burningmind

IT Services, Reisen, Food & More

Di, 05.04.2011
Es sollte eine neue Kamera werden. Was Kompaktes, aber mit ein paar manuellen Features und ein bisschen “was Besseres”. Die Lumix TZ-10 war anhand von Testberichten schnell ausgewählt und per Internet wurde schnell der günstigste Anbieter ermittelt. Ein mir unbekannter Shop mit guten Bewertungen und “eTrusted”. Na dann, warum nicht. Die Ware ist auf Lager(sagt der Shop), Lieferung per DHL in “1-2 Werktagen”, Bezahlung per Kreditkarte, Bestellbestätigung kommt prompt. Prima. Dachte ich.

Mittwoch: Keine Versandbestätigung, keine Ware
Donnerstag: Keine Versandbestätigung, keine Ware. Ich checke meinen Spam Ordner: Nix.

Am Freitag stellte ich dann mal eine Rückfrage per Mail:

Sehr geehrte Damen und Herren,

bei einem Artikel, der auf Lager ist und eine Versandzeit von 1-2 Tagen angegeben hat, hätte ich mittlerweile eine Lieferung, bzw. eine Versandbestätigung erwartet. Leider ist Beides bislang nicht erfolgt. Können Sie mir bitte einen Liefertermin nennen, bzw. ob die Bestellung schon versandt wurde?

Erfreulicherweise kam bereits am Samstag die Antwort:

Sehr geehrte Kundin, Sehr geehrter Kunde.

Wir haben Ihre Zahlung dankend erhalten!

Ich habe mir die Daten zu dieser Transaktion raus gesucht. Hier scheint es wohl ein Fehler gegeben zu haben. Laut System gab es hier ein Fehler in der Buchhaltung. Ihre Zahlung wurde leider falsch gestuft. Auf Ihre Anfrage hin konnten wir diesen Fehler sehen und auch korrigieren. Ich habe Ihren Auftrag an die Versandabteilung übergeben. Ihre Sendung wird laut Lager Montag / Dienstag unserem Versandpartner übergeben. Sie bekommen bei Versand noch eine Mail mit der Sendungsverfolgung inkl. der Paketnummer.

Für die entstandenen Unannehmlichkeiten in der Abwicklung möchten wir uns vielmals bei Ihnen entschuldigen.

Ich habe zwar keine Ahnung, was eine “falsch gestufte Zahlung ist” und ich habe mich schon ein wenig gewundert, warum ein Artikel, der lt. Anzeige auf Lager ist, am Mo ODER Di versandt wird, aber man will es ja nicht übertreiben.

Es wird Montag … keine Versandbestätigung … Dienstag … keine Versandbestätigung. Am Mittwoch platzt mir der Kragen und ich werde etwas deutlicher:

Sehr geehrte Damen und Herren,

so langsam werde ich ernsthaft sauer.

Erst wird in Ihrer Buchhaltung meine Zahlung verbummelt, dann wird mir ein Versand meines (angeblich am Lager verfügbaren Artikels) für Mo/Di versprochen. Heute ist Mittwoch, ich warte nun seit über einer Woche auf meinen Artikel und habe bislang nicht mal eine Versandbestätigung bekommen.

Ich erwarte einen UMGEHENDEN Versand per EXPRESS (zu Ihren Lasten) meines bestellten und BEREITS BEZAHLTEN Artikels. Sollte ich bis Freitag keine Lieferung erhalten haben, behalte ich mir vor, Ihnen einen Blogartikel zu widmen …

Und auch hier wieder eine erfreulich schnelle Antwort:

Hallo,

ich habe mit den Kollegen aus dem Lager gesprochen.
Wir senden Ihnen heute den Artikel zu und legen Ihnen eine passende Kameratasche für die Wartezeit mit bei.

Entschuldigen Sie diese Unannehmlichkeiten bitte.

Zwei Stunden später ist die Versandbestätigung da und tatsächlich taucht am nächsten Tag auch mein lange verschollenes Päckchen auf – natürlich OHNE die versprochene Kameratasche …

Kundendaten

Kundendaten für Alle

Aber was haben die denn da als Füllmaterial verwendet? Als ich die “Papierwolle” etwas genauer unter die Lupe nehme, bin ich zunächst sprachlos. Vor mir liegen KUNDENLISTEN, zu allem Überfluß auch noch zusammenhängend und horizontal geschreddert, sodass man auf fast jedem Streifen Vorname, Namen, Kundennummer, vollständige Adresse und ein kryptisches Kürzel (z.B. stefan67), dass sowohl Portal-Login als auch Passwort sein könnte, lesen kann.

Jetzt mache ich mir doch ein paar Sorgen um meine persönlichen Daten, die ich im Portal eingegeben habe. Die möchte ich umgehend löschen. Ich versuche mich einzuloggen – wie war noch gleich mein Passwort? – egal, gibt ja eine Passwort-Vergessen Funktion. Und dann trifft mich der nächste Schlag: Ich bekomme mein INITIALES Passwort, das ich selbst eingegeben habe, sowie meinen Login-Namen (den ich gar nicht angefordert hatte) per E-Mail zugeschickt.

Aus Security Gesichtspunkten gleich zwei No-Go’s auf einmal:

  1. Passworte sollten IMMER one-way-verschlüsselt gespeichert werden, damit man sie genau NICHT rekonstruieren kann. D.h. bei “Passwort vergessen” sollte man immer ein neues Passwort bekommen.
  2. Passworte und Login Name sollten immer getrennt versandt werden, eine E-Mail hat den Status einer Postkarte und kann von quasi jedem mitgelesen werden.

Das sollte man doch mal dringend adressieren:

Sehr geehrte Damen und Herren,

die Kamera ist nun endlich eingetroffen.
Die als „Entschädigung“ versprochene Kameratasche lag leider nicht bei, was mich aber offen gestanden mittlerweile auch nicht mehr wundert.

Viel erschreckender ist die Tatsache, dass als Füllmaterial mangelhaft geschnetzelte KUNDENDATEN verwendet wurden.
Aus den Schnitzel gehen (zusammenhängend) Kundennummer, Name, Adresse und Username (oder Passwort) hervor.

Ich erwarte zu diesem datenschutzrechtlich äußerst bedenklichen Umstand umgehend eine Stellungnahme Ihrer Geschäftsführung sowie eine umgehende Löschung meiner sämtlichen persönlichen Daten aus Ihren Datenbeständen!

Die Antwort ist lesenswert:

Hallo,

Ihre Kritik ist angekommen und wird intern bearbeitet.

Sie brauchen sich um Ihre Kundendaten keine Sorgen zu machen.
Diese sind durch mehrere Sicherheitsvorgänge gesichert.

Ich bitte um Entschuldigung.

Hallo? “Ihre Kritik ist angekommen”??? Das kann es ja wohl nicht sein! Also eine erneute E-Mail:

Möglicherweise habe ich mich unklar ausgedrückt!

Es genügt mir nicht, dass „meine Kritik intern bearbeitet wird“. Wir reden hier von einem schwerwiegenden Verstoß gegen den Datenschutz! Darüber hinaus habe ich Ihre „mehreren Sicherheitsvorgänge“ zum Sichern von Kundendaten als lesbare Schnipsel vor mir auf dem Tisch liegen. Vielleicht sollte ich die Damen und Herren mal anschreiben um zu sehen, was diese von Ihren „Sicherheitsmaßnahmen“ halten …

Ich wiederhole mich gerne noch einmal:
Ich erwarte zu diesem datenschutzrechtlich äußerst bedenklichen Umstand umgehend eine Stellungnahme Ihrer Geschäftsführung sowie eine umgehende Löschung meiner sämtlichen persönlichen Daten aus Ihren Datenbeständen!

Sollte beides nicht bis Mittwoch 20.4.2011 erfolgt sein, werde ich weitere Schritte unternehmen.

Nach dem Wochenende meldet sich dann endlich mal der Geschäftsführer mit einem wie ich finde sehr nüchternen und wenig “alarmierten” Statement.

Sehr geehrter Herr Ludwig,

da die Verkaufsrechnung gegenüber dem Finanzamt ordentlich verbucht werden muss können wir Ihre Rechnung / Ihre Daten nicht aus der Warenwirtschaftssoftware löschen.

Ihre Bestelldaten in unserem Onlineshop wurden restlos gelöscht. Dies können Sie selber prüfen. Das Login wird nicht mehr funktionieren, da Sie als Kunde zusammen mit all Ihren Daten gelöscht worden sind.

Des weiteren habe ich Ihre Reklamation bzgl. des Verpackungsmaterials erhalten und werde dies angehen.

Für weitere Rückfragen stehen wir Ihnen gerne zur Verfügung.

Bleibt zu erwähnen, dass ich seitdem nichts mehr von der Sache gehört habe, und auch die mir versprochene Kameratasche ist bislang nicht eingetroffen. Vielleicht hake ich da nochmal nach …

Categories: Nörgeleien

One Response so far.


  1. Frederic says:

    Da fällt einem nichts mehr ein. Das dürfte der Nachteil der “Jeder wird ein Unternehmer”-Welle sein. Keine kaufmännische Ausbildung, kein Rechtsbewußtsein und unsauberes Arbeiten. Alles in allem aber nicht wirklich verwunderlich.
    Deshalb bestelle ich in aller Regel bei Amazon (Obwohl… Sony PSN läßt grüßen).

    Cheers
    Frederic