For your eyes only - Ein Projekt für mehr Sicherheit beim Online-Shopping
Verschlüsselte Bestätigungsmails bei Onlinegeschäften
Inhalt
- Vorwort
- Problem Bestellvorgänge im Internet
- Warum gibt es diese Bestätigungsmails überhaupt?
- Die Kampagne "For your eyes only"
- Ausblick
- Update Jan 2015: Antworten auf unsere Fragen
- Auswertung der Antworten
- Ähnliche Lösungen in der weiten Welt
Einführung in die Technik für dieses Projekt:
Aktion Freiheit statt Angst hat diesen Vorschlag für Verschlüsselte Bestätigungsmails bei Onlinegeschäften als IT-Lösung beim Wettbewerb Innovationspreis-IT eingereicht, den die Initiative Mittelstand zur diesjährigen Cebit ausgeschrieben hatte.
Die Idee hat scheinbar überzeugt, so dass sich unser Vorschlag einige Tage unter den Besten im Bereich IT-Security befand. Ein Grund dafür mag auch sein, dass für unsere Quick&Dirty Realisierung eigentlich nur zwei Zeilen Code notwendig waren - so einfach lässt sich eine sichere Kommunikation herstellen!
Wir hoffen nun auf viele Nutzer dieser Lösung, die unsere Kommunikation sicherer machen kann.
Vorwort
Ein Jahr nach den Enthüllungen über die Abhör- und Speicherpraxis der Geheimdienste durch Edward Snowden ist die Anzahl der Menschen merklich gestiegen,
die sich Gedanken über den Schutz ihrer Daten machen. Viele versuchen auf Cryptoparties Hilfe zu finden, wie sie ihre Daten verschlüsseln können.
Aber auch die Anbieter im Internet reagieren.
Die Telekom propagiert das „Deutsche Internet“, ausgerechnet zusammen mit Web.de und 1&1, beides Unternehmen der Firma United Internet.
Die Bundesregierung steht weiter zu DE-Mail, der angeblich sicher verschlüsselten E-Mail für Deutschland, wo die Datenpakete bei jedem Provider
einmal aus- und dann wieder eingepackt werden - also gerade dort, wo die Abhöreinrichtungen von BKA und Geheimdiensten installiert sind.
Selbst der Datenkrake Google will künftig bei seinem Google-Mail Dienst eine Ende-Zu-Ende Verschlüsselung mit PGP anbieten – hoffentlich
kümmert man sich dann bei Google auch um die internen Sicherheitslücken. In Deutschland wurde in der ersten Juni Woche qabel.de vorgestellt,
eine Software, die einmal die Vorteile der Sender-/Empfängerverschleierung und Komplettverschlüsselung von Systemen wie Bitmessage, Retroshare,
Darknet, i2p usw. mit serverbasierter Datenhaltung verknüpfen und zugleich bedienbar machen soll.
Auch wir haben uns Gedanken gemacht, wie wir neben dem Angebot an Cryptoparties den Datenschutz voranbringen können.
Problem Bestellvorgänge im Internet
Wem als Internetnutzer der Schutz der eigenen Daten wichtig ist, der kann zwar seine E-Mails mit PGP verschlüsseln und Webseiten
mit dem Firefox-Plugin HTTPS-Everywhere bevorzugt verschlüsselt oder gar im TOR-Browser abrufen,
der Schutz der persönlichen Daten findet jedoch spätestens dann ein Ende, wenn man als Internetnutzer eine Ware in einem Online-Shop bestellt hat.
Dann erhält man als Kunde eine (oder mehrere) unverschlüsselte E-Mails, die neben der E-Mail-Adresse, Rechnungs- bzw. Lieferadresse,
ggf. Kundennummer und weitere Daten enthalten, insbesondere Informationen zur bestellten Ware.
Diese E-Mail wird nicht zwingend auf direktem Weg zum Kunden übertragen, sondern oft auf erheblichen Umwegen über diverse Internetknotenserver,
ggf. auch über andere Länder, Satelliten und gerne auch einmal rund um den ganzen Globus. In jedem vermittelnden Internetknoten - insbesondere auch
auf dem Server des eigenen E-Mail-Anbieters - können, diese Informationen ohne großen technischen Aufwand ausgelesen und zur Profilbildung genutzt werden.
Warum gibt es diese Bestätigungsmails überhaupt?
Für mich als Kunde ist es eine Bestätigung, dass die von mir auf der Webseite des Anbieters eingegebenen Daten von ihm auch so erhalten wurden.
Das erhöht mein Vertrauen in den Bestellvorgang - dies ist aber im allgemeinen von einem Bestellformular zu erwarten.
Für den Anbieter erfüllt die Bestätigungsmail zwei Aufgaben: Erstens ist er rechtlich verpflichtet ein Onlinegeschäft zu bestätigen,
doch dafür würde eine Mail genügen mit dem Satz „Wir bestätigen Ihre Bestellung von heute (Datum) (Uhrzeit) bei uns“.
Eine Übermittlung von persönlichen Daten oder Kontonummern ist rechtlich nicht notwendig. Daraus folgt übrigens auch,
dass eine Mail mit personenbezogenen Angaben nach BDSG unzulässig ist (§3a Datensparsamkeit, keine Zweckbindung zum Geschäft).
Nähere Infos gibt es dazu unter: https://www.surfer-haben-rechte.de/cps/rde/xchg/digitalrechte/hs.xsl/75_3151.htm
Die zweite Aufgabe der Bestätigungsmail für den Anbieter ist der Beginn der Widerrufsfrist, die für jedes Onlinegeschäft mit der Bestätigung durch den Verkäufer beginnt.
Um sich dabei auf der „sicheren Seite“ zu bewegen, schreibt er in diese Widerrufsbelehrung alle für ihn wichtigen Daten des Bestellvorgangs hinein.
Zur näheren Erläuterung hier die Stellungnahme einer Juristin beim Projekt www.surfer-haben-rechte.de des Verbraucherzentrale Bundesverband e.V.:
"Werden personenbezogene Daten im Rahmen von Eingangsbestätigungen eines Online-Shops per E-Mail versendet, müssen nach §9 S. 1 BDSG
technische und organisatorische Maßnahmen zur Datensicherheit getroffen werden. Nach Satz 2 Nr. 4 Anlage BDSG muss unter anderem sichergestellt werden,
„dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen,
kopiert, verändert oder entfernt werden können“.
Als geeignete Maßnahme nennt Satz 3 Anlage BDSG „insbesondere die Verwendung von dem Stand der Technik entsprechenden Verschlüsselungsverfahren“.
Nach §9 S. 2 BDSG sind Sicherungsmaßnahmen allerdings nur dann erforderlich, wenn ihr Aufwand in einem angemessenen Verhältnis zur Schutzbedürftigkeit der Daten steht.
Je höher die Schutzbedürftigkeit, desto höher auch der Aufwand, der noch angemessen ist.
Die Eingangsbestätigung enthält typischerweise mindestens die vollständige Lieferanschrift, bei Verbrauchern meist die Wohnanschrift.
Die Anschrift ist ein Datum, das schutzbedürftig ist. In der für einen Online-Shop gebotenen abstrakten Betrachtung kann nicht darauf abgestellt werden,
dass kein Schutzbedürfnis besteht, wenn der Kunde seine Anschrift bereits selbst veröffentlicht hat. Es sind stattdessen Vorkehrungen beispielsweise für den Fall zu treffen,
dass der Kunde Politiker, Richter oder Stalking-Opfer ist, so dass ein Bekanntwerden seiner Anschrift möglicherweise erhebliche Folgen haben könnte.
Auch hat jeder Einzelne das Recht, grundsätzlich selbst über die Preisgabe und Verwendung seiner persönlichen Daten zu bestimmen.
Darüber hinaus können selbst Daten, die auf den ersten Blick nicht schutzbedürftig erscheinen, unter bestimmten Umständen ein erhebliches Schadenspotenzial haben.
Gegen diese Gefährdungslage ist der Aufwand für Sicherungsmaßnahmen abzuwägen. In Betracht käme zum Beispiel der Verzicht auf die Nennung von Daten wie Name, Anschrift oder
Bankverbindung in der E-Mail-Bestellbestätigung, da nur die Tatsache des Eingangs einer Bestellung bestätigt werden muss, nicht aber ihr Inhalt einschließlich der Daten des Bestellers.
Eine andere Möglichkeit zur Sicherung wäre eine Verschlüsselung der Bestätigungs-E-Mail. Der Aufwand für die Verschlüsselung ist gering,
der Vorteil für den Schutz der Kunden dagegen erheblich, so dass keine Unverhältnismäßigkeit i. S. von §9 S. 2 BDSG vorliegt."
Die Kampagne "For your eyes only"
Im Rahmen dieses Projekts werden Betreiber von Online-Shops aufgerufen, die Privatheit ihrer Kunden technisch besser zu unterstützen,
- indem sie die Übermittlung PGP-verschlüsselter E-Mails an ihre Kunden anbieten,
- werden bestehende Cryptoparty-Angebote bekannt gemacht, die in die Verwendung von PGP-Verschlüsselung in Mailprogrammen einführen,
- werden Wege vorgeschlagen, wie Kunden ihren öffentlichen Schlüssel an die Anbieter der Online-Shops übermitteln
(über Keyserver, durch Hochladen beim Bestellvorgang, als Anhang einer E-Mail), - wird die Öffentlichkeit über diverse Medienkanäle informiert und dabei die Bedeutung von Verschlüsselung und Datenschutz konkret thematisiert
(Pressemeldungen zum Stand der Dinge können in sinnvollen Abständen wiederholt werden und
evtl. die Namen derjenigen Shops erwähnen, die bereits eine Mail-Verschlüsselung anbieten), - werden Unterstützer für die Kampagne gesucht, die durch Spenden, Öffentlichkeitsarbeit bzw. technische Beiträgen helfen,
z.B. die Datenschutzbeauftragen der Länder/des Bundes , Organisatorinnen von Cryptopartys, Campact, Digitalcourage, CCC, SuMa e.V., VZBV/Projekt surfer-haben-rechte, . . .
Ein wichtiger Beitrag einer solchen Kampagne besteht auch darin, die Benutzerfreundlichkeit der Verschlüsselungstechnik für den Normaluser zu prüfen und zu verbessern
(Veranstalter von Cryptopartys, Enigmail-Forum, ...). Nach den ersten Implentierungen soll auch ein Leitfaden für Admins von Online-Shop-Portalen zur Umsetzung
und ggf. Support organisiert werden.
Zur Verbreitung der Kampagne haben wir die zentralen Punkte in einem Flyer beschrieben, der hier zum Download bereit steht.
In einem weiteren Schritt sollen die beteiligten Online-Shops belohnt werden, indem sie ihren Shop mit einem Siegel zieren dürfen und
ggf. auf einer Liste auf der Kampagnen-Webseite lobend erwähnt werden. Hier sind zur Verwendung eines solchen Siegels noch rechtliche Fragen zu klären,
damit niemand sich damit ziert, der nicht die Bedingungen dafür erfüllt.
Ausblick
Mit einer kleinen Verbesserung wird das Internet nicht auf ein Mal zu einem sicheren Ort. Aber es ist ein Anfang und der Erfolg hängt davon ab, ob genügend Online-Shops
so eine Lösung oder etwas ähnlich sicheres anbieten. Irgendwann hat jeder Mensch sich ein Schlüsselpaar erzeugt und die Skepsis gegen „Verschlüsselung“ schwindet,
es ist dann einfach ein Standard, den man nutzt. Damit wäre schon viel gewonnen.
Um ausreichend Online-Shops zum Mitmachen zu bewegen, muss weiter untersucht werden, ob die derzeitige Praxis überhaupt rechtskonform ist.
Wenn, wie wir das vermuten, das nicht der Fall ist, so steht jedermann der Rechtsweg offen, um die Anbieter zu einem rechtlich abgesicherten Bestellvorgang zu bewegen.
Die Meinung der Datenschutzbeauftragten wäre in diesem Zusammenhang nicht unwichtig.
Antworten auf unsere Anfragen
Zu Beginn der Kampagne haben wir eine Anfragen an die Datenschutzbeauftragten und die Verbraucherzentrale geschickt. Hier dokumentieren wir die Antworten und wollen diese in der nächsten Zeit bewerten und Folgerungen für die Realisierung der Initiative ziehen.
Der Berliner Beauftragter für Datenschutz und Informationsfreiheit
An der Urania 4-10, 10787 Berlin
Verschlüsselte Bestätigungsmails im Onlinehandel
Ihr Schreiben vom 26. Oktober 2014
Sehr geehrter Herr Dr. Hammerschmidt,
wir kommen auf Ihr oben genanntes Schreiben zurück, mit dem Sie uns über Ihre Initiative „For your eyes only - Verschlüsselte Bestätigungsmails bei Onlinegeschäften" aufmerksam gemacht haben. Auch wir haben zu diesem Problem schon Eingaben erhalten.
Nach § 312i Abs. 1 Satz 1 Nr. 3 des Bürgerlichen Gesetzbuches (BGB) ist der Zugang einer Bestellung unverzüglich auf elektronischem Wege zu bestätigen. Eine Wiedergabe des Inhalts der Bestellung ist jedenfalls nicht erforderlich, da Sinn der Vorschrift nur ist, dem Kunden Ge-wissheit darüber zu verschaffen, dass der Unternehmer seine Bestellung erhalten hat (ebenso Bergt, Schutz personenbezogener Daten bei der E-Mail-Bestätigung von Online-Bestellungen, NJW 2011, 3752, 3753).
Die vorstehend genannte Rechtsvorschrift beinhaltet keine weiteren Vorgaben hinsichtlich der Art und Weise der elektronischen Bestätigung, sodass hier ergänzend die datenschutzrechtlichen Vorschriften herangezogen werden müssen. Nach § 9 des Bundesdatenschutzgesetzes (BDSG) sind die erforderlichen technisch-organisatorischen Maßnahmen zu treffen. Einschränkend wird in dieser Rechtsvorschrift allerdings ausgeführt, dass Maßnahmen nur erforderlich sind, wenn ihr Aufwand in einem angemessenen Verhältnis zum angestrebten Schutzzweck steht.
Die Datenschutzbehörden haben mit Blick auf den Schutzzweck des Bundesdatenschutzgesetzes ein weites Verständnis zur Erforderlichkeit von technisch-organisatorischen Maßnahmen. Insofern empfehlen wir Unternehmen generell, nicht unverschlüsselt per E-Mail zu kommunizieren und schon gar nicht personenbezogene Daten in solche E-Mails aufzunehmen.
Eine Durchsetzung dieser Empfehlung durch eine behördliche Anordnung konnte bisher jedoch von uns nicht erreicht werden, denn die verwaltungsgerichtliche Entscheidungspraxis hat erkennen lassen, dass bei einer branchenüblichen Art und Weise der Versendung die Einforde-rung von Verschlüsselung als nicht verhältnismäßig angesehen wird (vgl. VG Berlin, Urteil vom 24.05.2011, Az. 1 K 133.10 zur Ablehnung einer Verschlüsselungspflicht von Bewerberdaten, die von einem privaten Arbeitsvermittler an potentielle Arbeitgeber versandt werden). Aus diesem Grund würde das Verwaltungsgericht vermutlich auch eine Anordnung im E-Commerce Bereich von uns aufheben, die im Gegensatz zu sensiblen Bewerberdaten „nur einfache Bestelldaten" umfassen würden.
Das für uns zuständige Verwaltungsgericht Berlin nimmt eher einen unternehmerfreundlichen Standpunkt ein und stellt hinsichtlich der Erforderlichkeit der technisch-organisatorischen Maßnahmen maßgeblich darauf ab, ob die von der verantwortlichen Stelle geforderte Handlung sich in der Praxis als alltagstauglich erweist. Damit verbunden ist immer die Frage nach dem finanziellen und organisatorischen Aufwand für die betroffene Stelle sowie ob solche Forderungen praktisch den Geschäftsverkehr zum Erliegen bringen würden. Dies würde sowohl für die Frage der Verschlüsselung als auch für die Begrenzung des Inhalts der Bestätigungs-Mail auf bestimmte Bestelldaten gelten. Vor diesem Hintergrund ist Ihre Initiative für uns sehr interessant.
...
Verbraucherzentrale Berlin e.V.
Hardenbergplatz 2,10623 Berlin
Ihr Schreiben vom 26.10.2014
Sehr geehrter Herr Dr. Hammerschmidt,
wir bedanken uns für Ihre o. g. Nachricht und teilen Ihnen zunächst mit, dass das Projekt „Surfer haben Rechte" auf eine Initiative des Verbraucherzentrale Bundesverband zurückzuführen ist. Das Projekt wird vom Bundesministerium der Justiz und für Verbraucherschutz finanziell gefördert.
Auch uns ist es ein Anliegen, die Menschen auf die Gefahren für ihre persönlichen Daten bei unverschlüsselter Kommunikation hinzuweisen und weitere Menschen für die Verschlüsselung ihrer Daten zu interessieren. In unseren Publikationen weisen wir regelmäßig darauf hin, dass Datensparsamkeit im Umgang mit den neuen Medien eine Notwendigkeit darstellt.
Schon das Bundesverfassungsgericht stellte in einem Leitsatz fest: „Das allgemeine Persönlichkeitsrecht (Art. 2 Abs. 1 i.V.m. Art. 1 Abs. 1 GG) umfasst das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme" (BVerfG, 1 BvR 370/07 vom 27.02.2008). Dieses Grundrecht steht jedem Bürger zu und ist damit auch eine Verpflichtung für den Staat und nicht nur eine Aufgabe der Bürger allein.
Entsprechende Forderungen nach einem solchen Recht werden bereits seit Jahren von Verbraucher- und Datenschützern gefordert. Die bisherige Praxis der unverschlüsselten Kommunikation im Geschäftsverkehr entspricht jedenfalls nicht den Anforderungen des Datenschutzes.
Rechtlich ist noch Vieles ungeklärt bzw. befindet sich auf dem Weg zur Klärung wie beispielsweise die Frage, ob IP-Adressen personenbezogene Daten sind. Viele Webseiten speichern die IP-Adressen der Besucher. In § 15 Telemediengesetz heißt es dazu, dass personenbezogene Daten nur mit Einwilligung des Nutzers und nur dann gespeichert werden dürfen, wenn sie zur Abrechnung oder ähnliches nötig sind. Die Frage wird gerade durch einen Vorlagebeschluss des BGH, Urteil vom 28.10.2014 - VI ZR 135/13, vom Europäischen Gerichtshof geprüft.
Wir haben allerdings erheblich Zweifel, ob die Benutzerfreundlichkeit vorhandener Verschlüsselungstechniken für den Normalverbraucher bereits so ausgereift ist, dass sich diese Techniken auf breiter Front anwenden lassen. Hier ist noch viel Verbesserungsarbeit notwendig.
Ihre aufgeworfenen Fragen beantworten wir wie folgt: Die Informationspflichten bei Fernabsatzverträgen sind in § 312d BGB i. V. m. den Artikeln 246 a und 246 b des Einführungsgesetzes zum Bürgerlichen Gesetzbuch geregelt.
Bei der Frage der Haftung der Shop-Betreiber für das unverschlüsselte Versenden personenbezogener Daten kommt es darauf an, ob der Betreiber schuldhaft gehandelt hat. Um dies beurteilen zu können, müssten die gesamten Umstände des Einzelfalls beachtet werden. Es müsste insbesondere ein bezifferbarer Schaden adäquat ursächlich entstanden sein.
...
Koordinator Sicherheitsforschung und Technikfolgenabschätzung
Fraunhofer-Institut für System- und Innovationsforschung ISI
Breslauer Straße 48 | 76139 Karlsruhe
Sehr geehrter Herr Hammerschmidt,
mit der Anlage zu Ihrer Mail vom 5. November haben Sie einige Fragen an uns adressiert und um Unterstützung bei der juristischen Klärung gebeten.
Nach erfolgter Rücksprache im Projektkonsortium kann ich Ihnen dazu heute antworten. Gleichwohl muss ich vorausschicken, dass Sie im Zweifelsfall anwaltlichen Rat einholen sollten, den wir nicht geben können und der uns letztlich auch nicht zusteht. Zu den Fragen:
1) Welche Daten muss eine Bestätigungsmail rechtlich mindestens enthalten?
Wird zwischen einem Unternehmer und einem Besteller ein Vertrag im elektronischen Geschäftsverkehr abgeschlossen, so bestimmen sich die Informationspflichten des Unternehmers nach der Vorschrift des § 312i Abs. 1 Nr. 3 BGB. Die den Bereich des E-Commerce tangierende nationale Rechtsvorschrift ist Ausfluss der Richtlinie über den elektronischen Geschäftsverkehr 2000/31/EG (E-Commerce-Richtlinie).
Durch § 312i Abs. 1 Nr. 3 BGB wird jeder Unternehmer verpflichtet, dem Kunden den Zugang einer Online-Bestellung ohne schuldhaftes Zögern auf elektronischem Wege zu bestätigen. Der Verbraucher hat folglich einen Anspruch auf Übersendung einer Bestätigung bezüglich der durch ihn vorgenommenen Bestellung. Eine inhaltliche Konkretisierung darüber, auf welchem Wege und welche Angaben inhaltlich gegenüber dem bestellenden Kunden zu treffen sind, wird weder durch die Norm selbst noch durch die Richtlinie festgelegt.
Dem Unternehmer ist jeder elektronische Weg eröffnet. Es genügt daher grundsätzlich auch die Anzeige einer Bestätigungsseite nach Aufnahme der Bestellung auf einer Website. Nach dem Wortlaut des § 312i Abs. 1 Nr. 3 BGB ist die Angabe von Kundenkontaktdaten, Bestellgegenstand, Bankverbindung u.ä. gegenüber dem Kunden nicht erforderlich, da lediglich der „Zugang“ der Bestellung zu bestätigen ist und gerade nicht deren Inhalt. Normzweck des § 312i Abs. 1 Nr. 3 BGB ist es, den Kunden darüber zu informieren, dass seine Bestellung eingegangen ist, um Unsicherheit und unnötige weitere Bestellungen zu vermeiden.
Die Eingangsbestätigung hat keinerlei Dokumentations- oder gar Beweisfunktion, so dass Text- oder gar eine strengere Form nicht erforderlich ist. Die Eingangsbestätigung ist eine reine Wissenserklärung und führt – sofern sie nicht mit einer Annahmeerklärung verbunden wird – nicht zu einem Vertragsschluss. Dementsprechend muss eine Bestätigungsmail keinerlei Mindestinhalt enthalten.
2) Können Shop-Betreiber für das unverschlüsselte Versenden von personenbeziehbaren Daten haftbar gemacht werden?
Ja, durchaus. Entscheidet sich der Unternehmer für die Zusendung einer Bestätigungsmail, so ist zu beachten, dass sämtliche in der Mail enthaltenen Bestelldaten wie z.B. Kontaktdaten des Kunden, vereinbarte Zahlungsmodalitäten und Bankdaten personenbezogene Daten darstellen, auf welche die datenschutzrechtlichen Vorschriften des Bundesdatenschutzgesetzes (BDSG) Anwendung finden.
Die E-Mail-Adresse des Kunden selbst kann hierbei ebenfalls ein personenbezogenes Datum darstellen, sofern sie einer bestimmten Person zugeordnet werden kann. Dies ist insbesondere bei Verwendung einer E-Mail-Adresse mit Klarnamen der betroffenen Person der Fall.
Während das E-Commerce-Recht die Aufnahme von Bestelldaten in eine Eingangsbestätigung nicht verlangt, ist aus datenschutzrechtlicher Perspektive der Versand unverschlüsselter E-Mails, welche personenbezogene Daten enthalten, rechtlich problematisch. Dies ergibt sich aus dem BDSG, das in § 9 BDSG und insbesondere in der Anlage technisch-organisatorische Maßnahmen regelt, um die Einhaltung der gesetzlichen Datenschutzvorschriften sicherzustellen.
Im Falle der Anwendbarkeit des BDSG treffen den Unternehmer gesonderte Pflichten beim Umgang mit den personenbezogenen Daten des Bestellers: Relevant ist im vorliegenden Zusammenhang insbesondere die Notwendigkeit einer Weitergabekontrolle gem. § 9 S. 2 Nr. 4 der Anlage BDSG. Der Betreiber des Onlineshops hat zu gewährleisten, dass die personenbezogene Daten bei der elektronischen Übertragung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Eine geeignete Maßnahme zur Verhinderung dieser Risiken ist hierbei insbesondere die Verwendung von Verschlüsselungsverfahren, die dem Stand der Technik entsprechen. Der Onlineshop-Betreiber hat Sorge dafür zu tragen, einen Telekommunikationsdiensteanbieter zu wählen, welcher ein angemessenes Schutzniveau beim Versand von E-Mails gewährleistet.
Da eine unverschlüsselte E-Mail von Unbefugten gelesen, kopiert oder verändert werden kann, birgt der Versand personenbezogener Daten in dieser Form Haftungsrisiken.
Werden die datenschutzrechtlichen Vorgaben verletzt, kann der Betroffene deshalb ein gerichtliches Verfahren betreiben. Der Betreiber des Onlineshops kann nicht nur Unterlassungs-, sondern auch Schadensersatzansprüchen ausgesetzt sein.
Schadensersatzansprüche des Betroffenen gegen das Unternehmen können sich zunächst aus der allgemeinen vorvertraglichen und vertraglichen Anspruchsgrundlage des § 280 BGB ergeben. Dem Versender einer unverschlüsselten E-Mail wird es kaum gelingen, den Entlastungsbeweis nach § 280 I S. 2 BGB zu führen. Weitere denkbare Anspruchsgrundlagen können sich aus deliktischer Haftung ergeben, insbesondere aus § 823 I BGB wegen Verletzung des allgemeinen Persönlichkeitsrechts, aber auch aus § 823 II BGB i.V.m. § 9 BDSG. Lediglich in sehr schwerwiegenden Fällen wird im Zusammenhang mit Eingangsbestätigungen auch ein Schmerzensgeldanspruch in Betracht kommen.
Zudem enthält § 7 BDSG einen speziellen deliktischen Anspruch gegen die verantwortliche Stelle (§ 3 VII BDSG), also das Unternehmen. § 7 S. 2 BDSG enthält eine Beweislastumkehr: Das Unternehmen muss demnach beweisen, dass es die nach den Umständen des Falls gebotene Sorgfalt beachtet hat.
Analog § 1004 BGB kann der Betroffene auch Unterlassung der unzureichend gesicherten Verarbeitung seiner Daten verlangen, mit den entsprechenden Kosten für Abmahnung und gegebenenfalls gerichtliche Geltendmachung.
3) Sehen Sie rechtliche oder andere Hindernisse, die unserer Initiative im Wege stehen?
Eine (umfassende) rechtliche Beratung Ihrer Initiative wird durch das Forum Privatheit nicht vorgenommen. Insofern wird eine (fach-)anwaltliche Beratung nahegelegt.
4) Welche Wege bieten sich an, um diese Idee bekannt und populär zu machen?
Die Bekanntmachung Ihrer Initiative in den einschlägigen Datenschutzkreisen sowie die Einspeisung Ihrer Arbeitsergebnisse in selbige bietet eine fruchtbare Möglichkeit, die von Ihnen gewünschte Breitenwirkung zu erreichen.
...
Auswertung der Antworten
Da sind wir noch dabei - aber klar ist, wir sind auf einem guten Weg und es ist viel möglich. Inzwischen hat sich auch mindestens ein Onlineshop-Betreiber gemeldet, der über eine Implementierung nachdenkt.
Wir sind für Anmerkungen und Kritiken und Verbesserungsvorschläge offen. Bitte einfach was ins Kommentarfeld schreiben oder per Mail an kontakt@aktion-fsa.de
...
Update Dezember 2015: Ähnliche Lösungen in der weiten Welt
Inzwischen haben die E-Mail-Anbieter gmx.de und web.de eine Ende-zu-Ende Verschlüsselung mit PGP,GnuPG im Angebot. Verwendet werden dazu die Browsererweiterungen Mailvelope und Mailpile.
Auch der vertrauenswürdige E-Mail Anbieter Posteo bietet verschlüsselte E-Mail an. Bei Posteo ist auch der Upload der öffentlichen Schlüssel auf einen Posteo-Server möglich, wenn man den Key-Servern in der weiten Welt misstraut.
...
Wer lernen möchte wie Mail-Verschlüsselung funktioniert, kann gern auf unseren Cryptopartys vorbeikommen. Die nächste ist auf jeden Fall zur Engagementwoche im September und dann wieder zum Safer Internet Day im Februar, jeweils ab 19h im Café COOP, Rochstr. 3, 10178 Berlin. Die genauen Termine stehen in unserer Terminliste
Kategorie[40]: Anti-Überwachung Short-Link dieser Seite: a-fsa.de/d/2k7
Link zu dieser Seite: https://www.aktion-freiheitstattangst.org/de/articles/4515-20141022-yes-we-can-datenschutz.htm
Link im Tor-Netzwerk: http://a6pdp5vmmw4zm5tifrc3qo2pyz7mvnk4zzimpesnckvzinubzmioddad.onion/de/articles/4515-20141022-yes-we-can-datenschutz.htm
Tags: #VerschluesselteBestaetigungsmail #E-mail #Onlinegeschaefte #Datenschutz #BDSG #PGP #GnuPG #PublicKey #Aktivitaet #FsaMitteilung #Projekt
Erstellt: 2014-10-19 13:15:00 Aufrufe: 28184
Kommentar abgeben