Am 26.03.2022 um 17:23 schrieb Joachim Lindenberg <*************@lindenberg.one>:

Hallo Herr Schneider,

auf den Punkt von Ihnen muss ich nochmal eingehen:

- das ist relevant, weil einige Consent-Tools so konfigurierbar sind dass sie für Nicht-EU-Besucher kein Consent-Banner anzeigen oder per Default alles ohne Einwilligung ausliefern

Wenn die Verarbeitung innerhalb der EU stattfindet, dann ist das nach Jan Philipp Albrecht in "Democracy: im Rausch der Daten" https://www.bpb.de/themen/daten/democracy illegal, weil innerhalb der EU Grundrechte immer gelten, unabhängig davon wo der Betroffene ist. 

Findet aber diese Verarbeitung außerhalb statt, dann wäre das allein schon ein Datenexport.

Haben Sie eine Liste der Consenttools, und wo die Verarbeitung stattfindet bzw. ob sie auf Geolocation reagiert? Das wäre doch ein spannender Fall für die Aufsicht (bzw. ich hab auch einen Draht zu Noyb um auch nach deren Meinung zu fragen).

Vielen Dank und viele Grüße

Joachim Lindenberg

 

Von: Joachim Lindenberg <*************@lindenberg.one> 
Gesendet: Thursday, 24 March 2022 15:36
An: 'Eckhard Schneider' <eckhard.schneider@decareto.de>
Betreff: AW: Danke dass Sie decareto ausprobieren!

 

Hallo Herr Schneider,

„der Scanner verarbeitet keine personenbezogenen Daten“ – da muss ich widersprechen, nicht Ihre sondern evtl. die des Verantwortlichen der Webseite, wie z.B. Kontaktdaten, bei mir sogar deutlich mehr. Die hat der Verantwortliche zwar öffentlich gemacht, aber bleiben trotzdem personenbezogen. Fundstellen zu dieser Frage z.B. https://www.rmprivacy.de/so-geht-die-verarbeitung-oeffentlich-zugaenglicher-personenbezogener-daten/ und https://community.beck.de/2021/05/06/personenbezogene-daten-aus-oeffentlichen-zugaenglichen-quellen-sind-kein-freiwild, die verschiedene Buchstaben aus Artikel 6 vorschlagen - unschön. Das wird bei einem Email-Test und Fremdscan schon problematischer als bei einem reinen Webseitenscan.

Nehmen Sie doch einen Proxy bei Netcup oder Ionos (billig)… kostet vermutlich nur ein paar Stunden bis höchstens Tage, je nachdem was für Features sie genau brauchen.

Und zur anderen Mail: zwei Buttons auf der Detailseite ist vermutlich eine gute und einfache Lösung.

Viele Grüße

Joachim Lindenberg

 

 

Von: Eckhard Schneider <eckhard.schneider@decareto.de> 
Gesendet: Thursday, 24 March 2022 15:05
An: Joachim Lindenberg <*************@lindenberg.one>
Betreff: Re: Danke dass Sie decareto ausprobieren!

 

Hallo Herr Lindenberg, 

 

das mit Usercentrics ist interessant und zeigt einen Effekt den ich noch nicht kannte:

 

- wir verwenden als Infrastruktur für unseren Scanner die Google Cloud Platform im Rechenzentrum Frankfurt (der Scanner verarbeitet keine personenbezogenen Daten)

- die IP als amerikanisch erkannt, deshalb setzen wir zusätzlichen einen Proxy ein der in Frankfurt sitzt

- das ist relevant, weil einige Consent-Tools so konfigurierbar sind dass sie für Nicht-EU-Besucher kein Consent-Banner anzeigen oder per Default alles ohne Einwilligung ausliefern

- das ist auch bei Usercentrics in diesem Fall so. Aber:

- wenn ich den Scan von meinem Entwicklungsrechner im Standort Hamburg aus laufen lasse, dann wird das Popup angezeigt und kann vom Scanner auch geschlossen werden, damit wird UC dann auch erkannt:

 

<image001.png>

 

- wenn der Scan über den Frankfurter Proxy läuft, dann wird das Banner nicht angezeigt. Möglicherweise erkennt Usercentrics, dass der Server zwar in Frankfurt steht, aber nicht das Unternehmen, oder es spielt generell für Proxies etwas anderes aus als für "echte" Server. Hier die Daten die man zur IP-Adresse des Proxies ermitteln kann:

 

<image002.png>

 

 

Möglicherweise müssen wir den Proxy wechseln damit wir zuverlässigere Ergebnisse haben :-(

 

Wir bleiben da weiter dran, ich kann aber gerade nicht sagen wann und ob wir hierfür eine Lösung bekommen, das ist sehr exotisch.

 

Lieben Gruß

Eckhard Schneider 

_____________________________________
Eckhard Schneider
Geschäftsführer

eckhard.schneider@decareto.de
Mob +49 17**********

decareto GmbH
Hochfeld 1b, 22607 Hamburg
www.decareto.de
Amtsgericht Hamburg HRB 164818
Geschäftsführer: Eckhard Schneider

<image003.png>

 

Am 24.03.2022 um 13:13 schrieb Joachim Lindenberg <*************@lindenberg.one>:

 

Hallo Herr Schneider,

haben Sie Max Schrems in https://www.bfdi.bund.de/SharedDocs/Videos/DE/Veranstaltungen/20220322_Datenschutz-skalieren.html gesehen? An solchen Tools wird die Aufsicht auf Dauer nicht vorbeikommen. Und Noyb hab ich schon gefragt, ob wir so eine Aktion wie im Vortrag gezeigt auch bei Email - https://blog.lindenberg.one/EmailSicherheitsTest - machen wollen. Hätten Sie vielleicht Interesse daran, bei allen Emailadressen die Sie finden (nach Dekodierung von Escapes etc.) einen RFC 7672 Check zu integrieren?

Dass beim „Neu Scannen“ nur die Startseite gescannt wird sollte in der Oberfläche klarer werden, vielleicht auch zwei Buttons?

Wenn Berlin untätig bleibt würde ich tatsächlich gerne Ihren Report an die Aufsicht schicken. Aber wenn ich https://anwaltauskunft.de/anwaltssuche aufrufe, kommt eben Usercentrics hoch, das scheinen Sie noch nicht zu erkennen. Damit wimmeln die mich garantiert ab, aber wenn es passt wäre Ihr Report halt eine Art 2. Meinung zu meiner Beschwerde.

Ich hab noch eine Seite von einem meiner neuen Kunden (natürlich weiß ich, dass die Mängel hat, damit hab ich die Einladung zur Präsentation bekommen 😊) und einem Personalvermittler gescannt. Wenn ich die URL teile (mit guid) – bleibt der Bericht erhalten wenn ich die Seite bei mir lösche?

Vielen Dank und viele Grüße

Joachim Lindenberg

 

 

Von: Eckhard Schneider <eckhard.schneider@decareto.de> 
Gesendet: Thursday, 24 March 2022 10:06
An: Joachim Lindenberg <*************@lindenberg.one>
Betreff: Re: Danke dass Sie decareto ausprobieren!

 

Hallo Herr Lindenberg, 

 

vielen Dank, war ein spannender Test!

Hab zwei meiner Seiten durchgejagt und zwei Mimes aus den USA gefunden. Erneut Scannen ging dann aber nicht (wird zwar behauptet, passiert aber anscheinend nicht), musste die Seite löschen und neu anlegen – ist das der Testversion geschuldet?

 

kommt drauf an welche Art von Scan Sie meinen - Sie können den Scan der Startseite beliebig oft anstoßen, aber nicht den Vollscan. Der wird tatsächlich nur neu gestartet wenn man die Website neu anlegt, aber auch das können Sie nur zehnmal pro Monat machen. Das ist eine Beschränkung des 10er-Pakets, nicht der Testversion: https://decareto.atlassian.net/wiki/x/AQDAEAM

Den Anwaltsverein über den ich mich schon beschwert hatte – schick das E. die verwenden Usercentrics als Consent-Tool Haben Sie schon getestet wie die Aufsicht auf solche Reports reagiert?

 

Das würde mich sehr interessieren - ich habe mich bisher nicht getraut, die Aufsicht zu kontaktieren (unerlaubte Werbemails und so), obwohl die Behörden ja vielleicht auch Kunden werden könnten ;-)

Mir hat aber auch noch kein Kunde mitgeteilt dass er mal einen Report an die Aufsicht geschickt hätte. Wenn Sie da etwas erfahren lassen Sie es mich gerne wissen! 

Und Ihre Seite – A, aber mir fällt auf dass Sie ein m.W. unnötiges Cookie-Banner haben

 

ursprünglich hatten wir keins, wir setzen ja nur technisch notwendige Cookies ein. Der DSB der mich immer mal wieder berät meinte aber, es wäre sicherer zumindest eine Info zu haben. Dann meinte kürzlich ein Kunde, ich bräuchte ganz dringend ein richtiges Consent-Banner um eine Einwilligung einzuholen... da gehen die Meinungen offenbar sehr auseinander, deshalb haben wir intern den Kompromiss gewählt...

, und Sie verwenden Atlassian – das ist auch nicht ganz korrekt. Haben Sie mal über einen Proxy davor nachgedacht?

 

ja, mir ist bewusst dass das nicht ganz koscher ist, was wir machen wollen ist, ein Popup vorzuschalten dass die Einwilligung einholt. Das müsste die Auswahl aber auch speichern. Ist also kein Riesending, bisher aber dann doch immer wieder verschoben worden.

Wie kommt es zur Klassifikation notwendig/nicht notwendig bei Cookies? Sie haben eine Datenbank der nicht notwendigen, alle anderen sind falls unbekannt notwendig?

 

Genau so! Wir klassifieren in der DB nach Zweck, wenn es Werbung oder Analytics ist dass stufen wir als nicht notwendig ein. Sie können das bei Bedarf durch Überschreiben auf Ihre Bedürfnisse anpassen: https://decareto.atlassian.net/wiki/x/BQDdEAM

 

Herzliche Grüße

Eckhard Schneider

Vielen Dank und viele Grüße

Joachim Lindenberg

 

Von: Eckhard Schneider <noreply@mail.decareto.de> 
Gesendet: Thursday, 24 March 2022 07:00
An: *************@lindenberg.one
Betreff: Danke dass Sie decareto ausprobieren!

 

Lieber Herr Lindenberg,

wir freuen uns, dass Sie decareto ausprobieren, und möchten Sie beim Testen bestmöglich unterstützen. Hier sind zwei Links zu Seiten in unserem Hilfebereich, die hilfreich für die ersten Schritte sind: 

Hinzufügen und Verwalten von Websites 
Der Website-Report 

Sprechen Sie mich bei Fragen oder Problemen mit decareto jederzeit an! 

Herzliche Grüße 
Eckhard Schneider 

_____________________________________
Eckhard Schneider
Geschäftsführer

eckhard.schneider@decareto.de
Mob +49 17**********

decareto GmbH
Hochfeld 1b, 22607 Hamburg
www.decareto.de
Amtsgericht Hamburg HRB 164818
Geschäftsführer: Eckhard Schneider