Datenschutz ernst nehmen

Mit jedem Klick in bexio werden Daten an heapanalytics.com gesandt. Dies kann man leicht nachvollziehen, indem man in Firefox die Funktionstaste F12 drückt. Problem:

  1. Als Benutzer einer Schweizer Buchhaltungssoftware will ich nicht, dass im Hintergrund Daten an US Server geschickt werden.
  2. Aus welchem Grund auch immer werden gewisse Aufrufe an heapanalytics.com unverschlüsselt gesendet. Dies ist eine Sicherheitslücke, welche das Übernehmen von Sessions ermöglicht.

Dass bexio Tracing einsetzt, um sein Produkt zu verbessern, ist nicht a priori schlecht. Nur sollten sie einen eigenen dedizierten Server dazu benützen und sicherstellen, dass keine unverschlüsselten Seitenkanäle geöffnet werden.

  • Bruno Gustavs
  • Apr 12 2018
  • Already exists
Platform Component Usage Tracking
  • Apr 22, 2018

    Admin Response

    Guten Tag Herr Gustavs

    Vielen Dank für Ihre Nachricht. Wir bei bexio nehmen Datenschutz sehr ernst. Wir lagern bewusst Kundendaten in Schweizer Rechenzentren, um nicht nur Schweizer Recht, sondern auch Schweizer Qualität zu gewährleisten.

    Ihre Rückmeldung hat uns aufgeschreckt, doch konnten wir wie Sie das Verhalten nicht reproduzieren. Wir behalten das Thema im Auge, ein Austausch mit dem genannten Dienstleister hat zum gleichen Ergebnis geführt - dass es dort zu keinen unverschlüsselten Seitenkanälen kommen sollte.

    Richtig ist, dass wir für die Analyse der Funktionsnutzung innerhalb der bexio Applikation genannten Dienst im Ausland nutzen. Damit erkennen wir bspw. mögliche Schwierigkeiten in der Bedienung der bexio Applikation und können so gezielt gegensteuern. Sie sehen dies auch selbst als "nicht a priori schlecht" an - es gibt Lösungen welche intern eingesetzt werden könnten, jedoch mit geringerem Funktionsumfang. Da in implementierter Lösung keinerlei inhaltliche, persönliche oder identifizierbare Daten ausgetauscht werden, ist aus unserer Sicht die ausgewählte Lösung für bexio und unsere Nutzer die aktuell beste. Sollten wir irgendwo potentielle Datenlücken entdecken, werden wir umgehend gegensteuern. Über entsprechende Hinweise sind wir immer dankbar.

    Freundliche Grüsse

    Michael Loos

  • Bruno Gustavs commented
    April 16, 2018 18:44

    Nachtrag: Die unverschlüsselte Verbindung konnte ich nicht mehr reproduzieren. Eventuell tritt das Problem nur auf, wenn die TLS Verbindung nicht zu stande kommt. Sicherheitshalber habe ich heapanalytics.com und cdn.heapanalytics.com auf unserer Firewall gesperrt.

  • Stephan Hafner commented
    April 30, 2018 10:00

    Hallo Herr Loos

     

    Wieso können Sie das nicht reproduzieren?

    Siehe Printscreen.

     

    Gruss

    Stephan Hafner

     

  • Admin
    Michael Loos commented
    May 01, 2018 08:07

    Hallo Herr Hafner

    Ggf. ein Missverständnis? Sie haben ja bereits die "https" Verbindung markiert. D.h. es werden "keine unverschlüsselten Seitenkanäle geöffnet". Wir nutzen wie oben begründet Heap als Dienst.

    Freundliche Grüsse

    Michael Loos

  • Bruno Gustavs commented
    May 23, 2018 06:07

    Datenschutz heisst nach DSGVO, dass

    1. Nur Daten erhoben werden, welche wirklich gebraucht werden
    2. Daten geschützt werden, also insbesondere nicht weitergereicht
    3. Daten auf Kundenwunsch hin gelöscht werden

    Bei bexio hat man offensichtlich immer noch nicht verstanden, dass die Weiterleitung von Aufrufen an Drittplattformen in den meisten Fällen eine Verletzung des Datenschutzes darstellen. Beispiel:

    Heute morgen erscheint nach der Anmeldung auf bexio ein modaler Dialog mit dem Hinweis auf die "verbesserte" Datenschutzerklärung aufgrund der DSGVO. Der Link unter "mehr dazu" zeigt aber nicht auf bexio, sondern auf via.intercom.io, eine Marketing Plattform. Wieso um alles in der Welt muss bexio Marketing Infos sammeln, wenn ich die Datenschutzerklärung lesen will? DSVGO verletzt.

  • Jeremias Meier commented
    May 24, 2018 10:03

    Guten Tag Herr Gustavs

    Danke für Ihren Kommentar. Wir nutzen Intercom zur Kommunikation mit unseren Kunden und Testkunden und so auch zur Anzeige der erwähnten Meldung (oder bspw. auch für die Chat-Funktion). 

    Weiter wurde im Rahmen von DSGVO mit allen Lieferanten (so auch mit Intercom) ein DSGVO-konformer Vertrag zur Auftragsverarbeitung (AVV) abgeschlossen und sichergestellt, dass diese die neuen Verordnungen ebenfalls anwenden. 


    Freundliche Grüsse
    Jeremias Meier

  • Bruno Gustavs commented
    07 May 08:23

    Bis jetzt blieb die Lohnbuchhaltung vom ganzen Tracking verschont. Leider hat bexio nun auch hier mit Google Analytics & Tag Manager, HeapAnalytics und Intercom Löcher in den Datenschutz geschossen.

    Herr Loos, ich fordere Sie auf, den Status "Existiert bereits" auf "Geplant" zu ändern und umgehend alles Tracking aus der Lohnbuchhaltung zu entfernen!

  • Bruno Gustavs commented
    26 Aug 07:11

    Allen, welche sich ebenfalls über das ganze Tracking in bexio ärgern, empfehle ich einen Adblocker (z.B. uBlock Origin) zu installieren. Bexio läuft ohne Tracking auch bedeutend flüssiger (siehe https://ideas.bexio.com/ideas/PLATF-I-202).