|
| |
Erfahrungsbericht zur (Un-) Sicherheit von Ebay
Von Agon S. Buchholz
für Kefk Network Shopping, Juni 2003 ff.
Auktionen : Ebay
: Datenschutz : Übersicht
26-Dec-2003/17-Jan-07
[Changelog - aktuelle Änderungen]
Übersicht
Ebay und Datenschutz
Nach Aussage des
Ebay-Sicherheitsteams nimmt Ebay den Datenschutz sehr ernst. Das
trifft auch zu, wenn man in einem Betrugsfall recherchiert und
beispielsweise um Bestätigung einer bestimmten Auktion bittet (»Hat
diese Auktion am 08.06. tatsächlich stattgefunden? Unter welchem
Ebay-Account wurde die Auktion durchgeführt? Wie viele Kaufer gab es?«).
Mit solchen Fragen bin ich bei Ebay jedenfalls vollkommen aufgelaufen;
so hat mir beispielsweise ein Roman Beerens vom so genannten »eBay
Germany Customer Support« am 11.09.2003 09:25 per Mail mitgeteilt: »[...]
eBay achtet streng auf die Einhaltung der geltenden
datenschutzrechtlichen Regelungen. Eine Mitteilung an Dritte kann nur
erfolgen, wenn ein dementsprechender Auskunftsanspruch besteht. [...]
Bitte haben Sie Verstaendnis dafuer, dass wir aufgrund des
Rechtsberatungsgesetzes keine Auskuenfte geben duerfen«.
Eigenartigerweise handhabt Ebay den Datenschutz nach meinen
Erfahrungen äusserst lax, wenn es um die Wahrung der eigenen Interessen
geht.
- So hatte Ebay beispielsweise keinerlei Bedenken, meine bereits
Wochen vorher als gestohlen gemeldeten und wider
mein Einverständnis genutzten persönlichen Daten an rund 120
Betrugsopfer weiterzugeben, um sich nicht die Blösse geben zu
müssen, den Betrugsopfern selbst mitzuteilen, dass sich ein Betrug
in grösserem Stile auf der Ebay-Plattform ereignet hat, und mir --
erneut ohne mein Einverständnis -- den Erklärungs- und
Rechtfertigungszwand aufzunötigen. Ich musste daher über dreissig
Stunden bei Telefongesprächen mit empörten Betrugsopfern zubringen,
was eigentlich Ebay hätte leisten müssen.
- Ebay hat auch, erneut wider besseres Wissen, meine mittlerweile
bereits fast ein halbes Jahr zuvor als gestohlen gemeldeten
und wider mein Einverständnis genutzten persönlichen
Daten an eine Inkasso-Kanzlei
weitergegeben, die seit dem 24. Dezember (!) versucht, angebliche »Einstellgebühren«
und »gegebenenfalls Verkaufsprovisionen« bei mir
einzufordern. Da ich nie Transaktionen über Ebay durchgeführt habe,
habe ich auch nie der Verwendung, Speicherung oder Weitergabe meiner
persönlichen Daten zugestimmt; der Betrüger, der die Accounts »buchholzhier«
(Fall 2,
Fall 3 und
Fall 4) sowie »hdd_drives«
(Fall 1) angelegt hat,
hatte natürlich keine Berechtigung über die Verwendung meiner
persönlichen Daten zu bestimmen. Ebay wiederum kann auf keinen Fall
behaupten, von dem Missbrauch nichts gewusst zu haben und daher nach
Anschein davon ausgegangen zu sein, dass ich mit »buchholzhier«
und »hdd_drives« identisch sei, da ich den Missbrauch meiner
persönlichen Daten bereits am 14.06.2003 (und mehrmals danach
erneut) gemeldet hatte und Ebay dies auch per E-Mail bestätigt hat.
Ebay misst Datenschutz offensichtlich mit unterschiedlichem Maß, je
nach Bedarf pocht man auf Einhaltung des Datenschutzes, wenn man keine
Informationen herausgeben will, oder man wirft mit persönlichen Daten
unter Missachtung aller datenschutzrechtlichen Vorschriften nur so um
sich, wenn es um die Wahrung der eignen Interessen geht -- das
jedenfalls sind meine eigenen Erfahrungen mit Ebay.
Ebay-Nutzern in Deutschland sollte klar sein, dass auch sie mit der
Bestätigung der AGBs von Ebay in eine sehr eigenartige »Datenschutzerklärung«
(Privacy Policy) einwilligen:
In dieser Erklärung heisst es zunächst einmal unter Punkt 1, Absatz
1, dass alle Daten in die US-Zentrale übermittelt werden dürfen. Danach
willigt der Anwender ein, dass alle anderen Ebay-Gesellschaften
ebenfalls die Daten verarbeiten und nutzen dürfen. Was das bedeuten
kann, zeigt der Abschnitt
Ebay versendet Spam.
Auch die weitere "Erläuterung zur Ergänzung der
Datenschutzerklärung (Betrugsbekämpfung und -prävention)" besteht in
erster Linie aus einer "Einwilligung in die Erhebung, Verarbeitung
und Nutzung von Bestands- und Nutzungsdaten" (vgl. Meldungen
auf Intern.de,
Heise
Online sowie weitere).
Verstösse gegen den Datenschutz
Ich gehe davon aus, dass Ebay in meinem Fall wiederholt gegen die
datenschutzrechtlichen Vorgaben aus BDSG und
Teledienstedatenschutzgesetzt verstossen hat; ich habe die Situation dem
Berliner Beauftragten für Datenschutz und Informationsfreiheit,
An der Urania 4-10, 10787 Berlin, gemeldet und um Untersuchung gebeten.
Im einzelnen geht es mir dabei um eine Klärung folgender Punkte:
- Ich bin in einem mittlerweile recht komplexen Internet-
Betrugsfall bei der Online- Auktionsplattform Ebay verwickelt
worden, ohne jemals Transaktionen über Ebay abgewickelt zu haben;
dennoch hat das Auktionshaus meine Daten an rund 120 andere
Ebay-Kunden sowie vor kurzem an eine Hamburger Anwaltskanzlei
weitergegeben.
Ich bin jedoch kein Ebay-Teilnehmer und habe daher nie der
Verarbeitung oder Weitergabe meiner Daten zugestimmt, Ebay dürfte
m.E. meine Daten ohne meine Zustimmung zumindest bis zu einer
Klärung der Betrugsfälle weder an die Betrugsopfer noch an eine
"Inkasso"-Anwaltskanzlei weitergeben.
- Es handelt sich um einen Fall von Betrug, Identitätsdiebstahl
durch einen Dritten sowie Rufschädigung und evl. Beihilfe zum Betrug
[Duldung, grobe Farlässigkeit?] durch Ebay; unter meinem Namen und
meiner Anschrift wurden bei Ebay seit Anfang Juni 2003 insgesamt
rund 120 Auktionen aus vier "Warengruppen" (Parfum, Festplatten,
Computerspiele und Konzertkarten) durchgeführt.
Ebay hat es durch m.E. grob fahrlässiges Handeln (im
umgangssprachlichen Sinne, ich bin kein Rechtsanwalt) versäumt, die
insgesamt zwei aufeinander folgenden Betrugsserien (erste Serie:
Juni 2003, zweite Serie: September 2003) zu verhindern oder
rechtzeitig einzudämmen, obwohl ich Ebay umgehend von dem Missbrauch
meiner prsönlichen Daten informiert habe. Meine Identitätsangaben
wurden von einer mir unbekannten Gruppe oder Person "gestohlen",
also entweder dem Telefonbuch oder dem Impressum meiner Website
entnommen, und ohne mein Wissen oder Einverständnis und vor allem
auch ohne meine Duldung für die betrügerischen Auktionen verwendet.
Ich selbst habe über Ebay nie etwas ge- oder
verkauft, und die beiden in den über 120 Auktionen verwendeten Ebay-
Accounts ("buchholzhier" und "hdd_drives") gehören nicht mir, d.h.
sie sind nicht von mir angelegt worden, ebenso wenig wie die im
Ebay- System angegebenen E-Mail- Adressen oder die Bankverbindungen,
auf die die Betrugsopfer nach deren Auskunft Beträge zwischen EUR
15,- und 250,- gutgläubig per Vorkasse überwiesen haben; die beiden
Bankverbindungen laufen natürlich auch nicht auf meinen Namen und
sind in anderen Teilen der Bundesrepublik eröffnet worden.
- Über den ersten Fall Habe ich Ebay erstmals Mitte Juni 2003
informiert; Ebay
sicherte per E-Mail zu, die Adresssdaten gesperrt zu haben und
erklärte
explizit, dass unter diesen Adressdaten keine Auktionen mehr möglich
seien (E-Mail von einer "Barbara Graf, eBay - Sicherheit" vom
16.06.: "[...] Ich habe alle gefundenen Konten die Ihre Adressdaten
enthielten geprueft und gesperrt. Es ist demnach nicht mehr moeglich
in irgendeiner Weise unser System zu nutzen").
Dennoch fanden Ende September 2003 insgesamt 117 weitere
Auktionen statt. Auch diese Betrugsfälle wurden Ebay durch mich und
zahlreiche Betrugsopfer gemeldet; auch dies hat Ebay erneut
bestätigt (E-Mail von einem "Roman Beerens" vom "eBay Germany
Customer Support" vom 09.09: "Wir haben erneut <sic!> alle bei uns
mit Ihrer Anschrift registrierten Mitgliedskonten ueberprueft und
vom Handel bei eBay ausgeschlossen").
Ich habe ausserdem Anfang September Strafanzeige gegen Unbekannt
wegen Betrugs erstattet, die Behörden müssten also mittlerweile bei
Ebay um Auskunft ersucht haben; daraus sollte Ebay also in jedem
Falle klar geworden sein, dass die behauptete Identität von mir und
dem Inhaber der Ebay-Accounts "buchholzhier" und "hdd_drives"
zumindest umstritten ist.
Dennoch gab Ebay meine missbrauchten Adressdaten an sämtliche
Betrugsopfer weiter mit der Aufforderung zu versuchen, deren
Forderungen mit mir zu klären.
Ich -- als juristischer Laie -- betrachte dieses Verhalten
Seitens Ebay als Missbrauch meiner persönlichen Daten; die definitiv
nachweisbare Untätigkeit und diesbezügliche Falschaufkunft seitens
Ebay auf mein Ersuchen auf Sperrung der mit meinem Adressdatensatz
verbundenen und in offensichtlich betrügerischer Absicht angelegten
Accounts von Juni 2003 sehe ich als mittlerweile als grobe
Fahrlässigkeit und/oder Beihilfe zum Betrug an - Was ist das sonst,
wenn mir die Sperrung meiner Adressdaten zugesichert wird, ein Monat
später jedoch unter exakt denselben Adressdaten plötzlich wieder 117
Auktionen durchgeführt werden können?
- Ebay wurde durch mich mehrfach über den anhaltenden Missbrauch
meiner Adressdaten unterrichtet; dennoch hat das Auktionshaus
keinerlei für mich erkennbare Gegenmassnahmen ergriffen, um weitere
Belästigungen meiner Person oder der Angehörigen meiner Familie
durch Telefonate oder "Russisch Inkasso" (zumindest in einem Fall
hat ein Betrugsopfer mehrfach versucht, mich in meiner Wohnung
"anzutreffen" und erklärt, man brauche den Fall nicht bei der
Polizei anzuzeigen, "man habe andere Methoden, und die seien sehr
unangenehm für mich") zu unterbinden, ganz im Gegenteil.
Man scheint bei Ebay einfach den Erklärungsbedarf
für den Betrugsfall, der ausschliesslich durch die
Fahrlässigkeit von Ebay überhaupt erst entstehen konnte, ganz
bewusst an mich abwälzen zu wollen; ich musste daher in meiner
Freizeit weit über 70 zeit- und teilweise nervenraubende
Telefongespräche mit Betrugsopfern führen, und es ist nicht ganz
trivial, Menschen unterschiedlichen Bildungs- und Kenntnisstandes
plausibel zu machen, das Ebay keinerlei Identitäsfeststellung
durchführt (ich bekam mehrfach zu hören, das könne gar nicht sein,
das "könnten die sich gar nicht leisten").
- An die Auktionsteilnehmer der Betrugssserien wurden durch Ebay,
wider besseres Wissen seitens Ebay, über Wochen hinweg meine
Adressdaten herausgegeben, und Ebay hat beispielsweise auch keinen
der Geschädigten von sich aus über die Tatsache eines Betrugs
informiert, in dem auch polizeilich ermittelt wird.
Ebay verhindert so m.E. auch eine gezielte Strafverfolgung, da
die über die gesamte Bundesrepublik verstreuten Betrugsfälle kaum
zusammengeführt werden können und vermutlich zu viele Betrugsopfer
aus Unsicherheit von einer Strafanzeige gegen Unbekannt absehen.
- In einem letzten Höhepunkt hat Ebay eine Hamburger
Anwaltskanzlei beauftragt, "Einstellgebühren und gegebenenfalls
Verkaufsprovisionen" i.H.v. immerhin EUR 373,35 bei mir
einzutreiben; das entsprechende Schreiben wurde am 24.12. (!)
zugestellt.
Hier wird die Tatsache, dass ich die Betrugsfälle
mehrfach dem so genannten "Ebay- Sichereheitsteam" gemeldet habe und
dass in den Betrugsfällen bereits polizeilich ermittelt wird,
vollständig ignoriert.
Da ich keinerlei Geschäftsbeziehungen zu Ebay
unterhalte und auch keine Transaktionen über diese Auktionsplattform
abwickle, habe ich nie der Speicherung, Verarbeitung oder Weitergabe
meiner persönlichen Daten durch Ebay zugestimmt.
Ausserdem sind die durch die Anwaltskanzlei
mitgeteilten finanziellen Forderungen von Ebay zumindest "strittig"
bzw. gegenstandslos, zumal ich ja auch nie Rechnungen oder Mahnungen
von Ebay erhalten habe.
Dennoch hat Ebay meine Adressdaten an die Hamburger
Kanzlei "Dr Seegers, Dr. Frankenheim & Partner" weitergegeben; das
Schreiben trägt darüber hinaus den für mich völlig unklaren und
bedrohlich wirkenden Hinweis: "Die Daten zu Ihrer Person sind
gespeichert" - welche Daten sind wo, in welcher Form, für wie lange
und auf welcher Rechtsgrundlage gespeichert? Möglicherweise bedeutet
diese Passus auch, dass ich jetzt völlig grundlis einen
Schufa-Eintrag erhalten habe; jedenfalls fehlen jegliche
Ausführungen zu Art und Umfang der Datenspeicherung.
Die interessante Frage ist nun, wie die Handhabung
meiner persönlichen Daten durch Ebay zu bewerten ist. Ich habe Ebay
mitgeteilt, dass es sich um einen Betrugsfall und Identitätsdiebstahl
handelt, und Ebay hat dies bestätigt; dennoch verarbeitet Ebay meine
Daten ohne mein Einverständnis weiter. Ist das bei einem zumindest
strittigen Geschäftsverhältnis überhaupt in dieser Form zulässig? Ich
weiss nicht mehr, wie ich Ebay dazu bewegen könnte, den Missbrauch
meiner Identitätsdaten dauerhaft zu unterbinden, die (gegenstandslosen)
finanziellen Forderungen fallen zu lassen und mir dies auch in
Schriftform zu bestätigen sowie, wenn möglich, die Betrugsopfer durch
Ebay über die Tatsache eines Betrugs informieren zu lassen.
Weiterhin ist zu klären, ob es möglich ist, gegenüber
Ebay eine strafbewehrte Unterlassungserklärung zu erzielen, die den
weiteren Missbrauch meiner Identitätsdaten auf der Ebay- Plattform
unterbindet, oder ob es möglicherweise sogar sinnvoll wäre, gegen Ebay
Anzeige zu erstatten; Ebay hat ja zumindest ein naheliegendes Motiv für
die Duldung und/oder Begünstigung der Betrügereien, ungeachtet deren
Rechtmässigkeit, zumal ja bei jeder der zig-tausend monatlichen
Transaktion eine Gebühr anfällt, die anscheinend entweder durch den
Käufer oder Verkäufer zu tragen ist, an der Ebay also in jedem Falle
mitverdient und die offensichtlich in jedem Falle einzutreiben versucht
wird. Dieses finanzielle Eigeninteresse seitens Ebay, ungeachtet eines
"möglichen" Betrugsfalles, sollte durch den "Inkassoversuch" der
Hamburger Kanzlei Dr. Seegers, Dr. Frankenheimer & Partner auch
hinreichend beweisbar sein.
Flexibler Datenschutz bei eBay
Die Nachrichtendienste meldeten
Ende Februar 2003 interessante Details zur Handhabung des Datenschutzes
bei Ebay: Unter Berufung auf Aussagen von Joseph Sullivan, dem
Leiter der Abteilung "Law enforcement and compliance" von Ebay in
den USA, auf der Konferenz Cyber Crime 2003 berichtet die
israelische Tageszeitung Ha'aretz, es gebe keine andere Website,
die einen ähnlich "flexiblen" Datenschutz betreibe wie das
Online-Auktionshaus:
- Es bedürfe keiner besonderen Verfügung, damit staatliche
Ermittler in den USA an Kundendaten herankommen können.
- Ebay habe sämtliche Vorgänge auf seinen Auktions-Sites seit 1995
festgehalten, seien es Angebote, Gebote oder Beurteilungen über
Käufer und Verkäufer. Auch deutsche Anbieter und Bieter seien davon
betroffen, denn die Zugangsdaten für Ebay.de gelten auch in den USA.
- Monatlich gingen laut Sullivan rund 200 Anfragen von FBI, CIA
und anderen staatlichen Stellen bei Ebay ein. Diesen folge das
Auktionshaus in den meisten Fällen auch ohne Gerichtsbeschluss.
- Ebay werde aber freiwillig tätig. Sechs eigene Ermittler seien
eigens dafür abgestellt, um "verdächtigen Aktivitäten" nachzugehen.
In Zusammenarbeit mit der Polizei würden Schein-Accounts gebraucht,
um in solchen Fällen den Tätern eine Falle zu stellen - diese
Aussage steht im krassen Gegensatz zur Behauptung des so genannten
Ebay-Sicherheitsteams mit
gegenüber, das behauptet hat, Ebay stelle keine eigenen Ermittlungen
an.
- Durch die Übernahme von Pay Pal kontrolliere man nicht nur,
welchen Weg die Waren nehmen, sondern auch den Weg beim
Geldtransfer.
Quellen: Intern.de,
Heise
Online.
Navigation
Anmerkungen
| | | | | | | | |  | | Hilfe | (anonymous) | Mai 26, 14:34 |
|
|
| |
 Datenschutz: |
Name: Besucher
Online: 25 aktive User.
|
| Login |
Logout
|
|
Getprice.de: |
|
Shop@kefk.net: |
|
Kefk Network :
Shopping |
About |
Wiki
