Datenklau: „Der Händler hat den Schaden“

Von Bert Rösch | 31. Januar 2014 |

Datenklau: „Der Händler hat den Schaden“
Die jüngsten Datenschutz-Skandale und millionenfacher Datenklau, zuletzt beispielsweise bei der US-Kette Target, sollten Händler nicht ruhen lassen. Das Schweigen über die Datenskandale schadet dem E-Commerce. Was aber, wenn Betrüger mit fremden Kundendaten einkaufen oder Hacker in die Datenbank des Webshops "einbrechen"? Grundsätzlich gilt „Der Händler hat den Schaden“. Worauf Händler achten sollten, sagt Daniel Rücker, Partner der Kanzlei Noerr LLP und Experte für E-Commerce und Datenschutz, im Gespräch mit Bert Rösch von der TextilWirtschaft.

Datenklau: „Der Händler hat den Schaden“
Daniel Rücker
Wer haftet, wenn ein Betrüger mit meinen Kundendaten online einkauft?

Daniel Rücker: Dahinter steckt häufig jemand, an den sie nicht so einfach herankommen. Und wenn Sie die Person tatsächlich ermitteln können, besteht die Gefahr, das sie im Ausland sitzt oder nicht zahlungsfähig ist. Daher muss stets geklärt werden, ob der Betrug durch eine Pflichtverletzung des Kunden oder des Online-Shops ermöglicht wurde. Wenn jemand unter falschem Namen etwas bestellt, dann kommt mit dem Kunden kein Vertrag zustande. Somit ist der Kunde grundsätzlich nicht zur Zahlung verpflichtet.

Muss der Kunde dann beweisen, dass er nicht bestellt hat?

Daniel Rücker: Das nicht. Er muss aber darlegen, dass er selbst keine Bestellung aufgegeben hat. Wenn er das getan hat, hat der Händler erst einmal den Schaden. Schließlich hat er an jemanden geliefert, der sich nicht identifizieren lässt. Beharrt der Händler auf den Standpunkt, dass der Kunde selbst bestellt hat, muss er das beweisen. Das ist in der Praxis aber nur schwer möglich. Er kann aber Schadensersatzansprüche geltend machen, zum Beispiel wenn der Kunde sein Passwort nicht sicher genug verwahrt hat. Entscheidend ist auch, wie die Daten geklaut wurden: Handelte es sich um einen Angriff, gegen den der Kunde nichts machen konnte? Oder um eine Schad-Software, die jeder Viren-Scanner hätte abfangen können? Und wenn der Kunde keinen Viren-Scanner hatte, dann war er vielleicht selbst schuld, weil er seine Sorgfaltspflicht verletzt hat.  Das lässt sich aber nur schwer nachweisen.

Macht sich der Händler überhaupt die Mühe, zu überprüfen, ob der Kunde einen Viren-Scanner hatte?

Daniel Rücker: Wenn es um viel Geld geht, dann mag es schon sein, dass der Händler diese Diskussion führt. Nicht aber, wenn die Summe gering ist. Allein schon wegen der möglichen Negativberichterstattung.

Und was ist mit dem Kreditkartenbetreiber? Holt der sich das Geld vom Händler wieder, wenn der Kunde die Abbuchung widerruft?

Daniel Rücker: Das ist im Wesentlichen das Missbrauchsrisiko des Kreditkartenbetreibers oder Händlers, da der Kunde die Kreditkartennutzung nicht autorisiert hat. Entscheidend ist die Haftungsaufteilung zwischen Kreditkarteninstitut und Online-Händler. Diese ist im Detail von den Verträgen abhängig. Hier sind zahlreiche Details umstritten.

Das Schweigen über die Datenskandale schadet dem E-Commerce
Dem Thema Datensicherheit widmet sich auch die TextilWirtschaft.
Gibt es dafür rechtliche Vorgaben? Muss der Händler etwa nachhaken, wenn ein Kunde eine Ware an eine andere Adresse schicken lässt?

Daniel Rücker: Nein, das liegt grundsätzlich im Ermessen aber auch im Interesse des Händlers, da er das wirtschaftliche Risiko trägt.

Stellen simple Passwörter wie 123456 auch eine Pflichtverletzung dar?

Daniel Rücker: Das ist kein eindeutiger Verstoß. Shop-Betreiber sollten aber in ihren AGB festlegen, wie der Nutzer mit Passwörtern umzugehen hat. Dann haben sie per Vertrag entsprechende Sorgfaltspflichten gegenüber ihrem Kunden begründet.

Wie lauten die Regeln konkret?

Daniel Rücker: Ich empfehle meinen Mandanten, in den AGB vorzugeben, dass die Kunden ein ausreichend komplexes Passwort einrichten müssen und dieses nicht an Dritte weitergeben dürfen. Der Händler kann darüber hinaus auch technisch sicherstellen, dass nur komplexe und damit hinreichend sichere Passwörter bei der Anmeldung akzeptiert werden.

Aber was ist, wenn die Passwörter geklaut wurden? Dann können die Sicherheitsmaßnahmen doch noch so gründlich sein.

Daniel Rücker: Das stimmt. Zum Beispiel, wenn die Daten über sogenannte Bot-Nets geklaut wurden. Diese können etwa Schad-Software auf dem Computer des Kunden installieren und dadurch Passwörter beim Eintippen erfassen. Dann kann der Betrüger ungehindert bestellen. Aber wenn der Händler nicht nachweisen kann, dass der Kunde seine Zugangsdaten unzureichend gesichert hat, sehe ich das Risiko grundsätzlich beim Shop-Betreiber.

Was passiert, wenn sich ein Betrüger bei einem Händler einhackt und somit Kundendaten erlangt?

Daniel Rücker: Der Händler muss dann schnellstmöglich aufklären und mit Hochdruck herausfinden, wie es dazu gekommen ist und in welchem Umfang Daten gestohlen wurden. Der Grund: Beim Verlust von personenbezogenen Daten gibt es konkrete Informationspflichten. Der Händler muss sofort alle Betroffenen informieren. Diese müssen erfahren, welche Gegenmaßnahmen sie ergreifen können. So können sie etwaige Schäden verringern oder verhindern. Außerdem muss der Händler die zuständige Datenschutzbehörde benachrichtigen. Diese Informationspflichten sind absolut zwingend. Wer dagegen verstößt, muss ein Bußgeld von bis zu 300.000 Euro pro Fall bezahlen.

Bert Rösch berichtet für die Fachzeitschrift TextilWirtschaft über E-Commerce, Logistik und IT in der Modebranche. Sie erscheint, ebenso wie etailment, in der dfv Mediengruppe.

Bild oben: Digital image of woman's eye. Security concept - shutterstock

Kindle Kindle
Drucken Artikel versenden

Thema: Marketing

Schlagworte: Datenschutz, Kundendaten

Schritt für Schritt mit Google Adwords punkten
Suchmaschinenwerbung ist zwar komplex, doch trotzdem ist der Einstieg in Google AdWords keine Rakete ...
Topartikel
Kurz vor 9: Amazon erschreckt mit massiven Verlusten, PayPal, eBay, Urbanara, Apple,
Amazon ist die Produktsuchmaschine Nummer 1 der Deutschen. Gute Sichtbarkeit im Ranking kann daher d ...
Die Top 100 der umsatzstärksten Onlinehändler in Deutschland
Die Dominanz der Top 3 im deutschen Onlinehandel - Amazon, Otto, Zalando - ist schier erdrückend. Zu ...
Christoph Lange, Zalando
Christoph Lange ist VP Brand Solutions bei Zalando in Berlin. Als Mitarbeiter Nr. 3 kam er 2008 zu Z ...
Rewe Digital: Schweizer Taschenmesser im Kampf gegen Amazon
Guten Morgen etailment-Leserinnen und Leser!Eine Studie der News-Organisation ProPublica zeigt gerad ...
Trendreport: Wie alltaugstauglich sind die Zukunftsvisionen für den E-Commerce?
Über 12.000 Produkte im ersten richtigen Virtual-Reality-Kaufhaus; ein Vertriebs-Bot, der E-Mails an ...

Die Kommentare für diesen Artikel sind geschlossen.

stats