Online bestellen bei der ToskanaWorld - ein Abenteuer!
Ich habe im Internet bei Bestellungen ein grundsätzliches Prinzip: Gib niemals deine Kontodaten dem Anbieter. Überweise selber! Du weist nie, wie dilettantisch er sein kann. Nun habe ich es doch getan – und bereut. Im August bestellte ich Gutscheine für die Toskana-Therme in Bad Schandau ( toskanaworld.net ). Aufgrund fortgeschrittener Zeit warf ich diesen Grundsatz über Board!
Die Bestellung verlief reibungsfrei. Nach dem Absenden erlebte ich die erste Überraschung: obwohl alles vorher SSL-verschlüsselt war, wurde mir der erzeugte Gutschein in puren HTTP angezeigt.
Das heißt: es könnte jemand diesen Gutschein abgreifen. Ist zum Glück nicht eingetreten – aber es könnte. Denn der Gutschein gilt nur für den ersten, der mit dem Gutscheincode auf der Matte steht.
(Nachträglich fand ich heraus, daß die selbe URL auch mit HTTPS funktioniert hat. Also die Technik ist schon da – man nutzt sie nur nicht.)
Mich erreichte einige Minuten später eine unverschlüsselte E-Mail. Der Text liest sich verworren, die Verweise muß ich im Quellcode suchen. Da fand ich einen Link zum Gutschein und zu einer verschlüsselten Seite, in der ich meine Bankdaten lesen konnte.
Wenn jetzt der Blutdruck noch nicht bei 180 ist, dann spätestens zwei Stunden später, als noch einmal eine unverschlüsselte E-Mail mit den Bankdaten hinterherkam.
Wenig später erreicht mich noch ein Rundschreiben. Ich zweifle ja oft an mir selber, ob ich versehentlich und unbeabsichtigt doch zugestimmt habe. Doch umfangreichen Fußzeilen sei Dank: sie bedienen sich dem datenschutzrechtlich unzulässigen Opt-Out-Verfahren.
Glücklicherweise bin ich bei der Toskana-World einem anderen Prinzip treu geblieben: E-Mails nur im puren Text.
Ich zitiere aus dem Rundschreiben:
var gaJsHost = (("https:" == document.location.protocol) ? "https://ssl." :
"http://www.");
document.write(unescape("%3Cscript src='" + gaJsHost + "google-analytics.com/ga.js'
type='text/javascript'%3E%3C/script%3E"));
Noch mal auf der Zunge zergehen lassen: ein nicht durch den Kunden angeforderter Rundbrief soll den Abruf desselbigen protokollieren und an die USA übermitteln.
Ich habe den Anbieter angeschrieben. Bereits einen Tag später bekam ich Antwort. Sie dankten für die Anregungen, eine Freikarte als Wiedergutmachung gab es nicht!
Was konkret bisher umgesetzt worden ist, weiß ich nicht. Damit meine Kontodaten nicht mehr sichtbar sind, muß ich schon einmal erinnern. Mitte September bekam ich noch einmal Post von ihnen. So haben wohl „noch einen zusätzlichen Sicherheitsschlüssel eingebaut [..], der nun dazu beiträgt, daß der Benutzer auch seine eigenen Bankdaten nicht noch einmal sehen kann.„, so eine Meldung noch von Mitte September. Die Formulierung ist etwas unglücklich. Ich rätsel immer noch, was sie genau getan haben.
Ehe aber nun alle Welt auf die böse Toskana-World drauf haut: es ist leider nur einer von vielen Anbietern, die sich mit Datenschutz und Datensicherheit nur sehr geringfügig befassen.
(Es hat zum Glück niemand den Gutschein vorher eingelöst. Die Beschenkten waren mit dem Bad ansonsten soweit zufrieden.)