Beiträge zu “Conrad”

Conrad antwortet auf meine DSGVO Anfrage

Auf meine Anfrage nach den zu meiner Person gespeicherten personenbezogenen Daten kam ja erst eine unvollständige Antwort. Dann habe ich nach Ablauf einer erweiterten Frist eine Beschwerde beim Bayrischen Landesamt für Datenschutz eingereicht.

Gestern kam dann ein großer Umschlag von Conrad mit einer recht umfangreichen Sammlung von einzelnen Blättern. Sie beinhaltete

  • Ein Anschreiben mit ausreichenden Antworten zu einem Teil meiner Fragen
  • Kopien meiner Kassenzettel von Einkäufen mit Kundenkarte
  • Ein Datenbankauszug aus einer Newsletterdatenbank
  • Ausdrücke von Online Bestellungen im Shop

Vom Umfang her denke ich war das schon sehr gut und aus meiner Sicht inhaltlich vermutlich ausreichend. Da ich meine Anfrage per Brief gestellt habe ist eine Antwort auf gleichem Medium für mich erst einmal ausreichend.

Wenn ich mir die unterschiedlichen Seiten anschaue wird auch klar warum Conrad aus meiner Sicht nicht in der Lage ist die ggesetzlichen Fristen einzuhalten. Deswegen werde ich an meiner Beschwerde auch festhalten.

Es gibt vermutlich kein Prozess und keine Verfahren dafür. Mein Eindruck ist, das manuell aus verschiedenen Anwendungen zusammen kopiert wurde. Das wäre auch nicht schlimm wenn die Fristen eingehalten werden könnten. Ob das allerdings von den Kosten akzeptabel ist bleibt eine unternehmerische Entscheidung.

Ich mag mir nicht vorstellen was passiert wenn hier auf einmal viele solcher Anfragen auf den Support hereinbrechen.

Auskunft von Conrad zu meiner DSGVO Anfrage
6.2.20
Weitere Beiträge zu: Conrad  

Beschwerde beim LDA Bayern über Conrad

Auf meine Anfrage nach den zu meiner Person gespeicherten personenbezogenen Daten erfolgte eine vollkommen unvollständige und unsachgemäße Antwort. Auch auf Nachfrage erfolgte keine Antwort im rechtlich vorgesehenen Rahmen.

Das Unternehmen hat offensichtlich keine Prozesse für solche Auskunftsanfragen und ist nicht in der Lage seiner Verpflichtung nach Auskunft gemäß DSGVO nachzukommen.

Eine Beschwerde beim Bayrischen Landesamt für Datenschutz ist jetzt raus.

27.1.20
Weitere Beiträge zu: Conrad  

DSGVO Anfrage bei Conrad: da geht noch was

Am 23. November hatte ich gemäß DSGVO eine Anfrage bei Conrad nach meinen dort verarbeiteten personenbezogenen Daten gestellt.

Conrad hat sehr überraschend geantwortet. Überraschend weil die Antwort sehr schnell kam. Überraschend aber auch weil die Antwort inhaltlich eine sehr interessante Auffassung von Conrad zu solchen Anfragen zeigt.

Da ich selber eine Shop betreibe behaupte ich davon ein klein wenig Ahnung zu haben. Man kann mit Sicherheit über die Detailtiefe der Antwort vortrefflich streiten. Aber eine Antwort mit “Wir haben Ihre Postadresse, Ihre Kontonummer, Geburtsdatum und Mailadresse” ist mit Sicherheit vollkommen unakzeptabel.

Ich habe dem Unternehmen aufgrund der anstehenden Weihnachtszeit eine Fristverlängerung bis Mitte Januar gegeben und hier nachzubessern und folgende Daten in elektronischer Form bereitzustellen:

  • Bestellungen
  • Logins und Kommentare auf Conrad.de
  • Übermittlung von IP Adressen an instana.io/google
  • Zusendung von Newslettern/Gutscheinen/Werbung
  • Daten zu Käufen in Ihren Niederlassungen bei Nutzung der Kundenkarte

Das sind die Bereiche von denen ich ausgehen muss das Conrad über mich Daten speichert.

Ich muss zugeben meine niedrige Erwartungshaltung an dieses Unternehmen was die DSGVO angeht ist noch etwas gesunken.

Aber vielleicht bekommen Sie ja noch die Kurve.

18.12.19
Weitere Beiträge zu: Datenpanne   DSGVO   Conrad  

DSGVO Anfrage bei Conrad

Na dann möchte ich mal sehen was Conrad für Daten über mich hat und ob die in der Lage sind hier rechtskonform zu antworten.

DSGVO Anfrage  bei Conrad
23.11.19
Weitere Beiträge zu: Datenpanne   Conrad  

Keine Bestellungen mehr bei Conrad

Eigentlich habe ich immer gerne bei Conrad Electronic eingekauft. Manchmal sogar wenn die Produkte dort teurer als bei Amazon waren.

Seit gestern allerdings nicht mehr. Ich habe mich dazu entschieden “meine Geschäftsbeziehungen” zu dieser Firma aufzugeben. Aus meiner Sicht wird dort nicht angemessen der Schutz der Kundendaten sichergestellt.

Es gab eine Datenpanne. Ich arbeite in der IT und weiß das dies trotz höchster Anstrengungen passieren kann. Die Frage ist wie man damit umgeht. Leider hält man es bei Conrad nicht für notwendig die Betroffenen zu informieren sondern glaubt das es ausreicht eine Information auf der Webseite zu veröfftentlichen. Das scheint auch die zuständige Datenschutzbehörde so zu sehen. Unabhängig von der juristischen Bewertung halte ich so ein Vorgehen für nicht akzeptabel.

Was genau ist passiert?

Die Datensätze bei uns registrierter Kunden, auf die Zugriff möglich gewesen wäre, umfassen Postadressen, teilweise E-Mail-Adressen bzw. Fax- und Telefonnummern und bei knapp einem Fünftel der betroffenen Datensätze auch IBANs.

Warum werden die Betroffenen nicht informiert?

Unsere IT-Experten haben die Sicherheitslücke im System identifiziert und geschlossen. Die betroffenen Daten waren nicht frei im Netz zugänglich, sondern nur durch Einsatz spezieller Software auffindbar, die sich Lücken in der Sicherung von Datenbanken zunutze macht. Nach gründlicher Überprüfung liegen weder uns noch den ermittelnden Behörden Hinweise darauf vor, dass Ihre Daten missbräuchlich verwendet worden wären.

Wo ist aus meiner Sicht das Problem?

  • Der Hinweis auf den Einsatz spezieller Software kann man sich schenken. Nur weil Hinz und Kunz die Daten nicht hätte finden können ist das kein Hinweis auf ein echtes Problem die Daten zu bekommen.
  • Es wird nicht dokumentiert “wie gründlich” man gesucht hat.
  • Man kann nicht sicherstellen das sich der Zustand morgen nicht ändert.
  • Die Daten sind aus meiner Sicht geeignet um personalisierte Phishing Angriffe zu formulieren

Es wäre kaum ein Aufwand gewesen alle Betroffenen zu mindestens eine Mail auf die Kundeninformation zuzusenden. Es soll ja auch Kunden geben welche nicht die Verlautbarungen jedes Versandhauses ständig verfolgen.

Damit werden aus meiner Sicht 14 Million Kunden einem erhöhtem Risiko für Angriffe ausgesetzt. Bei dieser Größenordnung von Daten lohnt sich ein Angriff. Das wäre mit verhältnismäßigem Aufwand zu verhindern gewesen.

Mit so einer Firma möchte ich nichts zu tun haben.

Datenpanne bei Conrad
21.11.19
Weitere Beiträge zu: Datenpanne   Conrad  

Dies ist ein privater Blog von Hagen Bauer- berufstätiger Vater, Ehemann, Naturliebhaber, Läufer, Zelter, technikverliebt.


Creative Commons License
This blog is licensed under a Creative Commons License