Samstag, 11. Juni 2016

Fälschungssicherheit von Haken und Bestätigungs-Email

Im Datenschutz gilt das Verbotsprinzip mit Erlaubnisvorbehalt. Das bedeutet, alles ist verboten, es sei denn der Betroffene willig freiwillig und schriftlich ein.

In §4a Abs. 1 Satz 3 ist vorgegeben:
"Die Einwillig bedarf der Schriftform, soweit nicht wegen besonderer Umstände eine andere Form angemessen ist."

Gängige Praxis bei Online-Geschäften ist das Hakensetzen. Das ist nach der neuen EU-Grundschutzverordnung auch erlaubt.

Als Datenbankexpertin kann ich davor nur warnen, denn natürlich kann jeder, der Zugang zur Datenbank hat, Datensätze verändern. Mit dem simplen SQL-Befehl

UPDATE kunde SET erlaubnis=TRUE;

schafft jeder auch weniger gut Ausgebildeter, in der Datenbank einzutragen, dass alle Kunden die Erlaubnis erteilt haben. Das einzige, was dafür notwendig ist, ist der Zugang zur Datenbank.

Auch üblich ist das versenden von E-Mails mit Bestätigungslinks.

Wie fälschungssicher Bestätigungslinks sind, darf ich gerade am eigenen Leib erfahren.

Ich nutze zweckgebundene E-Mail-Adressen. Ich habe eine private E-Mail-Adresse für die Kommunikation mit Freunden, eine gesonderte für meinen Blog, eine weitere für Github sowie unterschiedliche E-Mail-Adressen für unterschiedliche Geschäftszwecke.

Meine Apple-ID-Email-Adresse nutze ich ausschließlich für Geschäfte mit Apple.

Auf dieser Adresse bekam ich Android-Werbung.

Ich zeigte den Spam an und bekam zu Antwort, dass ich am 19. Dezember 2015 an einem Gewinnspiel teilgenommen hätte. Man hätte mir eine E-Mail mit einem Bestätigungslink zugesendet, den ich um 13:08 bestätigt hätte.

Eine solche E-Mail kann ich nicht finden. Es sind an dem Tag auf allen 12 E-Mail-Accounts insgesamt nur vier Nicht-Spam-Emails eingegangen.

Am 19. Dezember 2015 verbrachte ich auf Grund von Unwohlsein den ganzen Tag im Bad und im Bett und nutzte kein einziges elektronisches Gerät.

Sämtliche Protokolle meiner internetfähigen Geräte zeigen, dass ich an dem Tag nicht aktiv war. Mein Rechner war aus. Ich habe Protokolle, die Aktivitäten am 18. und am 20. Dezember zeigen, aber absolut gar nichts am 19. Dezember. Es ist von mir kein einziges Bit Traffic an dem Tag protokolliert.

Aber natürlich kann auch hier jeder, der Zugang zur Datenbank hat, einen einfachen SQL-Befehl abfeuern.

UPDATE erlaubnis SET bestaetigung=TRUE, bestaetigungszeit='2015-12-19 13:08';

Der Betroffene hat darauf keinen Einfluss. In jedem Fall sollte, bei der Umsetzung der EU-Grundschutzverordnung ins deutsche Recht, darauf geachtet werden, dass die Beweispflicht nicht beim Betroffenen liegt. Der der die Daten erhebt, sollte fälschungssicher beweisen können, dass die Einwilligung wirklich vom Betroffenen gegeben wurde.