netcup - Ist das Euer Ernst? Portraitfoto zur Bestellung und beide Ausweisseiten Pflicht?

  • Hallo netcup,


    wir haben Euch heute, wie schon so oft, weiterempfohlen. Was uns dann unser Kunde nach seiner Bestellung zurückgemeldet hat, hat nicht nur den Kunden verwundert. Ich zitiere mal eine Eure E-Mail:


    "Daher haben wir zu Ihrer eigenen und unserer Sicherheit eine Bitte an Sie. Senden Sie uns bitte folgende Nachweise zu, damit wir Sie verifizieren können:

    1. Ein Bild von Ihnen, auf dem Sie die Vorderseite Ihres Personalausweises und einen Zettel mit folgendem Text in den Händen halten:

    Meine Bestellung bei netcup.de vz1234567

    2. Einen Adressnachweis

    Privatkunden: Ein Bild der Rückseite Ihres Personalausweises oder Meldebestätigung.

    Gewerbe(Firma): Gewerbeanmeldung oder einen Handelsregisterauszug."


    Ihr verlangt also, dass die Kunden beide Seiten Ihres Personalausweises auf und mitsamt eines Fotos per E-Mail versenden? Das kann doch nicht Euer Ernst sein. Ich bin kein Datenschutz-Apostel, aber das geht doch eindeutig zu weit. Was passiert mit den Daten, wie stellt Ihr sicher, dass diese nicht missbraucht werden? Und: Wie soll man das dem Kunden erklären?


    Fehlt ja nur noch die aktuelle Tageszeitung im Bild und eine Lösegeldforderung. Hui....

  • Ich möchte hier nur kurz anmerken, dass das hier ein Kundenforum ist, also von offizieller Seite nicht unbedingt eine Antwort zu erwarten ist.


    Grundsätzlich hat Netcup als Unternehmen sicherlich sicherungsmaßnahmen, damit diese auch nur Kunden annehmen, welche vertrauenswürdig sind.


    Wenn diese Rückfrage bei einer einzelnen Domain oder einem kleinen Webhosting-Paket kam, wundert mich das.
    Wenn das ganze hingegen ein Managed Server oder sonst irgendetwas teureres sein soll, verstehe ich das.


    Spannend wäre dabei noch zu wissen, ob dein Bekannter als Unternehmen oder Privatperson auftritt, denn vor allem bei registration als Unternehmen, finde ich eine verifikation schon wichtig, damit niemand auf den Namen eines Unternehmens mist bauen kann.


    bin kein Datenschutz-Apostel, aber das geht doch eindeutig zu weit. Was passiert mit den Daten, wie stellt Ihr sicher, dass diese nicht missbraucht werden?

    Wie mit den Daten umgegangen wird, kannst du der Datenschutzerklärung oder falls gegeben ja Anhängen des Mailverkehrs entnehmen. Dein Bekannter kann ja ohne Probleme alles schwärzen. So wie ich sehe geht es da hauptsächlich um eine Adressverifikation, also kann alles bis auf Name und Adresse mMn rausgeschwärzt werden.


    P.S: Kam die Mail eigentlich Sicher von Netcup?

  • Kurze Frage – was sollen wir daran ändern?


    Es handelt sich hierbei um ein Kundenforum; wir können die Praktiken von Netcup kaum beeinflussen.


    Netcup-Mitarbeiter lesen hier zwar mit, aber es ist nicht garantiert, dass sie den Beitrag auch sehen.


    Daher sollten solche Beschwerden am besten direkt per E-Mail an Netcup geschickt werden.


    Zu dem Post an sich: Die Person wird wahrscheinlich nicht in Deutschland sein - daher war sie telefonisch nicht erreichbar=> Netcup braucht eine andere Form der Identifikation

  • P.S: Kam die Mail eigentlich Sicher von Netcup?

    Wahrscheinlich schon - es ist bekannt, dass Netcup solche Mail verschickt, vor allem an Kunden die sich außerhalb von Deutschland oder Österreich (oder der EU) befinden - denn da ist keine (verlässliche) Telefon Verifikation möglich (bei uns muss ja jeder Telefon Nummer mit einer Addresse verbunden sein - Prepaid entsprechend mit Post/Video Ident - das ist im Ausland nicht unbedingt der Fall).

    Ich denke mal jeder wird den Anruf von Netcup bei der erst Bestellung bekommen haben.

  • Danke für Deine Anmerkung, aber ich bin mir sicher und weiß aus Erfahrung, dass hier auch Angestellte des Betreibers mitlesen - wäre ja auch waghalsig, wenn das nicht der Fall wäre.


    Du darfst Dich wundern, es ist ein kleines Webhosting-Paket. Der Kunde - nicht Bekannter - ist ein Unternehmen mit öffentlich bekannten Einträgen in allen gängigen und öffentlich einsehbaren Registern.


    Was soll er schwärzen? Es wird ein Gesichtsfoto verlangt. Ein Foto der Vorderseite des Ausweises und ein Zettel mit der Bestellnummer. Mit geschwärztem Gesicht und geschwärztem Ausweisfoto, Balken auf allem außer der Adresse? Das wirkt wie PostIdent für Mittellose.


    Die E-Mail kam von netcup.

  • Wahrscheinlich schon - es ist bekannt, dass Netcup solche Mail verschickt, vor allem an Kunden die sich außerhalb von Deutschland oder Österreich (oder der EU) befinden - denn da ist keine (verlässliche) Telefon Verifikation möglich (bei uns muss ja jeder Telefon Nummer mit einer Addresse verbunden sein - Prepaid entsprechend mit Post/Video Ident - das ist im Ausland nicht unbedingt der Fall).

    Ich denke mal jeder wird den Anruf von Netcup bei der erst Bestellung bekommen haben.

    Kunde ist aus Deutschland. Telefonnummer wurde angegeben und ist öffentlich einsehbar. Adresse ebenso.

    Ich habe es bisher nicht gesagt, weil ich denke, das ist nicht wichtig und polarisiert. Der Kunde hat einen ausländischen Nachnamen.

    Jetzt mal eine Frage in die große Runde: Musste jemals jemand von Euch ein Foto von sich mit dem Ausweis in der Hand und einem Zettel mit seiner Bestellnummer an netcup senden?

  • Jetzt mal eine Frage in die große Runde: Musste jemals jemand von Euch ein Foto von sich mit dem Ausweis in der Hand und einem Zettel mit seiner Bestellnummer an netcup senden?

    ich muss ehrlich gestehen, dass bei mir keine Authentification stattfand, oder ich habe sie nicht bemerkt.

    aber vielleicht war das 2010 noch nicht.

    It's me, only me, pure michi 🦆

    RS 1000 SAS G8 | Cyber Quack

    VPS: 50 G7 |B Ostern 2017|200 | Karneval | piko

    WH: SmallEi | Adv17 Family |4000 SE|1000 SE

  • Nur mal ein Hinweis zum Thema Datenschutz:


    Man darf selbstverständlich alles auf dem Perso schwärzen was nicht zur Identifikation benötigt wird:

    - Foto (inkl. Hologrammfoto hinten)

    - sämtliche Nummern + PIN

    - zweiter Vorname (falls vorhanden)

    - Größe, Augenfarbe & Co

    - Unterschrift

    - Adresse (falls ein Unternehmer seine Privatadresse nicht preisgeben will, Firmenadresse steht auf Gewerbeanmeldung / Registerauszug)


    Außerdem schadet ein fettes Wasserzeichen nicht, getreu dem Motto:

    "Zur Identifikation und Anlage eines Kundenkontos netcup 12.4.2024 - gemäß DSGVO unmittelbar nach Identifikation zu löschen, spätestens zum 16.04.2024"


    Als ich das 2023 so bei der UAS Anmeldung beim Bundesluftfahrtsamt für meine kleine Drohne gemacht habe, kam am nächsten Werktag sogar eine E-Mail, dass mein Account angelegt wurde und der Perso DSGVO-konform unwiederbringlich gelöscht wurde. :)


    Beim LBA gab's aber immerhin eine https-Webseite mit Upload-Formular.


    Bei der Bestellung eines kleinen vServers in Übersee dauerte der Anti-Abuse-Vorgang eine ganze Woche.

    Die Amis haben wohl noch nie einen zu 90% geschwärtzten Perso gesehen :D

  • Nur mal ein Hinweis zum Thema Datenschutz:


    Man darf selbstverständlich alles auf dem Perso schwärzen was nicht zur Identifikation benötigt wird:

    - Foto (inkl. Hologrammfoto hinten)

    Dann wäre das Ganze ja sinnfrei. Netcup fordert ja explizit:


    "Ein Bild von Ihnen, auf dem Sie die Vorderseite Ihres Personalausweises und einen Zettel mit folgendem Text in den Händen halten"


  • Das mit dem Bild habe ich überlesen.

    Diese Aufforderung ist m.b.M. eine grundsätzliche Verletzung der DSGVO als auch der EU-DSGVO


    Wie soll irgendein netcup Mitarbeiter Dein Gesicht von dem Deines Nachbarn unterscheiden? ?(

  • Ein Bild von Ihnen, auf dem Sie die Vorderseite Ihres Personalausweises und einen Zettel mit folgendem Text in den Händen halten"

    Das durfte ich auch schon tun

    VPS Secret • 2x VPS piko G11s • RS 1000 G9.5 SE NUE • RS Cyber Quack • VPS 1000 ARM G11 NUE

    compi.dev

  • Diese Aufforderung ist m.b.M. eine grundsätzliche Verletzung der DSGVO als auch der EU-DSGVO

    Warum?

    Die DSGVO verbietet nicht grundsätzlich die Erhebung personenbezogener Daten. Man braucht lediglich einen guten Grund dazu. Wenn es in diesem Fall die Identifizierung unterstützt, lässt sich das problemlos begründen.


    Viele denken, mit der DSGVO darf man nichts mehr. Das ist ein Irrtum. Man darf lediglich nicht leichtfertig Daten erfassen, verarbeiten oder speichern. Aber wenn man es für den Prozess braucht, ist es nach wie vor kein Problem.

  • Warum?

    Die DSGVO verbietet nicht grundsätzlich die Erhebung personenbezogener Daten. Man braucht lediglich einen guten Grund dazu. Wenn es in diesem Fall die Identifizierung unterstützt, lässt sich das problemlos begründen.


    Viele denken, mit der DSGVO darf man nichts mehr. Das ist ein Irrtum. Man darf lediglich nicht leichtfertig Daten erfassen, verarbeiten oder speichern. Aber wenn man es für den Prozess braucht, ist es nach wie vor kein Problem.

    Hier geht es um die Buchung eines Webhosting-Tarifs für < 5 € im Monat, per Rechnung. Und ein Foto vom Kunden inkl. seinem Personalausweis ist hier mit Sicherheit nicht gerechtfertigt, zumal dies über E-Mail versendet werden soll.

  • Warum?

    Die DSGVO verbietet nicht grundsätzlich die Erhebung personenbezogener Daten. Man braucht lediglich einen guten Grund dazu.


    Du hast mich wohl versehentlich nicht vollständig zitiert:


    Quote

    Das mit dem Bild habe ich überlesen.

    Diese Aufforderung ist m.b.M. eine grundsätzliche Verletzung der DSGVO als auch der EU-DSGVO.


    Wie soll irgendein netcup Mitarbeiter Dein Gesicht von dem Deines Nachbarn unterscheiden? ?(

    Mir geht es um das Bild des Kunden, das Gesicht. Unwichtig!

    Kann auch durch einen schweren Unfall entstellt sein. Geht niemanden was an!


    Selbstverständlich ist es nicht notwendig das Lichtbild oder gar ein Foto einer Person für die Adressverifikation anzufordern.


    Erster Suchtreffer im Netz führt nach NRW:

    Quote

    Grundsätzlich sind nur der Vor- und Nachname, die Anschrift und gegebenenfalls auch die Gültigkeitsdauer zur Identifizierung erforderlich. Die übrigen Daten dürfen und sollen von Ihnen geschwärzt werden (zum Beispiel die Zugangs- und Seriennummer, die Staatsangehörigkeit, die Größe, die Augenfarbe, das Lichtbild und die maschinenlesbare Zone).


    Außerdem fehlt der Hinweis auf die Schwärzungsmöglichkeit:

    Quote

    Sie sind im Vorfeld auf die Schwärzungsmöglichkeit hinzuweisen.


    Beim LBA wurde im Upload-Formular darauf hingewiesen.


    Dass ein kommerzieller Anbieter von Serverdienstleistungen welcher sogar Auftragsverarbeitung anbietet solche E-Mails verschickt, bedarf durchaus eines Gesprächs mit den Datenschutzbeauftragten... ?(

  • Jetzt mal eine Frage in die große Runde: Musste jemals jemand von Euch ein Foto von sich mit dem Ausweis in der Hand und einem Zettel mit seiner Bestellnummer an netcup senden?

    Nachtrag:

    Hab in meinen alten Unterlagen des ersten Domaintransfers zu netcup gestöbert und folgende Notiz gefunden:


    - Hotline netcup rief an

    - wollten PLZ hören + Name + Straße

    - sollte auch die letzten 4 Ziffern der Kontonummer sagen

    - Domain ist bis spätestens 15 Uhr transferiert

    - Angebotspreis gilt angeblich auch nach dem ersten Jahr

  • Aus meiner ersten Bestellbestätigung von netcup:

    Quote

    Ihre Daten werden nun von einem unserer Mitarbeiter überprüft. Falls Ihre Daten nicht in einem Telefonbuch verzeichnet sind oder es andere Unstimmigkeiten gibt, werden wir per Telefon oder Post mit Ihnen in Kontakt treten, um Ihre Adresse zu validieren.

    Bestellung -> Anruf -> Freischaltung innerhalb von 10 Minuten Werktags um 11, das war 2014. ^^

  • Mir geht es um das Bild des Kunden, das Gesicht. Unwichtig!

    Kann auch durch einen schweren Unfall entstellt sein. Geht niemanden was an!


    Selbstverständlich ist es nicht notwendig das Lichtbild oder gar ein Foto einer Person für die Adressverifikation anzufordern.

    Das Bild vom Kunden mit dem Perso im Bild dient offensichtlich dazu, dass nicht irgendjemand einen "gefundenen" Perso in die Kamera hält. Das Bild auf dem Perso und der Kunde im Bild sollten sich ähnlich sehen. In Zeiten von "AI" wird das zwar zunehmend sinnlos, aber grundsätzlich ist es nachvollziehbar. Ich schätze mich allerdings glücklich, dass es bei mir vor Jahren noch mit einem Telefonanruf erledigt war. DAS fand ich schon übergriffig für einen Dienstleister der im Voraus bezahlt wird, aber seit der SIM-Karten-Registrierungspflicht ist man ja an einiges gewöhnt. Die Anforderungen kommen dabei wahrscheinlich nicht einmal aus der Sorge, nicht bezahlt zu werden, sondern sind ein allgemeiner "Know Your Customer (KYC)" Tanz.


    Und Netcup, das Minimum bei solchen Vorgängen ist ein Ende-zu-Ende verschlüsselter Kommunikationskanal. Ihr seid ein Webhoster, ihr kriegt das hin.

    Edited 2 times, last by NaN ().

  • Ich kann oder muss noch ergänzen: Vor ca. vier Wochen haben wir einen Kunden bei netcup mit einem hochpreisigerem Webhosting-Tarif angemeldet - hier reichte ein Anruf aus zur Verifikation.


    Eine E-Mail mit der Aufforderung eines Fotos gab es definitiv nicht. Der Kunde hatte einen deutschen Nachnamen.

  • Bei mir war es damals (vielleicht 2015 rum) nur ein Anruf mit ein paar Fragen zur Verifikation. Seitdem habe ich bis auf eine Ausnahme nichts mehr gehört.


    (Bei der Ausnahme war ich verwundert, dass mich nach einer Buchung eines größeren virtuellen Servers vor ein paar Monaten tatsächlich noch mal die Hotline angerufen hat aufgrund einer Verifizierung. Da war ich nach einigen Jahren mit vielen anderen Bestellungen etwas überrascht.)

  • Newly created posts will remain inaccessible for others until approved by a moderator.

    • :)
    • :(
    • ;)
    • :P
    • ^^
    • :D
    • ;(
    • X(
    • :*
    • :|
    • 8o
    • =O
    • <X
    • ||
    • :/
    • :S
    • X/
    • 8)
    • ?(
    • :huh:
    • :rolleyes:
    • :love:
    • :pinch:
    • 8|
    • :cursing:
    • :wacko:
    • :thumbdown:
    • :thumbup:
    • :sleeping:
    • :whistling:
    • :evil:
    • :saint:
    • <3
    • :!:
    • :?:
    The maximum number of attachments: 10
    Maximum File Size: 1 MB
    Allowed extensions: bmp, gif, jpeg, jpg, pdf, png, txt, zip