webtropia.com – Keine Bestellung ohne Ausweiskopie

Wer aktuell etwas bei der myLoc managed IT AG über webtropia.com bestellt, muss sich zu deren Sicherheit mit einer Ausweiskopie verifizieren. Darauf wird von der Bestellung jedoch nicht hingewiesen und für die elektronische Übermittlung wird nur eine unverschlüsselte Verbindung angeboten.

Als ich Ende vorletzter Woche bei webtropia.com deren kleinsten vServer bestellte, war ich bereits wegen des Bestellprozesses verärgert. Denn obwohl ich mich dazu entschlossen hatte, webtropia.com keine Einwilligung für Anrufe zu werblichen Zwecken zu erteilen, schien denen das nicht zu reichen. Anschließend bekam ich nämlich das entsprechende Formular erneut zu Gesicht, mit dem Hinweis, ob ich wirklich telefonische nicht über neue Angebote informiert werden möchte. Natürlich war dieser Hinweis genauso gestaltet, wie es auch bei nicht ausgefüllten Pflichtfeldern üblich ist. Wer also auf die Schnelle etwas bestellen möchte oder nicht genau nachdenkt, könnte durchaus unbeabsichtigt seine Einwilligung erteilen. Genau das Gleiche dann noch einmal bei der typischen „Wie sind Sie auf uns aufmerksam geworden?“-Frage. Auch hier wird, wenn das dazugehörige Feld nicht ausfülle wurde, erneut nachgefragt. Dieser – natürlich ebenfalls in rot gehaltene Hinweis – lässt sich jedoch nicht einfach ignorieren. Erst wer per Dropdown-Liste die Möglichkeit „keine Angabe“ auswählt, welche angesichts der vielen Möglichkeiten nicht leicht zu finden ist, kommt ohne Antwort zum nächsten Bestellschritt.

Tatsächlich geschockt war ich jedoch erst, als ich eine Ausweiskopie per E-Mail oder Post verschicken sollte. Wohlgemerkt als ehemaliger Bestandskunde. Wobei hier zugutegehalten werden muss, dass webtropia.com Konten von ehemaligen Kunden löscht und ich dementsprechend wahrscheinlich als Neukunde galt. Aber auch wenn ich den Umgang mit ehemaliger Kundendaten für vorbildlich halte, kam der Versand einer Ausweiskopie für mich nicht infrage. Zum einen, weil ich darauf zuvor nicht hingewiesen wurde, die vorhandenen Informationen zum Verbleib mich schockierten und ich auch keine 70 Cent für einen Brief ausgeben wollte (Kosten für Umschlag, Papier und den Aufwand nicht mitgerechnet). Natürlich habe ich das dem Support auch so mitgeteilt, der dafür jedoch kein Verständnis zu haben schien und bei meiner Bemerkung bzgl. der Kosten für den Brief, auf den kostenlosen E-Mail-Versand verwiesen. Dass ich diese Option bereits anfangs wegen der unsicheren Übertragung ablehnte, wurde bei der Beantwortung also nicht berücksichtigt. Wohlgemerkt wir reden hier nicht über einen einfachen Händler, sondern einen Hosting-Anbieter mit eigenen Rechenzentren. Genau dieser Anbieter, dem auch sensible Daten anvertraut werden, bittet mich eine unverschlüsselte E-Mail mit hochsensiblen Daten zu verschicken. Was daran das Problem ist? Selbst wenn ich davon ausgehen würde, dass die myLoc managed IT AG die Daten anschließend sofort löschen würde – was anscheinend nicht der Fall ist – und deren Infrastruktur keine Schwachstellen hat, könnte die E-Mail immer noch bei mir, meinem E-Mail Provider und unterwegs durch einen Man-in-the-Middle-Angriff abgefangen werden und für Ausweiskopien gibt es durchaus einen Markt. Denn wer sich einmal abseits des normalen Internets umschaut, wird im Darknet unzählige Seiten finden, auf denen solche Dokumente angeboten werden.

Auch wenn ich alleine deswegen keine Ausweiskopie an webtropia.com verschicken würde, habe ich mir dennoch die Mühe gemacht, zu schauen, ob es Informationen bzgl. der Speicherung gibt. Eine Antwort auf diese spezielle Frage habe ich zwar nicht gefunden, aber dafür allgemeiner zum grundsätzlichen Umgang mit erhaltenen Daten. Dazu schreibt webtropia.com folgendes: „Ich willige ein, dass myLoc meine personenbezogenen Daten, namentlich diejenigen Daten, die ich bei einer Bestellung oder Kontaktaufnahme angegeben, später im Kundebereich hinterlegt oder sonst dem System bekanntgegeben habe, also etwa meinen bürgerlichen Namen, meine Anschrift, meine Telefonnummer, mein Geburtsdatum, meine E-Mail-Adresse, meinen Benutzernamen oder mein Passwort, speichert, um mir eine sachgerechte Nutzung des Angebots zu ermöglichen.“ (Quelle: webtropia.com). Demnach würde die Ausweiskopie also nicht einmal gelöscht werden – dieses hielt ich zuvor für selbstverständlich – sondern dauerhaft, mindestens solange ich Kunde bin, gespeichert werden.

Natürlich habe ich auch Verständnis dafür, dass sich die myLoc managed IT AG vor Fake-Bestellungen schützen möchte, aber doch bitte nicht auf Kosten des Datenschutzes. Wenn es unbedingt eine Ausweiskopie sein muss, dann sollte darauf vor Abschluss der Bestellung hingewiesen werden, damit alle, die damit nicht einverstanden sind, erst gar nicht bestellen. Außerdem kann von einem Hosting-Provider doch erwartet werden, dass eine verschlüsselte Datenübertragung angeboten wird und die Kopie nach der Verifizierung unverzüglich gelöscht wird. Grundsätzlich halte ich dieses Vorgehen ohnehin für falsch. Zum einen, weil hier die erhaltene Sicherheit für den Anbieter in keinerlei Verhältnis mit dem Schaden, den der Kunde durch eine abgefangene Ausweiskopie erleiden würde, steht. Zumal auch andere Unternehmen, die gesetzlich zur Verifikation per Ausweis gezwungen sind, wie etwa Anbieter von Prepaidkarten, eine bessere Möglichkeit gefunden haben. Auch gibt es genügend Alternativen, wie etwa eine Verifizierung per Telefon, bei der noch einmal die Daten kontrolliert werden, oder per Brief, bei dem der Nachname und die Adresse sichergestellt werden können. Aber anscheinend hat sich hier die myLoc managed IT AG für die günstigste Alternative entschieden und lässt Ihr Personal lieber die Kunden telefonisch über Angebote informieren, als dieses für die Verifizierung zu nutzen. Eventuell sollte sich myLoc einmal bei OVH umschauen, denn diese verbinden, zu mindestens bei Geschäftskunden, beides miteinander. Zu einer Stellungnahme war die myLoc managed IT AG bisher übrigens nicht bereits, eine entsprechende Anfrage wurde bereits vor einer Woche gestellt.

[UPDATE]

Mittlerweile hat einer der Mitarbeiter der myLoc managed IT AG auf die Vorwürfe reagiert und direkt hier auf SERVERPEDIA eine Stellungnahme als Kommentar veröffentlicht. Auch wenn diese meiner Meinung nach an einigen Stellen doch recht Schwammig ist, freue ich mich, dass myLoc aka webtropia sich noch zu dem Fall geäußert hat.