Skip to content Skip to navigation

Das Projekt Verbraucherrechte in der digitalen Welt endet am 31.12.2015, so dass diese projektbezogene Internetseite www.surfer-haben-rechte.de nicht mehr weiter aktualisiert werden kann.

„Vielen Dank für Ihre Bestellung“: Mehr sollte es nicht sein

„Vielen Dank für Ihre Bestellung“: Mehr sollte es nicht sein
Bestellbestätigungen: Ohne sensible Daten oder mit angemessenem Schutz!

„Sehr geehrter Kunde, Sie haben Art. Nr. 50284563, Prinzessin Lillifee Bettwäsche für 39 Euro erfolgreich bestellt. Die Lieferung erfolgt an die Adresse Martin Mustermann, Marktstraße 23, 10115 Berlin. Vielen Dank für Ihre Bestellung.“ So oder so ähnlich sehen viele Bestätigungsmails aus Online-Shops aus. Diese können aber datenschutzrechtlich unzulässig und ein Risiko für den Verbraucher sein.

Personenbezogene Daten, zu denen die Adresse, Name und die Kontodaten gehören, müssen angemessen geschützt werden. Das regelt, ganz juristisch, das Bundesdatenschutzgesetz. Dort heißt es, „dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können“ (§ 9) – Allerdings sind diese Sicherungsmaßnahmen nur dann erforderlich, wenn es um wirklich schützenswerte Daten geht. Oder, wieder juristisch: Wenn der Aufwand in einem angemessenen Verhältnis zur Schutzbedürftigkeit der Daten steht. 

Ein „Danke“ reicht völlig

Betreiber von Online-Shops sollten deshalb ganz genau überlegen, wie Sie Bestätigungsmails gestalten, um die Daten der Verbraucherinnen und Verbraucher zu schützen. Die eingangs symbolisierte Ausführlichkeit einer Bestätigungsmail muss es nämlich nicht sein. Das Bürgerliche Gesetzbuch gibt nur vor, dass dem Verbraucher der Zugang seiner Bestellung „unverzüglich auf elektronischem Wege bestätigt wird“ (§ 312g BGB). Eine einfaches „Danke, wir haben Ihre Bestellung erhalten“, würde schon reichen. Ganz besonders, weil manche Bestätigungsmails auch noch die Zahlungs- oder Kontodaten mitliefern. Solche sensiblen Informationen stellen ein besonderes Risiko dar, für Betrügereien und Identitätsdiebstahl missbraucht zu werden. 

Oder die E-Mail wird verschlüsselt

Wenn ein Shop-Betreiber dagegen die Adresse und das bestellte Produkt aus Komfortgründen mitteilen will, muss er die Bestätigungsmail verschlüsseln. Das geht ganz einfach und die zugrunde liegende Software, GnuPG oder PGP ist kostenlos über das Internet zu haben. Seit der Späh-Affäre und der Offenlegung der globalen Überwachung durch die Geheimdienste hat sich die Zahl der E-Mail-Schlüssel verdreifacht. Solche Schlüssel braucht man, um seine E-Mails mit PGP zu verschlüsseln. Die Benutzung wird dank zahlreicher Anleitungen auch immer einfacher und verständlicher. Es ist daher für Shopbetreiber kein unverhältnismäßig großer Aufwand, in verschlüsselte Bestellmails zu investieren und sollte spätestens nach den Enthüllungen von Edward Snowden selbstverständlich sein. Trotzdem ist klar, dass es keinen 100 prozentigen Schutz gibt: Seit der Späh-Affäre wissen wir auch, dass Geheimdienste verschlüsselte E-Mails grundsätzlich auf unbestimmte Zeit speichern, um diese vielleicht irgendwann einmal mit genug Rechenpower zu knacken. Verschlüsselung macht es Geheimdiensten aber trotzdem schwerer und schützt allemal vor neugierigen Server-Admins und Betrügern im Netz.

Formulare und Bestätigungsseiten – auch hier ist Verschlüsselung ein Muss

Eine andere Möglichkeit für die Betreiber von Online-Shops ist es, ganz auf Bestätigungsmails zu verzichten und stattdessen nach der Bestellung im Browser eine Bestätigungsseite anzuzeigen. Auf der werden dann alle relevanten Daten noch einmal zusammengefasst – und dabei natürlich mittels HTTPS- bzw. SSL/TLS verschlüsselt. Diese Verschlüsselung sollte in jedem Fall auch beim Bestellvorgang und bei der Eingabe der Daten vorhanden sein, erkennbar an dem kleinen Schloss in der Adresszeile des Browsers. Denn damit wird sichergestellt, dass die eingegebenen Daten unterwegs nicht abgefangen oder manipuliert werden können.

Fazit: Shopbetreiber sollten nachrüsten

Übrigens: Trotz vieler Gesetzesänderungen zum 13. Juni 2014 im Bereich des Online-Shopping, bleibt die Regelung, dass der Verbraucher nach der Bestellung eine Zugangsbestätigung in elektronischer Form erhalten muss, bestehen.

So oder so: Verschlüsselung beim Online-Shopping ist ein Muss, nicht erst in Zeiten des Geheimdienst-Skandals. Hier müssen Shopbetreiber dringend nachrüsten. Oder würden Sie sich Ihre Pakete in durchsichtiger Verpackung mit einem Klebezettel, auf dem Ihre Kontodaten stehen, liefern lassen wollen?

Schlagworte: