HANS B. MAG STEVEN KING und die Rolling Stones. Vor einem Jahr hat er bei Amazon.de seine Adresse für eine Postsendung angegeben. Und eine nicht näher zu benennende Seite kennt die sexuellen Vorlieben des Hans B. genau so gut wie seine Kreditkartennummer. Dass diese Informationen sich nicht vermengen, dafür soll seit 1997 das "Teledienste-Datenschutzgesetz" sorgen. Bei dessen Verabschiedung habe der Gesetzgeber allerdings vergessen, Bußgelder festzulegen, bemängelt der Hamburger Datenschützer Peter Schaar. "Wer sich nicht an das Datenschutz- Gesetz hielt, hatte bislang kaum Sanktionen zu befürchten." Das ändert sich nun. Bei schweren Verstößen drohen künftig Geldbußen in sechsstelliger Höhe.
Doch nicht nur wegen drohender Strafen sollten ECommerce- Macher den Datenschutz realisieren. Wie die Marktforscher Fittkau und Maaß bei einer Umfrage unter mehr als 87000 Internet-Nutzern herausfanden, ging in den ersten Monaten dieses Jahres das Interesse am Online-Shopping erstmals zurück. Den potenziellen Kunden fehlt das Vertrauen zu den Betreibern der Shops. 57 Prozent der Befragten befürchten, dass ihre Daten an andere Firmen weitergeleitet werden. Und diese Sorge ist nicht unbegründet. "Online-Shops: Neunzig Prozent am Rande der Legalität?", so fasste TÜV Nord Security zu Beginn des Jahres die Ergebnisse einer Studie zusammen. Das Fragezeichen ist hier eigentlich überflüssig, denn von 103 untersuchten Shops informierten 97 Prozent ihre Kunden nicht zum Thema Datenschutz, und 86 Prozent verlangten nicht ausdrücklich das Einverständnis zur Verwendung der persönlichen Daten des Käufers.
Das Problem besteht keineswegs nur beim privaten Kauf von CDs und Büchern. In den Diskussionen über das Desinteresse von Mittelständlern am B2B-Handel taucht immer wieder das Sicherheitsargument auf. Oliver Merx, Jurist und Leiter der Münchner Niederlassung des Internet- Dienstleisters Popnet, weist darauf hin, dass sich auch surfende Geschäftskunden Cookies einfangen. Die kleinen Dateien werden vom Shop- Betreiber auf der Festplatte des Kunden abgelegt. Ihre Aufgabe ist es, sich die Präferenzen des Nutzers bezüglich einer Site zu merken. Wählt der sich erneut ein, weiß der Anbieter, wofür sich der Surfer beim letzten Mal interessiert hat. Wenn der User von der Info- Sammlung nichts weiß und folglich auch seine Zustimmung nicht gegeben hat, kann daraus ein Datenschutzproblem erwachsen.
Zentrale Datenschutz-Forderungen an E-Commerce- Betreiber sind schon seit 1997 Transparenz, individuelles Wahlrecht und Zweckbindung. Der Käufer soll wissen, wie der Händler mit seinen Daten verfährt. Gefällt ihm die Speicherung oder Weitergabe nicht, muss er die Möglichkeit zum Widerspruch haben. Und zwar nicht beim ersten Besuch der Site, sondern dann, wenn seine Daten erhoben werden. Datenschützer Schaar weist zudem auf das Kopplungsverbot hin: Wer während eines Bestellvorgangs dem Speichern seiner Daten zu Werbezwecken widerspricht, darf deshalb nicht aus der Site geworfen werden. Die Zweckbindung schließlich soll sicherstellen, dass der Shop-Betreiber alle Information nur für genau den Zweck speichert, für den er sie nach eigenem Bekunden auch erhoben hat.
Merx ist davon überzeugt, dass gerade bei Plattformen für den Handel zwischen Unternehmen häufig gegen diesen letzten Punkt verstoßen wird. "Die Datenbeschaffung ist das Hauptanliegen vieler B2B-Sites", sagt der Jurist. "Und die Nutzer geben ihre Daten heraus, weil sie ahnungslos sind. Es ist ja auch nicht schwer, einen Anschein von Legalität zu erwecken."
Die Betreiber von E-Commerce-Plattformen sind in einer Zwickmühle: Einerseits wissen sie, wie wichtig das Vertrauen der Kunden und der Schutz von Daten sind, andererseits sind genau diese Informationen der Goldstaub im E-Commerce. Nur wer seine Kunden exakt kennt, kann das Angebot perfektionieren und gezielt Werbung verkaufen. Als Lösung des Problems wurde in jüngster Zeit die Schaffung einer so genannten Infomediary ins Spiel gebracht. Diese Idee geht von mündigen Kunden aus, die ihre Daten selbst für eine wertvolle Ware halten, mit der sich handeln lässt. Infomediaries würden als zentrale, vielleicht staatlich kontrollierte Sammelstellen Kundendaten speichern, aufbereiten und in Abstimmung mit den Kunden gezielt vermarkten. Schaar steht der Idee skeptisch gegenüber, weil eine solche Datenmenge nur schwer zu kontrollieren sei.
Privacy-TÜV für Web-Läden
Positiver sieht er die Einführung eines Datenschutz-Audits: Allgemein anerkannte Institutionen wie der TÜV vergeben Datenschutz-Siegel und kontrollieren die Einhaltung der damit verbundenen Regeln. Mit einem solchen Siegel könnte das Unternehmen werben und damit seine Wettbewerbsposition stärken. Gleichzeitig eröffnen derartige Zertifikate die Möglichkeit, Verstöße publik zu machen.
Vielleicht geht ja bald die Konkurrenz selbst gegen die schwarzen Schafe der Branche vor. Vielleicht werden sich die Menschen aber auch an das höhere Risiko gewöhnen, wie Merx glaubt.