssen die Bank- und Kreditdaten unverschlüsselt in die Hände von Dritten gelangt sein. Dies ist der Fall, wenn sich Hacker Zugriff zu Kundendatenbanken von Online-Händlern verschaffen und die Daten exportieren. Sind die abgegriffenen Informationen aber nach dem Stand der Technik verschlüsselt gewesen und somit für die Angreifer unbrauchbar, ist der Tatbestand der Kenntniserlangung nicht erfüllt und die Meldepflicht entfällt. Gleichzeitig gilt die Meldepflicht selbstverständlich nur dann, wenn das Unternehmen selbst von dem möglichen Diebstahl der Daten Kenntnis hat. Ein alleiniger vager Verdacht reicht nicht aus, um die Meldepflicht auszulösen. Haben Online-Händler eine Vermutung, sollten sie Logfiles und Serverdaten auswerten, um nachzuprüfen, ob und auf welchem Wege Dritte Nutzerdaten entwendet haben.

Zu guter Letzt muss der Webshop-Betreiber abschätzen, ob seinen Kunden durch den Datendiebstahl erheblicher Scha-den entstehen könnte. Da die individuellen Konsequenzen aber nur schwer zu prognostizieren sind und im Falle einer Fehleinschätzungen negative Konsequenzen drohen, rät Daniel Huber, den Betroffenen lieber einmal zu viel als zu wenig Bescheid zu geben.
Treffen die genannten Faktoren zu, muss die zuständige Behörde 24 bis 48 Stunden danach über den Tatbestand informiert werden. Dazu genügt eine E-Mail, in Notfällen aber auch ein Telefonanruf oder eine SMS. Auch die Betroffenen sollen laut Gesetz »unverzüglich« informiert werden, aber erst, nachdem das Datenleck identifiziert und geschlossen wurde. Andernfalls könnten Trittbrettfahrer die Daten ebenfalls stehlen und den Schaden noch vergrößern. Gleichzeitig erhalten die Strafverfolgungsbehörden so einen Wissensvorsprung vor den Tätern und die Chancen, diese zur Verantwortung ziehen zu können, steigen. Werden die betroffenen Kunden informiert, muss ihnen mitgeteilt werden, welche Daten in fremde Hände gefallen sind und welche Maßnahmen sie nun am besten ergreifen sollten. Wenn zu viele Kunden betroffen sind, kann der Händler auch in der Öffentlichkeit durch Anzeigen informieren.

  1. Richtig Verhalten nach dem Diebstahl von Kundendaten
  2. Personenbezogene Daten sind relevant
  3. Bußgelder bis zu 300.000 Euro drohen
  4. Auch zivilrecht­liche Meldepflicht besteht

Lesen Sie mehr zum Thema

IT-Recht-Kanzlei
Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu IT-Recht-Kanzlei

Von E-Rechnung bis Produktsicherheit

Das kommt 2025 auf Online-Händler zu

IT-Recht-Kanzlei warnt

Neue Abmahnwelle gegen eBay-Händler

Nach Google Fonts droht jetzt Klaviyo

Die nächste Abmahnwelle rollt an

Marktbeherrschende Stellung

Bundeskartellamt leitet Verfahren gegen PayPal ein

Durchsuchungen nach Abmahnwelle

Polizei geht gegen „Google Fonts“-Abmahner vor

Matchmaker+
NFON AG

NFON AG
elektrofachkraft.de

elektrofachkraft.de
SIM-Networks (Netversor GmbH)

SIM-Networks (Netversor GmbH)
d.velop AG

d.velop AG
Vertiv GmbH

Vertiv GmbH
AfB gemeinnützige GmbH

AfB gemeinnützige GmbH