Von der Österreichischen Datenschutzkommission geprüft und bestätigt
Ich habe ein neues Fahrrad (ja, das wäre Thema für einen eigenen Blogeintrag). Dieses wollte ich mir für den Diebstahlsfall „codieren” lassen. Down another rabbit hole we go.
Eine erste DuckDuckGo Suche ergibt, dass die österreichische Polizei/das Innenministerium diesen Dienst nicht mehr anbietet (Thema für einen eigenen Rant). Bei der Suche stolpert mensch dann über http://www.polizei-fahrrad.at/ aka. „Bundesministerium für Inneres - Polizei - Fahrradcodierung”. Und nein, die Domain mit der dazugehörigen 1990er Gedenkseite gehört nicht dem BMI, sonder der einem nicht genannten Kunden der World4You Internet Services GmbH.
Anyways – wesentlich hilfreicher war da schon „Fahrradcodierung - sedl.at”. Hier gab es einen praktischen Hinweis auf fase24.at.
Auf den ersten Blick ja schon recht brauchbar, der ÖAMTC ist auch Registrierungsstelle, in meinem Umfeld haben auch schon ein paar Personen diesen Dienst genutzt. Österreichisches Unternehmen. Schaut gut aus. Aber dann …
„Allgemeine Geschäftsbedingungen” werden, wie so oft, abgekürzt mit einem weiteren Plural versehen – „AGBs”, also Allgemeine GeschäftsbedingungenS – ist ja heutzutage leider üblich. *Seufz*. Gendering sucht mensch auch noch vergeblich. Aber nach dem folgenden Absatz musste ich dann aber wirklich den Kaffee vom Bildschirm putzen:
10.3 fase24 wurde von der – Österreichischen Datenschutzkommission geprüft und bestätigt.
Ja, mit dem obskuren Bindestrich drinnen und allem.
Die österreichische Datenschutzkommission, der zahnloseste Löwe in der Menagerie der Österreichischen Ministerien und Kommissionen, jende DSB, die chronisch unterbesetzt ist und kaum bis kein technisches Wissen intern hat, soll fase24 „geprüft” haben? Seriöslich? Da bin ich neugierig geworden.
OK, der Server dürfte zumindest mal in DE stehen. Nicht so übel.
traceroute --resolve-hostnames fase24.at
traceroute to fase24.at (192.0.78.219), 64 hops max
1 [Snip]
2 [Snip]
3 [Snip]
4 [Snip]
5 62.53.0.5 (ae5-0.0001.corx.01.off.de.net.telefonica.de) 16,536ms 16,030ms 15,624ms
6 62.53.14.163 (bundle-ether1.0003.dbrx.02.fra.de.net.telefonica.de) 14,757ms 13,260ms 13,455ms
7 62.53.10.51 (bundle-ether1.0005.prrx.02.fra.de.net.telefonica.de) 12,657ms 11,083ms 11,459ms
8 80.81.193.69 (edge-a01.fra.automattic.net) 11,938ms 10,903ms 11,272ms
9 192.0.78.219 (192.0.78.219) 13,799ms 13,743ms 13,730ms
Allerdings gehören die Server dem in den USA beheimateten Unternehmen Automattic (bekannt in Film, Funk und Fernsehen durch „WordPress”). Damit läuft fase24 schon mal in den „Clarifying Lawful Overseas Use of Data Act” aka. „CLOUD Act”, §103(a)(1), der USA:
A [service provider] shall comply with the obligations of this chapter to preserve, backup, or disclose the contents of a wire or electronic communication and any record or other information pertaining to a customer or subscriber within such provider’s possession,custody, or control, regardless of whether such communication, record, or other information is located within or outside of the United States.
Baba, personenbezogene Daten.
Damit ist es auch nicht überraschend, dass die Webpage selber dann auch schon eher meh ist. Hier wird bereits heftig von Google und Wordpress mitprotokolliert, wer die Seite besucht.
Ist ja auch „praktisch”. So kann Google den NutzerInnen von fase24 dann überall gleich Werbung für Fahrradzubehör schalten. Yay! NOT!
Während bei den „normalen” Seiten und den Schadensmeldungen halt das mittlerweile leider übliche „nein, wie fragen dich nicht vorher, ob wir Deine Daten (IP, …) an Drittanbieter weitergeben dürfen”, wie es die DSGVO eigentlich vorsieht (und wofür es für self-hostes Wordpress Instanzen auch Plugins gibt), herrscht, wird es bei der Registrierung (Händler wie Endkunden) wirklich gruselig.
Hier landen wir nun nach dem dem relativ stabilen und sicheren Wordpress in einer Microsoft ASP.NET Anwendung, „Designed and developed by fase24” (Anm.: Das sieht man).
Seht ihr das Icon in der Adresszeile, das ich nochmals rot hervorgehoben habe? Jup, das ist eine „mixed content” Warnung. In 2020.
Wir sind hier auch auf eine neue Site/Domain übersiedelt. Nämlich fase24-registrierungen.at. Diese wird wunderbar bei Microsoft gehostet. Damit gilt natürlich das oben gesagte zum CLOUD Act und wir „verlieren” nun auch noch zusätzich Daten zu Microsoft und ihren msecnd.net Servern. Natürlich ebenso ohne Zustimmung der EndbenutzerInnen.
Nachdem es sich bei Microsoft um ein in den USA beheimatetes Unternehmen handelt, gilt neben dem bereits erwähnten CLOUD Act natürlich auch die Folgenkette des durch Max Schrems zu Fall gebrachten „EU-US-Privacy-Shield”. So führt der Landesbeauftragte für den Datenschutz und die Informationsfreiheit in Rheinland-Pfalz in einer FAQ zu dem Urteil Stand: 24.7.2020 aus:
Datenübermittlungen auf Grundlage des EU-U.S.-Datenschutzschilds sind seit dem Urteilspruch rechtswidrig. Die Gewährung einer Karenzzeit durch die Aufsichtsbehörden sehen weder das Urteil noch die DS-GVO vor.
Nachdem diese Aussage auf dem EU-Konstrukt der DSGVO basiert, ist sie durchaus auch für Österreich anwendbar.
An der ASPX Anwendung selbst will ich jetzt eigentlich gar nicht mit irgendwelchen Tools rütteln. Das kann nur böse enden. Wordpress sollte durch das Hosting bei Automattic wenigstens sicherheitstechnisch „OK” sein.
Leider bin ich in der Registrierung noch nicht so weit vorgedrungen, dass ich zur Speicherung der Passwörter schon eine Aussage tätigen könnte – aber ich fürchte mich schon.
Prinzipell sollten europäische Unternehmen bei einem USA-basierten Hosting alle Daten sowohl „in-transit”, als auch „at-rest” verschlüsseln. Mit einem Schlüssel, den nur die fase24 BetreibeInnenkennen. Ich wage zu bezweifeln, dass dies (schon) geschieht.
Einen sinnvollen IT-Security oder Datenschutz-Audit hat die Lösung meines Erachtens noch nicht gesehen, von einem „Von der Österreichischen Datenschutzkommission geprüft und bestätigt” sind sie – wenn es sowas überhaupt gäbe – meines Erachtens WEIT entfernt.
Ich schreib den Jungs und Mädls mal eine Mail und schau, was dabei raus kommt, bevor ich denen meine Daten gebe.
Tagged as: datenschutz, fahrrad, rant | Author: Martin Leyrer
[Dienstag, 20200922, 23:21 | permanent link | 0 Kommentar(e)