netcup - Ist das Euer Ernst? Portraitfoto zur Bestellung und beide Ausweisseiten Pflicht?

  • Daher sollte Netcup am besten auf einen entsprechenden Dienstleister setzen (an sich ist das Bild ja nachvollziehbar - sonst müssten die Daten ja nicht mal gestohlen sein => Man kann sie sich auch einfach ausdenken).

    Und dem vertraut ihr die Daten an, aber netcup nicht?


    Dazu kommt: Es gibt ein sicheres Verfahren, wo zusätzlich noch ein Pin gebraucht wird: Die AusweisApp2 (durch den Pin wird Diebstahl verhindert und es wird verifiziert, dass die Daten echt und korrekt sind)

    Und das ist datenschutzrechtlich unbedenklicher, als ein Foto?


    Irgendwo fehlt mir hier die Verhältnismäßigkeit.

  • Ich persönlich habe nix dagegen, netcup ein Foto von meinem Ausweis inkl. Bild zuzusenden.

    Aber ich hätte gerne, dass dabei die Datenschutzbestimmung eingehalten werden. In diesem Fall:

    * Ich darf schwärzen, was nicht relevant ist.

    * Ich werde darauf hingewiesen, dass ich das darf.

    * Ich kann auf irgendeine Art verschlüsselt übermitteln.

    * Ich bekomme die Zusicherung, dass die übermittelten Daten nach der Verifikation gelöscht werden.

    Ich habe durchaus Verständnis dafür, dass netcup sich absichern will (Ist ja sogar in unser aller Interesse), aber dann darf ich das bitte auch. ;)

  • Das sollte schon aus der Datenschutzerklärung hervorgehen.

    Durch die E-Mail-Aufforderung wird die Datenschutzerklärung für mich obsolet.


    Selbst die 'Auftragsverarbeitungseigenschaft' bekommt dadurch für mich 'ein Gschmäckle'. :S


    Da gehört ein klarer Prozess implementiert:


    Gut gewarteter Server + HTTPS + Uploadskript mit Ablage auf einem internen Speicher nach Virenprüfung + einmalige Abrufmöglichkeit eines Support-Mitarbeiters zur Verifikation (gesicherter Zugang + Logging des MA-Namens + Zeitstempel + Ergebnis der Prüfung 'plausibel' oder 'noch mal beim Kunden nachfragen' verarbeiten und sichern + automatische Löschung der hochgeladenen Datei(en) + automatischer Versand einer E-Mail an den Kunden dass die Datei DSGVO-KONFORM gelöscht wurde und weitere Infos zum Auftrag separat folgen.


    Traue ich mir in PHP oder Python zu in 1h zu programmieren. Mache ich aber nicht, weil ich mir das Härten des Systems und die Absicherung des Skripts nicht zutraue. Soll nur ein Implementierungsvorschlag sein.

    Dazu müsste man jemand kennen der z.B. Managed Systems von Berufswegen her managed ;)

  • Das Kunden-Forum wurde mal für uns Kunden geschaffen, damit wir uns auch außerhalb des normalen Kunden-Supports technisch gegenseitig helfen können.

    Von daher finde ich es jetzt gar nicht gut, dass du dieses Kunden-Forum dazu mißbrauchst, hier - aus meiner persönlichen Sicht gesehen - uns gegen den Provider Netcup mit dem Titel "netcup - Ist das Euer Ernst? Portraitfoto zur Bestellung und beide Ausweisseiten Pflicht?" aufzuhetzen, nur weil ihr euch mit dem Provider nun mal nicht einigen könnt.

    Denn schon der Satz ".. und einen Zettel mit folgendem Text in den Händen halten: Meine Bestellung bei netcup.de vz1234567" sieht für mich sehr unglaubwürdig aus, weil ich mir es nicht vorstellen kann, dass der Provider sich gegenüber zukünftigen Kunden so unprofessionell zeigt.

    Ich möchte hier niemanden aufhetzen - ich bin nur verwirrt über diese für mich unsachgemäße und aus meiner Sicht überbordende Forderung. Ich kenne das bisher nicht - weder von netcup noch von anderen Providern.

    Ich habe netcup in diesem Fall empfohlen und muss einen ebenso verwirrten Kunden beruhigen und meine Empfehlung rechtfertigen, was mir gerade sehr schwerfällt.


    Und das wir uns mit dem Provider nicht einigen können, war hier nie Thema, das stammt von Dir andreas.

    Wie Bud schon zitiert hat, gibt es diese Nachrichten - scheinbar nicht immer - was dieses Vorgehen noch deutlich kurioser macht.


    Du sprichst von Missbrauch des Kundenforums. Das ist eine interessante Anschuldigung. Ich wollte hier niemanden in eine ungewollte Richtung lenken - falls das bei Dir so war, lass uns gerne darüber reden - schreib mir doch eine PN oder ruf am Montag mal bei uns an.


    An alle Anderen: Vielen Dank für die Rückmeldungen. Es ist interessant, dass es bei der Verifikation verschiedene Vorgehen gibt. Ich denke, wir werden dem Kunden einen anderen Provider empfehlen. So eine "RAF Lösegeldforderung mit Foto"-Aktion (der Begriff stammt vom Kunden) finde ich unzumutbar und übergriffig. Dazu noch die Problematik des Datenschutzes. Die Kombination aus Ausweis + Profilbild mit einem Zettel in der Hand lässt sich, in falschen Händen, beliebig nutzen - dazu verschickt über eine normale E-Mail. Ungutes Gefühl wäre untertrieben. Ich persönlich würde das auch nicht durchführen.

  • Warum das? Die Datenschutzerklärung gilt doch unabhängig vom Kommunikationsweg.

    Eine Erklärung die man abgibt um die DSGVO einzuhalten und entsprechend extreme Bußgelder abzuwehren ist nutzlos, wenn man den Versand von persönlichen Bildern samt Personalausweis über E-Mails anfordert und zugleich unterlässt auf die Schwärzungsmöglichkeit hinzuweisen, eine (nach Stand der Technik) sichere Uploadfunktion anzubieten und den Kunden (im Fall der E-Mail) auf Zugriffsmöglichkeiten von Dritten hinzuweisen.


    Ich denke die wenigsten 'Normals' sind sich darüber bewusst, das ein per E-Mail verschickter Perso (je nach eingestellter Löschdauer) möglicherweise ewig im eigenen IMAP-Ordner 'gesendet' bleibt.


    Da freut sich der Freemail-Anbieter bzw. Provider und vor allem der Pishing-Abgeifer, wenn er den Mailaccount kapert (evtl. erst nach Jahren, wenn der Account 'nur noch für vereinzelte Foren' genutzt wird und vermeintlich nicht persönliches mehr darüber läuft).


    Mit einem Upload-Formular gibt es (abgesehen von laufenden Angriffen auf den Kunden-Rechner oder netcups Server) keine beteiligte Dritten. :thumbup:

  • Ich kenne das bisher nicht - weder von netcup noch von anderen Providern.

    Andere machen Video-Ident... das ist viel schlimmer. Zum Affen machen vor laufender Kamera... halten Sie den Perso an die Stirn, halten Sie hierhin, halten Sie dorthin, drehen Sie, winken Sie, …was zum. Nebenbei Wohnungsbesichtigung da der Mitarbeiter auf der anderen Seite frei zwischen Front- und Hauptkamera umschalten kann.


    Und das machen tausende Menschen jeden Tag... für ne olle SIM-Karte...


    Muss man nicht mögen aber "RAF Lösegeldforderung" ist doch etwas überzogen.

  • Du kannst netcup dennoch empfehlen.

    Außer dieser haarsträubenden Verifikationsthematik gibt es doch kaum was zu bemängeln.


    Dein Kunde soll einfach am Montag anrufen, den Auftrag freischalten lassen und evtl. den Prozess bemängeln.


    Ohne Feedback ändert sich nichts.


    Evtl. zum Datenschutzbeauftragten durchstellen lassen. Und für den Unmut nach einer kostenlosen zusätzlichen Inklusivdomain fragen ;)

  • Andere machen Video-Ident... das ist viel schlimmer. Zum Affen machen vor laufender Kamera... halten Sie den Perso an die Stirn, halten Sie hierhin, halten Sie dorthin, drehen Sie, winken Sie, …was zum. Nebenbei Wohnungsbesichtigung da der Mitarbeiter auf der anderen Seite frei zwischen Front- und Hauptkamera umschalten kann.


    Und das machen tausende Menschen jeden Tag... für ne olle SIM-Karte...


    Muss man nicht mögen aber "RAF Lösegeldforderung" ist doch etwas überzogen.

    Darum geht es ja hier nicht. Ob überzogen oder nicht - ich gebe hier nur eine Meinung des Betroffenen wieder.

  • Anrufen alleine wird ja nicht ausreichen, die Anforderung war ja sehr eindeutig. Feedback gibt es hier zum Mitlesen und per Support-Ticket - bisher unbeantwortet. Und die 35 ct für eine Inklusivdomain dürfen sie gerne behalten ;)

  • Eine Erklärung die man abgibt um die DSGVO einzuhalten und entsprechend extreme Bußgelder abzuwehren ist nutzlos, wenn man den Versand von persönlichen Bildern samt Personalausweis über E-Mails anfordert und zugleich unterlässt auf die Schwärzungsmöglichkeit hinzuweisen, eine (nach Stand der Technik) sichere Uploadfunktion anzubieten und den Kunden (im Fall der E-Mail) auf Zugriffsmöglichkeiten von Dritten hinzuweisen.

    Die Datenschutzerklärung gilt unabhängig vom Kommunikationsweg. Speicherzeiten gelten bei Mail genauso, wie bei anderen Uploadmöglichkeiten. Beispiele sind Bewerbungsadressen oder Newsletter.

  • Also mal ganz ehrlich gesagt, ich würde das dem Kunden jetzt auch nicht mehr empfehlen. Und ich bin schon fast froh, dass das an Ostern mit dem Transfer von Domains meines Kunden nicht geklappt hat (rechtzeitig kündigen hätte er die dann schon müssen, ich habe ihn leider nicht darauf hingewiesen und er hat nicht daran gedacht). Mit einem eventuellen Anruf und etwas Verzögerung beim Domaintransfer hatte ich ja gerechnet. Aber wenn ich mir vorstelle, was da nach so einer Nummer los gewesen wäre, dann lasse ich das besser. Der würde mich ans Kreuz nageln! Naja, so schlimm wäre es dann auch wieder nicht, aber jedenfalls würde ich einiges zu hören bekommen und netcup Kunde würde er so ganz sicher nicht werden. Soll er mal lieber weiterhin einen Hunni pro Jahr mehr bezahlen für seine Domains oder wir finden eine akzeptable Alternative, wo ich nicht mit so einer Prozedur rechnen muss. Jetzt haben wir ja wieder ein knappes Jahr Zeit darüber nachzudenken, was mit den Domains geschehen soll :rolleyes: .


    Naja, schaun mer mal, ich erzähle ihm die Geschichte mal beiläufig und schaue, wie er darauf reagiert ^^;) .

  • Die Datenschutzerklärung gilt unabhängig vom Kommunikationsweg. Speicherzeiten gelten bei Mail genauso, wie bei anderen Uploadmöglichkeiten. Beispiele sind Bewerbungsadressen oder Newsletter.

    Sehe ich nicht so:

    Upload eines geschwärzten Personalausweises alleinig zum Zwecke der Adressverifikation darf nach DSGVO zweckgebunden lediglich bis zur Verifikation gespeichert werden und muss danach sofort gelöscht werden.


    Im Fall des Threadersteller-Kunden also vorraussichtlich bis max. Montag / Dienstag (wobei der jetzt ja vielleicht gar kein netcup Kunde wird).


    Bei E-Mails gibt es meist einen Dritten - der hat hier nichts zu suchen. IMAP als 'Fehlerquelle zum Datenschutz' hatte ich beispielhaft bereits genannt.

    Würde mich wundern wenn netcup Zugriff auf die Server von T-Online, Gmail, GMX & Co hat. ;)


    Ein Webhosting-Neukunde dürfte in den seltesten Fällen bereits einen eigenen Mailserver betreiben.


    Wie man's richtig macht, hab ich auch schon geschrieben (Luftfahrtbundesamt / UAS-Registrierung).

  • Und das ist datenschutzrechtlich unbedenklicher, als ein Foto?

    Irgendwo fehlt mir hier die Verhältnismäßigkeit.


    Ja, es ist datenschutzmäßig unbedenklicher, genau dafür ist der elektronische Personalausweis gedacht.


    Die AusweisApp2 ist an sich ein gutes und funktionierendes Produkt. Du kannst genau festlegen (bzw. siehst), welche Daten mit dem Anbieter geteilt werden. Das Vorgehen ist wie folgt (angenommen, du nutzt dein Smartphone):


    1. Du brauchst einen elektronischen Personalausweis mit eingerichteter PIN.

    2. Du rufst die Seite des Anbieters auf, der entsprechend zur AusweisApp weiterleitet.

    3. Die AusweisApp2 öffnet sich.

    4. Du hältst deinen Personalausweis an dein NFC-fähiges Handy und gibst deine PIN ein.

    5. Du siehst, welche Daten geteilt werden - im Falle von Netcup sind das: Name und Adresse.

    6. Du bestätigst.

    7. Der Service hat nun deine Adresse und deinen Namen und kann sich sicher sein, dass du deinen Ausweis + PIN hast, d.h., dass du die Person bist, die sich verifiziert hat.


    Datenschutzfreundlicher geht eine Verifikation kaum – hierbei werden keine Daten auf fremden Servern gespeichert (außer notwendige Daten wie Adresse (natürlich liegen die Daten an sich auf Servern des Bundes, aber die haben ja eh alle Daten - ein Tracking, wann die App wofür genutzt wurde, soll aber nicht möglich sein)) und es ist 100% rechtlich sicher für beide Seiten.


    Dazu kommt: Die AusweisApp2 ist sogar noch Open Source.


    (Technisch liegt Deutschland teilweise weit zurück, aber der elektronische Personalausweis ist ein gutes Angebot (und auch gut umgesetzt), müsste nur aktiver genutzt werden – hier wäre er perfekt, da man genau bestimmen kann, was geteilt werden soll.)

  • Anrufen alleine wird ja nicht ausreichen, die Anforderung war ja sehr eindeutig. Feedback gibt es hier zum Mitlesen und per Support-Ticket - bisher unbeantwortet.

    Je nachdem, wieviel Aufwand Dir diese Angelegenheit wert ist, würde ich das Vorgehen durchaus unter https://www.netcup.de/kontakt/datenschutzerklaerung.php dem Datenschutzbeauftragten von netcup schildern ... sowie Deine Verwunderung bzw. den Unmut Deines Kunden: Ich kann beides sehr gut nachvollziehen und bin froh, im Oktober mit einem Rückruf (D) ausreichend verifiziert worden zu sein. Diese Umsicht fand ich durchaus positiv - bei der Ausweiskopie plus Foto mit Vertragsnummer wäre das nicht mehr so.


    Hier ist meines Erachtens klar zwischen notwendiger Verifizierung und deren Abwicklung zu unterscheiden: Einem Hosting-Provider mute (und traue) ich zu, hierzu einen datensparsamen, DSGVO-konformen und hinreichend benutzerfreundlichen Prozess zu etablieren. E-Mail mit Ausweiskopie ohne Schwärzung geht gar nicht und das sollte der Datenschutzbeauftragte intern klären - ich könnte mir vorstellen, dass ein normales Supportticket dort nie ankommt.

  • Ja, es ist datenschutzmäßig unbedenklicher, genau dafür ist der elektronische Personalausweis gedacht.

    Das ist aber eine technische Beschreibung, keine juristische Beurteilung. Gegen wir davon aus, dass man sich entweder an die Datenschutzregeln hält, oder auch nicht: Wo ist (rechtlich) der Unterschied zwischen beiden Verfahren?

  • Ich werfe hier mal eine potentielle Alternative in den Raum. Als Verbesserungsvorschlag für Moderators  ;)


    Offenbar wird diese Extremmethode nur gewählt, wenn bereits irgendwelche roten Warnlämpchen leuchten. Falls der Kunde in diesem Fall so etwas mit Foto usw. nicht machen möchte oder gar nicht durchführen kann, könnte man doch einfach einen Code mittels eingeschriebenem Brief verschicken. Mit der Zusatzoption "eigenhändig" und bei maximalem Misstrauen eventuell auch "nicht an Postbevollmächtigte", sollte das doch ausreichend sicher sein? Oder gibt es diese beiden Möglichkeiten in DE nicht? Die Kosten dafür könnte man ja ganz oder teilweise im Voraus vom Kunden verlangen, wenn dieser auf dieses alternative Verfahren besteht. Oder spricht da rechtlich irgendwas dagegen? Der Versand von eingeschriebenen Briefen ist doch meines Wissens sowieso ein lange etablierter Prozess, z.B. bei vergessenen CCP-Passwörtern.


    Klar, bei internationalen Kunden, besonders außerhalb der EU, wird das wahrscheinlich keine Option sein. Aber wäre ich ein Kunde aus Übersee, würde ich solche sensiblen Scans und Fotos einem unbekannten deutschen Unternehmen erst recht nicht schicken...

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)

    Like 1
  • Das ist aber eine technische Beschreibung, keine juristische Beurteilung.

    Weniger Daten sind unbedenklicher als mehr Daten. Besteht da wirklich Diskussionsbedarf? Und den Kunden zu zwingen, persönliche Daten über einen unverschlüsselten Kommunikationsweg zu übermitteln, ist sowieso nicht mit irgendeiner Datenschutzerklärung außer "uns doch egal" vereinbar.

  • Newly created posts will remain inaccessible for others until approved by a moderator.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    The maximum number of attachments: 10
    Maximum File Size: 1 MB
    Allowed extensions: bmp, gif, jpeg, jpg, pdf, png, txt, zip