Datenschutz beim „FOXRATE“ Bewertungssystem

Datenschutz beim „FOXRATE“ Bewertungssystem

Hinweis: Bitte beachten Sie, dass dieser Beitrag ein Update erhalten hat. Dieses ist im unteren Bereich angefügt. Vor einiger Zeit bin ich auf ein Bewertungssystem aufmerksam geworden, welches in der letzten Zeit recht negativ aufgefallen ist. Das Bewertungssystem namens „FOXRATE“ wird von den Betreibern kostenfrei zur Verfügung gestellt, jedoch stößt das Angebot auf teils heftige Kritik, die nicht ganz unbegründet ist. Neben starken Bedenken bezüglich Datenschutz und Eingriff in Informationen über Kunden, wird auch der Versand unerwünschter Werbenachrichten kritisiert. Ich möchte Ihnen in diesem Beitrag erläutern, warum ich grundsätzlich von der Verwendung des FOXRATE Bewertungssystems abrate, sofern Sie sich als Betreiber eines Onlineshops nicht absolut sicher über die möglichen Konsequenzen sind.

FOXRATE wird von den Machern des bekannten „SELLERFOX“ – einer Auktionsgalerie für eBay – als kostenfreier Dienst für Kundenbewertungen im Onlineshop und auch auf eBay angeboten. Verkäufer können sich im Portal registrieren und erhalten eine Anbindung an das System, welches die Bewertung einzelner Bestellungen ermöglicht. Zudem kann ein Widget eingebunden werden, welches die durchschnittliche Bewertung und weitere Informationen anzeigt, ähnlich wie man es von „Trusted Shops“, „eKomi“ und anderen Anbietern kennt. Das System ermöglicht Hinweisnachrichten für Kunden, die an eine Bewertung erinnern, daher ist das System recht interessant und praktisch.

Viele Shopbetreiber weichen auf diese kostenlosen Bewertungssysteme aus, da die kommerziellen Anbieter teilweise recht hohe Preise für ihre Dienste ansetzen. Gerade Gründer bzw. die Anfänger im Bereich eCommerce versuchen natürlich die Kosten möglichst gering zu halten. Bei monatlichen Gebühren von 99.- bis 299.- EUR für das Bewertungssystem (Preise bei eKomi Stand 12.12.2012) kann man dies natürlich verstehen. Allerdings sollte man sich vor Augen führen, dass ein Portal mit einem derartigen Bewertungssystem, durchaus hohe Server- und Wartungskosten verursachen kann. In solch einem Fall, ist das mit dem „kostenlos“ dann immer so eine fragwürdige Angelegenheit. Warum sollte jemand einen derartigen Dienst absolut kostenfrei bereitstellen und die laufenden Kosten aus der eigenen Tasche bezahlen?! Nunja, es gibt solche Fälle, aber sie sind eher die Seltenheit. Meist ist bei der Eigenschaft „kostenlos“ der User die Ware und auch bei FOXRATE scheint es mir, als könnte dies zutreffen.

FOXRATE bietet für diverse Shopsysteme eine Schnittstelle, die den Datenaustausch erlaubt. Die jeweiligen Daten werden aus der Datenbank des Onlineshops exportiert und über die Schnittstelle an FOXRATE weitergeleitet, dort anschließend gespeichert. Dies – so erklären die Betreiber – sei lediglich für den Versand der Hinweisnachrichten an die Kunden, sowie für die Zuordnung der Bewertung notwendig. Natürlich ist es klar, dass der Dienst entsprechend Informationen benötigt, um Hinweisnachrichten an die Kunden zu senden und die Bewertung zuordnen zu können. Betrachtet man aber die Dateien der Schnittstelle und die darin auftretenden Funktionen etwas genauer, bekommt man als Datenschützer und Sicherheitsexperte wahrlich Kopfschmerzen.

Wirft man einen genaueren Blick auf die Schnittstelle, wird man feststellen, dass dort weit mehr Informationen aus der Datenbank kopiert werden, als – beim besten Willen – für eine Bewertung notwendig sind. Genau genommen sind es folgende Informationen über den Kunden und die Bestellung, welche FOXRATE ohne weitere Rückfrage und ohne das Wissen des Shopbetreibers und des Kunden, zu jeder Zeit aus dem Shopsystem bzw. der Datenbank kopieren kann:

– Vor- und Nachname
– Wohnort
– Postleitzahl
– Bundesland
– Land
– Geburtsdatum
– Geschlecht
– Telefonnummer
– E-Mail-Adresse
– Sprache
– Währung
– Bestellnummer
– Bestelldatum
– Jeder einzelne, gekaufte Artikel mit EAN, Artikeldaten und Kaufpreis

Äußerst kritisch ist die Tatsache, dass FOXRATE – unabhängig davon, ob der Kunde später eine Bewertung abgeben möchte oder nicht – die Informationen über den Kunden und die bestellten Artikel, vollautomatisch über die Schnittstelle erhält und ohne weitere Zustimmung speichert. Das größte Problem an dieser Sache ist wohl, dass die Shopbetreiber vor der Installation dieser Schnittstelle, zu keinem Zeitpunkt eine genaue Information darüber erhalten, welche exakten Daten der Kunden kopiert und verwendet werden. Zwar wird in den Nutzungsbedingungen ein „Hauch“ von Informationsgehalt bereitgestellt, jedoch ist in meinen Augen keine Klarheit über die Verwendung der Datensätze vorhanden. Wer diese Schnittstelle und den Dienst bei FOXRATE nutzt, ohne genau zu wissen, welche Daten in welchem Umfang an Dritte weitergegeben werden, kann in enorme Schwierigkeiten geraten. Die Gesetzgebung schreibt vor, dass Kunden über die Verwendung der Kunden- und Bestelldaten informiert werden. Im Fall „FOXRATE“ ist das „Nichtwissen“ der Shopbetreiber aber schon vorprogrammiert und damit auch die Gefahr sehr groß. Ein Shopbetreiber müsste also – um geltende Gesetze einzuhalten – ausführlich über die Verwendung des Dienstes aufklären und dem Kunden die Möglichkeit geben, einer Verwendung der Daten für das Bewertungssystem zu widersprechen. Soweit ich weiß, ist dies aber alleine technisch mit dem Dienst nicht möglich und ich gehe davon aus, dass fast alle Shopbetreiber überhaupt kein Wissen über die Problematik haben, demnach auch nicht ausreichend aufklären und vorbeugen können.

Zum indirekten „Datenklau mit Freibrief“ kommt auch noch ein weiteres Problem hinzu. Es haben bereits mehrere Shopbetreiber über unseriös erscheinende E-Mails von FOXRATE bzw. der Betreiber des Dienstes mit Sitz in Zypern berichtet. In diesen – durchaus schon als Spam zu bezeichnenden – E-Mails werden Angebote verschickt, die nicht das Sortiment des Shopbetreibers, sondern der Betreiber des Dienstes FOXRATE betreffen.

Ich habe bereits im „Sellerforum“ auf das Thema reagiert und Fragen an FOXRATE gestellt. Die Betreiber sind dort ebenfalls als Mitglied registriert und beteiligen sich an Diskussionen im Forum. Zwar hat man auf anfängliche Fragen geantwortet, jedoch gab es nach weiterem Nachhaken eine Stille, die ich als äußerst auffällig wahrnehme. Viele Shopbetreiber beschweren sich bereits über die unseriöse Vorgehensweise und die unerwünschte Verwendung von Daten des Shopbetreibers und dessen Kunden. Den Thread im Sellerforum kann man hier nachlesen: Kostenloses Bewertungssystem FOXRATE – Erfahrungen

Ich werde FOXRATE in Zukunft ein wenig genauer beobachten und bei Bedarf ein Update zum Thema schreiben. Im Moment kann ich aber grundsätzlich aus meiner persönlichen Sichtweise und Meinung, von der Verwendung dieses Dienstes abraten. Wer nicht unbedingt eine saftige Abmahnung vom Mitbewerber, Ärger mit Kunden oder gar mit Datenschützern riskieren möchte, sollte von FOXRATE besser die Finger weglassen und auf Alternativen ausweichen. Bewertungssysteme gibt es wie Sand am Meer und teilweise auch wirklich brauchbare, kostenlose Dienste, die dann aber auf Daten von Ihnen und Ihren Kunden verzichten bzw. sich der Umfang der ausgetauschten Informationen in Grenzen hält.

Update 20.06.2013:

Der Beitrag zum Bewertungssystem „FOXRATE“ wurde vor ein paar Wochen für ein Update deaktiviert. Ich hatte leider bisher keine Zeit mit mit dem Thema erneut zu beschäftigen, aber nun gibt es ein kurzes Update. Derzeit gibt es eine Auseinandersetzung mit der Foxrate Internet GmbH, die – wie mir mitgeteilt wurde – Rechtsnachfolgerin der damaligen Sellerfox Europe Ltd. ist. Diese Foxrate Internet GmbH hat also nun als deutsche Gesellschaft das Bewertungssystem „FOXRATE“ in der Hand. Nachfolgend werde ich Teile aus dem anwaltlichen Schreiben zitieren und entsprechend die Aussagen berichtigen.

1.

Nun, es ist selbstverständlich ärgerlich, wenn aktuell sehr viele „falsche und verleumderische“ Aussagen über FOXRATE veröffentlicht werden. Was dies aber speziell mit diesem Beitrag hier zu tun hat, wüsste ich nicht. Jede Aussage im Beitrag wurde geprüft und recherchiert. Zum damaligen Zeitpunkt handelte es sich um Fakten. Aber dazu komme ich noch…

2.

Dies mag richtig sein, allerdings war es zum Zeitpunkt der Veröffentlichtung dieses Beitrags nunmal die Ltd in Zypern, die hinter FOXRATE stand. Hier nun aber – wie im vorgehenden Absatz bereits geschrieben – nochmal korrigiert: FOXRATE ist nun die Foxrate Internet GmbH mit Sitz in Berlin. Bezüglich dem kostenlosen Dienst, kann ich ebenso nur auf die damaligen Zustände verweisen. Es gab damals nur eine kostenlose Version von FOXRATE. Also kann ich auch nur über die kostenlose Version berichten. Man versucht – meiner Meinung nach – die Aussage mit dem aktuellen Stand des Angebots auszuhebeln und falsch aussehen zu lassen. Der „Grundservice“ ist kostenlos, jedoch ist es der Standard welcher angeboten wird. Man kann also sagen, dass der Standard meinen Aussagen entspricht. Was mit Premium-Diensten im aktuellen Stand vorgeht, ist mir nicht bekannt und würde auch den Inhalt und die Aussage in meiner Berichterstattung nicht ändern. Ich habe vom kostenlosen FOXRATE geschrieben und da hat sich nichts geändert.

3.

Es gibt in diesem Beitrag nur eine negative Bewertung bezüglich Datenschutz beim FOXRATE Shopmodul und diese kommt von mir persönlich, weil ich selbst einen genauen Blick auf die technische Seite geworfen habe. Was in anderen Blogs, in Foren oder Communities über FOXRATE geschrieben wird, kann ich nicht beeinflussen. Ich fühle mich dafür auch garantiert nicht verantwortlich. Ich habe lediglich darüber berichtet, dass im Sellerforum ein Thread existiert, in dem sich diverse Shopbetreiber über Spam von FOXRATE, sowie Bedenken zum Datenschutz äußerten. Was den Datenschutz betrifft, habe ich persönlich das größte Problem im Modul für die Shopsysteme gesehen, welches unkontrollierten Zugriff von FOXRATE auf die Kundendatenbank ermöglicht. Damit meine ich, dass das Modul automatisiert Daten aus der Datenbank abrufen kann und – zumindest der Kunde – nicht ausreichend über diese Weitergabe der Daten informiert wird. Dass hier Mitbewerber Einfluss auf die Berichterstattung haben, kann ich gerne öffentlich, klar und deutlich mit einem „Nein“ kommentieren. Sicherheit-Online ist absolut unabhängig, unbestechlich und konzentriert sich auf Fakten. Was mit „hochgepusht“ gemeint ist, würde mich allerdings ernsthaft interessieren.

4.

Das FOXRATE „alles“ wissen möchte, habe ich nicht behauptet. Aber ich habe einwandfrei dargestellt, WELCHE Informationen sich das Modul von FOXRATE aus der Datenbank holt und der Anbindung zur Verfügung stellt. Dies ist Fakt und auch bis zum heutigen Tag noch so. Die Schnittstellen – zumindest die mir vorliegenden – haben sich seither nicht geändert. Die oben aufgelisteten Informationen werden nach der Installation des Shopmoduls für die Anbindung an FOXRATE freigegeben. Sollten Sie das Gegenteil behaupten, dann frage ich mich, ob PHP lügt und die Codezeilen da nur zum Spaß eingebaut wurden. Wer wissen möchte, was für Informationen sich FOXRATE aus dem Shop ziehen kann, der braucht nur die Schnittstelle für sein Shopsystem herunterladen und selbst in den Code gucken. Dass die Daten an Dritte weitergegeben werden ist Fakt, denn der Dritte ist für mich FOXRATE. Der Shopbetreiber muss wissen, wie seine Datensätze im Shop verarbeitet werden und er MUSS seinen Kunden über eine Weitergabe an Dritte (FOXRATE) aufklären/informieren. Dies ist in Deutschland Vorschrift und danach richte ich mich auch in meiner Berichterstattung. Genau aus diesem Grund weise ich den Leser ja auch darauf hin, dass der Einsatz von Bewertungssystemen wie FOXRATE durchaus negative Konsequenzen haben kann, sofern man nicht einwandfrei über die Verwendung und Verarbeitung der Datensätze informiert ist und auch seine Kunden über diese Weitergabe informiert bzw. die Einwilligung hierzu einholt. Dies ist nicht nur speziell bei FOXRATE so, sondern auch bei anderen Bewertungssystemen, die Informationen über den Kunden speichern. Allerdings – und dies ist ja auch ein Kernproblem – speichert FOXRATE Kundendaten auch dann, wenn die Kunden selbst gar nichts davon wissen. Bei Trusted Shops (nur als Beispiel) muss der Kunde auf die Website navigieren, um seine Daten einzugeben und eine Bewertung abzusenden. FOXRATE hat diese Daten aber bereits nach dem Kauf im System zur Verfügung, um dem Kunden eine „Bewertungsmail“ schicken zu können. Ich persönlich habe dies ebenso schon erlebt und war genervt davon, dass mich FOXRATE mit Bewertungswünschen penetriert, ohne dass ich zuvor je in einem Onlineshop meine Zustimmung zur Verarbeitung meiner Daten bei FOXRATE erteilt habe. Dass die Daten der Schnittstelle vom Shopbetreiber ausgewählt werden können, wage ich zu bezweifeln. Zumindest erkenne ich im Programmcode keine Möglichkeit hierzu, die SQL-Abfrage individuell zu konfigurieren. Es wird hier auch nicht unterschwellig irgendeine Aussage gemacht, sondern lediglich mein Bauchgefühl und meine Meinung zum Thema veröffentlicht. Ist es mir verboten, meine persönlichen Bedenken bei diesem und anderen Bewertungssystemen öffentlich zu beschreiben? Nein, ganz sicher nicht.

5.

Ich für meinen Teil habe meine Pflicht erfüllt und FOXRATE die Möglichkeit gegeben, eine Gegendarstellung oder öffentliche Erklärung zum Thema abzugeben. Bis zum heutigen Tag habe ich lediglich Drohungen erhalten, jedoch keinerlei Gegendarstellung. Aus diesem Grund habe ich nun auch die Gegenseite öffentlich zu Wort kommen lassen, indem ich aus dem Schreiben zitiere, welches mir vorliegt. Es steht mir frei über Tatsachen zu berichten und auch meine persönliche Meinung und Einschätzung zu veröffentlichen. Ich denke, dass der Inhalt dieses Beitrags durchaus für den Leser verständlich sein sollte. Es ist nicht in meinem Sinn, einem Unternehmen gezielt damit zu schaden. Nein, mir geht es lediglich darum, Shopbetreiber und Nutzer des Bewertungssystems über mögliche Probleme zu informieren und vor negativen Konsequenzen zu warnen, sofern geltende Gesetze im Zusammenhang nicht eingehalten werden. Es gibt sicherlich genug Shopbetreiber, die das Bewertungssystem nutzen und ihre Kunden nicht über die Weitergabe der Daten informieren. Dies kann zum Teil gewaltige Folgen haben und im Falle von Abmahnungen oder gar rechtlichen Auseinandersetzungen mit den eigenen Kunden, die Existenz gefährden. Ich habe bereits im „Sellerforum“ beschrieben, dass ich es gut finden würde, wenn man die Nutzer des Bewertungssystems anständig und ausführlich über die rechtliche Lage informieren würde. Hierzu ist aber nichts passiert, daher hat sich an meinem Bauchgefühl nichts geändert.

6.

Zu meinem Update möchte ich nun auch öffentlich darum bitten, mir künftig keinerlei Androhungen in dieser Form zu senden und auch keinen Versuch mehr zu unternehmen, meine persönliche Meinungsfreiheit einzuschränken. Ich habe kein Interesse daran, einen Sicherheitstest bei FOXRATE durchzuführen und bin auch nicht gewillt, ein Unternehmen mit dieser Art der Vorgehensweise in meinen Kundenstamm aufzunehmen bzw. ein Angebot unter diesen Umständen zu unterbreiten. Ich sehe dies bereits als eine Nötigung, ja gar schon Erpressung. Sie machen hier eine Durchsetzung rechtlicher Schritte, von meinen angebotenen Diensten abhängig. Da wären wir wieder beim Thema „seriöses Unternehmen“, aber ich glaube dazu muss ich nun nicht ausholen.

Update: Die Geschäftsführung der Foxrate Internet GmbH hat – wie angekündigt – auf die Kritik reagiert und den direkten Kontakt gesucht. Man hat versprochen, sich um mögliche Schwierigkeiten bezüglich des Datenschutzes zu kümmern und das Angebot zu verbessern. Die offizielle Stellungnahme können Sie hier einsehen:  FOXRATE Stellungnahme