Schwere DSGVO Verstöße durch sevDesk!?

Der Prolog findet sich in

wo es darum geht wieso Google Ads und andere Tracker im internen Bereich (https://my.sevdesk.de) eingebunden sind. 4 Monate später erklärte @Disney_von_sevDesk dann, dass dies ein Fehler gewesen sei und es selbstverständlich entfernt wurde.

Nachdem ich dann gestern, durch Zufall, feststellen musste, dass diese Aussage entweder gelogen ist oder man Google Ads später wieder implementiert hat…

… habe ich mir mal den Spaß gemacht einfach mal zu schauen was Chrome so an 3rd-party-requests ausspuckt, was alles so aufgerufen wird, wenn ich mich in meine Buchhaltung einlogge.

Ich füge die URLs als Code ein, damit discourse sie nicht automatisch zu einem Link macht und ebenfalls laden möchte… (Mehrfaches Vorkommen der gleichen / zusammengehörenden Diensten habe ich nicht aufgeführt.)


Ich bin absoluter Laie was technisches, rechtliches und wirtschaftliches Verständnis. Daher freue ich mich darauf, wenn mir die Fehler in meinen Aussagen mit Quellen aufgezeigt und korrigiert werden.
Eine Einschätzung versuche ich an Hand von Übersicht der Webdienste - avalex, in so fern dort die Dienste aufgeführt sind.

Als Testumgebung wird es Google Chrome in der aktuellen Version auf einem Mac, ohne nennswerte Addons und Blocker. Die Auswertung erfolgt über den Network Tab der Entwickler Umgebung (Rechts Maustaste → Untersuchen → Network) und die von Chrome angezeigten Cookies.


https://www.googleadservices.com/pagead/conversion_async.js

Google Ads, also das, was vor 5 Wochen entfernt wurde.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter https://policies.google.com/privacy?hl=de&gl=de.

Komentar:
Da in den Subunternehmen nicht aufgeführt ist kein AVV notwendig?

https://ajax.googleapis.com/ajax/libs/webfont/1.6.16/webfont.js

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht ohne weitere Maßnahmen datenschutzrechtskonform eingesetzt werden.

Empfehlung:

Wir empfehlen folgende Vorgehensweise bei der Verwendung von Google Web Fonts:

zur Vermeidung einer Verbindung zum Google-Server sollten die Google Fonts selbst gehostet und vom eigenen Server geladen werden. Bei dieser Vorgehensweise erfolgt nach unserer Einschätzung keine Verarbeitung personenbezogener Daten durch Google, so dass auch kein Hinweistext in der Datenschutzerklärung erforderlich ist.


https://polyfill.io/v3/polyfill.js?features=es5,es6,es7&flags=gated

https://polyfill.io wurde bereits in diesem Beitrag von @sevUser als nicht statthaft bemängelt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Polyfill.io.
  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben. Weitere Informationen zum Opt-Out erhalten /erfragen Sie bitte unter Polyfill.io.

Kommentar:
Nicht in der Datenschutzerklärung und nicht bei den Subunternehmern aufgeführt. Bedarf es keinem AVV?


https://cdn.segment.com/analytics.js/v1/6MlXG6hWlVBJNH2YUcmzpsOmHoGPuXVX/analytics.min.js

Zuvor ebenfalls kritisiert, aber zumindest in der Datenschutzerklärung deklariert. Wohl gemerkt ein Unternehmen mit Sitz in den USA.

Zweck:

Marketing-und Optimierungszwecken


https://cdn.userlane.com/userlane.js

Ein Service um es den Neukunden angenehmer zu machen…
Nur ist die Nutzung nicht in der Datenschutzerklärung aufgeführt. Und bei den beauftragten Subunternehmen ist es ebenfalls nicht aufgeführt.


https://app.satismeter.com/satismeter.js

Bereits zuvor kritisiert. Und… Ratet mal… Nicht in der Datenschutzerklärung. Aber dafür bei den Subunternehmen aufgeführt. Bekommt also auch fleißig Daten von uns…


https://selfservice.billwerk.com/subscription.js

Oben kritisiert. Steht bei den Subunternehmen aber selbstverständlich nicht in der Datenschutzerklärung.

Wieso jeder meiner Aufrufe an die übertragen werden muss erschließt sich mir nicht…


https://sevdesk.imgix.net/34060/1627476919-fwfjuli2021.png?auto=format

Zuvor nicht kritisiert, aber ebenfalls nicht in der Datenschutzerklärung aufgeführt. Und… Ach ja… Ein Unternehmen mit Sitz in den USA.


https://js.hs-scripts.com/4999173.js

Hubspot ist zumindest in Datenschutzerklärung und als Subunternehmer aufgeführt.

Es wird genutzt für Online Marketing-Aktivitäten…

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter HubSpot Privacy Policy bzw. Data Processing Agreement.

Kommentar: Scheinbar geschehen

  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben. Weitere Informationen zum Opt-Out erhalten /erfragen Sie bitte unter HubSpot Privacy Policy.

Kommentar: In dieser Form definitiv nicht geschehen. Aber es wird in der Datenschutzerklärung ja leicht und verständlich darauf hingewiesen.

Und… Ach ja… Selbstverständlich setzt Hubspot noch ohne meine Zustimmung und jegliche Deklaration einen Cookie.

Bildschirmfoto 2021-10-03 um 10.32.42


https://consent.cookiebot.com/uc.js

Ich mag CookieBot. In der Datenschutzerklärung ist es dennoch nicht aufgeführt. Und die Anzeige / Ausführung des Cookie Consent Banners erfolgt ebenfalls nicht.
Damit wäre dann die Setzung des vorherigen Hubspot Cookies (und später folgender Cookies) ohne meine Zustimmung leicht zu verhindern gewesen…


https://widget.intercom.io/widget/q6owxyep
https://js.intercomcdn.com/shim.latest.js

Intercom wurde bereits zuvor kritisiert. Aber immerhin ist es in der Datenschutzerklärung und den Subunternehmern aufgeführt. Und dennoch ein Unternehmen mit Sitz in den USA.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Privacy Policy | Intercom.

Kommentar:
scheinbar geschehen

  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben. Weitere Informationen zum Opt-Out erhalten /erfragen Sie bitte unter Privacy Policy | Intercom.

Kommentar:
Ganz so weit wollte man es dann wohl doch nicht treiben. Selbst eine Verlinkung war zuviel…


https://analytics.cnd-motionmedia.de/script4.js

CND Motion Media

High Performance TV-Tracking. In welchen Umfeldern gewinnen Sie Zuschauer mit der höchsten Rendite?

Klar… Für TV Werbung ist ja Geld da. Für einen Eintrag in der Datenschutzerklärung hat es jedoch nicht mehr gereicht…


https://analytics.tiktok.com/i18n/pixel/events.js?sdkid=BTDJKO1JRJ77LNGV1DK0&lib=ttq

TikTok… Euer scheiß Ernst?! Wen wundert es da, dass auch dies natürlich nicht in die Datenschutzerklärung aufgenommen wurde…


https://static.hotjar.com/c/hotjar-666922.js?sv=6

Hotjar ist zumindest in der Datenschutzerklärung aufgeführt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Schließen Sie mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag (AVV, englisch Data Processing Agreement, DPA) ab, der die Einhaltung Ihrer datenschutzrechtlichen Verpflichtungen sicherstellt. Weitere Informationen zum DPA erhalten Sie bitte unter Hotjar - Data Processing Agreement.

Kommentar:
In der Liste der Subunternehmer ist Hotjar nicht aufgeführt. Fehlt es nur, oder gibt es gar keinen AVV?!

Ein kurzer Auszug aus der Datenschutzerklärung dazu:

Wir nutzen Hotjar, um die Bedürfnisse unserer Nutzer besser zu verstehen und das Angebot auf dieser Website zu optimieren. Mithilfe der Technologie von Hotjar bekommen wir ein besseres Verständnis von den Erfahrungen unserer Nutzer (z.B. wieviel Zeit Nutzer auf welchen Seiten verbringen, welche Links sie anklicken, was sie mögen und was nicht etc.) und das hilft uns, unser Angebot am Feedback unserer Nutzer auszurichten.

Heißt im Klartext, dass man in lustigen Screen Videos sehen kann was so getan wird. Zur Verbesserung genutzt werden diese Daten aber offensichtlich nicht…


https://cdn.mxpnl.com/libs/mixpanel-2-latest.min.js

Mixpanel - Sitz in den USA und natürlich nicht in der Datenschutzerklärung aufgeführt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

Kommentar:
In der Liste der Subunternehmer taucht Mixpanel ebenfalls nicht auf.


https://js.usemessages.com/conversations-embed.js

usemessages.com scheinbar auch ein Anbieter in einem Drittland. Wollen wir mal raten wo dieser Dienst nicht aufgeführt wird? Richtig. In der Datenschutzerklärung.

Keine Ahnung wieso auch dieser Dienst unsere Daten erhält.


https://www.google-analytics.com/analytics.js

Google Analytics… Natürlich… Es sind ja noch nicht etliche Tracker… Aber immerhin in der Datenschutzerklärung.

Einschätzung:

Dieser Dienst kann datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Schließen Sie mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag (AVV) ab, der die Einhaltung Ihrer datenschutzrechtlichen Verpflichtungen sicherstellt. Melden Sie sich hierzu in Ihrem Google Analytics-Konto an, klicken Sie auf Kontoeinstellungen und schließen Sie dort den „Zusatz zur Datenverarbeitung“ ab.
  • Aktivieren Sie die IP-Anonymisierung, um die IP-Adressen vor der Verarbeitung durch den Anbieter verkürzen zu lassen. Weitere Informationen zur IP-Anonymisierung erhalten bzw. erfragen Sie bitte unter IP-Anonymisierung (oder IP-Maskierung) in Google Analytics - Google Analytics-Hilfe.
  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Das Opt-Out muss auch auf mobilen Endgeräten möglich sein. Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben („individuelle Eingaben“). Weitere Informationen zum Opt-Out erhalten bzw. erfragen Sie bitte unter https://developers.google.com/analytics/devguides/collection/analyticsjs/user-opt-out.

Kommentar:
In den Subunternehmen ist Google nicht aufgeführt. Wieso? Gibt es keinen AVV?

Die Datenschutzerklärung dazu:


https://bat.bing.com/bat.js

Bing Ads dürfen im internen Bereich selbstverständlich ebenfalls nicht fehlen. Aber zumindest in der Datenschutzerklärung aufgeführt. Und selbstverständlich der Firmensitz in den USA.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

Kommentar:
Bei dern Subunternehmen nicht aufgeführt. Brauchte also keinen AVV, richtig?

Die Datenschutzerklärung dazu ausschweifend:

Bildschirmfoto 2021-10-03 um 11.00.26

Und weil es so schön ist setzt Bing selbstverständlich auch noch einen Cookie ohne meine Zustimmung und ohne jegliche Deklaration.

Bildschirmfoto 2021-10-03 um 11.02.15


https://s.adroll.com/j/roundtrip.js

AdRoll… Und wieder ein Unternehmen mit Sitz in den USA. Natürlich nicht in der Datenschutzerklärung aufgeführt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter https://www.adrollgroup.com/privacy.

  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben. Weitere Informationen zum Opt-Out erhalten /erfragen Sie bitte unter https://www.adrollgroup.com/privacy.

Kommentar:
Selbstverständlich auch keine Aufführung in den Subunternehmern. Braucht es hier keinen AVV?

Dafür liefert adroll mir aber gleich zwei Cookies ohne meine Zustimmung und ohne jegliche Deklaration!

Bildschirmfoto 2021-10-03 um 11.05.35
Bildschirmfoto 2021-10-03 um 11.05.46


https://snap.licdn.com/li.lms-analytics/insight.min.js

LinkedIn ist natürlich auch mit einem Tracker vertreten. Und als Unternehmen mit Sitz in den USA natürlich nicht in der Datenschutzerklärung.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter LinkedIn Privacy Policy.

Kommentar:
Da LinkedIn auch in den Subunternehmen nicht vertreten ist, ist ein AVV hier nicht notwendig, richtig?

Dafür sind die mit gleich 4 Cookies ohne meine Zustimmung und jeglich Deklaration richtig spendabel…

Bildschirmfoto 2021-10-03 um 11.10.40
Bildschirmfoto 2021-10-03 um 11.10.48
Bildschirmfoto 2021-10-03 um 11.10.56
Bildschirmfoto 2021-10-03 um 11.11.28


https://static.ads-twitter.com/uwt.js

Twitter muss selbstverständlich auch dabei sein. Also im Tracking, aber nicht in der Datenschutzerklärung.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Datenschutzrichtlinie.

Kommentar:
Da es keine Aufführung in den Subunternehmen hat, braucht es keinen AVV, richtig?
Aber was hat twitter mit meiner Buchhaltung zu tun?! Das selbe wie TikTok?!


https://connect.facebook.net/en_US/fbevents.js

Facebook ist ebenso im Tracking, aber nicht in der Datenschutzerklärung dabei.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Schließen Sie mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag (AVV) ab, der die Einhaltung Ihrer datenschutzrechtlichen Verpflichtungen sicherstellt. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Facebook.

Kommentar:
Ausgehend davon, dass Facebook nicht in den Subunternehmen aufgeführt ist, gibt es hier auch keinen AVV?!

Dafür gibt es von Facebook aber gleich noch mal zwei Cookies, ohne meine Zustimmung und ohne jegliche Deklaration.

Bildschirmfoto 2021-10-03 um 11.19.30
Bildschirmfoto 2021-10-03 um 11.19.44


https://dsum-sec.casalemedia.com/rum?cm_dsp_id=105&external_user_id=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc&expiration=1664740472

Casale Media ist selbstverständlich auch nicht in der Datenschutzerklärung erwähnt. Aber damit ist wenigstens auch ein Unternehmen mit Sitz in Kanada dabei.

Eine Einschätzung zu diesem Service gibt es leider nicht. Dafür aber 5 Cookies, die ohne Zustimmung und Deklaration gesetzt wurden.

Bildschirmfoto 2021-10-03 um 11.21.03
Bildschirmfoto 2021-10-03 um 11.21.11
Bildschirmfoto 2021-10-03 um 11.21.18
Bildschirmfoto 2021-10-03 um 11.21.25
Bildschirmfoto 2021-10-03 um 11.21.34


https://pixel.rubiconproject.com/tap.php?v=194538&nid=3644&put=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc&expires=365

Magnite ehemals Rubicon Project ist auf die automatisierte Abwicklung des Kaufes und Verkaufes von Werbung spezialisiert. Hat seinen Sitz ebenfalls in den USA und ist daher selbstverständlich nicht in der Datenschutzerklärung aufgeführt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Schließen Sie mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag (AVV) ab, der die Einhaltung Ihrer datenschutzrechtlichen Verpflichtungen sicherstellt. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Legal Archive - Magnite.

Kommentar:
Nachdem in den Subunternehmen diese Firma nicht auftaucht darf man auch hier davon ausgehen, dass es keinen AVV gibt, richtig?


https://pixel.advertising.com/ups/55980/sync?uid=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc&_origin=1&gdpr=1&gdpr_consent=BOOla_OOOla_OA2ABBENAkwAAAAXyACAAyAIIA

AOL / Yahoo müssen natürlich ebenfalls dabei sein. Ob Sitz in den USA oder nicht kann man schwierig prüfen. In der Datenschutzerklärung ist es natürlich auch nicht aufgeführt.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter http://privacy.aol.com/.
  • Bieten Sie auf Ihrem Internetauftritt eine Möglichkeit für Besucher an, den Dienst zu deaktivieren (Opt-Out). Den hierfür erforderlichen Text können Sie im letzten Eingabefeld bei der Erstellung der avalex-Datenschutzerklärung eingeben. Weitere Informationen zum Opt-Out erhalten bzw. erfragen Sie bitte unter http://privacy.aol.com/.

Kommentar:
Da weder AOL noch yahoo als Subunternehmer aufgeführt sind, wird es keinen AVV benötigen, richtig?

Abgesehen vom fehlenden Opt-Out wurde mir allerdings auch ohne jegliche Zustimmung und Deklaration ein Cookie dargelassen.

Bildschirmfoto 2021-10-03 um 11.31.06


https://sync.outbrain.com/cookie-sync?p=adroll&uid=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc

Outbrain ist selbstverständlich ebenfalls nicht in der Datenschutzerklärung, dafür aber endlich mal ein Unternehmen aus UK. Und dank Brexit damit ebenfalls Drittland.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Outbrain Inc. Legal Center.

Kommentar:
Nachdem es in der Subunternehmer Liste keinen Eintrag gibt ist ein AVV nicht notwendig, richtig?

Aber Danke für zwei weitere Cookies ohne meine Zustimmung und Deklaration…

Bildschirmfoto 2021-10-03 um 11.35.05
Bildschirmfoto 2021-10-03 um 11.35.14


https://simage2.pubmatic.com/AdServer/Pug?vcode=bz0yJnR5cGU9MSZqcz0xJmNvZGU9MzMwNiZ0bD01MjU2MDA&piggybackCookie=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc&gdpr=1&gdpr_consent=BOOoKswOOoKswA2ABBENAkwAAAAXyACACYAIIA

Pubmatic steht zwar nicht in der Datenschutzerklärung, sorgt aber von seinem Unternehmenssitz in den USA für die Auslieferung von für uns relevante Werbung.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Privacy Policy | PubMatic.

Kommentar:
Kein Eintrag bei den Subunternehmen bedeutet, dass es keinen AVV braucht, richtig?

Dafür gibt es aber auch hier gleich drei Cookies ohne Zustimmung und Deklaration.

Bildschirmfoto 2021-10-03 um 11.40.02
Bildschirmfoto 2021-10-03 um 11.40.09
Bildschirmfoto 2021-10-03 um 11.40.17


https://sync.taboola.com/sg/adroll-network/1/rtb-h?taboola_hm=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc

Taboola hat mit seinem Sitz in den USA selbstverständlich ebenfalls keinen Platz in der Datenschutzerklärung gefunden.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Privacy Policy | Taboola.com.

Kommentar:
Keine Aufführung als Subunternehmer bedeutet kein AVV notwendig?

Einen Cookie gab es dennoch ohne Zustimmung und Deklaration mit auf den Weg.

Bildschirmfoto 2021-10-03 um 11.43.40


https://eb2.3lift.com/xuid?mid=4714&xuid=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc&dongle=c85e

TripeLift sitzt ebenfalls in UK, taucht dafür in der Datenschutzerklärung jedoch nicht auf.

Eine Einschätzung konnte ich nicht finden. Dafür einen ohne Zustimmung und Deklaration gesetzten Cookie.

Bildschirmfoto 2021-10-03 um 11.45.24

https://x.bidswitch.net/sync?dsp_id=44&user_id=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc

Bidswitch, natürlich aus den USA und selbstverständlich nicht in der Datenschutzerklärung.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Schließen Sie mit dem Anbieter des Dienstes einen Auftragsverarbeitungsvertrag (AVV) ab, der die Einhaltung Ihrer datenschutzrechtlichen Verpflichtungen sicherstellt. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter https://www.iponweb.com/privacy-policy/.

Kommentar:
Da es keine Subunternehmer Auflistung gibt, gibt es auch keinen AVV, richtig?

Dafür gibt es aber drei Cookies ohne Zustimmung und Deklaration.

Bildschirmfoto 2021-10-03 um 11.52.14
Bildschirmfoto 2021-10-03 um 11.52.23
Bildschirmfoto 2021-10-03 um 11.52.33


https://ib.adnxs.com/setuid?entity=172&code=YWQ1NzI0MTBiMWM5Y2Y0NmQzZTZlNGZiYmExYjczNzc

AppNexus, Werbetracking aus Hamburg. Wäre quasi albern, wenn die in der Datenschutzerklärung stehen würden.

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter https://www.appnexus.com/de/platform-privacy-policy.

Kommentar:

Da nicht als Subunternehmer aufgeführt bedarf es keinem AVV, richtig?

Dafür nehmen wir eben zwei Cookies ohne Zustimmung und Deklaration mit…

Bildschirmfoto 2021-10-03 um 11.56.36
Bildschirmfoto 2021-10-03 um 11.56.45


wait for it…


5 „Gefällt mir“
https://us-u.openx.net/w/1.0/sd?id=537103138&val=ad572410b1c9cf46d3e6e4fbba1b7377

OpenX, Werbetracking aus UK. Wer braucht da eine Erwähnung in der Datenschutzerklärung? sevDesk nicht!

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter Privacy Policy | OpenX.

Kommentar:
Ausgehend davon, dass dies auch kein Subunternehmer ist, bedarf es keinem AVV?

Dafür gibt es einen Cookie ohne Zustimmung und Deklaration.

Bildschirmfoto 2021-10-03 um 12.00.16


https://cm.g.doubleclick.net/pixel?google_sc&google_nid=artb&google_hm=rVckELHJz0bT5uT7uhtzdw

DoubleClick ist aus dem Google Werbenetzwerk. Aber immerhin in der Datenschutzerklärung aufgeführt. Ich bin begeistert

Einschätzung:

Dieser Dienst kann nach Einschätzung von avalex noch nicht datenschutzrechtskonform eingesetzt werden.

Empfehlung:

  • Setzen Sie sich bitte mit dem Anbieter in Verbindung und klären Sie, ob ein Auftragsverarbeitungsvertrag (AVV) abgeschlossen werden muss. Weitere Informationen zum AVV erhalten bzw. erfragen Sie bitte unter http://www.google.de/intl/de/policies/privacy.

Kommentar:
Da ebenfalls kein Subunternehmer bedarf es auch hier keinem AVV, richtig?


Damit sind wir durch… Oder? Ach ne… sevdesk.de und my.sevdesk.de haben nebenbei auch noch ein paar Cookies (für die Anbieter) ohne Zustimmung und Deklaration gesetzt…

my.sevdesk.de hat da einen Cookie, scheinbar für mixpanel.

Bildschirmfoto 2021-10-03 um 12.08.42


Ohh… sevdesk.de hat auch noch mal entspannt 26 Cookies gesetzt. Natürlich ohne jegliche Zustimmung und Deklaration!

Bildschirmfoto 2021-10-03 um 12.10.08
Bildschirmfoto 2021-10-03 um 12.10.18
Bildschirmfoto 2021-10-03 um 12.10.27
Bildschirmfoto 2021-10-03 um 12.10.37
Bildschirmfoto 2021-10-03 um 12.10.47
Bildschirmfoto 2021-10-03 um 12.10.55
Bildschirmfoto 2021-10-03 um 12.11.03
Bildschirmfoto 2021-10-03 um 12.11.13
Bildschirmfoto 2021-10-03 um 12.12.27
Bildschirmfoto 2021-10-03 um 12.12.20
Bildschirmfoto 2021-10-03 um 12.12.13
Bildschirmfoto 2021-10-03 um 12.12.08
Bildschirmfoto 2021-10-03 um 12.12.00
Bildschirmfoto 2021-10-03 um 12.11.53
Bildschirmfoto 2021-10-03 um 12.11.45
Bildschirmfoto 2021-10-03 um 12.11.35
Bildschirmfoto 2021-10-03 um 12.11.29
Bildschirmfoto 2021-10-03 um 12.11.20
Bildschirmfoto 2021-10-03 um 12.13.26
Bildschirmfoto 2021-10-03 um 12.13.19
Bildschirmfoto 2021-10-03 um 12.13.13
Bildschirmfoto 2021-10-03 um 12.13.05
Bildschirmfoto 2021-10-03 um 12.12.59
Bildschirmfoto 2021-10-03 um 12.12.50
Bildschirmfoto 2021-10-03 um 12.12.42
Bildschirmfoto 2021-10-03 um 12.12.35


132 von 161 requests sind 3rd-party-requests. Viele Anbieter davon aus Drittländern und zumeist nicht einmal in der Datenschutzerklärung aufgeführt. Häufig fehlt wohl auch der AVV.

Wohl gemerkt… Wir sprechen von einem Aufruf von my.sevdesk.de mit einem cleanen, aktuellen Chrome Browser ohne weitergehende Addons.

Nur zum Vergleich… Wenn ich Pi hole als Blocker im Netzwerk laufen habe und mit einem cleanen Browser einen Aufruf von my.sevdesk.de mache sind es noch 27 von 56 3rd-party-requests.
7 von diesen 27 werden durch Pi hole blockiert und somit am laden gehindert.

Außerdem gibt es dann ausschließlich einen Cookie (der weiterhin ohne Zustimmung und Deklaration) und direkt von sevdesk.de gesetzt wird. (Kommt scheinbar vom nicht aktiven / funktionierenden CookieBot.

Bildschirmfoto 2021-10-03 um 12.27.05

Der Login und sämtliche Funktionen funktionieren ohne all diese Tracker und Cookies dennoch!

Warum bekommen also unzählige Firmen aus der ganzen Welt und ohne unsere Zustimmung und teilweise überhaupt Aufklärung unsere Daten?!


Aus einem nicht näher beschreibbaren Gefühl heraus hätte ich das Bedürfnis den Verantwortlichen hier direkt ein paar Fragen zu stellen. Aber an wen wendet man sich da nun?

Schreibe ich der Verantwortlichen, gemäß der Datenschutzerklärung die sevDesk GmbH, erreichbar unter der E-Mail Adresse privacy@sevdesk.de? Alternativ ginge anrufen auf +49-781-125508-10.

Eigentlich hätte ich da aber auch einige Fragen direkt an den Datenschutzbeauftragten, gemäß der Datenschutzerklärung, Herrn Georg Kleine von Rechtsanwälte Kleine. Dem Herren kann man schreiben, an privacy@sevdesk.de. Oder man ruft ihn an auf +49-781-125508-10.

Danke sevDesk! Ich muss mich nicht entscheiden ob ich die Verantwortliche oder den Datenschutzbeauftragten kontaktiere. Egal wen, es ist eh der gleiche Kontakt.

Also ist ein ganz anderer Datenschutzbeauftragter zuständig als in der Datenschutzerklärung angeben?!

Wollt Ihr uns ernsthaft verarschen?!

Mal ehrlich… Das ist doch keine Unfähigkeit mehr, sondern hat System!

Ich, aus meiner bescheidenen Laienmeinung heraus, sehe hier in fast jedem Punkt einen Verstoß gegen die DSGVO. Aber ich lasse mich gerne darüber belehren wieso dies korrekt ist und wieso hier sevDesk selbstverständlich nicht gegen geltendes Recht verstößt.

Bildschirmfoto 2021-10-03 um 12.41.35

Oder ist alles nur heiße Luft?!


Weil wir hier ja alle wissen, dass der sevDesk Support auch im Forum jederzeit sehr schnell und kompetent antwortet ist diese Feststellung sicherlich überflüssig…
Aber sollten mir Inhalt, Art oder Geschwindigkeit der Antworten nicht zusagen werde ich gerne mal testen wie schnell die zuständige Datenschutzbehörde mir hierzu Auskunft erteilen kann.

Und Nein, ich schreibe keine E-Mail, Ticket oder sonst was an den Support. Es sind alles offen einsehbare Daten. Für alles was ich zusammen getragen habe braucht man weder großes, technisches Verständnis, einen Login oder sonst etwas. (Einige Stunden Zeit zum suchen und tippen hat es jedoch bedurft…)
Und es betrifft, so weit ich es sehe, jeden Kunden bei jedem Login.

Lasset die Spiele beginnen! :popcorn:


Bildschirmfoto 2021-10-03 um 13.31.09

Also dann jetzt wirklich… :wink:

11 „Gefällt mir“

Hallo @hosch. Du dir hast mein größten Respekt verdient. Solch eine Mühe und Arbeit - Wahnsinn.

Wie hoch kann ein nach DSGVO verhängtes Bußgeld ausfallen? Die Datenschutz-Grundverordnung sieht für Datenschutzverstöße Bußgelder von bis zu 20 Millionen Euro oder für Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes vor (je nachdem, welcher Betrag am Ende höher ist)

Ich bin nun nicht unbedingt Scharf drauf immer auf „Alle Cookies Akzeptieren“ klicken zu müssen, aber solche Strafen sollten eigentlich Grund genug sein um Datensammler von seiner Webseite auszuschließen.

Ich Frage mich da natürlich gerade, was genau übertragen wird … Hab z.b. mal den Base64String von Mixpanel Decodiert. Die bekommen meine Emailadresse, Name und Seit wann ich meinen Sevdeskaccount habe usw … mitgeteilt …
Bedenklich …

5 „Gefällt mir“

Danke @Thomas_Ebert… Solche Daten in ein Drittland wie die USA zu senden, ohne Zustimmung oder gar Information der Kunden…

Auf die Erklärung bin ich mehr als gespannt! Insbesondere auf die Begründung wieso dies notwendig ist.

Ich war übrigens so frei und habe dem benannten Datenschutzbeauftragen lt. Datenschutzerklärung, Herrn Georg Kleine, mal über seine Webseite https://kanzlei-endingen.de/ bzw. per E-Mail auf dieser Domain angeschrieben.

Die E-Mail Adresse die Datenschutzbeauftragter und sevDesk GmbH als Verantwortliche gleichzeitig ist, war mir dann doch irgendwie zu undurchsichtig…

Dem Herren habe ich in kurzen Worten meine Bedenken geschildert und auch auf diesen Beitrag verwiesen. Denn ich denke wenn jemand hier Aufklärung betreiben kann, dann er als Datenschutzbeauftragter.

In diesem Zusammenhang bin ich guter Dinge, dass der Herr Kleine diesen Beitrag am kommenden Montag lesen wird und sich dann zeitnah auch hier zu Wort melden wird, um aufzuklären wo hier mein bzw. unser Denkfehler ist und dies Vorgehen selbstverständlich datenschutzkonform ist…

Und mit einer kurzen Suche findet man auch, dass man Beschwerde bei den Datenschutzbehörden des jeweiligen Bundeslandes online entsprechende Beschwerde einreichen kann.
Aber man soll ja nicht alle Geschenke gleichzeitig auspacken. Und der Datenschutzbeauftragte bzw. der Support wird uns sicher sehr zeitnah erklären wieso das alles gar nicht so wild ist… :smiley:

5 „Gefällt mir“

Das ist ja der Gipfel! Ich glaube nicht das sich der Datenschutzbeauftragte sich hier registrieren und in der Öffentlichkeit diskutieren wird, aber eine Antwort per E-Mail solltest du mindestens bekommen.

Diese Auflistung ist schon der Hammer, Respekt!
Leider sind das alles andere als gute Nachrichten.

Ich habe ja nichts dagegen wenn allgemeine Informationen anonym in eine Statistik landen, wenn ich eine Webseite besuche. Die Google Analytics hat doch fast jeder Seitenbetreiber eingerichtet. Die Funktionen müssen nur in Deutschland eingeschränkt werden, ich glaube die letzte IP Gruppe wird gekappt, soweit ich weiß. Wir sprechen hier aber um ganz andere Daten! WTF :flushed:

No Way! :face_with_symbols_over_mouth:

4 „Gefällt mir“

Mich würde nicht einmal wundern, wenn der Herr eigentlich gar nicht mehr der beauftragte Datenschutzbeauftragte ist, da es in dem anderen Beitrag ja schon was von einem anderen Unternehmen hieß, mit dem man sehr eng zusammenarbeiten würde…

Google Analytics sind ja nicht einmal das Problem… Wobei es auch da inzwischen deutlich bessere Tracker gibt, die mehr anonymität lassen.

Wieso aber TikTok erfährt wenn ich mich in meine Buchhaltung einlogge, kann ich nicht nachvollziehen. Und wieso dies nicht einmal in der Datenschutzerklärung deklariert wird noch deutlich weniger.

Aber schon die Tatsache, dass der Support versichert, dass der Code für Google Ads entfernt wurde und dies nur ein versehen was, das nicht passieren dürfte, er aber weiterhin oder vielleicht wieder da ist…

Wie lässt sich das anders erklären, als dass wir Kunden bewusst belogen werden?

Und wir sprechen hier nicht von einem Anbieter der jeden Tag den neusten Flachwitz liefert, sondern dem Unternehmen, dass sämtliche unserer Finanz- und Kundendaten erhält und verarbeitet!

3 „Gefällt mir“

@Felix_von_sevDesk war gerade eben noch im Forum. @Anil_von_sevDesk vor 38 Minuten.

Wir können also davon ausgehen, dass sevDesk dieser Beitrag inzwischen bekannt ist… :wink: Ich bin also guter Dinge, dass der Support schnell eine gute Antwort hat, die alles erklärt…

(Wenn man in der Suche nurvon_sevdesk“ eingibt, bekommt man auf der rechten Seite eine schöne Liste aller Mitarbeiter angezeigt. Und auf deren Profil auch eine Statistik derer Aktivitäten

2 „Gefällt mir“

@hosch DANKE :muscle: :+1: :+1: für den Beitrag und die gesammelten Informationen! DANKE
@sevDesk_UserResearch sagt mal gehts Euch noch Gut ??

Ich bin hier wirklich absoluter Laie auf diesem Thema und kann es kaum glauben das so mit uns Kunden umgegangen wird :rage: :rage: :rage: :rage: Das ich mich nun trotzdem damit befassen muß ist schon ein hartes Stück, da sonst genug Arbeit am Tisch liegt. Werde dieses Thema aber sehr genau Verfolgen!!

Mal schauen was hier Folgt…

WAHNSINN :angry:

2 „Gefällt mir“

Krasses Ding.

Sofern hier bis morgen Abend nicht eine offizielle Stellungnahme seitens der Verantwortlichen erfolgt, können sich die einschlägigen Portale wie heise.de, golem & Co. schon mal auf Post freuen.

5 „Gefällt mir“

Hallo @hosch,

vielen Dank für deinen ausführlichen Beitrag.
Aktuell sind alle datenschutzrechtlichen Punkte mit und durch unseren Datenschutzbeauftragten in Bearbeitung.
Wir werden hierzu zeitnah und detailliert Stellung nehmen.

Viele Grüße aus Offenburg

Das liest sich wie: HOPPLA, erwischt!
Auf die zeitnahe Rückmeldung bin ich jedenfalls schon gespannt wie ein Flitzebogen.

4 „Gefällt mir“

kann mal jemand testen? ich glaube die https://www.googleadservices.com ist rausgeflogen, zumindest wurde sie bei mir eben nicht augerufen.

EDIT: Vor dem Login ist sie aber nachwievor da, sehe ich gerade

@Markus_Bauer - Wenn ich das richtig sehe, sind alle von @hosch aufgelisteten Dienste beim erstmaligen Einloggen aktiv. Plus direkt nach dem Einloggen im Dashboard, etc. ebenfalls aktiv. Sobald ich die Seite einmal aktualisiere, fliegt ein Großteil davon raus. Melde ich mich aber ab, schließe das Fenster und melde mich erneut an, geht das Spiel von vorne los.

ich denke das liegt daran, das nach dem Login nur noch „nachgeladen“ wird, wird einmal mit f5 ein reaload gemacht, kommen auch wieder mehr aufrufe

Wenn ich Pi hole deaktiviere knallen bei mir weiterhin etliche Tracker rein. Google Ads habe ich jetzt spontan nur vor dem Login gefunden, aber auch da ist es schon zu viel. Und auch im internen Bereich sind es noch diverse Tracker die einlaufen.

Außerdem wurde Google Ads ja, nach Aussage vom Support, vor etlichen Wochen bereits entfernt…

Hatte es auch zitiert bzw. ist oben verlinkt.

Ich bin mal gespannt wann und wie sich dann hier geäußert wird… Und insbesondere welcher Datenschutzbeauftragte es dann ist… Also der, der auf der Seite angegeben ist. Oder der, von dem @Disney_von_sevDesk im anderen Beitrag sprach… Also dem Unternehmen, mit dem so eng zusammen gearbeitet wird, weil einem Datenschutz so wichtig ist…

3 „Gefällt mir“

@Buesra_von_sevDesk
@sevDesk_UserResearch
@…

:face_with_symbols_over_mouth:
Leider kenne ich den Datenschutzbeauftragten nicht, aber damit hier alle DSGVO Pflichten, Regeln nicht ganz außer acht fallen wären einige wichtige Schritte einzuhalten und sehr zu empfehlen!!

Hier ein Link:

Nur so nebenbei: Ich bin auch nur ein Laie in Sachen DSGVO deshalb hat auch unser Unternehmen keine Homepage mehr. Ist auch nicht von Nöten, da die Mundpropaganda die Beste ist. Dies auch schon seit mehr als 15 Jahren!

Vielleicht geht das hier dann mit der Stellungnahme zu diesem Thema schneller!? :angry:

Schöne Grüße aus Tirol
Hansi Hauser

Ich fürchte mal, dass keiner der Kunden den Datenschutzbeauftragten kennt. Herr Georg Kleine, der in der Datenschutzerklärung benannte Datenschutzbeauftragte hat mir per E-Mail geantwortet, dass er nicht mehr der Datenschutzbeauftragte der sevDesk GmbH ist…

Ich weiß nicht mit wem die sevDesk GmbH da so eng zusammenarbeitet. Aber eine korrekte Angabe darüber ist offensichtlich bereits zu viel verlangt…

Auf die Erklärung dazu bin ich allerdings mehr als gespannt. :wink: Ich vermute mal, dass der korrekte Datenschutz einfach nicht auf der Prioritätenliste stand…

3 „Gefällt mir“

@hosch

So sehe ich das auch und das ist wirklich der absolute Wahnsinn!!
Wie ich schon erwähnt habe, muß ich mich jetzt als Laie damit auseinandersetzen… Wie lange ich hier noch Geduld finde ist aber ein anderes Thema… Glaube hier wäre es vernünftiger Rechtsexperten darüber schauen zu lassen und diese Wahnsinnssache in andere Hände übergeben…!

LG :angry:

Ein Schelm, wer Böses dabei denkt … :see_no_evil: :grinning:

1 „Gefällt mir“

Du meinst in etwa so wie die Anliegen der Bestandskunden? :rofl:

2 „Gefällt mir“