netcup - Ist das Euer Ernst? Portraitfoto zur Bestellung und beide Ausweisseiten Pflicht?

  • Weniger Daten sind unbedenklicher als mehr Daten.

    Sind es denn weniger Daten? Das Resultat, welches am Ende bleibt, ist exakt das gleiche. Es geht nur darum, ob im Prozess ein einzelnes Foto oder eine zertifikatsbasierte Identifizierung stattfindet. Der Informationsgehalt ist identisch, wenn nicht beim Zertifikat sogar größer.

    Und den Kunden zu zwingen, persönliche Daten über einen unverschlüsselten Kommunikationsweg zu übermitteln,

    Mail ist bei dir unverschlüsselt?


    Ich kann ja verstehen, wenn man gegen so ein Foto Vorbehalte hat. Rein rechtlich lassen die sich aber nicht halten, und man sollte aufhören, Argumente an den Haaren herbeizuziehen. Das ist nämlich das erste, was im Zweifel vor Gericht zusammenbricht.

  • Das ist aber eine technische Beschreibung, keine juristische Beurteilung. Gegen wir davon aus, dass man sich entweder an die Datenschutzregeln hält, oder auch nicht: Wo ist (rechtlich) der Unterschied zwischen beiden Verfahren?

    Erstmal hat NaN natürlich recht. Dazu kommt, dass Missbrauch potenzial ist bei der E Ausweis Variante wesentlich geringer - mit einem Foto, auf dem du deine Perso hochhältst, kann viel Unsinn getrieben werden.
    Mit deiner Adresse natürlich auch, aber wesentlich weniger.
    Rechtlich gesehen, muss natürlich bei beiden Lösungen sichergestellt werden, dass die Daten ordnungsgemäß gespeichert werden - aber weniger Daten = weniger Risiko. Dazu kommt, dass bei dem E Perso, sogar nicht mal der Name übertragen werden muss, wenn es Netcup nur darum geht sicherzustellen, dass es sich um eine echte Person handelt.

    Sind es denn weniger Daten? Das Resultat, welches am Ende bleibt, ist exakt das gleiche. Es geht nur darum, ob im Prozess ein einzelnes Foto oder eine zertifikatsbasierte Identifizierung stattfindet. Der Informationsgehalt ist identisch, wenn nicht beim Zertifikat sogar größer.

    Wieso sollte der "Informationsgehalt" beim Zertifikat höher sein?

  • Foto+Adresse ist mehr als Adresse.

    Beim digitalen Ausweis ist es aber nicht nur die Adresse. Und wenn man sich an die Datenschutzerklärung hält, ist es bei Foto+Adresse am Ende auch nur die Adresse.


    Was ist denn das für ein albernes Getrolle?

    Wieso Getrolle? Was an dem Einwand ist Getrolle? Ob ich nun eine verschlüsselte eMail verschicke oder einen anderen Upload-Pfad wähle, wie oben gefordert, ist das Ergebnis am Ende das Gleiche. Das war als absolut valider technischer Einwand gedacht.

    Noch mal: Argumente an den Haaren herbeiziehen, ist nicht zielführend.


    Rechtlich gesehen, muss natürlich bei beiden Lösungen sichergestellt werden, dass die Daten ordnungsgemäß gespeichert werden - aber weniger Daten = weniger Risiko.

    Das ist ausschließlich eine Frage des Prozesses, und der muss - das fordert die DSGVO auf jeden Fall - sauber dokumentiert und nachvollziehbar durchgeführt werden. Das ist Sache des Datenschutzbeauftragten, und diesbezüglich verstehen die Datenschutzbehörden der Länder wenig Spaß.


    Wieso sollte der "Informationsgehalt" beim Zertifikat höher sein?

    Wegen der Nachvollziehbarkeit.


    Dazu kommt, dass Missbrauch potenzial ist bei der E Ausweis Variante wesentlich geringer - mit einem Foto, auf dem du deine Perso hochhältst, kann viel Unsinn getrieben werden.

    Ok, Missbrauchsvorwürfe sind strafrechtlich relevant, das ist eine ganz andere Hausnummer. Bislang ging es um Datenschutz. Wenn es danach geht, dann bieten sämtliche Identifizierungspflichen ein erhebliches Missbrauchspotential, wenn man dem Vertragspartner kriminelle Absichten unterstellt. Aber hier wäre ich vorsichtig, denn damit ist man schnell bei Verleumdung - und man wird selber zum Straftäter. In die Richtung sollte die Diskussion besser nicht abdriften.

  • Jetzt mal eine Frage in die große Runde: Musste jemals jemand von Euch ein Foto von sich mit dem Ausweis in der Hand und einem Zettel mit seiner Bestellnummer an netcup senden?

    2016 musste ich lustigerweise rein gar nichts machen, nicht mal ein Anruf wurde gefordert. 2020 (oder 21?) musste ich für meinen Firmen Account ein Bild meines Personalausweises schicken + über einen Anruf verifizieren.

    Das mit dem Zettel hatte ich hier bisher auch nur mal gesehen, wenn wohl intern ein paar Alarmglocke angesprungen sind und zumeist nur bei Kunden aus dem Ausland. Würde mich aber auch interessieren, weshalb das so extrem ausgefallen ist in deinem Fall.


    Über den Datenschutz wurde ja schon viel geredet. Ich finde sowas persönlich auch einfach extrem unangenehm. Wenn das bei mir damals gefordert worden wäre, hätte ich es sein lassen und wäre woanders hin gegangen.

  • Ich bin jetzt irgendwas um die 5 Jahre bei Netcup, kann mich an nichts derart erinnern.
    Habe ein paar mal mit Netcup telefoniert weil ich Support brauchte, das wars.
    Die wollten einfach mein Geld sonst nix. ^^

  • Mail ist bei dir unverschlüsselt?

    Schauen wir uns doch mal an ob und wie das bei netcup mit verschlüsselten Mails klappt, sucht man den GPG-Publickey landet man tatsächlich im Helpcenter, soweit so gut. Schauen wir nun mal auf die Seite dort...

    Aufgrund von technischen Beschränkungen können wir aktuell im Regelfall nur unverschlüsselt antworten. Die unverschlüsselte Antwort wird in diesem Fall auch Ihre Nachricht in unverschlüsseltem Zustand enthalten.

    Autsch. Also E-Mail Ende-zu-Ende Verschlüsselung ist hier wohl noch kein so gut definierter Prozess. Mal davon abgesehen das E-Mail Ende-zu-Ende
    Verschlüsselung ein Nischendasein fristet auch heute noch.


    Edit: Da hat sich seit 2017 wohl leider nicht sehr viel getan.

  • Trotzdem bleibt die Übertragung per SMTP, IMAP oder was auch immer verschlüsselt. Den Content würdest du auch nicht verschlüsseln, wenn du - wie oben gefordert - ein Upload Portal benutzt. Da erschließt sich mir nicht, wo da am Ende der Unterschied ist.

  • Trotzdem bleibt die Übertragung per SMTP, IMAP oder was auch immer verschlüsselt. Den Content würdest du auch nicht verschlüsseln, wenn du - wie oben gefordert - ein Upload Portal benutzt. Da erschließt sich mir nicht, wo da am Ende der Unterschied ist.

    Im Optimalfall ist das ganze verschlüsselt, wenn der Sender sein Postfach auch entsprechend eingebunden hat. Und Kunden müssen nicht immer erfahrene ITler sein, es kann auch vorkommen dass das private Postfach bei einem Freemailanbieter liegt, dann werden die entsprechenden Daten darüber übertragen, ggf. mit dem ganzen Trackingspaß, denn solche Anbieter wollen das beste des Kunden: seine Daten.


    Eine Transportverschlüsselung zwischen den einzelnen Endstellen (Client <-> Mailserver <-> Mailserver <-> Empfänger) ist jetzt doch nicht ganz vergleichbar mit der Transportverschlüsselung wenn die Daten z.B. über ein entsprechendes Formular auf der netcup-Website direkt hochgeladen werden (Browser <-> Webserver).


    Bisschen Äpfel mit Birnen Vergleich an der Stelle.

  • Und Kunden müssen nicht immer erfahrene ITler sein, es kann auch vorkommen dass das private Postfach bei einem Freemailanbieter liegt, dann werden die entsprechenden Daten darüber übertragen, ggf. mit dem ganzen Trackingspaß, denn solche Anbieter wollen das beste des Kunden: seine Daten.

    Naja gut, wenn der Kunde so datenschutzaffin ist und es dann selber verdaddelt ... wie war das mit den an den Haaren herbeigezogenen Argumenten?


    Bisschen Äpfel mit Birnen Vergleich an der Stelle.

    Rein juristisch nicht. Ihr macht immer den Fehler, die technischen Aspekte der Übertragung zu betrachten. Darum geht es bei der DSGVO nicht.

  • Rein juristisch nicht. Ihr macht immer den Fehler, die technischen Aspekte der Übertragung zu betrachten. Darum geht es bei der DSGVO nicht.

    Rein juristisch betrachtet ist Transportverschlüsselung die absolute Mindestmaßnahme um die gesetzlichen Anforderungen zu erfüllen. Diese kann eben nicht ganz so einfach auf dem kompletten Transportweg garantiert werden bei E-Mail. Das BSI dazu. SMTP ist nun mal ein uraltes Protokoll mit zig Anflanschungen um da irgendwie was sicher zu machen, da gehört eine Ausweiskopie ohne Ende-zu-Ende Verschlüsselung ganz einfach nicht hin.


    Und man kann es auf so einfache Weise so viel besser machen, ganz ohne Zwischenparteien, warum das Schöngerede hier?

    Edited 2 times, last by Irrwisch: E-Mail -> SMTP Protokoll ().

    Like 2
  • Rein juristisch betrachtet ist Transportverschlüsselung die absolute Mindestmaßnahme um die gesetzlichen Anforderungen zu erfüllen.

    Richtig. Im Sinne der DSGVO aber nur im Einflussbereich des Diensteanbieters.


    Und man kann es auf so einfache Weise so viel besser machen, ganz ohne Zwischenparteien, warum das Schöngerede hier?

    Dass man es besser machen kann, bezweifelt ja niemand. Aber noch mal: Darum geht es bei der DSGVO nicht. Es geht darum, einen Prozess zu definieren, der die DSGVO erfüllt. Darin können Ausweisfotos genauso vorkommen, wie E-Mails, das ist überhaupt kein Problem, wie ich dir aus eigener Erfahrung sagen kann. Nur aus dem Umstand, dass die Fotos per Mail angefordert werden, kann man überhaupt nicht ableiten, dass es datenschutzrechtlich in irgendeiner Form bedenklich ist. Es kommt ausschließlich darauf an, wie damit umgegangen wird.

  • Und man kann es auf so einfache Weise so viel besser machen, ganz ohne Zwischenparteien, warum das Schöngerede hier?

    Weil das hier ein Web-Forum ist… :wacko:


    Nein, ernsthaft: Ich wundere mich schon sehr über solche Diskussionen, die wohl eher dem Selbstzweck dienen. Warum sonst sollte man mit Halbwissen über rechtliche Vorgaben und Einschränkungen technische Implementierungen diskutieren, für die man nicht zuständig ist? Vielleicht, um sich zu profilieren, frei nach dem Motto „ich weiss es aber besser…“?


    Es mag an meiner heutigen Tagesform liegen, aber für mich gibt es zwei Alternativen: Einfach nur Bock am Diskutieren - dann gerne weiter so, oder Interesse an einer Besserung. Bei letzterem halte ich einen direkten Kontakt vom Betroffenen mit netcups‘s Datenschutzbeauftragten immer noch für den sinnvollsten Schritt.


    Edit: Für Fakten-Interessierte hier eine interessante Info-Seite des Landesbeauftragten für Datenschutz in Schleswig-Holstein (D).

    Edited once, last by MyMattes: Link zu Infoseite ergänzt. ().

    Like 2
  • Als Netcup meinen Ausweis wollte habe ich den auf meine private Nextcloud hochgeladen und dann geteilt. Danach einfach von Nextcloud löschen und nichts bleibt auf irgendwelchen Email Servern. Hat geklappt

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi.dev

    Like 4
  • Dass man es besser machen kann, bezweifelt ja niemand. Aber noch mal: Darum geht es bei der DSGVO nicht. Es geht darum, einen Prozess zu definieren, der die DSGVO erfüllt. Darin können Ausweisfotos genauso vorkommen, wie E-Mails, das ist überhaupt kein Problem, wie ich dir aus eigener Erfahrung sagen kann. Nur aus dem Umstand, dass die Fotos per Mail angefordert werden, kann man überhaupt nicht ableiten, dass es datenschutzrechtlich in irgendeiner Form bedenklich ist. Es kommt ausschließlich darauf an, wie damit umgegangen wird.

    Ich weiß ja nicht, alle Quellen die ich dazu finde sehen vor allem den Ausweis als besonders schützenswert an und E-Mail als problematisch z.B.

    https://www.baden-wuerttemberg.datenschutz.de/identitaetspruefung-bei-elektronischen-auskunftsersuchen-nach-art-15-ds-gvo/

    Quote

    Eine Übermittlung einer geschwärzten Ausweiskopie per E-Mail ist aus Datenschutzsicht schon bedenklicher. Stellt die betroffene Person den Antrag per E-Mail und fordert der Verantwortliche die Zusendung einer Ausweiskopie, so hat der Verantwortliche hierfür einen sicheren Zugangsweg bereitzustellen. In Frage kommt bspw. die Bereitstellung eines öffentlichen Schlüssels des Verantwortlichen, mit dem die betroffene Person die Ausweiskopie Ende-zu-Ende-verschlüsselt per E-Mail übermitteln kann. Als nutzerfreundlichere Alternative – im Hinblick auf die geringe Nutzung von Ende-zu-Ende-Verschlüsselung – kommt hierfür etwa auch die Bereitstellung eines Links zu einer HTTPS-geschützten Website in Betracht, über die die betroffene Person die Ausweiskopie (ohne weitere selbst zu ergreifende Maßnahmen) sicher an den Verantwortlichen übermitteln kann.

    Hier geht es aber um die Identitätsfeststellung bei elektronischen Auskunftsersuchen also schon ein etwas anderer Fall.


    Weil das hier ein Web-Forum ist… :wacko:


    Nein, ernsthaft: Ich wundere mich schon sehr über solche Diskussionen, die wohl eher dem Selbstzweck dienen. Warum sonst sollte man mit Halbwissen über rechtliche Vorgaben und Einschränkungen technische Implementierungen diskutieren, für die man nicht zuständig ist? Vielleicht, um sich zu profilieren, frei nach dem Motto „ich weiss es aber besser…“?

    Du hast natürlich vollkommen recht. ^^


    Es mag an meiner heutigen Tagesform liegen, aber für mich gibt es zwei Alternativen: Einfach nur Bock am Diskutieren - dann gerne weiter so, oder Interesse an einer Besserung. Bei letzterem halte ich einen direkten Kontakt vom Betroffenen mit netcups‘s Datenschutzbeauftragten immer noch für den sinnvollsten Schritt.

    Das stimmt, den Datenschutzbeauftragten zu kontaktieren wäre für Betroffene sicherlich der sinnvollste Schritt.


    Als zufriedener Kunde seit Vor-DSGVO Zeiten kann ich dazu noch sagen, das ich weder per Mail noch per Upload eine Ausweiskopie gesendet hätte zur Accounterstellung, das ist mir noch nirgendwo passiert bisher (Bei Webhosting Providern). Dann wäre ich woanders Kunde. :D

  • Das sieht man ja das eigentliche Problem, das Verfahren wird von den Kunden als überzogen betrachtet und zu einem großen Teil nicht akzeptiert. Zu dem großen Teil gehörst du laut deinen letzten zwei Sätzen dazu. Die Sicherheit der Datenübertragung mag auch ein Problem sein, eine Verbesserung der Sicherheit würde die Akzeptanz aber sehr wahrscheinlich nur marginal erhöhen.

  • Vielleicht hilft das in Zukunft.


    Ich bin mit meinen Domains damals zu Netcup umgezogen. Ich habe damals einfach meine Email mit digitaler Signatur zur Kommunikation benutzt. Seitdem musste ich zu keiner Zeit irgndwelche Personalausweisdaten abgeben müssen.


    Außerdem finde ich es in Ordnung, dass man bei einer neuen Bestellung irgendwie die Person authentifizieren muss/soll. Es scheint aber auch zu genügen, dass man eine normale SEPA Überweisung tätigt, die wenigstens den Kontoinhaber authentifiziert.

  • Du hast auch jederzeit nach dem Art. 15 DSGVO – Auskunftsrecht der betroffenen Person das Recht Daten die von Netcup verarbeitet werden und wurden, zusammen gefasst in einem Download zu verlangen.


    Bezüglich der Adressverifikation ist es dem Anbieter zur jeder Zeit möglich zu machen, dich postalisch zu erreichen, zum Beispiel wenn mal nicht bezahlt wird oder von seinen Diensten illegaler Content veröffentlicht wird und du nicht erreichbar bist.


    Ich finde es wichtig als Dienstanbieter wenigstens den korrekten Namen und eine anschreibbare Adresse zu verlangen. Das macht ja nicht nur Netcup, sondern das mache ich bei allen diensten die ich betreibe auch immer.

  • Newly created posts will remain inaccessible for others until approved by a moderator.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    The maximum number of attachments: 10
    Maximum File Size: 1 MB
    Allowed extensions: bmp, gif, jpeg, jpg, pdf, png, txt, zip