webtropia.com – Keine Bestellung ohne Ausweiskopie

Wer aktuell etwas bei der myLoc managed IT AG über webtropia.com bestellt, muss sich zu deren Sicherheit mit einer Ausweiskopie verifizieren. Darauf wird von der Bestellung jedoch nicht hingewiesen und für die elektronische Übermittlung wird nur eine unverschlüsselte Verbindung angeboten.

Als ich Ende vorletzter Woche bei webtropia.com deren kleinsten vServer bestellte, war ich bereits wegen des Bestellprozesses verärgert. Denn obwohl ich mich dazu entschlossen hatte, webtropia.com keine Einwilligung für Anrufe zu werblichen Zwecken zu erteilen, schien denen das nicht zu reichen. Anschließend bekam ich nämlich das entsprechende Formular erneut zu Gesicht, mit dem Hinweis, ob ich wirklich telefonische nicht über neue Angebote informiert werden möchte. Natürlich war dieser Hinweis genauso gestaltet, wie es auch bei nicht ausgefüllten Pflichtfeldern üblich ist. Wer also auf die Schnelle etwas bestellen möchte oder nicht genau nachdenkt, könnte durchaus unbeabsichtigt seine Einwilligung erteilen. Genau das Gleiche dann noch einmal bei der typischen „Wie sind Sie auf uns aufmerksam geworden?“-Frage. Auch hier wird, wenn das dazugehörige Feld nicht ausfülle wurde, erneut nachgefragt. Dieser – natürlich ebenfalls in rot gehaltene Hinweis – lässt sich jedoch nicht einfach ignorieren. Erst wer per Dropdown-Liste die Möglichkeit „keine Angabe“ auswählt, welche angesichts der vielen Möglichkeiten nicht leicht zu finden ist, kommt ohne Antwort zum nächsten Bestellschritt.

Tatsächlich geschockt war ich jedoch erst, als ich eine Ausweiskopie per E-Mail oder Post verschicken sollte. Wohlgemerkt als ehemaliger Bestandskunde. Wobei hier zugutegehalten werden muss, dass webtropia.com Konten von ehemaligen Kunden löscht und ich dementsprechend wahrscheinlich als Neukunde galt. Aber auch wenn ich den Umgang mit ehemaliger Kundendaten für vorbildlich halte, kam der Versand einer Ausweiskopie für mich nicht infrage. Zum einen, weil ich darauf zuvor nicht hingewiesen wurde, die vorhandenen Informationen zum Verbleib mich schockierten und ich auch keine 70 Cent für einen Brief ausgeben wollte (Kosten für Umschlag, Papier und den Aufwand nicht mitgerechnet). Natürlich habe ich das dem Support auch so mitgeteilt, der dafür jedoch kein Verständnis zu haben schien und bei meiner Bemerkung bzgl. der Kosten für den Brief, auf den kostenlosen E-Mail-Versand verwiesen. Dass ich diese Option bereits anfangs wegen der unsicheren Übertragung ablehnte, wurde bei der Beantwortung also nicht berücksichtigt. Wohlgemerkt wir reden hier nicht über einen einfachen Händler, sondern einen Hosting-Anbieter mit eigenen Rechenzentren. Genau dieser Anbieter, dem auch sensible Daten anvertraut werden, bittet mich eine unverschlüsselte E-Mail mit hochsensiblen Daten zu verschicken. Was daran das Problem ist? Selbst wenn ich davon ausgehen würde, dass die myLoc managed IT AG die Daten anschließend sofort löschen würde – was anscheinend nicht der Fall ist – und deren Infrastruktur keine Schwachstellen hat, könnte die E-Mail immer noch bei mir, meinem E-Mail Provider und unterwegs durch einen Man-in-the-Middle-Angriff abgefangen werden und für Ausweiskopien gibt es durchaus einen Markt. Denn wer sich einmal abseits des normalen Internets umschaut, wird im Darknet unzählige Seiten finden, auf denen solche Dokumente angeboten werden.

Auch wenn ich alleine deswegen keine Ausweiskopie an webtropia.com verschicken würde, habe ich mir dennoch die Mühe gemacht, zu schauen, ob es Informationen bzgl. der Speicherung gibt. Eine Antwort auf diese spezielle Frage habe ich zwar nicht gefunden, aber dafür allgemeiner zum grundsätzlichen Umgang mit erhaltenen Daten. Dazu schreibt webtropia.com folgendes: „Ich willige ein, dass myLoc meine personenbezogenen Daten, namentlich diejenigen Daten, die ich bei einer Bestellung oder Kontaktaufnahme angegeben, später im Kundebereich hinterlegt oder sonst dem System bekanntgegeben habe, also etwa meinen bürgerlichen Namen, meine Anschrift, meine Telefonnummer, mein Geburtsdatum, meine E-Mail-Adresse, meinen Benutzernamen oder mein Passwort, speichert, um mir eine sachgerechte Nutzung des Angebots zu ermöglichen.“ (Quelle: webtropia.com). Demnach würde die Ausweiskopie also nicht einmal gelöscht werden – dieses hielt ich zuvor für selbstverständlich – sondern dauerhaft, mindestens solange ich Kunde bin, gespeichert werden.

Natürlich habe ich auch Verständnis dafür, dass sich die myLoc managed IT AG vor Fake-Bestellungen schützen möchte, aber doch bitte nicht auf Kosten des Datenschutzes. Wenn es unbedingt eine Ausweiskopie sein muss, dann sollte darauf vor Abschluss der Bestellung hingewiesen werden, damit alle, die damit nicht einverstanden sind, erst gar nicht bestellen. Außerdem kann von einem Hosting-Provider doch erwartet werden, dass eine verschlüsselte Datenübertragung angeboten wird und die Kopie nach der Verifizierung unverzüglich gelöscht wird. Grundsätzlich halte ich dieses Vorgehen ohnehin für falsch. Zum einen, weil hier die erhaltene Sicherheit für den Anbieter in keinerlei Verhältnis mit dem Schaden, den der Kunde durch eine abgefangene Ausweiskopie erleiden würde, steht. Zumal auch andere Unternehmen, die gesetzlich zur Verifikation per Ausweis gezwungen sind, wie etwa Anbieter von Prepaidkarten, eine bessere Möglichkeit gefunden haben. Auch gibt es genügend Alternativen, wie etwa eine Verifizierung per Telefon, bei der noch einmal die Daten kontrolliert werden, oder per Brief, bei dem der Nachname und die Adresse sichergestellt werden können. Aber anscheinend hat sich hier die myLoc managed IT AG für die günstigste Alternative entschieden und lässt Ihr Personal lieber die Kunden telefonisch über Angebote informieren, als dieses für die Verifizierung zu nutzen. Eventuell sollte sich myLoc einmal bei OVH umschauen, denn diese verbinden, zu mindestens bei Geschäftskunden, beides miteinander. Zu einer Stellungnahme war die myLoc managed IT AG bisher übrigens nicht bereits, eine entsprechende Anfrage wurde bereits vor einer Woche gestellt.

[UPDATE]

Mittlerweile hat einer der Mitarbeiter der myLoc managed IT AG auf die Vorwürfe reagiert und direkt hier auf SERVERPEDIA eine Stellungnahme als Kommentar veröffentlicht. Auch wenn diese meiner Meinung nach an einigen Stellen doch recht Schwammig ist, freue ich mich, dass myLoc aka webtropia sich noch zu dem Fall geäußert hat.

  • hendrik

    Geiler Beitrag! War auch schon mal bei webtropia und musste denen eine Kopie meines Perso zuschicken. Bin da aber wegen schlechtem Support nicht mehr und hoffe das die wirklich meine Persokopie gelöscht haben. Jetzt bin ich bei netcup und hatte bisher keine Problem. Eine kopie vom Perso brauchten die auch nicht.

  • Florian

    Das mit der Ausweis Kopie ist nicht rechtsmässig kannst du gegen angehen.
    Den laut Gesetz ist es nicht gestattet eine Kopie des neuen Ausweises anzufertigen.

    lest euch mal den Artikel durch vom Anwalt:
    https://ggr-law.com/persoenlichkeitsrecht/faq/personalausweis-darf-mein-personalausweis-kopiert-werden/

  • Andre Klang

    Sehr geehrter Herr Robin,

    mit viel Interesse haben wir Ihren Artikel „webtropia.com – Keine Bestellung ohne Ausweiskopie“ auf Ihrer Website serverpedia.de gelesen. Hiermit möchten wir Ihnen gerne einmal einen Einblick in unsere Prozesse geben und entsprechend Stellung zu Ihrem veröffentlichten Artikel vom 22.12.2016 nehmen.

    Nach Eingang einer Bestellung wird diese zunächst durch unsere Sicherheitsabteilung geprüft.
    Bevor diese Prüfung erfolgt, wird zunächst lediglich darauf hingewiesen, dass das Einsenden einer Kopie eines amtlichen Ausweisdokumentes die Freischaltung beschleunigen kann. In Einzelfällen kann nach der o.g. Überprüfung von unserer Sicherheitsabteilung eine Kopie zwecks Verifizierung Ihrer Person und
    Wohnanschrift angefordert werden.

    Bezüglich unseres Bestellprozesses dürfen wir Ihnen mitteilen, dass Marketing-technische Funktionen wie der Opt-In (Wünschen Sie in Zukunft weitere Informationen) oder die Frage „Wie sind Sie auf uns aufmerksam geworden“ leider nur an dieser Stelle an unsere Kunden gestellt werden kann und zwecks Analyse unserer Vertriebskanäle benötigt wird. Wir denken, dass hier eine entsprechende Abfrage
    innerhalb der Bestellprozesse nicht um Minuten verlängert.

    Bezüglich Ihres Schockmomentes möchten wir Sie darauf hinweisen, dass wir Sie nicht zwingend aufgefordert hatten, eine Kopie per Post zu versenden und höhere Kosten zu tragen. Sie hätten uns eine solche Kopie alternativ per Fax zukommen lassen können.

    Bezugnehmend auf die gewünschte Verschlüsselung Ihrer Mail hätten Sie diese gerne bei uns anfragen können. Alle Daten unserer Kunden werden durch 256-Bit-Verschlüsselungen auf unseren Servern sowie netzwerktechnische Komponenten wie Firewalls vor Außeneingriffen geschützt. Des Weiteren sind unsere Sicherheitsmaßnahmen gemäß ISO-27001 für Rechenzentren zertifiziert.

    In unseren AGB werden die bezogenen Daten lediglich für buchhalterische Zwecke gesichert.
    Die Kopien des Personalausweises müssen nicht abgespeichert werden und Kunden
    können jederzeit die sofortige Löschung nach Einsicht unserer Sicherheitsabteilung
    beanspruchen.

    Eine Verifizierung ist des Accounts ist nicht zwingend notwendig, jedoch um in einem Kundenkonto weitere Bestellungen vorzunehmen, wie z.B. zusätzliche IP Adressen oder die Registrierung sowie Umzüge von Domains. Diese Verifizierungen können per Post oder per SMS vorgenommen werden.

    Sollte eine Verifizierung bei anderen Anbieter leichter sein, muss dieser Anbieter mit dem Missbrauch von
    Daten zurechtkommen. Die myLoc managed IT AG möchte jegliche Situation in Form
    eines Datenmissbrauchs unterbinden.

    Wir hoffen, dass wir Ihnen mit dieser Stellungnahme unseren Bestellprozess und unsere Sicherheitsmechanismen ausführlich genug dargelegt haben und wünschen Ihnen für die Zukunft alles
    Gute.

    Bei weiteren Fragen steht Ihnen das Team der myLoc gerne unter crm@myloc.de zur Verfügung.

    Mit freundlichen Grüßen
    Andre Klang – Marketing Manager & Alina Schmidt – Accountant