Let's Talk Data Security

Daten Hangover am Black Friday: Online-Shopping und Datenschutz

Geschrieben von Paul Hammersley - Vice President der ALM-Produkte | Nov 27, 2020 2:15:27 PM

Wenn es eine Sache gibt, die vom Jahr 2020 profitiert hat, dann ist das mit Sicherheit Online-Shopping. Man sagt, dass eine Krise den Prozess einer Veränderung, die sowieso irgendwann eingetreten wäre, beschleunigt. Die Selbstverständlichkeit, mit der wir heute online Waren suchen, vergleichen, kaufen und bezahlen spielt dem diesjährigen Black Friday in die Karten. Bei fast jedem Online Einkauf kommen wir an den Punkt, an dem wir uns die Frage stellen:

Ein Kundenkonto erstellen oder lieber als Gast einkaufen?

  • Werde ich hier zukünftig öfter einkaufen? Oder ist dies ein einmaliger Spontankauf?
  • Würde ich wollen, dass meine Freunde wissen, dass ich hier einkaufe?
  •  Wie ist die ethische Einstellung und tun sie etwas für die Umwelt?
  • Wo befindet sich der Sitz der Firma?
  • Kann ich diesem Unternehmen meine persönlichen Daten UND meine Kreditkarte anvertrauen?

„Als Gast bestellen“ – klingt erstmal sehr unverbindlich

Die Beweggründe sich ein Konto anzulegen oder eben nicht sind unterschiedlich. Es gibt die Menschen, die Ihre Daten auf keinen Fall preisgeben möchten und dies dann auch nicht online tun. Das sind dann aber wahrscheinlich auch die Personen, die am wenigsten online shoppen. Ich bin mir sicher, dass ein großer Teil als Gast fortfährt und sich kein Kundenkonto anlegt. Auf der anderen Seite gibt es echte Fans, die sich natürlich ein Konto erstellen und ihre Daten gerne für die Zukunft aufbewahren möchten. Und dann noch die goldene Mitte, die mal so mal so reagieren.

Doch egal ob ich als Gast oder als Kunde meinen Einkauf beende – was erwarten wir eigentlich von Unternehmen? Wenn ich mich registriere, bin ich dann für immer registriert?

Wie wird mein Passwort gespeichert?

  • In Textform, sprich jeder Angriff auf diese Webseite könnte mich bei anderen Webseiten, bei denen ich das gleiche Passwort nutze, in Gefahr bringen? (Und wir wissen, dass Sie das tun – weil es nämlich jeder tut).
  • Verschlüsselt. Doch der Schlüssel ist auf demselben Server gespeichert, sodass jemand der die Kontrolle über den Server übernimmt, auch an die reine Textversion meines Passworts kommen kann?
  • Oder vielleicht als Hashwert, sodass Ihr Passwort nie wirklich gespeichert wird, sondern nur ein Hash, der mit dem gespeicherten Wert verglichen wird? (Übrigens wird Ihr SAP-Kennwort auf diese Weise gespeichert)

Und wie lauten ihre Datenschutzbestimmungen? An wen werden sie meine Daten weitergeben? Werden sie verfolgen, was ich kaufe, und mir Angebote für 600 ml unterbreiten, während ich normalerweise nur 450 ml kaufe? Oder werden sie andere Analysen meines Online- und Kaufverhaltens verwenden, für personalisierte Werbeanzeigen?

All diese Fragen veranlassen mich persönlich meistens dazu, einfach als Gast einzukaufen, auch wenn es immer wieder der gleiche Online Shop ist.


Gäste die bleiben

Nachdem ich also meine Adress- und Kreditkartendaten für meinen Einkauf eingegeben habe, entspanne ich mich und bin mir sicher, dass meine Daten verschwinden, wenn die Ware das Lager verlässt. Solange bis ich sie beim nächsten Mal eben wieder eintippe. Das ist doch der Vorteil, wenn ich als Gast bestelle – oder nicht?

Verschwinden meine Daten denn wirklich? Nein, natürlich nicht. Die Webseite könnte mit einem anderen Auftragsabwicklungssystem verlinkt sein, dann gibt es noch ein Finanzsystem und den Kurier, an den die Lieferung ausgelagert ist. In wie vielen Systemen und Datenbanken sind meine Daten tatsächlich gerade gespeichert? Und wie viele von ihnen werden in einem Monat, einem Jahr oder in einem Jahrzehnt noch vorhanden sein? Und was, wenn diese Unternehmen SAP einsetzen?

 

Es gibt keine Gäste in SAP…oder doch?

Zugegeben, es ist höchst unwahrscheinlich, dass Ihr SAP-System einen SAP GUI Bildschirm wie diesen hat. Das bedeutet aber nicht, dass Sie keine Gastdaten in Ihrem Backend-ERP- oder S4-System haben. Einige Unternehmen, die SAP einsetzen, verwenden SAP CRM zur Verarbeitung von "Einmalbestellungen". Diese generieren dann im ERP-System eine Bestellung mit einem einzigen "Dummy"-Kunden und einer "9000*"-Adresse in der Partnerfunktion "Lieferung an".

Es gibt also keine Spur unserer Gäste in den ERP Kunden oder Business Partner Stammdaten, aber die Adresse steht in den ADRC etc. und ist direkt in VBPA verknüpft. Außerdem vermute ich, dass viele Einzelhandelsunternehmen andere, nicht von SAP stammende Webshop-Technologien nutzen und auf ähnliche Weise eine Schnittstelle zurück zu SAP ERP oder S/4 herstellen. Am Ende des Tages müssen Name und Adresse der Person vorhanden sein, wenn die Lieferung in einem ERP-System verarbeitet wird.

 

Der Black Friday Hangover: Nachholbedarf beim Datenschutz

Wenn Ihr SAP-System über diese Art von Daten verfügt, ist die Zahl der ADRC-Einträge während der globalen Pandemie wahrscheinlich recht stark angestiegen - und wird es am Black Friday wahrscheinlich noch weiter tun. Auch wenn es also ein willkommener Auftrieb für unseren angeschlagenen Einzelhandel sein kann, so hat es doch seinen Preis in Form von Datenschutz.

Es werden immer mehr Daten anfallen. Sollte jemand einen Antrag auf Zugang zu seinen Daten stellen, würden Sie ihn dann überhaupt in Ihrem System finden? Oder würden Sie nur Kunden und Geschäftspartner suchen? Wenn Sie aufgefordert werden, die Daten der Person zu löschen, wären Sie dann dazu in der Lage?

Wir haben uns auf die Minimierung von Daten und einige weitere Möglichkeiten konzentriert, um die Lücken im Datenschutz ohne teure, komplexe Projekte zu schließen. Dies könnte als Teil einer Massenbereinigung erfolgen, oder indem man Business Usern ermöglicht Ad-hoc-Anfragen zu beantworten, oder durch die Implementierung der periodischen Entfernung von Daten, wenn diese außerhalb der Aufbewahrungsfrist liegen.

 

Compliance Anforderungen an die Minimierung historischer Daten mit geringem Aufwand erfüllen

Finden Sie heraus, wie EPI-USE Labs Ihr Unternehmen dabei unterstützen kann, die Lücke im Datenschutz mit Maßnahmen zur Datenminimierung zu schließen und "Privacy by Design" kontinuierlich zur Verfügung zu stellen. Dies beinhaltet eine einzigartige, einfache Alternative zur Archivierung oder vollständigen Entfernung von Datensätzen.