Gemeinsamkeiten: Große deutsche Bank und Amazon

Solang bei Amazon alles so läuft das es in deren Automatismen passt und das die Leute im Support Fragen von Kunden aus der FAQ beantworten können ist alles wunderbar, sobald man ein Problem hat das davon nicht mehr abgedeckt ist dauert es relativ lange überhaupt mal eine Antwort zu erhalten. Im konkreten Fall geht es um eine Auseinandersetzung mit einem Amazon Marketplace Händler, der infolge einer Auseinandersetzung wegen einer Retoure sowohl Ware als auch Geld einbehält und lediglich mit Ignoranz reagiert. Die Auskunft nach § 34 (1) Nr. 1-3 BDSG erteilt man natürlich Ordnungswidrig auch nicht.

Ich hatte mich daher mit einer Schilderung der Sache und der meiner Meinung nach einfachen Fragen, ob Amazon hier vermitteln könne, an Amazon gewandt. Nachdem ich nach mehreren Tagen der angeblichen Bearbeitung meiner eMail an Amazon noch immer keine Antwort erhalten habe, habe ich einfach mal im Live Chat nachgefragt:

Ich: Was dauert denn an der gestellten Frage, ob Amazon.de hier vermitteln kann, so lange?
I*** P*****: Das kann ich ihnen leider nicht sagen, da Ihr Fall in einer Fachabteilung ist und es gestern und heute Feiertage im Bundesgebiet gab.
Ich: und welche Fachabteilung ist das? Rechtsabteilung? 2nd Level Support? Die für Marketplace zuständigen?
I*** P*****: Hierzu kann Ihnen leider keine Auskunft geben. Sobald der Fall zuende bearbeitet wurde, werden Sie von uns informiert werden.

“Was können Sie überhaupt?” wäre nun sicherlich eine geeignete Frage – die habe ich mir aber lieber gespart, nicht das man dort dann den Bildschirm aus’m Fenster wirft und ich dafür die Rechnung bekomme. Bei einer großen deutschen Bank mit gelben Logo, die eine andere Bank übernommen hat, führte sowas immerhin dazu das man den Hörer derart aufs Telefon knallte, dass das Telefon wohl dann um 7. UG zu finden war.

Aber dann klären wir das mit Oliver Kluge als verantwortlichen Inhaber des Unternehmens (Marketplace Händler) eben auf andere Weise. Würde mich an seiner Stelle ja ärgern wenn ich Kosten tragen müsste die den Streitwert übersteigen …..

Vater werden ist nicht schwer…

Brief

…Vater sein hingegen sehr – jedenfalls darf ich das gerade erleben, denn ich darf kann meine Tochter nicht sehen obwohl sie exakt meinen Namen hat und sogar im selben Haus wohnt wie ich. Aber immerhin: Ich darf sie in rechtlichen Angelegenheiten vertreten.

Zum Vater gemacht hat mich übrigens vollkommen unerwartet die Acxiom Deutschland GmbH, einfach per Brief (JPG, nur eine Seite):

Sehr geehrter {Mein Nachname},

vielen Dank für Ihre Anfrage bezüglich der Verwendung der Adressdaten Ihrer Tochter. Folgende Daten sind in der Acxiom Datenbank zu ihrer Person gespeichert:

Name: {Mein Vorname} {Mein Nachname}
Adresse: {Meine Anschrift}
Telefonnummer (nur zu Identifikationszwecken): keine.

Die Adressdaten Ihrer Tochter wurden von dem Unternehmen

[...]

Dabei wollte ich doch eigentlich nur Auskünfte gemäß §34 BDSG und nicht gleich Vater werden

meineschufa.de – Sicherheitslücke

“Wir schaffen Vertrauen” – beim aktuellen Sicherheitsleck auf der Webseite “meineschufa.de” klingt dieser Spruch viel eher wie eine hohle Phrase.

Was ist passiert: Mittels einer einfachen Fileinclusion ist es möglich beliebige Dateien vom Schufa Server herunter zu laden. Der zuständige Entwickler, der den Bereich für die Schufa entwickelt hat, vergaß scheinbar ein paar Sicherheitsmechanismen zu implementieren um genau das zu verhindern.

Laut eines Schufa Sprechers war es trotz der Sicherheitslücke nicht möglich auf Daten von Dritten zu zugreifen. Die Sicherheitslücke wurde dennoch bestätigt und umgehende Behebung zu gesichert. Dennoch bleibt ein fahler Beigeschmack zurück. Wenn bereits derartige Leichtsinnsfehler in dem System entdeckt werden, was brodelt wirklich unter der Haube. Noch dazu ist die Schufa nicht unumstritten: So gab es in der Vergangenheit immer wieder mal Ärger mit falschen Einträgen in der Datenbank, die trotz Löschungsaufforderung nicht entfernt wurden.

Seitens der Piratenpartei wurden die Verantwortlichen aufgefordert, den Vorfall transparent und vollständig aufzuklären und Konsequenzen zu ziehen. “Der Vorfall reiht sich in eine lange Reihe brisanter Sicherheitslücken ein”, so unser Parteivorsitzender Sebastian ‘tirsales’ Nerz. “Den betroffenen Bürgern ist meist nicht einmal bewusst, welche Daten die Schufa und andere Auskunftsdateien zentral über sie speichern. Alle Betroffenen müssen gegenüber den Betreibern zentraler Datenbanken einen durchsetzbaren und wirklich unentgeltlichen Anspruch auf Selbstauskunft und gegebenenfalls auf Korrektur, Sperrung oder Löschung der Daten haben.”

Stärkerer Datenschutz bei Twitter

“Twitter verpflichtet sich zu besserem Datenschutz”, titelten die Süddeutsche und Heise kürzlich. Ein Titel, der meiner Meinung nach nicht stimmt. Hier würde sich als Titel wohl eher “Twitter wurde zu besserem Datenschutz verdonnert” eignen, denn Twitter wurde von der Federal Trade Commission -immerhin eine US Behörde- zu schärferen Sicherheitsmaßnahmen verdonnert. “Wenn ein Unternehmen seinen Nutzern verspricht, dass ihre persönlichen Daten sicher sind, dann muss es dieses Versprechen auch einhalten”, so David Vladeck, der die Verbraucherschutzbehörde vertritt.

Insbesondere die zu simplen Administrator Passwörter von Twitter wurden von der Behörde bemängelt, durch welche es nach Festellung der Behörde gelungen war, Anfang 2009 die Kontrolle über die komplette Webseite zu übernehmen.

Der eindringling, der sich Zugriff zu Obama’s Twitter Account verschafft hatte, ist in einer Donnerstag endenden Verhandlung zu einer Bewährungsstrafe verurteilt worden. Er gab an, persönliche Daten über Mitarbeiter von Twitter gesammelt zu haben und daraus auf deren Passwörter geschlossen zu haben – erfolgreich, in einem Fall.

Die Behörde will die Umsetzung zu der Sie Twitter verdonnert hat überwachen, wobei Twitter betont, die meisten Dinge bereits schon vorher umgesetzt zu haben.

Zensus 2011

Klammheimlich wurde 2009 das Zenusgesetz verabschiedet, so dass die wenigsten davon wissen. 2011 steht eine neue Volkszählung an. Bei dieser Volkszählung wird allerdings nicht wie erwartet jeder vorgeladen und gezählt, sondern es werden die Daten verschiedener Datenbanken zusammen geführt. Genau dabei liegt aber die Gefahr, allein Daten miteinander zu verknüpfen sollte die Datenschützer auf den Parkett rufen. In Deutschland wird das registergestützte Zenusverfahren durchgeführt werden, dabei werden die Daten aus den Melderegistern sowie der Bundesagentur für Arbeit erhoben. Zusätzlich sollen allerdings Stichproben von einzelnen Bürgern mit der traditionellen Methode (Fragebogen) in denen auch Daten wie Ausbildung etc. abgefragt werden.

Rein rechtlich kann gegen den Zensus ebenfalls was unternommen werden und es geht auch bereits voran: Die Bürgerrechtsorganisation FoeBuD hat am gestrigen Dienstag, 12.00 Uhr begonnen Unterschriften für die Unterstützung einer Verfassungsbeschwerde zu sammeln.

Nach wenigen Stunden waren es bereits über 1500 Zeichner, Tendenz steigend.

Unter zensus11.de kann jeder bis 12.Juli 2010 mitzeichnen und sich gegen den Zensus aussprechen.

Auch die Piratenpartei beschäftigt sich mit dem Zensus und hat bereits im Wiki erfasst, wie ein Zensusdatensatz zur Übermittlung aussehen wird. Weitere Infos unter http://wiki.piratenpartei.de/Zensusdatensatz

Bei Google sind die Daten sicher – sicher?

Google hat ein Video veröffentlicht um die Sorgen um den Datenschutz bei Google zu zerstreuen. Das will ich euch natürlich nicht vorenthalten

schülerVZ – Datenabgabe oder Datenklau?

Nach den Datenpannen die zwischen dem Rosa Riesen und dem unabhängigen Finanzoptimierer geschehen sind gibt es nun zur Abwechslung mal etwas aus dem Social Network Bereich.

Beim zur Holtzbrinck Gruppe gehörenden schülerVZ sollen berichten zur Folge mehr als 1 Million Daten mit Informationen über Profil ID, Name und Schule samt ID “abgesaugt” worden sein. Ein weiterer kleinerer Datensatz soll zudem zusätzlich noch Informationen über Geschlecht, Alter und Profil Bild inkl. Link zu diesem enthalten. Wohlbemerkt alles Daten, die für Mitglieder von schülerVZ sichtbar sind.

Nach Aussage von schülerVZ soll der Täter auch alles nur von den einzelnen Profilseiten haben und keinerlei Zugriff auf die Datenbank von schülerVZ haben. Somit liegen dem Täter auch keine Daten über Einstellungen der einzelnen User oder gar Daten wie die Adresse des Users vor.

Der Täter selbst soll behaupten, das er ebenfalls Daten von studi- und meinVZ kopiert hat, die allerdings nicht weitergegeben wurden. Wer überhaupt Daten vom Täter erhalten hat will der Täter nicht verraten, allerdings fordert dieser, so die VZnet Netzwerke Ltd., diese aktuell auf die Daten zu löschen und sich bei der VZnet Netzwerke Ltd. zu melden.

Ob man das ganze überhaupt als reinen “Datenklau” bezeichnen kann? Immerhin sind die Angaben die von den Usern gemacht werden freiwillig und es kann zudem – zumindest grob – eingestellt werden kann wer was von wem sehen darf. Vielleicht sollten auch einmal die User von Social Networks darauf achten, was Sie an Daten an- bzw. freigeben.

Damit so etwas nicht noch einmal passiert hat man seitens der VZnet Netzwerke Ltd. übrigens den Zugriff auf eine erhöhte Anzahl von Profilen in einem kurzen Zeitraum sofort eingeschränkt, geht hierbei aber nicht näher ins Detail.

In wie weit das nun ein wirklicher Schutz ist sei dahingestellt, dürfte aber ohne nähere Details wie bspw. die Anzahl der zulässigen Aufrufe und die Bestimmung eines Users (z.B. durch ID, IP Adresse, Session/Cookie oder sonstwie) nicht wirklich zu beurteilen sein.

Warum hat man eigentlich nicht bereits früher einen solchen “Massenaufrufschutz” implementiert, wie es diesen bspw. schon in Foren in Bezug auf neue Themen und Beiträge gibt?