Vorsicht bei der Nutzung von WebID
Hintergrund
Am heutigen Tag hatte ich einen web-basierten Verifizierungsprozess vor mir, angestoßen von einer Handelsplattform. Dabei wurde ich auf den Dienst von WebID verlinkt. Soweit so gut. Die Handelsplattformist also in diesem Falle der Auftraggeber von WebID.
WebID hat eigentlich nur die Aufgabe, personenbezogenen Daten von einem Nutzer zu erfassen, diese zu verifizieren und folgend an die Handelsplattform zu übersenden. Die Handelsplattform nutzt diese dann zum Abgleich mit den im Account hinterlegten Daten.
Damit sollte WebID kein Interesse haben die personenbezogenen Daten bei sich zu speichern. Nun zum eigentlichen Verifizierungsvorgang.
Schlechte Erfahrung bei der web basierten Verifikation mit WebID
Direkt beim Start des Verifikationsvorganges gingen die Probleme los – die Ladegrafik kam noch, aber dann nix mehr. Nach ca. 10 min warten, nahm ich mein Smartphone und siehe da, dort funktioniert es. Ein Verifikationsagent war zu sehen und startet das Gespräch. es ging.
Allerdings ging es so weiter, da der für die Verifizierung verantwortliche Agent recht rüde in das Gespräch einstieg. Er kam mir sehr unkonzentriert und gehetzt vor. Nach dem Start des Gespräches ging es so weiter mit kaum verständlichem Deutsch, so dass es extrem schwer war den Anweisungen zu folgen.
Im Rahmen des Gespräches wurden nach Informationen gefragt, die offensichtlich nichts mit dem Erheben von personenbezogenen Daten für eine Verifikation zu tuen haben, wie z. B. die Email-Adresse. Auf die Frage – Warum die Email-Adresse abgefragt wird, konnten nicht beantwortet werden.
Ebenso wird nur sehr verklausuliert darauf hingewiesen, dass es die Möglichkeit gibt, eine Speicherung der für die Verifikation nötigen Daten bei WebID zu verbieten. Dies ist aber eine sehr wichtige Information, da die im Gespräch abgefragten Daten ja ausschließlich für den Auftraggeber gedacht sind.
Am Ende brach das Gespräch ab ohne Verifikation. Bei nochmaligen Versuchen, stellte sich dann heraus, dass der Vorgang abgeschlossen sei… später stelle sich heraus das es kein aktiver Vorgang mehr sei. Kurz um – Die Verifikation ist fehlgeschlagen.
Fazit: Finger weg von WebID. Falls eine andere Möglichkeit besteht die Verifikation zu realisieren, bitte immer jede andere wählen. Besonders stutzig machte mich der sehr verstecktet Hinweis, dass die Möglichkeit besteht, die Speicherung der zur Verifikation personenbezogene Daten bei WebID zu verbieten. Hier steht die Frage – Warum wird dieser Hinweis so versteckt gegeben?