3 goldene Regeln für den richtigen Umgang mit sensiblen Kundendaten

datensicherheitWer in unseren Blogbeiträgen mal durchblättert sieht, dass das Thema Sicherheit schon immer eine große Rolle in unserem Unternehmen spielt. Nachdem wir das Thema mehrmals mit Blick auf den persönlichen Bereich beleuchtet haben, soll es diesmal um den richtigen Umgang mit sensiblen Fremd- oder Kundendaten gehen.

Es gibt einen fast unüberschaubaren Pflichtenkatalog, den Websitebetreiber ebenso wie Anbieter von Onlineshops oder Mobile Apps erfüllen müssen, um rechtlich anstandslos agieren zu können. Im Bundesdatenschutzgesetz (§ 3a und § 9) sind z. B. die Maßnahmen beschrieben, die man zum Schutz von Internetauftritten und Kundendaten ergreifen muss. Ein Schwerpunkt wird dabei auf die Verschlüsselung von Daten gelegt, die einen unerlaubten Zugriff verhindern sollen.

Sobald ihr sensible Kundendaten auf eurer Webseite einsammelt, gilt erhöhte Aufmerksamkeit.

Regel Nr. 1: Sammelt nur so viele Daten wie nötig.

In Kontakt- oder Bestellformularen solltet ihr nur so viele Daten sammeln wie nötig sind, um den Kunden problemlos bei seinem Anliegen bedienen zu können. Abfragen nach bspw. mehreren Telefonnummern, Faxnummern, Geburtstagen, Vorlieben, Geo-Daten etc. solltet ihr hinterfragen.

Regel Nr. 2: Verschlüsselt die Kommunikation.

Sichert alle Schritte der Kommunikation durch Verschlüsselung ab. Das beginnt bei der Eingabe der Daten in das Formular eurer Webseite, das mit SSL verschlüsselt wird. Ihr erkennt es daran, das die Internetadresse dieser Seite mit https:// beginnt. In der Regel ist diese Seite mit einem kleinen Schloss gekennzeichnet. Dadurch garantiert ihr, dass die Daten während der Kommunikation zwischen dem Browser und eurer Webseite verschlüsselt übertragen werden.

Oftmals werden die Daten nicht nur auf dem Server verarbeitet, sondern auch gleich noch einmal per Mail versendet. Hier gibt es ein sehr schwerwiegendes Problem: Diese Mails werden in fast allen Fällen unverschlüsselt von eurer Webseite zu eurem Mailpostfach übertragen. Diese Kommunikation kann im schlimmsten Fall von Dritten problemlos mitgelesen werden.

Diesen Mails solltet ihr besondere Aufmerksamkeit schenken. Oftmals braucht ihr diese Mails eigentlich nur als Erinnerung, das ihr etwas tun müsst. D.h. ihr würdet anschließend auf eurer Webseite z. B. eine Bestellung bearbeiten. Wenn das der Fall ist, dann solltet ihr in dieser Mail sehr wenige Daten mitsenden. Idealerweise nur ein Stichwort „Neue Bestellung erhalten Nr. 4567“.

Wenn ihr jedoch alle Informationen aus dem Formular in der Mail braucht und ihr sogar Zahlungsinformationen wie Bank- oder Kreditkartendaten abgefragt habt, so müsst ihr diese Mails dringend zusätzlich schützen. Der Ansatz ist hier, den Mailtext auf dem Server zu verschlüsseln. Euer E-Mail-Programm (Outlook, Thunderbird, Apple Mail) sorgt anschließend für die Entschlüsselung des Mailtextes. Hierzu könnt ihr euer Mailprogramm durch einen von zwei Verschlüsselungs-Standards (OpenPGP und S/MIME) erweitern.

Gern helfen wir euch bei der Implementierung der Server-Mailverschlüsselung bzw. bei der Einrichtung der Mailentschlüsselung in eurem E-Mail-Programm.

Regel Nr. 3: Sorgt für die sichere Aufbewahrung der Daten.

Wenn ihr einen Weg zur Absicherung der Kommunikation gefunden habt, dann gilt es die empfangenen Daten weiterhin sicher zu behandeln. Eure Webseite solltet ihr technisch stets auf dem aktuellen und sicheren Stand halten. Durch regelmäßige Updates und durch Unterstützung von unserem Support-Team, haltet ihr eure online gehaltenen Daten sicher.

Wenn ihr in eurem Mailprogramm sensible Daten erhalten habt, solltet ihr überlegen, was ihr anschließend damit tun wollt. Wenn ihr die Mails z. B. ausgedruckt habt und euch das für die Verarbeitung genügt, dann wäre eine Option, die Mails einfach zu löschen.

Solltet ihr verschlüsselte Mails erhalten haben und ihr wollt diese auch weiterhin elektronisch aufbewahren, dann solltet ihr die Mails auch nach dem Lesen nicht unverschlüsselt in eurem Mailprogramm bzw. in eurem Mailpostfach ablegen, sondern lieber die verschlüsselten Originalmails behalten.

Wenn ihr diese drei Regeln beherzigt, dann könnt ihr einen großen grünen Haken an eure To-Do-Liste zur Sicherheit von Kundendaten in eurem Unternehmen setzen.

Bildquelle: GoMixer – istockphoto.com