Nur 5 von 21 sind zuverlässig. myNFP ist wieder vorne mit dabei, Gesamtnote „befriedigend (2,8)“, was dennoch die beste Note ist. Eine Abwertung gab's durch deren Beurteilung beim Datenschutz. Dazu möchte ich hier Stellung nehmen, da mir dieses Thema sehr wichtig ist. myNFP hat beim Punkt Datenschutz sogar schlechter abgeschnitten als eine absolute Datenkrake, die bis vor Kurzem noch alle Daten munter mit Facebook geteilt hat und weiterhin alles in ein DSGVO-Drittland exportiert? Aus meiner Sicht ist da was schief gelaufen.
Kritisiert wurden folgende Punkte:
- Schwache Passwörter (Trivialpasswörter) wie 12345678 sind erlaubt
- „Zudem besteht kein Schutz vor häufigen Anmeldeversuchen“
- Antworten auf Auskunftsersuchen wurden als befriedigend eingestuft
- Deutliche Mängel in der Datenschutzerklärung: Unter anderem werden Rechtsgrundlagen der Datenverarbeitung unzureichend erläutert.
Sichere Passwörter sind laut Stiftung Warentest solche mit mindestens 8 Zeichen, haben Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen. Triviale Passwörter wie 12345678 sollten nach Möglichkeit ausgeschlossen werden.
Was myNFP macht:
Bei Account-Erstellung kann die Nutzerin gar kein Passwort vergeben. Es wird automatisch ein sehr sicheres Passwort erstellt. Das reduziert die Anzahl der Accounts mit schlechten Passwörtern. Man kann später ein eigenes Passwort vergeben und nimmt dann hoffentlich eines, das als sicher gilt. Die Gefahr für schlechte Passwörter ist größer, wenn man sich frisch registriert, weil man dann ja erstmal die App anschauen will. Wenn man das Passwort nach ein paar Monaten mal irgendwann ändert, ist das eine andere Geschichte. Das wird im Test jedoch nicht weiter ausdifferenziert.
Das Problem ist: Über Passwortrichtlinien kann man sich streiten. myNFP schreibt als Regel tatsächlich nur eine Mindestlänge von 8 Zeichen vor und sonst gibt es keine Regeln, weil das mit den Regeln so eine Sache ist. Vielleicht habt ihr schonmal dieses Comic gesehen, was die Problematik ganz gut trifft: https://xkcd.com/936/
Auch das BSI spricht nur von möglichst langen Passwörtern. Verschiedene Zeichen gelten als besser, sind aber optional: https://www.bsi.bund.de/DE/Themen/Verbr ... _node.html
Ich bin absolut kein Fan von strikten Passwortrichtlinien, weil die gerne mal einem Passwort-Manager dazwischenfunken (Tipp: Passwort-Manager wie 1Password, iOS Keychain o. ä. verwenden, keine eigenen Passwörter erstellen). Einen Trivial-Passwort-Filter mit den 100-1.000 häufigsten Passwörtern werde ich aber einbauen. Erweiterte Regeln ganz sicher nicht.
Kein Schutz vor häufigen Anmeldeversuchen
Stimmt nicht. Man nennt das in der Fachsprache „rate limiting“. Ist bei myNFP schon lange aktiv, allerdings erlaubt es aktuell relativ viele Anmeldeversuche pro Stunde. Im Test ist die Rede davon, dass maximal 101 Anmeldeversuche zulässig sein dürfen. Die Frage ist: 101 – pro was? Pro Stunde? Pro Tag? Pro Account?
Pro Account wäre fatal, weil ein Angreifer dann jeden Account blockieren kann, wenn er automatisiert genügend Anmeldeversuche startet. Nennt man auch Denial-of-Service-Attacke. Über effektives Rate-Limiting kann man sich auch wieder streiten, weil das u. a. abhängig von der Passwortrichtlinie ist. Für die Tester erlaubt myNFP offenbar zu viele Versuche, aber „kein Schutz“ ist schlichtweg falsch. Trivialpasswörter könnte man mit der aktuellen Rate leicht knacken, für schwierigere Passwörter ist die Rate langsam genug, um den Account zu schützen. Ich werde das Rate-Limiting aber dennoch strenger machen.
Antworten auf Auskunftsersuche „nur“ befriedigend
Leider fehlt die Erklärung dazu. Im Test steht, dass die Antworten auf "Plausibilität und Vollständigkeit" bewertet werden. Für eine vollständige Antwort sollte man jedoch eine vollständige Anfrage schicken. Ich beantworte gewissenhaft jede E-Mail mit Auskunftsersuchen. Dazu mehrere Dinge:
Da es seit Inkrafttreten der DSGVO seit 2018 insgesamt nur etwa 5-10 Auskunftsersuche gab, sind die Gesuche seitens Stiftung Warentest sofort aufgefallen, da sie sehr ähnlich formuliert waren. Darin wurde gefragt, ob und welche personenbezogenen Daten (allgemein?) gespeichert werden und wer mein Datenschutzbeauftragter ist. Diese Fragen habe ich beantwortet:
- Datenschutzbeauftragter steht hier: https://www.mynfp.de/datenschutz#kontakt
- Gespeichert wird standardmäßig nur die E-Mail-Adresse. Bei aktiviertem Online-Backup auch die Zyklusdaten. Bei Zahlung über die Website werden ggf. weitere Daten seitens PayPal/Bank usw. einsehbar, die jedoch nicht direkt mit dem Account verknüpft werden. Das steht leicht verständlich genauer in der Datenschutzerklärung.
- Irgendwo in den Server-Logdateien ist die IP-Adresse, wird jedoch auch nicht unmittelbar mit dem Account verknüpft.
Die Anfragen waren zu unkonkret gestellt. Es klang wie eine Erkundigung, an wen man sich wenden muss mit Follow-Up, der jedoch nie kam. Mit anderen Anfragen dieser Art gab es in der Regel zumindest einen kurzen Austausch, worum es genau geht und ob die Nutzerin die Daten haben will oder sich nur mal informieren möchte, was myNFP alles speichert. Das hat hier gefehlt und daher ist es mir ein Rätsel, was hier genau erwartet wurde.Update: Die Erklärung, was erwartet wurde, findet man hier: https://www.vzbv.de/pressemitteilungen/ ... atenschutz
Dort ist ein umfangreiches PDF verlinkt, das die Ansprüche und Vorgaben erläutert. Man hätte selbst auf die "umgangssprachlich" (unvollständig) formulierte E-Mail mit einer vollständigen Auskunft inklusive Kopie aller Daten antworten müssen. Manche Hersteller haben das offenbar richtig gemacht. Mir erschließt sich der Anspruch daran jedoch nicht. Zum einen ist es an der Realität vorbei: Solche Anfragen sind zu selten, teilweise automatisiert, teilweise will der Fragende gar keine Kopie der Daten, sondern nur wissen, wie lange der Account erhalten bleibt. Zum anderen gibt es genügend Musterbriefgeneratoren (inkl. auf der Verbraucherschutzseite im oben genannten Artikel verlinkt), die es ermöglichen, vollumfassende Auskünfte anzufragen. Wenn die Anfrage völlig unzureichend formuliert wurde, kann man aus meiner Sicht nicht eine vollumfassende Anwort im 1. Schritt ohne weitere Rücksprache erwarten. Dafür sind diese Art Anfragen viel zu selten und genügend andere Support-Anfragen zu unklar formuliert, als dass man ohne Rücksprache darauf kommen muss, was die Person will.
Nur zur Klarstellung: Ich gebe selbstverständlich vollumfassende Auskünfte, aber dann muss jemand auch sagen, dass er die überhaupt haben will.
Rechtsgrundlagen der Datenverarbeitung unzureichend erläutert
Ich habe mich darum bemüht, die Datenschutzerklärung so zu schreiben, dass sie jeder versteht und sie nicht zu lang ist. Die Rechtsgrundlage ist die DSGVO und ja, wenn sich das ein Jurist anschaut, dann will der Paragraphen sehen. Wenn sich das ein Endnutzer anschaut, interessieren die einzelnen Paragraphen nicht die Bohne. Entscheidend ist, dass klar wird, was gespeichert, verarbeitet und ggf. wohin geschickt wird. Extrem schade, dass es eine Abwertung durch die Nicht-Erwähnung der Paragraphen gab, aber keine Bonuspunkte dafür, dass die Datenschutzerklärung nicht von irgendeinem Generator geschrieben wurde und 20 Seiten umfasst. Aber gut, die Paragraphen füge ich noch ein.
Was leider ganz und gar nicht berücksichtigt wurde, was mir aber sehr am Herzen liegt:
- Keine Tracking-Cookies, dadurch keine „Cookie-Einwilligung“ nötig, keine personenbezogenen Analytics
- Keinerlei Drittanbieter-Skripte auf der Website oder in der App, die nach Hause telefonieren, mit der einzigen Ausnahme: Die Skripte von Stripe und PayPal zur Verarbeitung von Zahlungen, wenn man über die Website verlängert. Aber eben kein Facebook, Google Analytics oder irgendwelcher Werbe-Quatsch. Gewisse Mitbewerber rufen 36 (!) unterschiede Domains auf der Website auf, haben aber dieselbe Note beim Datenschutz wie myNFP
- Server-Standort Deutschland, gehostet bei einer deutschen Firma. Andere getestete Apps mit besserer Note beim Datenschutz nutzen Cloud-Anbieter, die zwar theoretisch ihre Rechenzentren in der EU stehen haben, aber halt trotzdem US-Firmen sind. Das war bisher nicht DSGVO-konform, wurde im Test aber nicht abgewertet.
Edit: Ergänzungen.
