Cloud Computing und Datenschutz im Onlinehandel

„Cloud Computing“, also die Nutzung von IT-Services über das Internet bietet dem Onlinehandel großen Nutzen. Wer einen Miet-Shop betreibt, kann auf höhere Auslastungen wie etwa im Weihnachtsgeschäft flexibel reagieren und Speicherplatz und Datenvolumen einfach anpassen. Datensicherungen erfolgen automatisch und die Einbindung von Warenwirtschafts- und Zahlungsabwicklungssystemen oder aktuellen Marketingtools ist jederzeit möglich. Dabei ist der Kostenaufwand niedrig, denn Programmierungsdienstleistungen oder Hard- und Softwareeinkauf fallen nicht an. Cloud Computing ist jedoch „Auftragsdatenverarbeitung“ im Sinne des Bundesdatenschutzgesetzes. Es werden personenbezogene Daten der Kunden wie Namen, Adressen, Bankdaten, Kreditkarteninformationen im Auftrag des Onlinehändlers über einen fremden Server erhoben, verarbeitet und gespeichert. Damit haben Onlinehändler hohe datenschutzrechtliche Anforderungen zu erfüllen.

Sorgfältige Auswahl des Anbieters
Auch beim Betreiben eines Mietshops bleibt der Onlinehändler nach der gesetzlichen Regelung als Auftraggeber für die Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich und haftet grundsätzlich für Pannen. Er muss daher den Anbieter sorgfältig auswählen. Zum einen dürfen die Daten nur auf Servern innerhalb des europäischen Wirtschaftsraumes (EWR), also den EU-Staaten sowie Norwegen, Island und Liechtenstein gespeichert und verarbeitet werden. Der Shopbetreiber darf daher nur einen Anbieter auswählen, der die Server nur in Deutschland oder den genannten Staaten betreibt. Zum anderen hat der Shopbetreiber zu prüfen, ob der Anbieter geeignete technische und organisatorische Schutzmaßnahmen getroffen hat. Als Vertragspartner kommen daher von vornherein nur Anbieter in Betracht, die entsprechende Zertifizierungen wie etwa den international anerkannten Qualitätsstandard für das Informations-Sicherheits-Management ISO/IEC 27001 vorweisen können.

Schriftlicher Vertrag
Über die Auftragsdatenverarbeitung muss ein schriftlicher Vertrag zwischen dem Shopbetreiber und dem Dienstleister geschlossen werden. Dieser muss insbesondere die technischen und organisatorischen Maßnahmen des Anbieters enthalten, die dieser zur Gewährleistung der Datensicherheit einzuhalten zu hat. Wenn der Anbieter nicht bereits einen geeigneten Vertrag vorlegt, kann man über die meisten Datenschutzbeauftragten der Länder entsprechende Musterverträge beziehen.

Regelmäßige Überprüfung
Der Onlinehändler als Auftraggeber muss die Einhaltung der getroffenen Regelungen durch den Anbieter überprüfen, um zu gewährleisten, dass die Datenverarbeitung vertragsgemäß eingehalten wird. Bloße Zusagen des Anbieters, dass er sich an Recht und Gesetz halten werde, reichen nicht. Stattdessen ist eine fortdauernde Kontrolle durch den Onlinehändler oder von ihm beauftragte IT-Spezialisten erforderlich.
Die Vorteile des Cloud Computing überwiegen. Doch bei drohenden Bußgeldern bis zu 300.000,00 EUR dürfen die hohen gesetzlichen Anforderungen an den Datenschutz nicht ignoriert werden. Onlinehändler sollten sich angesichts der zukünftigen Ausweitung von IT-Services unbedingt mit diesem etwas „trockenen“ Thema beschäftigen!

Gastbeitrag von: Florian Decker