Du hast deinen AdBlocker an?

Es wäre ein Traum, wenn du ihn für t3n.de deaktivierst. Wir zeigen dir gerne, wie das geht. Und natürlich erklären wir dir auch, warum uns das so wichtig ist. Digitales High-five, deine t3n-Redaktion

Startups

Signaturportal.de mit massivem Datenschutzproblem

Wer für seine digitalen Rechnungen auf eine Signatur von signaturportal.de setzt, hat ein Datenschutzproblem, wie wir zu unserer eigenen Verblüffung festgestellt haben: Der Dienst verschickt mit jeder Rechnung sensible Daten des ursprünglichen Antragsstellers. Dazu gehören Geburtsdatum, Wohnadresse, Personalausweisnummer und einiges mehr. 

Stell dir vor du wärest der Geschäftsführer von Host Europe, einem der größten Hoster Deutschlands, und du hättest dich entschieden, den Versand rechtskonformer Rechnungen an einen Signaturlösungsprovider auszulagern wie zum Beispiel Signaturportal.de. Nun stellst du ungefähr ein Jahr später fest, dass dieser Dienstleister das komplette PostIdent-Formular, das du als Nachweis deiner Identität ausfüllen musstest, unverschlüsselt und ungeschützt als gescanntes Bild in jede signierte Rechnung einbettet. Jeder deiner Kunden kann simpel per copy & paste deine kompletten persönlichen Daten wie Personalausweisnummer, Geburtsort, Geburtsdatum, private Wohnadresse und einiges mehr einfach so einsehen. Dann holst du tief Luft und stellst fest: Das ist die Realität.

signaturportal.de bettet in jedes signierte Rechnungs-PDF eine Vollmacht als Anhang ein

Das Problem mit dem PostIdent-Formular

Aus unerfindlichen Gründen hat sich signaturportal.de dazu entschieden, das komplett mit persönlichen Daten ausgefüllte PostIdent-Formular ihrer Kunden in jede Rechnung beim Signieren komplett mit einzubetten. Über diesen Scan wird lediglich eine PDF-Ebene mit folgendem Hinweis gelegt:

Dieses Feld wird zur Erfüllung datenschutzrechtlicher Anforderungen und zum Schutz der Privatsphäre eingefügt: Gemäß § 14 SigG (D), können berechtigte Behörden folgende Identifikationsdaten anfordern: [...]

Ein PDF-Layer soll das dahinter liegende, ausgefüllte Postidentformular „schützen“ (Abbildung nachträglich von der Redaktion anonymisiert)

Das Wunder von „Copy and Paste“

Auch wenn du keine „berechtigte Behörde“ bist und die PDF-Rechnung in Acrobat Reader geöffnet hast, wunderst du dich vielleicht, warum da wohl ein PostIdent-Fomular eingebettet ist. Eventuell klickst du dann einfach auf die Grafik, drückst CMD-C, öffnest ein beliebiges Textverarbeitungsprogramm (z.B. NeoOffice) und drückst CMD-V. „Hack-Vorgang“ abgeschlossen. Schon erstrahlt das PostIdent-Formular mit allen persönlichen Daten in voller Pracht in deinem Textverarbeitungsprogramm.

Das komplette PostIdent-Formular mit allen persönlichen Daten des Geschäftsführers in NeoOffice (Abbildung nachträglich von der Redaktion anonymisiert)

Wen interessiert's?

Die Referenzliste auf signaturportal.de listet bereits einige namhafte Unternehmen wie Siemens, Allianz, TUI, Immowelt und einige mehr. Darüber hinaus sind unserer Redaktion weitere Nutzer des signaturportal.de-Service bekannt, die vollständig von dieser Datenschutzlücke betroffen sein müssten. Darunter der Webhoster Host Europe, der Verlag Galileo Press und viele andere mehr, die sich verständlicherweise auf die Signatur-Dienstleistungen und die Datenschutzkonformität von signaturportal.de verlassen haben.

Unsere Recherche in den signierten Rechnungen unseres Host Europe-Accounts zeigte jedenfalls, dass in allen Rechnungen, die seit Mai 2010 über signaturportal.de signiert wurden, das komplette PostIdent-Formular eingebettet ist. Eine Testbestellung eines Online-Buchs beim Galileo-Verlag beinhaltete gestern ebenfalls das komplette PostIdent-Formular eines Galileo-Mitarbeiters.

Datenschutzlücke + Aufbewahrungespflicht = Distributed Fail

Im Gegensatz zu einer Sicherheitslücke auf einer Website, die man nach Bekanntwerden vergleichsweise einfach beheben kann, handelt es sich bei der signaturportal.de-Datenschutzlücke um einen echten „Distributed Fail“. Selbst wenn signaturportal.de ihren Signaturserver aktualisiert und die Datenschutzlücke zum Beispiel durch das einfache Überdecken der persönlichen Daten mit einer weißen Fläche direkt in dem PostIdent-Scan beheben würde, hätte dies keine Auswirkungen auf bereits signierte Dokumente. Verschlimmert wird diese Tatsache noch dadurch, dass der Gesetzgeber im SigG den Empfänger verpflichtet solche Rechnungen zehn Jahre sicher aufzubewahren.

Welche nachträgliche Lösung gibt es? Keine. Tausende Rechnungen beinhalten nun unwiederruflich die persönlichen Daten verschiedener zeichnungsberechtigter Personen aus großen Unternehmen.

Wir haben signaturportal.de bereits letzte Woche Donnerstag telefonisch auf das Datenschutzproblem hingewiesen. Nach Aussage eines signaturportal.de-Technikers, der uns gestern zurückrief, handelt es sich um ein technisches Problem, das umgehend behoben werde. Wir haben dem Unternehmen außerdem eine Mail mit weiteren Fragen zu dem Problem zugeschickt. In der Antwort des Datenschutzbeauftragten der Mentana-Claimsoft AG (dem Unternehmen hinter signaturportal.de) heißt es lapidar: „Eine Datenschutzverletzung liegt nach meiner Meinung jedoch nicht vor, da die persönlichen Daten in der PDF-Datei durch einen grauen Balken verdeckt sind und ohne Tools (oder Tricks) nicht sichtbar sind. Weiterhin besteht zwischen Sender und Empfänger ein Kunden- und ein gewisses Vertrauensverhältnis, so dass nicht von einem Missbrauch ausgegangen werden kann.“

Aus unserer Sicht ein sehr seltsames Verständnis von Datenschutz. Immerhin zeigt sich signaturportal.de lernfähig: „Um die Daten unserer Kunden noch besser zu schützen, verzichten wir ab sofort auf das Anhängen der Postident-Formulare. Die betreffenden Vollmachten werden umgehend durch Vollmachten ohne Postident-Formular ersetzt“.

UPDATE 17.06.2011

Inzwischen hat signaturportal.de den Signierungsvorgang der PDF-Rechnung umgestellt und bettet nun keine Vollmacht und auch das Postident-Formular nicht mehr in die PDF-Dokumente ein. An dieser Stelle sei auch noch einmal gesagt, dass zu keinem Zeitpunkt die Daten der Kunden von den im Artikel erwähnten Unternehmen Host Europe und Galileo Press betroffen waren.

Finde einen Job, den du liebst

Bitte beachte unsere Community-Richtlinien

10 Reaktionen
saremo

Die Aussage das keine Signatur mehr benötigt wird ist unvollständig (bis falsch).
Wie schon immer ist für den Versand elektronischer Rechnungen neben der "qualifizierten Signatur" auch das "EDI-Verfahren" zulässig.
Neu ist das seit 01.07.2011 auch ein organisatorisches Verfahren Namens "verlässlicher Prüfpfad" hinzugekommen ist.
Was das ist und wie man dieses Verfahren einsetzen kann ist in folgendem Aufsatz beschrieben:
Raoul Kirmes, "Zum Stand der Liberalisierung von Sicherungsvorschriften für elektronische Rechnungen. Nachschau auf einen Pyrrhussieg der „Ent-Bürokraten“ erschienen in der Zeitschrift „die Steuerberatung" (StB), Stollfuss Verlag, 7/2011, (http://www.die-steuerberatung.de/).
Aber auch dieses Verfahren hat diverse Tücken und Hürden und ist nicht umsonst zu haben. Im Fazit heißt es u.a. Zitat: "Der ungeschützte Versand von elektronischen Rechnung durch das Internet per E-Mail oder anders, erfüllt auch in Zukunft unter keinem denkbaren Gesichtspunkt die gesetzlichen Anforderungen und bleibt strafbewehr untersagt."
Ebenfalls kritisch äußern sich Stefan Groß/Martin Lamm, „elektronische Rechnungen- praktische Hinweise zur Neuregelung ab dem 01.07.2011, in BC- Zeitschrift für Rechnungswesen und Controlling, Heft 6/2011.
Es tun also alle gut daran sich zunächst genau mit den Neuerungen zu beschäftigen.

Antworten
Lars

Wer braucht noch eine elektronische Signatur für Rechnungen? Ab 01.07.2011 KEINER.
Am 9. Juni 2011 hat der Deutsche Bundestag im Zuge des Steuervereinfachungsgesetzes 2011 die elektronische Übermittlung von Rechnungen auch ohne die Verwendung einer elektronischen Signatur in eine umsatzsteuerliche Gleichstellung verabschiedet.

Siehe:
http://www.email-marketing-forum.de/News/details/Ab-dem-01072011-ist-der-Versand-von-E-Mail-Rechnungen-moeglich

Antworten
Signaturportal.de

Unter folgendem Link finden Sie die Stellungnahme zu diesem Artikel:

https://www.signaturportal.de/tutorial,337.html

Antworten
Jan-Hendrik

Jetzt bin ich überrascht... Dachte Privatspähre ist eh kein Thema mehr seit Anfang 2010. Zumindest sagte das doch Marc Zuckerberg, und der muss es doch wissen bei 500 Millionen Kunden :-)

Antworten
D. Schmitz

Vielen Dank für den Hinweis. Da wir gerade einen Online-Shop planen und ebenfalls signierte Rechnungen versenden werden, ist dieser Anbieter gerade von meiner Liste der Möglichen gestrichen worden.
Kann "Shori" nur recht geben. Eine solche Aussage wie von dem Datenschützer hätte ich höchstens von einem Studenten an der Tel. Hotline erwartet und nicht von einem Datenschützer der für so viele sensible Kundendaten verantwortlich ist.
Danke @t3n dass wir nun nicht bei diesem Anbieter landen werden.

Antworten
Martin Brüggemann

@Jens Das Problem tritt "nur" bei Rechnungen mit digitaler Signatur auf und hoffentlich auch nicht mehr bei Rechnungen, die du ab heute digital signiert in der hosteurope Kundenoberfläche anforderst (KIS). Bei hosteurope ist es so, dass du selbst als Kunde entscheiden kannst, ob du dir die unsignierte oder die signierte Rechnung herunterladen möchtest. Wenn du also noch keine digital signierte Rechnung in deinem KIS rumliegen hast, wirst du das Problem zum Glück nicht nachvollziehen können. Hosteurope und Galileo Press sind ja aber nur zwei Beispiele von vermutlich hunderten betroffener Unternehmen.

Antworten
Jens Grochtdreis

Ich bin auch Kunde bei Hosteurope, finde diese Anhänge aber nicht. Liegt es an meiner Vorschau auf dem Mac oder ist nicht in jeder Rechnung ein solches Formular eingebettet?

Antworten
Felix

gut, das nennt man einen Fail, aber nicht zu sehr auf Datenschutz rumreiten, nicht das die Politik davon Wind bekommt und wir uns bald alle F und A nennen dürfen.. Felix und Andreas..

Antworten
Miles

Mich hat ein Kunde freundlicherweise darauf hingewiesen. Was soll man dazu sagen? Ich koche vor Wut. Da vertraut man einem externen Dienstleister und zahlt viel Geld und dann sowas. In meinem Unternehmen kümmere ich mich ebenfalls um den Datenschutz. Und das sehr gewissenhaft. Sämtliche Abläufe werden kontinuierlich geprüft. Das sollte man eigentlich als Selbstverständlichkeit sehen. Dies bin ich ja nicht nur meinen Kunden schuldig, sondern auch meinen Mitarbeitern. Sehr sehr armselig sowas!

Antworten
Shori

Nachdem ich selbst Datenschutzbeauftragter in einem Unternehmen bin, kann ich mit Sicherheit sagen, dass der Datenschutzbeauftragten der Mentana-Claimsoft AG für diese Position nicht qualifiziert ist.

Ob die Daten offensichtlich sichtbar sind oder nicht ist völlig irrelevant. Es handelt sich in jedem Fall um eine rechtswidrige Übermittlung der Daten.
Auch ob von einem Missbrauch ausgegangen werden muss oder nicht ist völlig irrelevant.

Hier wird nach Bauchgefühl und erschreckend wenig Sachkenntnis argumentiert.
Mit deutschem Datenschutzrecht hat das wenig zu tun.

Sollte (idealerweise ein Betroffener) der zuständigen Aufsichtsbehörde melden.

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.