sofortüberweisung.de ist ein Dienst, bei dem man seine Kontonummer, Bankleitzahl und auch den Pin eingibt, um im folgenden eine Überweisung abzuwickeln. Können die Daten bestätigt werden, gibt man noch seine TAN ein. sofortüberweisung.de stößt dann bei der Bank die Überweisung an und Verifiziert dem Verkäufer, dass die Überweisung getätigt wurde. So kann der Verkäufer ohne Risiko die Ware versenden, muss einen Zahlungsausfall nicht befürchten.

Doch wie kommt es nun dazu, dass das Geld nun von einem anderen Konto gebucht wurde? Offensichtlich seien noch weitere Information abgefragt worden… ohne, dass es der Kunde wissen? Meine Empörung löste sich heute so langsam, als den verlinkten Artikel bei heise.de las – Erscheinungsdatum 25.09.2009. Aus dieser Zeit stammt der Fehler, der dem damaligen Tester passiert war. Dieser sei damals auch direkt behoben worden, lese ich in einem aktuellen Pressebericht des Payment Networks.

Die Sache mit den abgefragten Daten

Bleibt noch die Sache mit den abgefragten Daten. Der Autor bei ndr.de meint, dass der Hinweis zum Datenschutz “Kontodeckungsabfrage” nicht ausreichend sei um zu beschreiben, dass weitere Konten abgefragt (also sowohl deren Existenz, als auch deren Verfügungsrahmen) werden. Thomas Kranig, Leiter des zuständigen bayerischen Landesamtes für Datenschutzaufsicht stimmt dem zu, wobei er auch richtig darauf hinweist, dass das Unternehmen diese Daten prüfen könne muss um etwa Betrug zu vermeiden. Doch kann man unter einer “Kontodeckungsabfrage” tatsächlich nicht verstehen, dass weitergehende Daten abgefragt werden? Ich mache mich auf die Suche in der Demo von sofortüberweisung.de:

Als erstes Fällt mir auf, dass deutlich darauf hingewiesen wird, dass zwar “transaktionsrelevante Daten gespeichert” werden, aber PIN und TAN nur temporär verarbeitet werden. Mein zweiter Blick fällt aber auf folgenden Satz “Durch Klicken von “Weiter” akzeptiere ich die für den Auftrag geltenden Datenschutzhinweise” – hmm. Keine Checkbox, die ich erst anklicken muss, um meine Zustimmung zu erteilen?

Für mich ist es ein großer Unterschied, ob dort – zwar in Nähe zum Button – solch ein Text steht oder ich ausdrücklich per Klick in eine Checkbox zustimmen muss. Schließlich ist bei einer Checkbox sichergestellt, dass ich den Hinweis zur Kenntnis genommen haben. Bei der aktuellen Lösung von sofortüberweisung.de scheint mir das nicht gegeben. Aber schauen wir mal, was überhaupt dort in den Datenschutzhinweisen steht.

Die Datenschutzhinweise bei sofortüberweisung.de

Äußerst positiv fällt mir auf, dass die Datenschutzhinweise recht kurz gehalten sind – kein langes Scrollen, alles auf einen Blick. Leider steht kein Datum der letzten Änderung dabei, sodass ich nun nur auf den aktuellen Text eingehen kann.

Mit der Nutzung des Dienstes sofortüberweisung.de beauftragen Sie die Payment Network AG, eine Kontodeckungsabfrage bei Ihrer Bank durchzuführen sowie zu überprüfen, ob vorherige Sofortüberweisungstransaktionen erfolgreich durchgeführt wurden und dann, wenn die Kontodeckung in einem vom Händler vorgegebenen Rahmen liegt, den von Ihnen freigegebenen Überweisungsauftrag in elektronischer Form an Ihre Bank zu übermitteln sowie den von Ihnen ausgesuchten Händler über die erfolgreiche Einstellung der Überweisung zu informieren.

Drei wichtige Passagen habe ich markiert. Zum einen finden eine Kontodeckungsabfrage statt. Gut, es wird also irgendwie geschaut, ob ich tatsächlich Geld auf dem Konto habe – fair. Wenn ich nun Weiterlese erfahre ich, dass nach  “vorherige Sofortüberweisungstransaktionen” gesucht wird – heißt für mich: soweit möglich werden meine Buchungen aus der Vergangenheit abgefragt, verarbeitet und analysiert, womit indirekt auch etwas über meine Zahlungsfähigkeit ausgesagt wird. Angedeutet könnte hier sein, dass nicht nur Transaktionen des angegebenen Kontos untersucht werden, sondern aller Konten. Der letzte Hinweis umfasst nun noch, dass mein aktuelles Guthaben abgefragt wird – damit wird versucht folgendes Problem zu umgehen: Ein Kunde überweist sein Geld auf ein anderes Konto. Der Umsatz ist aber noch nicht gebucht, sodass eine Guthabenabfrage noch die alten Beträge aufzeigen würde. Erhöhe ich nun diesen Rahmen, wird es zumindest unwahrscheinlicher, dass das Guthaben unbewusst durch zu viele Überweisungen bereits weg ist.

Als nächstes folgen nun noch Hinweise zur Speicherung der “transaktionsrelevante Daten” – zur Erfüllung gesetzlicher Vorgaben, finde ich in Ordnung.

Ergebnis

Ein deutlicher Hinweis, dass alle Konten abgefragt werden, fehlt also, obgleich es nicht überraschend ist, wenn man die Hinweise unter diesem Blick durch ließt. Payment Network hat dazu in oben genannte Pressemitteilung aber angekündigt, dass hier nachgebessert werden wird.

Letztlich möchte ich es, obwohl ich sofortüberweisung.de schon öfters genutzt habe, so halten, wie maass auf seinem Blog:

Auch ganz unabhängig davon, was sofortueberweisung.de alles für Daten ausliest, mit dem Argument eine sichere Zahlung zu gewährleisten: Selbst ohne jegliches Überprüfung meines Konto würde ich mir doch zweimal überlegen meine Bankdaten an einen Dritten zu übergeben…. aber das muss jeder für sich selber wissen.

Unter die kopierten Daten fallen Angaben zu Name, Schule, Geschlecht und Alter. Daten, mit denen eine Identifizierung noch unmittelbarer möglich gewesen wäre (also etwa Postadresse, Telefonnummer oder Fotoalben) seien nicht kopiert worden.

Zunächst einmal ist zu sagen, dass die Daten nicht von außerhalb kopiert wurden, sondern von einem Nutzer, der selbst im Verzeichnis angemeldet war. Das heißt der Grundschutz des Verzeichnisses hat funktioniert. Der CAPTCHA, den man bei einer hohen Anzahl an Anfragen an die Seite eingeben muss, wurde vermutlich duch ein automatisiertes Programm umgangen. Diese “Sicherheitslücke” sei nun allerdings geschlossen. Weitere Angaben bitte ich aus der abgegebenen Stellungnahme zu entnehmen.

Sicherlich ist es nicht schön, dass Daten von so vielen Nutzern kopiert und gespeichert wurden. Da es sich bei den Daten einer Person allerdings nur um einen winzigen Teil von einem großen Haufen an Daten handelt, scheint mir das Risiko für die einzelen Person relativ gering zu sein. Ich zumindest kann mir keinen praktischen Nutzen aus den Daten vorstellen.

Folgendermaßen soll es ablaufen:

• Max ist in verschiedenen Social Networks angemeldet.
• Freunde von ihm laden Bilder von ihm hoch, Stichpunkt: “Betrunkenen dekoriert”.M
• Max bewirbt sich bei einem Unternehmen
• Der Chef oder Personalleiter sucht nach Max im Internet und findet die Bilder, Stichpunkt “Betrunkenen dekoriert”
• Max wird abgelehnt

Doch ist das wirklich realitätsnah? Glaubt ihr nicht, dass der Chef zumindest für die normalen Partybilder Verständniss hat, vor allem, wenn sie eh schon älter sind? Müssten nicht die Qualifikation, die man mit Hilfe von Zeugnissen nachgewiesen hat, höher stehen als das private Leben! Ich kenne viele, die in der Schulzeit geniale Köpfe waren und dann dennoch sich das Gehrin am Wochenende weggesoffen haben…

Wie auch immer, senibilisiert sollte man in diesem Bereich auf jeden Fall sein. Fotots, die man selbst kritisch sieht, sollte man schon deswegen löschen lassen, weil sie einem selbst nicht gefallen. Bei anderen Fotots und Informationen allgemein, sollte man natürlich, wenn man besonders besorgt ist, auch immer überlegen, ob man sich nicht zurückhalten sollte.

Ich persönlich hoffe allerdings, dass sich in Zukunft klar herausstellt, dass unliebsame Inhalte im Internet nicht zwangsläufig zu einer Nichtannahme führen.

via e-recht24.de

PS: ich hab noch nie von einer Person gehört, die wegen Social Networks nicht angenommen wurde

Vorkasse, was ist das überhaupt?

Wenn ich etwas per Vorkasse bezahle, heißt das, dass ich die Wahre oder Leistung schon vor erhalt der Wahre / Leistung bezahle. Dies ergibt für den Anbieter auf jeden Fall Sinn, denn schließlich hat er sein Geld und muss diesem nicht hinterherlaufen. Manchmal wird dies auch damit belohnt, dass die Versandkosten entfallen oder günstiger ausfallen. Doch für den Kunden stellt es zugleiche eine Stolperstelle da. “Bekomme ich die Wahre wirklich, nachdem ich das Geld überwiesen habe?” so, oder ähnlich, denken sicherlich viele, die vor dem Klick auf diese Zahlungsart ihre Handlung überdenken. Es muss ja nicht mal sein, dass der Anbieter bösartig ist und gar nicht vor hat die Wahre nicht zu überweisen. Es kann auch genau so gut sein, dass das Unternehmen pleite geht – mit dem eigenen Geld in den Taschen.

meine eigenen Erfahrungen

Ich hab sowohl positive als auch negative Erfahrungen gemacht. Einst bestellte ich bei ebay ein ferngesteuertes Flugzeug. Geld überwies ich im Voraus. Das Ufo kam, nach langer Verzögerung und mehreren Anrufen – kaputt. Er bot mir zwar an das Fluggerät zurückzuschicken; da ich aber vermutete, dass ich dann weder das Geld noch das Flugzeug wiedersehen würde, behielt ich das Ding – nun staubt es auf dem Dachboden voll.

Andererseits habe ich bei ebay auch schon gute Erfahrungen gemacht. Mehrer Modellschiffe, auch mit höheren Wert, trafen bei mir ein; bezahlt mit Vorkasse.

Bei Anbietershops hab ich bis jetzt eigentlich immer gut abgeschnitten. Warum sieht man im Folgenden.

Entscheidung: wann Vorkasse

Grundsätzlich sollte man sich mit der Frage auseinandersetzten: “Vertraue ich dem Verkäufer?” Etwas in Suchmaschinen zu recherchieren hilft sicherlich auch gut weiter. Hier mal ein kleines “Entscheidungsdiagramm”:

• kenn ich den Anbieter? Hab ich schon frühere Geschäfte mit ihm getätigt?: für mich klarer Fall: hat alles geklappt, ruhig Vorkasse, wenn es einen Vorteil bringt.
• das gleiche trifft zu, wenn Freunde oder Bekannte gute Erfahrungen gemacht haben
• auf ebay hilft auf jeden Fall ein Blick in die Bewertungen. Ist es ein Powerseller? Viele gute Bewertungen? ich denke: Vorkasse und Daumen drücken

• noch nichts vom Shop gehört, macht aber soweit einen guten Eindruck: bei kleinen Beträgen, die man zur Not verschmärzen könnte, Vorkasse, wenn vorteilhaft
• der Shop macht einen miesen Eindruck, echt unsympatisch: ganz, ganz genau und gut überlegen, Freunde und Bekannte fragen, was diese meinen; für mich sind auf jeden Fall hohe Summen per Vorkasse tabu

Was passiert wenn man bei Vorkasse das Geld nicht überweist?

Ich denke, dass es keinen Unterschied zu anderen Zahlungsarten gibt: ein Kaufvertrag ist zustande gekommen – diesem muss man auch nachkommen.

Schlusswort

Ich persönlich kann Anbieter, die bevoruzgt Vorkasse entgegen nehmen, sehr gut verstehen. Gerade in dieser wirtschaftlich schwierigen Zeit gibt es viele Kunden, die die Rechnung nicht bezahlen oder sogar in dieser Absicht bestellen. Wenn man überlegt, wie es im Vergleich ausschaut: Anbieter, bei dem eine Menge Kunden Rechnungen nicht bezahlen  gegen Kunde, bei dem mal ein Anbieter die Wahre nicht schickt – kommt natürlich immer auf den Rechnungsbetrag an…

Viele Menschen wollen sich nicht auf solche Drittanbieterdienste verlassen, mehr Kreativität walten lassen, oder einfach das ganze komplett selbst bewerkstelligen. Dazu braucht man Webspace – oder einen eigenen Server! Dieser sei schließlich viel besser, da man dann auch diese Administration selbst übernehmen könnte und neben dem Webserverkrams auch noch ein paar Spieleserver laufen lassen kann – soweit zumindest die Theorie…

meine eigene Unwissenheit

Auch ich dachte einst ähnlich und bestellte mir, ohne geeignete Kenntnisse, einen V-Server; zugegeben, Webspace reichte in der Tat nicht mehr aus. Damals entschied ich mich für Suse Linux, warum auch immer – vermutlich wusste ich einfach nicht, dass man bei Debian schon mit “apt-get update && apt-get upgrade” eine Menge erreichen konnte.

Der Server lief, und lief und lief. Ohne, dass ich wirklich etwas an der Sicherheit tat – warum auch? lief doch.

Mit der Zeit wurde ich aber mit immer mehr Problemen konfrontiert. Hier wurden E-Mails nicht zugestellt, dort stürzte ein Porzess ab. Im SSF wurde mir dann zwar immer gut geholfen, aber genau so wurde mir empfohlen darüber nachzudenken, ob ich den Server wirklich allein administrieren sollte – Sicherheit seit bei einem Server vorranging, schließlich wollte ich ja keine illegalen Dateien von einem Hacker über meinen Server verbreiten lassen.

ich wachte auf

Als dann webperoni zu server4you floss, entschied ich mich den Server zu kündigen und einen managed Server für die Zukunft zu nutzen. Dabei entschied ich mich für einen Anbieter, den ich auch schon früher im Auge gehabt hatte und von dem ich nur Gutes gehört hatte netcup. Derzeit ab 33 € / Monat bekommt man hier einen administrierten V-Server, mit dem man schon gut einiges erreichen kann. Man kann zwar nicht hingehen und sich einen Gameserver installieren lassen, aber das empfiehlt sich schon wegen Performancegründen nicht. Also Homepage, Mail und Co auf den administrierten Server und anderes, etwa VoIP und Gameserver auf einen eigenen, selbst administrierten Server. So bin ich mir sicher, dass die Homepage immer erreichbar ist, Mails immer ankommen und es auch mit der Sicherheit keine Probleme gibt. Die selbstverwalteten Server sind bezüglich Sicherheit nicht so anfällig – hier laufen ja keine kritischen Anwendungen, die besonderer Absicherung, wie etwa der Mailserver, bedürften.

Warum schreib ich dies nun auf diesem Blog?

Ich habe möglicherweise sehr viel Glück gehabt – ich bekam nie eine Strafanzeige wegen Verbreitung von illegalem Material. Auch hörte ich nie von der Musikindustrie, dass ich Musik verbreitet hätte. Scheinbar war in der Zeit meiner Unwissenheit kein Hacker auf meinen Server aufmerksam geworden. Doch das ist in der Tat nicht die Regel. Ich vermute zwar, dass viele der Meldungen “Hilfe, ich wurde gehackt” auf die Unwissenheit der Administratoren zurückzuführen sind, die sich selbst abgeschossen haben – aber diese, und von ihnen gibt es eine Menge, würden gar nicht mitbekommen, dass ein Hacker Dateien abgeladen hat oder Spam verschickt. Ich möchte jedem, der nicht sehr viel Zeit, Lust und Ausdauer hat, empfehlen, sich entweder für ein großes Webspacepaket zu entscheiden oder einen managed Server zu mieten. Man sollte sich in jedem Fall vorher gut informieren, ob man genügend Kenntnisse hat um einen Server adäquat zu administrieren hat!

netcup Gutschein

Wer übrigens einen Gutschein für die Server von Netcup haben möchte, der kann sich gern – am besten über die Kommentarfunktion – an mich wenden. Es gibt etwa einen Gutschein von Netcup, der einmalig 5 € gutschreibt. Oder zwei, die entweder ein Webspacepaket oder einen Server monatlich um einen kleinen Betrag vergünstigen…

Was war passiert? Mein Freund kümmert sich um die Homepage seiner Band. Da diese demnächst auf dem Maschseefest Hannover auftreten wird, suchte er ein geeignetes Bild um dies auf der Homepage bekannt zu geben – er suchte bei Google. Mein Freund beachtete nicht, dass das Bild nicht freigegeben war, sondern viel mehr zum Erwerb einer Lizenz angeboten wurde.

Nachdem das Bild dann einige Zeit auf der Homepage meines Freundes zu sehen war, folgte eine Abmahnung einer Anwaltskanzlei (ich bin mir sicher, dass mein Freund das Bild auch schon bei einer E-Mail sofort entfernt hätte – leider ist das hier in Deutschland nicht notwendig und eine Abmahnung schon “ein netter Weg”). Ein paar Seiten über den Verstoß, Unterlassungserklärung und selbstverständlich Kostennote. Veranschlagt wurde eine Nutzungsdauer von 12 Monaten, obwohl das Bild nur drei auf der Seite aufrufbar gewesen war. 100% Aufschlag dafür, dass das Bild verwendet wurde ohne den Urheber zu nennen.

Um sowohl die Kosten als auch die Unterlassungserklärung zu prüfen, kontaktierten wir eine Anwältin. Diese dann wiederum den gegnerischen Anwalt.

Zum Schluss stellte der Urheber seine Forderung etwas zurück, da er vermutlich einsah, dass zum einen kein großer Schaden entstanden war und das ganze nicht kommerzieller oder absichtlicher Natur war. Dennoch blieb in der Summe: 1300 € – für ein Bild, drei Monate.

Aus Erfahrung kann ich sagen, dass viele Webseitenbetreiber, vor allem diejenigen von Clans, Gilden, und Communities, in denen der Altersdurchschnitt unter 20 liegt, keine Ahnung von Urheberrecht haben. Nicht nur Texte werden kopiert (mal mit Verweis auf die Quelle, mal ohne), sondern auch Bilder und Musik. Dies ist natürlich in den meisten Fällen nicht korrekt. Doch woran liegts? Scheinbar ist es wirklich der Unwissenheitsfaktor, der viele dazu verleitet. In der realen Welt wird man mit dem Urheberrecht doch kaum konfrontiert, man brauch gar nicht bescheid wissen. Keiner würde auf die Idee kommen ein Buch zu kopieren und weiterzuverkaufen für legal zu halten. Außerdem wäre es wohl viel zu aufwändig. Doch im Internet ist dies mit ein paar Klicks möglich und so schwapt die Unwissenheit über in das Internet und verursacht hier Schäden.

Urheberrecht ist aber nur ein Beispiel dafür, dass das Internet nicht rechtsfrei ist. Die Persönlichkeitsrechte anderer sind hier selbstverständlich genau so zu wahren wie im ‘Reallife’…

So, wie wir im Internet mit den Rechten Anderer konfrontiert werden, so kommt, neben dem erwähnten Persönlichkeitsrecht, natürlich auch ein ganz anderer, wesentlicher Punkt hinzu: Meinungsfreiheit. Das Internet ist in der neuesten Entwicklung (Web 2.0) gerade mit dem Stichpunkt “user generated content”, also von den Nutzern erstellten Inhalten, gerade zu prädestiniert dafür seine Meinung zu den verschiedensten Themen zu äußern und zu diskutieren. Foren und Blogs sind hier eine wichtige Grundlage. Ob nun über allgemeine Themen wie Kochen, kann genau so gut über Politik geschrieben werden – immer beachtet die Rechte der Anderen!