Unverschlüsselte Webseite? Vorkasse für Übersetzung – bei mir klingeln die Alarmglocken!

Kürzlich ist bei mir im Familienkreis ein Fall aufgetreten, wo ich sofort mich gefragt habe, dass daran doch etwas seltsam ist.

Es ging darum, dass aus meiner Familie eine Person, Dokumente in der Tschechischen Republik übersetzen lassen muss, dabei hat die Person aus meiner Familie (wirkt seltsam geschrieben, aber ich möchte die Identität der Person geheim halten 😉 ), verschiedene Übersetzungsbüros gefunden.

Diese wurden dann per E-Mail angeschrieben und um Preise gebeten. Natürlich muss man hierbei aufpassen, und prüft, ob dieses Unternehmen überhaupt existiert, eine gute Reputation und eine längere Geschichte an Rezensionen aufweisen kann.

3 Unternehmen gab es, das eine Unternehmen ist international bekannt für Übersetzungen, kostet aber auch am meisten und hat unrealistisch hohe Preisvorstellungen.

Das andere Unternehmen möchte per Vorkasse mehr als 200€ bezahlt bekommen haben.

Das letzte Unternehmen scheint eine Frau zu sein, welche zwar als Unternehmen registriert ist, aber kein schriftliches Angebot und ohne Rechnung, einen gerichtlich akzeptiertes Siegel für die Übersetzung als vereidigten Übersetzerin.

Man kann sich beim letzten Fall denken, dass hier jemand, der vereidigt ist, unter der Hand (Schwarz Arbeit) arbeiten möchte, um keine Steuern zahlen zu müssen. Das haben wir abgelehnt.

Dann bleibt nur das 2. Unternehmen, dieses möchte in Vorkasse bezahlt werden.

Doch nicht nur das man hier in Vorkasse zahlen soll und noch nicht mal ein Angebot/Rechnung dafür bekommt und nur die Rechnungsdetails per E-Mail, da kann man schon stutzig werden.

Aber als ITler und Webentwickler sind mir dann noch weitere Punkte aufgefallen:

  1. Die E-Mail die geantwortet hat, war eine @gmail.com Adresse, keine Domain vom Unternehmen, was sich damit rühmt schon seit 28 Jahren zu bestehen.
  2. Beim Anschauen der Webseite, stellt man fest, dass das Design aus der heutigen Zeit gefallen ist, nach Analyse mit Frontpage Editor 6.0 erstellt (wurde 2003 zuletzt veröffentlicht, man kann daraus schlussfolgern, dass diese Webseite mit 20 Jahre alter Technik betrieben wird), Apache 2.4.10 verwendet wird, diese Version ist aus dem Jahr 2014, also 9 Jahre, entsprechend auch ohne Sicherheitsupdates.
  3. Kein HTTPS / SSL-Verschlüsselung der Verbindung

Und spätestens nach dem 3. Punkt wurde es mir bereits zu Bunt, eine Webseite, die von einem heutigen Unternehmen betrieben wird, und Dokumente empfängt, die hohe Privatsphäre Anforderungen haben, werden ohne HTTPS hochgeladen??

Ich habe mir also das Upload Formular angeschaut, und einfach mal gegraben, was man dort so findet. Und da stellt sich heraus, dass dieses Formular gar nicht zur Webseite gehört, sondern einem Drittanbieter, ja, perfekt, die Seite verwendet ein Formular zum Hochladen von hochsensiblen Dokumente von einem Drittanbieter, ohne SSL und nicht mal ein Hinweis oder Cookie-Banner. Keine Datenschutzerklärung oder Hinweis, dass man hier einen Drittdienst Anbieter für das Hochladen von Dokumenten verwendet wird.

Jotformeu.com ist die Domain, welche das JS für das Formular im iFrame liefert, welches dann im Browser des Nutzers gerendert wird, und obwohl das „eu“, hindeutet, dass es doch etwas mit dem europäischen Raum zu tun haben könnte, dachte ich und wurde wieder mal eines Besseren belehrt, Vertrauen ist gut, Kontrolle ist besser:

 

Wie man beim IP Tracer nachsehen kann, befindet sich die Domain des Servers nicht in Europa, sondern in den USA, in Kansas City.

Also haben wir hier eigentlich einen größte anzunehmenden Unfall der DSGVO/GDPR, welche als EU Gesetz auch in der Tschechischen Republik Anwendung zu finden hat.

  1. Nicht informieren des Nutzers das dieser einen Drittdienst verwendet, um hochsensible Dokumente an das Übersetzungsbüro zu übermitteln
  2. Keine Datenschutzerklärung was mit den Daten passiert oder wie damit verfahren wird
  3. Übertragung von hochsensiblen persönlichen Daten und Dokumenten in die USA, ohne Zustimmung des Nutzers

Zusammenfassend:

Die Webseite ist 20 Jahre alt, hat kein Impressum, keine Datenschutzerklärung, keine Cookie Info, ist nicht SSL/HTTPS verschlüsselt, nutzt einen Anbieter für das Hochladen von sensiblen Dokumenten und persönlichen Informationen, welcher sich in den USA befindet, ohne den Nutzer darüber zu informieren, mit welchen Diensten das Übersetzungsbüro diese Daten teilt und ob der Nutzer einverstanden ist. Und dann soll noch ohne formellen Angebot und Rechnung via Email Plain Text in Vorkasse gezahlt werden.

Wow, also sowas findet man nicht täglich und in Deutschland würden die Datenschützer schon Sturm laufen und Anwaltsschreiben nur so reinfliegen.

Letztlich haben wir uns nicht für diesen Dienst entschieden. Die Antwort des Unternehmens mit dem Vorlegen dieser Analyse war, dass man es so gut finde, das Webseite alt sei und dies ein Vorteil ist und das man täglich betrügerische Anfragen bekommt (wundert mich das diese Seite nicht schon gehackt wurde, aber okay) und man keine Zusammenarbeit mit uns wünsche.

In diesem Sinne, aufgepasst, wen man seine Dokumente anvertraut.

Geschrieben von Petr Kirpeit

Alle Beiträge entsprechen meiner persönlichen Meinung und sind in Deutsch verfasst. Um englischsprachigen Lesern den Zugang zum Artikel zu bieten, werden diese automatisch über DeepL übersetzt. Fakten und Quellen werden nach Möglichkeit hinzugefügt. Sofern es keine eindeutigen Beweise gibt, gilt der jeweilige Beitrag als meine persönliche Meinung zum Stand der Veröffentlichung. Diese Meinung kann sich im Laufe der Zeit verändern. Freunde, Partner, Unternehmen und weitere müssen diese Position nicht teilen.

Schreibe einen Kommentar