Einen Online-Shop aufbauen: 5 unverzichtbare Cyber-Sicherheitsmaßnahmen

26 Nov 2019

Einen Online-Shop aufbauen: 5 unverzichtbare Cyber-Sicherheitsmaßnahmen

Einen Online-Shop aufzubauen ist eine Erfahrung für sich. Aber neben dem Spaß, den die Umsetzung machen kann, gibt es eine Reihe von Anforderungen zu berücksichtigen. Eine der wichtigsten: Geschäftsprozesse und Kundendaten vor Datenschutzverletzungen zu schützen. Und damit nicht zuletzt auch den Ruf der eigenen Marke.

Der Aufbau eines sicheren Online-Shops beginnt bei der Auswahl des richtigen Hosting-Anbieters und endet bei der täglichen Nutzung der Website. Im Wesentlichen sind es fünf Kernbereiche, die man beim Aufbau eines sicheren Online-Shops berücksichtigen sollte:

1. SSL und ein sicherer Hosting-Dienst

Einer der wichtigsten Aspekte beim Aufbau einer Website ist die Wahl eines guten Hosting-Anbieters. Die ist umso wichtiger beim Aufbau eines Webshops, denn über die Website laufen die Zahlungsabwicklungen der Kunden. Ein Hosting-Anbieter speichert die Dateien der Website auf seinen Servern. Er macht jedoch deutlich mehr als eine Website zu „hosten“. Der Hoster sichert die Verfügbarkeit der Seite, er federt Spitzen im Datenverkehr ab, sorgt dafür, dass die Performance stimmt und so weiter. Man sollte sich allerdings nicht einfach darauf verlassen, dass ein Hosting-Anbieter automatisch für die Sicherheit eines Online-Shops sorgt. Die führenden Hoster bieten grundsätzlich SSL-Zertifikate (Secure Sockets Layer) an, andere zusätzliche Sicherheitsvorkehrungen wie

Firewalls
Automatische Backups
Schutz vor Hacken
Schutz vor DDoS (Distributed Denial of Service)
Malware-Erkennung und -Entfernung

SSL-Sicherheit ist allerdings ein absolutes Muss für einen Online-Shop.

SSL-Zertifikate verschlüsseln alle Daten, die die Website durchlaufen, wie etwa Anmeldedaten und Zahlungsinformationen. Ohne SSL sind private Daten anfällig für Hackerangriffe und Sicherheitslecks. Man sollte grundsätzlich prüfen welche Art von SSL-Zertifikat im Hosting-Plan enthalten ist. Meistens ist nur eine Basisversion enthalten. Bei einem Online-Shop sollte man Extended Validation (EV) SSL-Zertifikate erwägen. Sie gewährleisten die höchste SSL-Sicherheitsstufe und inklusive der Überprüfung und Verifizierung des Unternehmens.

2. TLS-Verschlüsselung und PSD2-Vorbereitung zum Schutz von Finanztransaktionen

Will man Kundendaten optimal schützen kommt Transport Layer Security (TLS) ins Spiel. Sie ähnelt der SSL-Sicherheit, ist aber eine verbesserte Version. Die Begriffe werden oft beliebig ausgetauscht, da TLS die Daten sichert, die zwischen Kunden und Shop ausgetauscht werden - ähnlich wie das SSL tut.

Einfach formuliert, tut TLS drei Dinge: TLS stellt sicher, dass beide Parteien tatsächlich die sind, als die sie sich ausgeben. TLS überprüft, ob die geteilten Daten fehlerfrei sind. Und TLS verschlüsselt Daten, damit sie sicher von einer Partei an die andere weitergegeben werden können. TLS wird normalerweise zusammen mit dem SSL-Zertifikat installiert, sodass man keine zusätzlichen Arbeiten ausführen muss.

Die Vorbereitung auf die im September in Kraft getretene PSD2-Verordnung kann allerdings einiges an Aufwand mit sich bringen. Die Payment Services Directive soll Verbrauchern Vorteile bringen, Betrugsfälle senken, den Weg für neue Zahlungsmethoden öffnen und sie zugleich sicherer machen. Zahlungsbetrug hat im Laufe der Jahre zugenommen. PSD2 sollte also ein Segen für jeden Online-Shop sein. Wer nur unzureichend vorbereitet ist, für den entwickeln sich die neuen Regelungen aber leicht zum Albtraum.

Das entscheidende Argument für die PSD2 ist ein besserer Schutz von Finanztransaktionen über die sogenannte starke Kundenauthentifizierung (Strong Customer Authentication, SCA). Dabei wird 3D Secure 2.0 zur Zahlungsabwicklung verwendet und ein mehrstufiges Identifikationssystem für sämtliche Kunden eingeführt, die im Europäischen Wirtschaftsraum Zahlungen auslösen. Das erhöht die Sicherheit beim Zahlungsverkehr. Die Abwicklung übernimmt die Bank des Kunden. Als Shop-Betreiber muss man sich also keine Gedanken darüber machen, ob der Shop SCA-konform ist.

Das System muss aber für dieses neue mehrstufige Authentifizierungssystem mittels 3D Secure 2.0 vorbereitet sein. Es geht darum, den Weg für sicherere Transaktionen zu ebnen, ohne den Kunden zu viel zuzumuten. PSD2-Zertifikate tragen dazu bei.

3. Schutz vor DDoS-Angriffen

DDoS steht für Distributed Denial of Service. Hacker überfluten eine Site mit Datenverkehr, um den Server zum Absturz zu bringen. In der Folge ist die Seite für Besucher nicht erreichbar. Das schadet Marke und Ruf gleichermaßen. Ganz zu schweigen von den finanziellen Schäden als Folge von Umsatzverlusten. DDoS-Angriffe dienen häufig der Ablenkung, um andere Bereiche in dieser Zeit gezielt anzugreifen.

Einige Hosting-Anbieter bieten DDoS-Schutz als Teil ihrer Pakete an. Sollte das nicht der Fall sein, sollte man zu einer externen, cloudbasierten Lösung wechseln. Die filtert den Datenverkehr, erkennt Bedrohungen und reagiert auf DDoS-Angriffe. Das sind zahlungspflichtige Optionen, aber die Investition lohnt sich, da DDoS-Angriffe eine reale Bedrohung für Online-Shops sind.

4. Datenschutzgrundsätze der Datenminimierung

Für Unternehmen in der Europäischen Union hat die DSGVO (Datenschutz-Grundverordnung) 2018 viel verändert. Einer der Hauptaspekte der Verordnung ist die Datenminimierung, um das Risiko von Sicherheitsverletzungen und Datenlecks zu verringern.

Datenminimierung heißt einfach, die Menge der erfassten personenbezogenen Daten zu begrenzen und diese nur so lange wie nötig zu speichern. Unabhängig davon, ob die DSGVO in der EU oder die Vorschriften der Federal Trade Commission in den USA eingehalten werden, die Datenminimierung ist ein wesentlicher Bestandteil sicherer Online-Geschäftsprozesse. Wenn Daten gehortet und länger als nötig aufbewahrt werden, steigt die Wahrscheinlichkeit, dass sie anfällig für Datenschutzverletzungen werden. Shop-Betreiber laufen zudem Gefahr, ihren Shop für fehlerhafte, nicht überprüfte Daten zu öffnen. Das kann die Qualität der Datenbanken beeinträchtigen.

Wer nur relevante, wichtige Daten erhebt, schützt Unternehmen und Kunden. Beim Umgang mit den Daten sollte man folgendes berücksichtigen:

Sind die Daten für einen bestimmten Zweck erforderlich? Ist es beispielsweise wirklich notwendig, das Geburtsdatum eines Besuchers zu erfassen, wenn er nur ein Produkt kaufen will?

Sind genügend Daten vorhanden, um die Aktion abzuschließen? Beispielsweise benötigen Sie eventuell eine Kundenadresse für Versandzwecke oder eine E-Mail-Adresse, um eine Bestätigung zu senden.

Werden unkritische Daten gespeichert? Überprüfen Sie die Daten in Ihrem System. Gibt es hier veraltete oder nicht mehr relevante Daten? Falls ja - löschen Sie sie!

Bewahren Sie niemals die Zahlungsdaten Ihrer Kunden auf. In der Regel bearbeitet ein externer Zahlungsdienstleister die Zahlungsdaten. Bitten Sie in diesem Fall nicht um die Zahlungsdaten. Wenn diese Angaben zum Abschließen der Transaktion erforderlich sein sollten, bewahren Sie die Daten nicht auf. Andernfalls sind die Daten einem massiven Risiko ausgesetzt.

Um die Privatsphäre der Kunden zu respektieren, sollte man Daten nur mit deren Erlaubnis erheben und nur nach den unbedingt erforderlichen Informationen fragen. Verifizieren Sie Informationen, wo immer das möglich ist, und verzichten Sie darauf Daten zu horten.

5. Interne Sicherheit

Man kann alles Mögliche tun, um einen Online-Shop zu schützen. Aber interne Fehler öffnen externen Bedrohungen Tür und Tor. Zunächst sollte man sicherstellen, dass nur starke und sichere Passwörter verwendet werden. Verwenden Sie niemals gemeinsame Passwörter. Unterschiedliche Administratoren sollten immer nur eindeutige Passwörter verwenden. Passwort-Manager helfen, die Übersicht zu behalten. Ändern Sie Passwörter regelmäßig und nutzen Sie Zwei-Faktor-Authentifizierung, wo immer das möglich ist.

Das sicherste Passwort ist allerdings nutzlos, wenn die Person, die die Sicherheitsverletzung verursacht, Eigentümer dieses Passworts ist. In Zahlen: im US-Geschäft passieren jeden Tag 2.500 interne Sicherheitsverstöße. Einige Mitarbeiter kompromittieren ihre Arbeitgeber mutwillig. Weitaus häufiger sind Datenschutzverletzungen aber das Resultat eines Versehens. Es wird auf eine Link in einer Phishing-E-Mail geklickt, Anmeldedaten werden von verschiedenen Personen verwendet oder ein Firmen-Laptop geht verloren. Der beste Weg gegen interne Bedrohungen, ist, Mitarbeiter zu schulen, regelmäßige Trainings durchzuführen und zeitnah zu reagieren, wenn eine Datenschutzverletzung vorliegt.

Fazit

Cyber-Bedrohungen werden sich weiterentwickeln, zunehmen und sich verändern. Aber es gibt Möglichkeiten, die Risiken zu minimieren. In einem Ladengeschäft setzen Sie vielleicht eine Videoüberwachung ein. Bei einem Online-Shop muss jeder sich der Risiken bewusst sein, und Maßnahmen ergreifen sie zu managen und zu begrenzen.

Weitere Ressourcen:

https://www.globalsign.com/en/blog/guide-to-choosing-an-ssl-certificate/

https://www.globalsign.com/en/blog/business-risks-of-not-switching-to-always-on-ssl/

https://www.globalsign.com/de-de/blog/was-ist-multi-faktor-authentifizierung/

https://www.globalsign.com/en/blog/why-use-multi-factor-authentication/

https://www.globalsign.com/de-de/blog/7-vorteile-sicherheit-mit-biometrie/

Über die Autorin

Lucy Carney ist Webtexterin bei WebsiteBuilderExpert.

von Lucy Carney

Klicken Sie hier um die Datenschutzrichtlinie herunterzuladen.

GlobalSign Datenschutzerklärung Version 3.1

Aktualisiert am 5. Juni 2018

GlobalSign respektiert Ihr Recht auf Privatsphäre.Diese Datenschutzerklärung wurde ausgearbeitet, um Sie über die Datenschutzpraxis zu informieren, die GlobalSign in Verbindung mit seinen Websites, Produkten und Dienstleistungen verfolgt. Diese Datenschutzerklärung gilt nicht für GlobalSign-Dienstleistungen, die von oder über unsere Partner, Reseller oder andere Drittanbieter oder andere Dienstleistungen oder Websites von Drittanbietern angeboten werden. Wir empfehlen Ihnen, die Datenschutzerklärungen dieser Parteien zu lesen.

Diese Datenschutzerklärung informiert Sie darüber, welche Daten erfasst werden, wie wir diese Daten verwenden, wo Daten verarbeitet werden, wie Sie sich gegen die Verwendung Ihrer Daten aussprechen können („Opt-out“), welche Sicherheitsbestimmungen für die Speicherung Ihrer Daten gelten und wie Sie Ihre Daten korrigieren, aktualisieren oder löschen können.

1. Datenverarbeitende Stelle

GMO GlobalSign, Ltd. mit Geschäftssitz in Springfield House, Sandling Road, Maidstone, Kent, ME14 2LP, Vereinigtes Königreich, ist als datenverarbeitende Stelle Ihrer persönlichen Daten verantwortlich. Alle Fragen oder Wünsche zur Datenverarbeitung richten Sie bitte an: dpo@globalsign.com.

2. Erfassung personenbezogener Informationen

Wir erfassen Informationen von Ihnen, wenn Sie (i) eine Bestellung für ein digitales GlobalSign-Zertifikatsprodukt oder für andere Produkte oder Dienstleistungen aufgeben, (ii) Ihre Server mit unserem Certificate Inventory Tool (CIT) nach digitalen Zertifikaten durchsuchen, (iii) einen Zugriff auf unsere Managed Service Plattformen beantragen, (iv) unseren Newsletter abonnieren, (v) unseren Online-Chat nutzen, (vi) ein Whitepaper herunterladen, (vii) sich für ein Webinar registrieren, (viii) eine Umfrage beantworten, (ix) ein Support-Formular vor oder nach einem Kauf ausfüllen, (x) ein Support-Ticket öffnen oder (xi) unsere Social-Media-Kanäle nutzen.

GlobalSign ist eine Zertifizierungsstelle und ein vertrauenswürdiger Drittanbieter. Um Anträge für digitale Zertifikate oder andere Produkte oder Dienstleistungen erfolgreich bearbeiten zu können, werden Sie möglicherweise aufgefordert, Ihren Namen, Ihre E-Mail-Adresse, Ihre Anschrift, Telefonnummer, Kreditkartendaten und/oder Unternehmensdaten oder andere personenbezogene Daten einzugeben.

- Kontaktdaten wie Name, E-Mail-Adresse, Wohnanschrift, und Telefonnummer

- Beziehungsinformationen, die uns bei Geschäften mit Ihnen helfen, z. B. die Arten von Produkten
und Dienstleistungen, die Sie interessieren könnten, Kontakt- und Produktpräferenzen, Sprachen,
Marketingpräferenzen und demografische Daten.

- Transaktionsinformationen darüber, wie Sie mit uns interagieren, wie Käufe, Anfragen,
Kundenkontoinformationen, Rechnungs- und Kreditkarteninformationen, Unternehmensdaten,
Transaktions- und Korrespondenzverlauf sowie Informationen darüber, wie Sie unsere Website
nutzen und mit ihr interagieren.

Wir können zusätzliche Informationen über Sie erfahren und erwerben, indem wir Datenquellen von Drittanbietern nutzen (öffentlich und privat), wie Drittanbieter-Datenbanken und staatliche Einrichtungen, Ihr Browsen und Browser-Verläufe erwerben, um Zertifikatsbestellungen zu bearbeiten und unsere Dienstleistungen zu verbessern.

GlobalSign behandelt personenbezogene Informationen vertraulich, mit Ausnahme der Informationen, die in einem ausgestellten digitalen Zertifikat enthalten sind. Diese Informationen können mit externen gewerblichen und staatlichen Ressourcen überprüft werden und gelten als öffentliche Informationen.

3. Weiterverarbeitung

3.1 Verarbeiten von Anträgen auf GlobalSign-Produkte und -Dienstleistungen

Ihre privaten Daten werden für die nachstehend genannten Zwecke genutzt:

3.1 Verarbeiten von Anträgen auf GlobalSign-Produkte und -Dienstleistungen

Ihre Daten werden für die Bereitstellung unserer Produkte und Dienstleistungen und die Auftragsabwicklung sowie zur Abwicklung von geschäftlichen Transaktionen wie z. B. der Rechnungsstellung verwendet.

3.2 Verbessern des Kundenservice

Ihre Informationen helfen uns, auf Ihre Anfragen vor und nach dem Verkauf effektiver zu reagieren und technischen Support zu erbringen.

3.3. Versenden von Erneuerungssmitteilungen

Die E-Mail-Adresse, die Sie für die Auftragsabwicklung angeben, kann verwendet werden, um Ihnen Erinnerungen für Ihr ablaufendes digitales Zertifikat zuzusenden.

3.4. Versenden von Service-Updates

Außerdem können wir Ihnen, mit Ihrem Einverständnis (soweit erforderlich), neue Service-Updates, Mitteilungen zu neuen Dienstleistungen, Sicherheitsupdates, zugehörige Produkt- oder Dienstleistungsinformationen sowie Status-Updates zu Wartungsfenstern oder Dienstverfügbarkeiten zusenden.

3.5 Um Sie über unsere Produkte und Dienstleistungen zu informieren

Mit Ihrem Einverständnis (soweit erforderlich), könnten wir Ihnen regelmäßig Unternehmens-Newsletter, Informationen über unsere Produkte und Dienstleistungen zusenden, die für Sie von Interesse sein können, basierend auf Ihrer Nutzung anderer GlobalSign Produkte und Dienstleistungen, Ihrer Teilnahme an von GlobalSign gesponserten Marketingveranstaltungen wie beispielsweise Webinaren, Ihren Anfragen nach Informationen über ähnliche Produkte und Dienstleistungen oder Ihrer Weitergabe von Daten an Social-Media-Kanäle wie LinkedIn oder Facebook.

4. Datenverarbeitung und Einverständnis

Wir werden Ihre Daten zwecks Erfüllung unseres Vertrags mit Ihnen oder aus einem berechtigten Interesse an GlobalSign verarbeiten. In anderen Fällen werden wir Ihre Zustimmung zur Verarbeitung der von Ihnen angegebenen personenbezogenen Daten einholen.

Ihre Weigerung, uns für bestimmte Produkte und Dienstleistungen personenbezogene Daten bereitzustellen, kann uns daran hindern, Ihre Bestellung für diese Produkte oder Dienstleistungen auszuführen. Wenn Sie Ihre Zustimmung zur Verwendung personenbezogener Daten verweigern oder widerrufen oder den Erhalt von Informationen über GlobalSign-Produkte und -Dienstleistungen ablehnen, so kann dies dazu führen, dass Sie nicht über Erneuerungsmitteilungen, regelmäßige Unternehmens-Newsletter, Mitteilungen zu neuen Dienstleistungen, Sicherheitsupdates, zugehörige Produkt- oder Dienstleistungsinformationen und Status-Updates zu Wartungsfenstern oder Dienstverfügbarkeiten informiert werden. (Informationen zum Widerruf der Einwilligung finden Sie im Abschnitt 10).

5. Verwenden von Cookies und Web Beacons

Das GlobalSign Certificate Center (GCC) verwendet Cookies, um die Erbringung von Dienstleistungen zu ermöglichen. Cookies können verwendet werden, wenn Sie sich im GCC einloggen, Produkte erwerben oder bestimmte GCC-Funktionen nutzen.

Außerdem verwendet GlobalSign wie die meisten Online-Unternehmen Cookies und Web Beacons auf unseren Websites und in marketingbezogenen E-Mails, um einige personenbezogene Daten wie IP-Adresse des Besuchers, Browsertyp, Internetanbieter (ISP), verweisende Seite, Betriebssystem, Datum/Uhrzeit und grundlegende geografische Informationen zu sammeln und zu analysieren.

Wir verwenden Cookies und Web Beacons, um aggregierte Daten über Traffic und Interaktionen einer Website zu sammeln. Damit können wir die Effektivität unserer Kommunikation einschätzen und in Zukunft bessere Website-Erfahrungen und Tools anbieten. Wir können Verträge mit externen Dienstleistern abschließen, die uns dabei unterstützen sollen, die Besucher unserer Website besser zu verstehen. Diesen Dienstleister dürfen die in unserem Namen gesammelten Informationen nicht verwenden, außer wenn dies helfen sollte, unser Geschäft zu führen und zu verbessern.

Erstmalige Besucher können sich dafür entscheiden, in ihrem Browser keine Cookies zur Aktivitätsüberwachung einzustellen. Wir verwenden ein Cookie zur Opt-out-Identifizierung, um diese Benutzer entsprechend zu kennzeichnen. Die Cookies, die sich auf die Leistung der Website, die Verbesserung der Besuchererfahrung und Marketing beziehen, sind so programmiert, dass sie nicht ausgeführt werden, wenn im Browser eines Besuchers ein Opt-out-Cookie abgelegt ist. Opt-out-Cookies bleiben so lange bestehen, bis ein Besucher seine Browser-Cookies löscht, oder bis sie ein Jahr nach dem eingestellten Datum ablaufen. Ein Besucher muss sich nach einem Jahr ein erneutes Opt-out ausführen, um alle Cookies zur Aktivitätsüberwachung zu deaktivieren.

Weitere Informationen zur Verwendung von Cookies durch GlobalSign finden Sie auf unserer Website unter https://www.globalsign.com/de-de/repositorium/cookie-richtlinie/

6. Verwenden von Anwendungsprotokollen zur Diagnose oder zur Erfassung statistischer Informationen

Unsere Server zeichnen automatisch Informationen („Application Log Data“) auf, die bei Ihrer Nutzung unserer Dienstleistungen entstehen. Diese Anwendungslogdaten können Informationen wie Ihre IP-Adresse, Browsertyp, Betriebssystem, die verweisende Internetseite, besuchte Seiten, Ihren Standort, Ihren Mobilfunkanbieter, Geräte- und Anwendungs-IDs, Suchbegriffe und Cookie-Informationen umfassen. Wir verwenden diese Informationen, um unsere Dienstleistungen zu diagnostizieren und zu verbessern. Mit Ausnahme der in Abschnitt 8 (Datenaufbewahrung) genannten Fälle werden wir nach 12 Monaten entweder die Anwendungslogdaten löschen oder Kontokennungen wie Ihren Benutzernamen, Ihre vollständige IP-Adresse oder Ihre E-Mail-Adresse entfernen.

7. Weitergabe von Informationen und Datenübermittlung

Wir verkaufen oder vergeben Ihre personenbezogenen Daten nicht an Dritte.

Innerhalb GlobalSign: GlobalSign ist ein globales Unternehmen mit Geschäftsprozessen und technischen Systemen in verschiedenen Ländern. Daher können wir Informationen über Sie innerhalb unserer Konzerngesellschaft weitergeben und in Länder übertragen, in denen wir im Zusammenhang mit den im vorstehenden Abschnitt 3 genannten Verwendungszwecken und in Übereinstimmung mit dieser Datenschutzerklärung tätig sind. In Fällen, in denen Ihre personenbezogenen Daten in Länder übertragen werden, die gemäß der Europäischen Kommission kein angemessenes Schutzniveau bieten ("Angemessenheitsbeschluss"), stellen wir sicher, dass Ihre Daten geschützt sind, indem wir mit jeder unserer Konzerngesellschaften Vereinbarungen mit Standardvertragsklauseln getroffen haben, die von der Europäischen Kommission genehmigt wurden. Eine Kopie dieser Vereinbarungen können Sie erhalten, indem Sie uns wie im nachstehenden Abschnitt 15 beschrieben kontaktieren.

Drittanbieter: Wir können Ihre personenbezogenen Daten auch an vertrauenswürdige Drittanbieter und unsere Partner weitergeben, um die in Abschnitt 3 genannten Zwecke zu erfüllen. GlobalSign verwendet einen Drittanbieter für seine Kreditkartenabwicklungen und stellt dem externen Kreditkartenabwickler Kreditkartennummern und identifizierende Finanzdaten direkt zur Verfügung.

In den Fällen, in denen Daten an solche Drittanbieter weitergegeben werden, sind diese verpflichtet, die in unserer Datenverarbeitungsvereinbarung enthaltenen Vertraulichkeitsbestimmungen einzuhalten. Damit ist es diesen Drittanbietern verboten, GlobalSign-Kundendaten zu verkaufen, zu handeln, zu nutzen, zu vermarkten oder anderweitig zu verbreiten.

Im Rahmen der gesetzlichen Anforderungen, dürfen wir Ihre Informationen auch dann weitergeben, wenn wir die Weitergabe für angemessen halten, um gesetzliche Bestimmungen einzuhalten oder unsere Rechte, unser Eigentum oder unsere Sicherheit zu schützen.

Es gehört zu unseren Grundsätzen, Kunden über Informationsanfragen seitens der Strafverfolgungsbehörden zu informieren, außer wenn uns dies per Gesetz oder Gerichtsbeschluss untersagt ist. Falls Bedienstete der Strafverfolgungsbehörden der Ansicht sind, dass eine Mitteilung eine Untersuchung gefährden würde, so sollten sie eine entsprechende gerichtliche Anordnung oder ein anderes Verfahren einleiten, mit dem eine Benachrichtigung des Mitglieds ausgeschlossen wird, wie z. B. eine Anordnung gemäß 18 USC § 2705 (b).

Wir können Ihre personenbezogenen Daten auch an Drittanbieter weitergeben, die den Betrieb unserer Website übernehmen oder sämtliche oder einen Teil unserer Vermögenswerte einschließlich Ihrer personenbezogenen Daten erwerben könnten. Wir werden Sie unter Verwendung der von Ihnen angegebenen Daten kontaktieren, falls sich die Person, die Ihre Daten kontrolliert, ändern sollte.

8. Internationale Transfers

Die Drittanbieter, Tochtergesellschaften und verbundenen Unternehmen, denen Ihre personenbezogenen Informationen bekannt gegeben werden können, können sich auf der ganzen Welt befinden. Daher können Informationen an Länder gesendet werden, die andere Datenschutzstandards als Ihr Wohnsitzland haben. In solchen Fällen ergreifen wir Maßnahmen, um sicherzustellen, dass Ihre personenbezogenen Daten ein angemessenes Schutzniveau erhalten, wie z. B. die EU-Standardvertragsklauseln zum Schutz Ihrer personenbezogenen Daten.

9. Aufbewahrungsfristen von Daten

Die von uns gesammelten personenbezogenen Daten werden nicht länger als nötig aufbewahrt, um die im vorstehenden Abschnitt 2 genannten Zwecke zu erfüllen, oder für einen Zeitraum, der laut den Gesetzen oder Vorschriften, zu deren Einhaltung GlobalSign verpflichtet ist, ausdrücklich erforderlich ist.

Um die im GlobalSign Certification Practice Statement beschriebenen Prüfungspflichten einer öffentlichen Zertifizierungsstelle zu erfüllen, werden die personenbezogenen Daten, die zur Überprüfung bestimmter Arten von digitalen Zertifikatsanträgen verwendet werden, je nach Produkt- oder Dienstleistungsklasse mindestens 10 Jahre lang aufbewahrt und dürfen entweder in einem physischen oder elektronischen Format gespeichert werden. Vollständige Informationen dazu finden Sie im GlobalSign Certification Practice Statement.

Nach Ablauf der Aufbewahrungsfrist wird GlobalSign Ihre personenbezogenen Daten auf sichere Weise entsorgen oder anonymisieren, um Verlust, Diebstahl, Missbrauch oder unbefugten Zugriff zu verhindern.

10. Opt-out; Entzug der Bewilligung

Wenn Sie sich zu einem beliebigen Zeitpunkt vom Erhalt zukünftiger E-Mails abmelden möchten, finden Sie am Ende jeder E-Mail die entsprechenden Anweisungen zum Abmelden.

Erneuerungsnachrichten können für jedes digitale Zertifikat gekündigt werden, indem Sie sich in Ihrem Benutzerkonto des GlobalSign Certificate Center (GCC) einloggen und die Erneuerungsmitteilungen deaktivieren.

Die E-Mail-Einstellungen für CIT-bezogene/gesammelte Informationen können innerhalb des CIT aktualisiert und geändert werden.

Sollte GlobalSign Ihre personenbezogenen Daten auf Grundlage Ihrer Einwilligung verarbeiten, so können Sie diese Einwilligung jederzeit über den GlobalSign Preference Center (https://downloads.globalsign.com/acton/media/2674/preference-center-login-de) widerrufen, oder auch sich an eine der in Abschnitt 15 genannten Adressen wenden.

11. Ihre Rechte

Sie sind dafür verantwortlich, GlobalSign wahrheitsgemäße, genaue, aktuelle und vollständige personenbezogene Daten zur Verfügung zu stellen. Ebenso sind Sie dafür verantwortlich, die Informationen zu pflegen und umgehend zu aktualisieren, um sie wahrheitsgemäß, genau, aktuell und vollständig zu halten.

Sie haben das Recht, auf Ihre auf GlobalSign-Systemen gespeicherten personenbezogenen Daten zuzugreifen und diese zu ändern.

Sie dürfen Ihre Rechte nutzen, indem Sie uns schriftlich kontaktieren. Wir werden Sie um eine Identifizierung bitten, um die Authentizität als Betroffener (Datensubjekt) zu überprüfen. Wir werden angemessene Anstrengungen unternehmen, um Ihre Anfrage, wie gesetzlich vorgeschrieben, zeitnah zu beantworten und zu bearbeiten.

Im Rahmen des anwendbaren Rechts können Sie die Löschung Ihrer personenbezogenen Daten, die Einschränkung der Verarbeitung, das Widerspruchsrecht gegen die Verarbeitung und das Recht auf Datenübertragbarkeit verlangen. Sie können auch eine Beschwerde bei einer Aufsichtsbehörde einreichen.

Sollten Sie falsche, ungenaue, nicht aktuelle oder unvollständige Informationen angeben oder sollten wir einen begründeten Verdacht haben, dass diese Informationen unwahr, ungenau, nicht aktuell oder unvollständig sind, so haben wir das Recht, Ihr Benutzerkonto zu sperren oder zu kündigen und alle gegenwärtigen oder zukünftigen Dienstleistungen abzulehnen.

12. Wie schützen wir Ihre Informationen?

Wir setzen eine Vielzahl von Sicherheitsmaßnahmen ein, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten, wenn Sie eine Bestellung aufgeben oder Ihre personenbezogenen Daten eingeben, übermitteln oder darauf zugreifen. Alle übermittelten sensiblen Daten werden über Secure Socket Layer (SSL) übertragen.

Nach einer Transaktion werden Ihre transaktionsbezogenen Informationen gespeichert, um den Audit-Anforderungen gerecht zu werden und die Verlängerung zu erleichtern. Wir speichern keine Kreditkartendaten.

13. Relevante Gesetze

GlobalSign verpflichtet sich, die von Antragstellern und Abonnenten für seine öffentlichen Zertifizierungsdienste übermittelten personenbezogenen Daten zu schützen. GlobalSign erklärt, sämtliche in der Europäischen Union und den Mitgliedsstaaten festgelegten und dargelegten Rechte in vollem Umfang zu respektieren:

Europäischen Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr, Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (EU-Datenschutz-Grundverordnung); und
der Bestimmungen des GlobalSign CPS.

14. Änderungen unserer Datenschutzerklärung

Sollten wir wesentliche Änderungen an unserer Datenschutzerklärung vornehmen, so informieren wir unsere Kunden per E-Mail über die Verfügbarkeit einer neuen Version mit einem Link zu dieser neuen Version.

15. Kontakt

Sollten Sie Fragen zu unserer Datenschutzerklärung haben, so wenden Sie sich bitte an uns:

https://support.globalsign.com/

https://www.globalsign.com/en/company/contact/support/

https://jp.globalsign.com/support/

oder

Deputy Data Protection Officer
GMO GlobalSign, Ltd.

Springfield House Sandling Road

Maidstone, Kent ME 14 2LP

Großbritannien

dpo@globalsign.com

16. Unsere Niederlassungen