Heute nochmals ein kleiner Schlenker zur Baumarktkette Bauhaus. Wie viele Händler hat man auch eine App für seine Kunden, über die man auf bestimmte Funktionen (Infos über Produkte) Einkäufe etc. zugreifen können soll. Die App hatte bis vor einigen Tagen auch eine Funktion, um einen Kassenzettel zu scannen. Diese Option ist aber plötzlich verschwunden, und ich frage mich warum? Ob es mit meinen Nachforschungen zu einem potentiellen (DSGVO-) Problem und einem Leseraufruf zu tun hat? Ergänzung: Die Funktion ist wieder da, aber mit Einschränkungen.
Anzeige
Der Smartphone-affine Mensch braucht einfach eine App, sonst geht nix. Und so stellt jeder Händler (Edeka, Lidl, Netto etc.) seine eigene App bereit, die Youngster fliegen auf so etwas. Da sind Vorfälle wie ich sie im Beitrag Betrug: "Unberechtigte Fremdeinkäufe" mit Netto-App; PayPal verweigert Erstattung angerissen habe, höchstens eine Marginalie.
Die Bauhaus-App
Bauhaus ist eine Baumarktkette, die in Deutschland und europaweit mit über 34.500 Mitarbeitern aktiv ist. Die Filialen werden als Regionalgesellschaften geführt. Die Zentrale sitzt in Mannheim, geführt wird der Konzern aber aus dem Schweizer Kanton Bern.
Die Baumarktkette ist auch mit einem Online-Shop im Internet vertreten, und Kunden können dort online einkaufen. Für seine Kunden hält die Kette auch eine kostenlose Bauhaus-App (z.B. im Android Play Store) bereit. Unter dem Slogan "BAUHAUS App: Mehr BAUHAUS geht nicht" wirbt man auf der Firmenseite für diese App. Produktfinder, Merkliste, Produktscanner, DIY Mediathek und weitere Funktionen werden angepriesen.
Anzeige
Und es gibt (angeblich) die Funktion Digitaler Kassenbon über die man per Smartphone den Barcode eines Kassenzettels einscannen kann (oder können soll). Obiger Screenshot stammt aus der App-Beschreibung und bewirbt die Funktion. Mit dem Barcode oder der aufgedruckten Nummer vom Kassenbon soll man seine Einkäufe erfassen können. Die sollen dann in der App unter Einkäufe auftauchen.
Ein Leserhinweis …
Bei Bauhaus klingelt bei dem einen oder anderen regulären Blog-Leser was. Ich hatte ja im Blog-Beitrag Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen über einen Datenschutzvorfall bei dieser Kette berichtet. In diesem Kontext erreichte mich eine Leser-Mail mit dem Betreff "Weitere Lücken bei Bauhaus" und folgender Aussage:
Ihrem Artikel und Blogbeitrag zu den Problemen bei Bauhaus könnte ich noch etwas hinzufügen:
Schauen Sie sich mal die App von Bauhaus an, dort gibt es eine integrierte Funktion um die Kassenbons zu scannen. Die Kassenbons enthalten einen Barcode hierzu. Man kann die Bons mit der Kamera einscannen, aber auch die Barcode-Nummer händisch eingeben. Die Nummer des Kassenzettels folgt einem Muster, die letzten Stellen zählen hoch, in den ersten Stellen sind eigene Zahlenkombination unter anderem für Filiale, Kasse, Kalenderwoche etc. enthalten.
Die Kassenzettel lassen sich anschließend in der App als PDF betrachten, enthalten auch teilweise Angaben zur Karten/Barzahlung, Ablaufdatum, erste Stellen der Kreditkarten oder Kontonummer. Man kann beliebig viele Kassenzettel als PDF abrufen und einsehen.
Bereits mit den verfügbaren Daten lassen sich umfangreiche Muster von widerkehrenden Kunden erstellen, wie auch Umsatzzahlen einzelner Filialen und Artikel aufstellen. Wir haben noch nicht untersucht, ob die Schnittstelle in der App sich auch außerhalb dieser App ansprechen lässt und gültige PDF zurückliefert.
Die E-Mail schloss mit dem Satz: "Bei Bauhaus habe ich keine offenen Ohren für dieses Problem finden können." Zuerst mein Dank an den Leser. War natürlich ein Hinweis, dem ich nachgehen wollte …
Dumm gelaufen mit den Nachforschungen
Nun muss man dazu sagen, dass ich kein Kunde von Bauhaus bin (und auch versuche, recht datensparsam unterwegs zu sein). Ich hatte dem Leser dann eine E-Mail geschrieben und gebeten, mir ggf. Screenshots bereitzustellen. Mein Masterplan war, die verschleierten Screenshots zu nutzen, um den Datenschutzverantwortlichen von Bauhaus und den Landesdatenschutzbeauftragten von Baden-Württemberg zu informieren. Alleine, der Leser hat auf zwei Nachfragen per E-Mail nicht mehr reagiert.
Micky Maus wollen die nicht …
Was macht der Blogger mangels Screenshots? Ich habe mir dann die Bauhaus-App aus dem Google Play Store auf einem Android-Smartphone installiert. Aber ohne Kundenkonto geht bei der App nicht so wirklich viel in Bezug auf die Scan-Funktion für Einkäufe. Ergo habe ich mir unter einer Einmal-E-Mail-Adresse ein Kundenkonto in der Bauhaus-App angelegt. Ich fand es eine lustige Idee, dass Micky Maus bei denen einkauft (hätte wohl besser "Karl Klammer" als Name verwendet).
Aber da war noch das Problem, dass ich keinen Bauhaus Kassenzettel mit Barcode hatte. Nach einer Suche im Internet wurde mir das Foto eines solchen Belegs ausgeworfen. Ich habe dann die betreffende Barcode-Nummer (wegen der schlechten Qualität) per OCR ermitteln lassen und diese in der App über einen Button zur manuellen Eingabe in das angezeigte Formular eingetippt.
Die Barcode-Nummer wurde akzeptiert und es hieß, ich würde die gekauften Waren "bald" unter meinen Einkäufen finden. Aber dort hieß es "Sie haben noch nichts eingekauft". Ich habe im Anschluss noch einige eigene Barcode-Nummern selbst generiert und angeblich erfolgreich eingetippt. Alleine, es lief bis heute auf "Sie haben noch nichts eingekauft" hinaus. Selbst eine weitere Suche nach einem Kassenzettel im Internet, die mir sogar erfolgreich ein Exemplar mit lesbarem Barcode auswarf, brachte keinen Durchbruch. Das Foto, angezeigt auf dem Monitor des Desktop, ließ sich mit der App zwar scannen, aber unter meinen Einkäufen hieß es "Sie haben noch nichts eingekauft". Gut stimmt, ich hatte noch nichts eingekauft – aber die App kann das nicht wissen.
Die Hoffnung auf die Leserschaft …
Das war dann der Zeitpunkt, wo ich auf die Hilfe der Leserschaft hoffte. Denn meine Vermutung lief auf zwei Punkte hinaus: Bauhaus will keine Einkäufe von "Mickey Maus" – oder die Kassenzettel, die ich zur Verfügung hatte, waren zu alt, um digital erfasst zu werden. Ich habe dann den Blog-Beitrag Leser, der die Bauhaus-App nutzt, gesucht veröffentlicht – und um Unterstützung gebeten. War eine ernüchternde Erfahrung. Der Text ist ziemlich klar geschrieben, ich brauchte Input auf Fragen, die ich einem Leser, der die App aktiv verwendet, hätte stellen können.
Ich enthalte mich an dieser Stelle jeglicher Wertung über App-Nutzer – aber die Kommentare lassen mich etwas zweifeln. Da gibt es einen Nutzer da draußen, der breit erklärt, dass er einen Beleg gescannt hat, und den Beleg unter Einkäufe hat. Aber eine gültige Mailadresse zum Erfahrungsaustausch hat er nicht hinterlassen. Ist natürlich das gute Recht des Lesers – aber dass die Scan-Funktion tut, wusste ich von obigem Tippgeber. Ergo war der Kommentar nutzlos.
Dann gibt es noch einen Leser, der nicht mal seinen Namen mitteilen wollte, aber den "klugen Ratschlag" los werden musste, "eine Tüte Gummibänder und/oder eine Glühbirne" zu kaufen. Keine Ahnung, warum sich Leute zu solch Kommentaren bemüßigt fühlen. Nur fahre ich keine 40 km zum nächsten Bauhaus-Markt und dann zurück, um irgendwie einen Einkaufsbeleg für Gummibänder zu ergattern – so weit geht mein Ehrgeiz als Blogger dann doch nicht – und ich nutze den Schrott an App auch nicht.
Die Facebook-Community hilft
Ich gestehe, ich war da doch etwas ob der Reaktion der Leserschaft hier im Blog angefressen und wollte das Thema schon abhaken – ist ja nicht mein Problem. Aber hey, in der Facebook-Community habe ich Unterstützung bekommen (dabei werden die Facebook-Nutzer gerne mal von der Blog-Leserschaft abschätzig mit "die das braucht kein Mensch nutzen" einsortiert).
Ups, die Scan-Funktion ist verschwunden …
Auf meinen Post mit Verweis auf den Blog-Beitrag Leser, der die Bauhaus-App nutzt, gesucht bekam ich recht schnell zwei Rückmeldungen "ich hätte dir gerne geholfen und verwende auch die Bauhaus-App". Aber in der App ist die Funktion zum Scannen der Kassenbelege nicht zu finden. Mit dabei war bei beiden Posts der Verweis auf die App-Beschreibung, wo diese Funktion noch dokumentiert ist (siehe obiger Screenshot, linkes Bild "Kassenbon scannen").
Ich glaubte zuerst, dass die Leute nicht angemeldet waren. Aber ein Nutzer hatte mir per privater Nachricht einen seiner Kassenbons als Foto geschickt. Als ich dann die App auf meinem Smartphone öffnete, um diesen Bon zu scannen, war auch bei meinem Gerät die Option "Kassenbon scannen" verschwunden. Nun ja, Fakt ist, dass mein Aufruf über obigen Artikel zum 13. Dezember 2023 erfolgte. Zum 14. Dezember 2023 wurde laut Google Play die Bauhaus-App aktualisiert. Und nun ist die Barcode-Scan-Funktion für Kassenzettel verschwunden.
Da "kommt Mann schon zum nachdenken" – ob die Bauhaus IT über Google Alert das Internet überwachen lassen und den Aufruf an die Leser gesehen haben? Oder ob da ein System angeschlagen hat, weil "Micky Maus" alte Kassenbon Barcode-Nummern in der App eintippte? Man weiß es nicht …
Ich kann noch scannen
Und dann meldete sich Leser Tim mit dem Kommentar, dass er zum 14. Dezember 2023 einen Beleg eingescannt habe. Der Einkauf sei ihm am 15. Dezember in der App unter Einkäufe angezeigt worden. Tim hat mir folgenden Ausschnitt aus dem Einkäufe-Bereich seiner App bereitgestellt.
Der Vorgang des Scans eines Kassenbelegs funktionierte am 14. Dezember 2023 für einen Einkauf vom 13. Dezember – obige Darstellung zeigt nur die Produkte, weitere Details wurden bewusst abgeschnitten. Mir liegt aber der PDF-Auszug des Kassenbons vor, der eine Reihe persönlicher Angaben (wie oben vom ersten Leser beschrieben) enthält – und hier nicht veröffentlicht wird.
Ich hatte Tim noch einige Fragen gestellt, u.a. wollte ich wissen, ob er die Barcode-Nummer durch Hochzählen manipulieren kann, um fremde Kassenbons angezeigt zu bekommen. Interessent ist seine Antwort vom 15. Dezember 2023 auf meine Nachfrage:
ja gern, leider geht das nur noch bedingt: Der Button zum Scannen ist in meiner App heute auch nicht mehr sichtbar. Vorher musste ich allerdings auch schon suchen. Zu finden unter Benutzerprofil -> Einkäufe -> Ganz nach unten scrollen. Jetzt ist dort leider nichts mehr zu sehen. Auch die manuelle Eingabe ist nicht mehr möglich.
Ein Scan von vor ein paar Wochen ist bei mir nicht in der App aufgetaucht. Man könnte fast meinen, da würde noch manuell geprüft, solange wie das dauert.
An dieser Stelle danke für die Unterstützung (auch an die Facebook-Nutzer). Die Bemerkung aus dem letzten Satz des Lesers ging mir als Verdacht auch schon durch den Kopf. Halten wir an dieser Stelle fest: Die Funktion zum Scannen eines Barcodes vom Kassenbon ist aktuell aus der Bauhaus-App – wohl mit dem Update vom 14. Dezember 2023 – entfernt worden. Über die Gründe kann ich jetzt spekulieren.
- Variante 1 lautet, dass man von selbst auf den oben geäußerten Sachverhalt gekommen ist, dass der Scan der Kassenbons in der implementierten Variante wohl eher nicht DSGVO-konform oder sonst irgendwie kritisch ist (möglicherweise hat man die Meldung des obigen Lesers auch "gefunden"). Unter Einkäufe heißt es jetzt bei mir, dass dort "Online-Einkäufe bei BAUHAUS" zu finden sein sollen. Ob das schon immer da stand, kann ich nicht beantworten.
- Variante 2 lautet, dass die Funktion nicht wirklich sauber implementiert war und da im Hintergrund manuelle oder halbautomatische Freigaben erfolgen mussten. Erklärt die lange Wartezeit bis die Scans unter Einkäufe auftauchen. Dann könnte die Funktion aus Aufwandsgründen abgeschaltet worden sein.
Wie man das Ganze wendet und dreht, es ist kein wirkliches Glanzstück, was da bezüglich der Bauhaus-App durchschimmert. Wenn sich aus dem Kassenbon-Barcode-Scan, der manipuliert werden kann, wirklich ein PDF-Dokument in der mir vorliegenden und oben erwähnten Form generieren lassen, wäre das der GAU.
Den Hinweis des obigen Lesers, dass ich die Barcode-Nummer selbst manipulieren und eingeben könne, um fremde Einkäufe samt persönlicher Daten angezeigt zu bekommen, kann ich so jetzt (wegen der entfernten Scan-Funktion) nicht mehr verifizieren (lassen). Allerdings habe ich einen indirekte zweiten Beweis – denn in den Android-Rezensionen gibt es nachfolgenden Beitrag:
Der Nutzer schreibt explizit, dass er bereits zwei Mal völlig fremde Kassenzettel angezeigt bekommen habe. Die BAUHAUS-Leute kommentierten, dass sie die Scan-Funktion verfeinern. An dieser Stelle hätten bei den App-Entwicklern eigentlich die Alarmglocken läuten müssen.
Offenlegung und DSGVO-Meldung
Da Bauhaus die betreffende Funktion in der App entfernt hat, habe ich mich zur Offenlegung hier im Blog entschlossen. Wegen der möglichen DSGVO-Problematik schicke ich zudem eine Meldung an den Landesdatenschutzbeauftragten von Baden-Württemberg und an den Datenschutzbeauftragten von Bauhaus. Entweder es es gab einen DSGVO-Verstoß, dann gehört das Ganze aufgearbeitet. Oder es wurden keine persönlichen Daten offen gelegt – dann hat die Bauhaus-IT zumindest die Möglichkeit, es beim "nächsten Schuss" professioneller zu machen.
Neue Entwicklungen
Ergänzung 1: Der Bauhaus-Datenschutzbeauftragte hat mir eine Rückmeldung auf die DSGVO-Meldung zukommen lassen. Er bedankt sich für die Hinweise und lässt den Vorgang intern prüfen.
Ergänzung 2: Blog-Leser haben mich darüber informiert, dass die Funktion zum Scannen eines Kassenbons wieder vorhanden sei. Aber es gibt Einschränkungen, wie mir zwei Leute aus der Leserschaft schrieben (danke dafür):
Hallo Günter, in der Bauhaus App muss man jetzt zur Bon-Nummer noch den Bruttobetrag angeben, sonst kann man den Beleg nicht hinzufügen. Der Betrag wird auch live geprüft und sofort als Fehlerhaft angezeigt wenn er falsch ist.
Ansonsten erhärtet sich meine Vermutung, dass die Bon-Scan-Funktion serverseitig für die App freigeschaltet wird. Ich habe ja die Hoheit über den Bauhaus-Account von "Micky Mouse" – und dort ist der Scan-Button nach wie vor nicht zu finden. Micky Mouse hat die Welt von BAUHAUS wieder ein Stückchen sicherer gemacht. Bis denne, bzw. bis zum nächsten Bug. Dann schicke ich vielleicht Donald Duck ins Rennen. Oder ich agiere als "Helge Schneider" und bestelle ein "Katzenklo".
Ähnliche Artikel
Datenleck beim Bauhaus-Shop legte Bestellungen von Plus Card-Inhabern offen
Leser, der die Bauhaus-App nutzt, gesucht
Anzeige
Ich glaube eher es funktioniert einfach nicht. So war es bei mir.
Kann man automatische App Updates für solche Recherchen ggf. deaktivieren? Oder eine ältere Version der App aus einer der APK Bibliotheken im Netz (aus Sicherheitsgründen auf einem ansonsten leeren Handy) installieren?
Dem werde ich nicht mehr nachgehen (zumal der Verdacht besteht, dass einzelne Funktionen möglicherweise per Script auf einem BAUHAUS-Server geregelt werden) – der Sachverhalt ist offen gelegt, der Screenshot einer Rezension mit Bemerkung über "falsche Kassenbons" wurde nachgetragen, und eine Meldung an den Landesdatenschutzbeauftragten von Baden-Württemberg ist (mit CC an den Bauhaus-Datenschutzbeauftragten) mit Bitte um Prüfung des Sachverhalts rausgegangen.
Viele Apps sind auch auch einfach nur ein rahmenloser Webbrowser, der bis auf eine Startseite fast nur Serverbasierte Inhalte anzeigt. So kann der Anbieter auch ohne App Update beliebig Einfluss auf die App nehmen.
Das sind harte Anschuldigungen!
Das ist Unsinn, es gibt eine Situationsbeschreibung mit Indizien. Und es gibt eine Meldung an den LfDI und den Datenschutzbeauftragten, den Sachverhalt zu prüfen. Dann ergeben sich zwei Möglichkeiten: 1. Es gab ein DSGVO-Problem, und dann liegt der Ball beim LfDI. 2. Es ist nichts dran an der Vermutung, weil keine persönlichen Daten betroffen sind. Sollte letztere zutreffen und ich bekomme das vom LfDI bestätigt, wird das hier nachgetragen.
Du kannst Dir ein lokales Backup anlegen und dann ggf. lokal "restoren" und auch das automatische Updaten sperren.
Es nützt aber nichts, weil der Server ja die Daten liefern müsste.
Das macht er wahrscheinlich nicht mehr, weil Bauhaus das Problem selbst aufgefallen ist und sie festgestellt haben, dass dieser nützliche Dienst so nicht realisiert werden kann.
Die Kasse müsste die Ziffern mit dem Schlüssel des Kunden chefrieren. Dazu müsste der Kunde mit der App bezahlt haben
oder sonst wie sich gegenüber der Kasse identifiziert haben.
Dann braucht man aber due die Scan Funktion nicht.
Oder man müsste den ganzen Bon einscannen und mit OCR lesen und erst dann die Daten holen. Es ist rel. unwahrscheinlich dass Kunden zur selben Zeit genau dasselbe gekauft haben.
Da hat irgendwer zu schnell gehandelt und nicht mit der DSGV gerechnet…
Vermutlich ist der Barcode einfach nur die zentrale Buchungsnummer im System und die App bzw. der Server gibt dann einfach alle Daten des ganzen Kaufvorgang an das App Nutzer Konto, wenn diese Nummer angefragt wird.
Sonne Kasse hat ja ein Embedded(Linux) OS o.ae.
Gut möglich dass es keine Kryptofunktionen bietet so das keine Verschlüsselung der Bon-Nummer möglich war.
Evtl. hat man auch nur eine Macro Sprache zur Verfügung, mit der man nur definieren kann, welche Werte wie auf dem Bon gedruckt werden.
Da man dem Kunden diese Funktion bieten wollte hat man aus den Standard-Tokens den Barcode zusammengebaut.
Zum Drucken als Barcode muss man nur den passenden Font wählen.
Man dachte, das der Barcode eindeutig genug sei..
War er aber nicht. Und so bekamen Kunden die Bons anderer Kunden angezeigt.
Da sich ja der eine Kunde gemeldet hatte könnte sein, dass die das nur intern regeln wollten. Keine gute Idee…
Das die Funktion manipulierte Barcode angenommen hat deutet auf eine ziemliche Arglosigkeit hin.
Die manuellen Codes sind offensichtlich nicht einmal mit einer trivialen Prüfsumme versehen, wenn man die so einfach hochzählen kann. Es ist ja andererseits sinnvoll eine nicht bekannte Nummer nicht als solches zu verraten. Man frisst einfach alles und gibt einem Hacker keine Info ….
Das würde erklären warum die manuellen Nummern zwar angenommen wurden, aber nicht erschienen.
Bauhaus nutzt Windows 10 LTSB.
W10 IOT, Dann entfällt die Ausrede, dass das OS keine Cryptofunktionen hätte.
Vielleicht sollte Bauhaus mal nach einem anderen Chef-Entwickler umsehen?
So wie das hier dargestellt wurde, kann man es nicht realisieren.
Ich kann ja irgendwelche Bons als die Meinigen einscannen, ja mir Bon-Nummern ausdenken und das später Ausdrucken und beim Finanzamt oder Auftrageberbabrechnen.
Vermutlich sah Bauhaus nur die Garantie-Funktion.
Dafür brauche ich nur die Bon-Nummer, habe aber auch die Ware.
(Habe ich mal bei Aldi erfolgreich durchgeführt. Damals hatten die die Umsätze noch ausgedruckt auf Stapeln von randgelochtem Papier. Ich wusste nur das ca. Datum und den 4stelligen Preis. So war der Beleg schnell gefunden.)
Ich habe den Artikel zum Anlass genommen und nach dem Datenformat für die "digitale" Übermittlung per angezeigtem Code im Einzelhandel zu suchen. Wie von mir bereits vermutet, werden auch Kassenbons wohl nur im Bild- (PNG, JPG, PDF) und nicht im Datenformat bereitgestellt. Zudem können Fremde jederzeit mit ihrem Smartphone alle Kassenvorgänge mitscannen. Was ist hier mit der Datensicherheit auch bei digitalen Zahlungsmitteln? Für das Thema gibt es sicher noch viel Raum zur Berichterstattung …
Bei der elektronischen Rechnung hat sich die EU übrigens eindeutig gegen das PDF-Format gestellt, weil es eben ein Bildformat ist. Für digitalen Datenaustausch braucht man im Internet auch weiter das Textformat. Daran wird sich auch mit dem deutschen "ZUGFeRD" (PDF-Format für Rechnungen in Deutschland) nichts ändern. Nur das Risiko für Cyberangriffe steigt dadurch, aber das Thema üben wir ja auch schon in NRW (Südwestfalen IT) und BW (Ludwigsburg und Mössingen) und an anderen Stellen.
"Bei der elektronischen Rechnung hat sich die EU übrigens eindeutig gegen das PDF-Format gestellt, weil es eben ein Bildformat ist."
PDF ist kein Bildformat. Und die EU hat sich nicht gegen PDF gestellt, sondern fordert strukturierten Daten, was die normalen PDF-Rechnungen einfach nicht haben.
"Für digitalen Datenaustausch braucht man im Internet auch weiter das Textformat. Daran wird sich auch mit dem deutschen "ZUGFeRD" (PDF-Format für Rechnungen in Deutschland) nichts ändern."
Das Textformat bietet auch keine Struktur für Daten, weshalb das so gut wiengar nicht mehr eingesetzt wird. Dafür gibt es XML, was übrigens auch Teil von ZUGFeRD ist, nämlich XML plus augenlesbare PDF-Rechnung in einem.
ZUGFeRD als Format für die Wirtschaft ist auch EU-konform, genau wie XRechnung, das Format für die Verwaltung.
Beide lassen sich direkt maschinell und universell als Rechnung verarbeiten, ganz im Gegensatz zu Text übrigens.
Entschuldige die Korrekturen, die sollen natürlich nicht deine gerechte Aufregung über unsere Rückständigkeit abwürgen.
"Richtlinie 2014/55/EU des Europäischen Parlaments und des Rates vom 16. April 2014 über die elektronische Rechnungsstellung bei öffentlichen Aufträgen
[…]
(7) Die Vorteile der elektronischen Rechnungsstellung werden maximiert, wenn die Erstellung, Versendung, Übermittlung, Entgegennahme und Verarbeitung einer Rechnung vollständig automatisiert werden kann. Aus diesem Grund sollte nur für maschinenlesbare Rechnungen, die vom Empfänger automatisch und digital verarbeitet werden können, gelten, dass sie der europäischen Norm für die elektronische Rechnungsstellung entsprechen. Eine bloße Bilddatei sollte nicht als elektronische Rechnung im Sinne dieser Richtlinie gelten.
[…]"
Das PDF-Format wird auf Grundlage von 'PostScript' als "Vektorgrafikformat" für Dokumente und Drucker verwendet. Damit werden Rechnungen "als Bild" genauso dargestellt, wie sie als DIN A4-Ausdruck per Post aussehen würden.
Darüber hinaus kann das PDF-Format wie eine Container-Datei mittlerweile mit ausführbarem Code als aktives Dokument z. B. als Formular mit Eingabefeldern und für beliebige Anhänge inklusive EXE-Dateien verwendet werden. Die davon ausgehende Gefahr ist ein anderes Thema.
HTML, XML u. a. werden als einfache Textdateien geschrieben, die bei entsprechender Formatierung relativ gut mit dem Texteditor lesbar sind. Um eine Rechnung im PDF-Format öffnen zu können, wird ein System mit grafischer Oberfläche und zusätzlicher Software für PDF benötigt. Ein Textsystem reicht hierfür nicht aus.
Außer im Photo-Atelier arbeite ich nur im Textformat bevorzugt mit heller Schrift auf dunklem Hintergrund. Funktioniert prima, ist systemunabhängig und barrierefrei. Nach den Vorgaben der EU sollte das auch für elektronische Rechnungen "einfach" funktionieren, so zumindest die rechtliche Vorgabe.
"HTML, XML u. a. werden als einfache Textdateien geschrieben"
In Deiner Interpretation von "Textdatei" ist dann so gut wie alles, was nicht binär kodiert ist, auch eine Textdatei. Übrigens kann ich dir dann auch PDF-Dateien bauen, die danach "Textdateien" wären.
Der entscheidende Punkt ist "maschinenlesbar" und in den zugehörigen Standards dann die "strukturierten Daten". Da geht es um die Form des Inhalts, nicht nur darum, ob da lesbarer Text in der Datei ist. Ein Roman wird den Standards halt auch nicht gerecht. Und deshalb haben wir ZUGFeRD und XRechnung, beide mit XML. Und nicht mit "Text".
Das die Bons erst am nächsten Tag oder später in der App angezeigt werden, könnte ganz einfach auch daran liegen, dass die Kassen nicht dauerhaft online sind, sondern nur einmal pro Tag die Bons zentral sichern.
Es ist ja keine Echtzeit nötig und die Daten sind sowieso schon in der Kasse gespeichert für das Finanzamt und lassen sich en Block wahrscheinlich sehr viel besser komprimieren.
Ich vermute, das die Bons nicht als PDFs gespeichert werden sondern aus der Datenbank als PDF "gedruckt" werden.
Es würde viel zu viel Platz benötigen.
So weit ich weiß, mußt Du bei Rewe mit der App bezahlen oder Deine Punkte sammeln, wenn Du den Bon als Email oder aufs Handy bekommen willst.
So wie Bauhaus das machte kann es nicht funktionieren.
"Zudem können Fremde jederzeit mit ihrem Smartphone alle Kassenvorgänge mitscannen. "
Was meinst Du damit?
„Ich gestehe, ich war da doch etwas ob der Reaktion der Leserschaft hier im Blog angefressen …"
Auf die Meldung habe ich nicht reagiert, da ich auf solche Apps verzichte und somit auch keinen Beitrag leisten konnte. Sicherlich geht es viele Lesern so.
Du warst ja auch nicht gemeint, sondern die Leute, die kommentiert haben, ohne dass ich in der Sache einen Jota weiter gekommen bin. Solche Kommentare waren Null zielführend…
Ich könnte mir vorstellen, dass der erste Beitrag einfach zu nebulös war. Da war einfach zu wenig Details, für was die Kassenbons benötigt werden. Da war dann eben niemand bereit, seine Daten dafür zu teilen.
ich vermute auch, dass die Menge der Bauhaus-Kunden mit der Menge der Leser hier disjunkt sind.
Wenn das wirklich nur die Buchungsnummer ist, und jeder jeden x-beliebigen Kassen-Beleg einscannen könnte hatten die einen ernsten Designfehler. (Ich hätte gedacht dass die den Bon wirklich einscannen würden. Weil so ein Bon schon mal über einen Meter lang werden kann, müsste man sich auf die letzte Seite mit dem Barcode und der Endsumme beschränken. So wäre halbwegs sicher, dass der Bon tatsächlich vorliegt und die Beleg Nummer nicht ausgedacht ist.)
Wenn diese Buchungsnummer keine Prüfsumme hat, die manuelle Falscheingaben des Benutzers oder Scanners offline erkennbar macht, haben sie einen zweiten grundsätzlichen Fehler gemacht.
Natürlich sollte man dem Kunden sofort sagen, wenn er sich vertippt hat, ohne zu verraten ob es diese Nummer wirklich gibt.
Erstaunlicherweise verliest sich U.U. mein Smartphone durchaus mal bei Barcodes, obwohl diese auch eine Prüfziffer für den Barcode selbst haben sollten. (ist bei der Karte für die Paketstation geschehen).
Wenn diese Buchungsnummer erratbar und ausreichend ist um irgendwelche fremden Bons ,(mehrfach) anzurufen wäre es ein Fall für die DSGV, Aber: Da es aber erst nach einscannen der Buchungsnummer zu einer Verbindung mit dem Account gekommen ist, könnte Bauhaus einfach ein mehrfaches einlesen (durch einen Dritten) verhindert haben. Somit wären da vielleicht die letzten Ziffern des Lastschriftkontos eruierbar, aber nicht wer das war.
Um einem Angreifer nicht mehr zu verraten als der schon wusste, wurde kein Fehler angezeigt. Das können wir leider nicht mehr testen.
Im Grunde hätte es gereicht wenn Bauhaus im Server die Abfrage nicht mehr ausgeführt hätte, ein Update der Application wäre nur nötig, wenn man Service Calls der Kunden vermeiden wollte.
Ich weiß nicht wie schnell man eine App im Store updaten kann.
Google prüft die App ja genau.
Ich bin echt gespannt ob da was vom DSB kommt.
Danke für den Bericht.
Es wird vor allem so sein, dass Bauhaus hier vielleicht aufgefallen ist, dass einige Leute damit Betrug begehen können, nämlich fremde Kassenbons in ihr Kundenkonto laden. Mit entsprechender Rahmenvereinbarung und Mindestumsatz erhält man nämlich am Jahresende 10 % Rückvergütung! Ohne weitere Bedingungen. Wird der Mindestumsatz von einigen Tausend Euro in einem Jahr nicht erreicht, gibt's einfach nichts zurück. Für Handwerker ist das z. B. attraktiv, und auch für uns. Da wir auch im Immobiliengeschäft tätig sind, nutzen wir das natürlich seit vielen Jahren. Man hat normalerweise seine Bauhaus-PLUScard beim Einkauf dabei und scannt diese beim Bezahlvorgang ein. Man kann sich auch mehrere ausstellen lassen, z. B. für mit Einkäufen beauftragte Personen. Funktioniert seit Jahren prächtig.
Und auf unseren Bauhaus-Belegen stehen keinerlei personenbezogene Daten, auch nicht bei den mit PlusCARD beglichenen. Dort steht lediglich die Kartennummer und "Bonusfähiger Betrag". Somit ist mir hier nicht klar, wo ein Verstoß gegen die EU-DSGVO vorliegen sollte, sollte ich einen fremden Umsatzbeleg auf mein Konto einzubuchen versuchen oder einen fremden Bauhaus-Beleg auf dem Bildschirm sehen – neben der etwaigen Betrugsabsicht meinerseits, täte ich das mit PLUScard-Vertrag.
Boa.
Wenn das stimmt rollen da wohl Köpfe.
Wenn man seine Karte beim Bezahlen dazu legen muss, wäre es ja kein Problem. Aber einen x-biebigen Beleg einscannen?
das kann doch nicht sein?
Wenn ich für App habe, dann brauche ich ja keine Karte mehr.
Dann erzeugt die App einen Barcode den die Kasse einliest und kann den Beleg dem Konto zu zuweisen.
Die Kasse macht die Zuweisung, nicht der Kunde…
Auch das Finanzamt wäre vermutlich nicht glücklich.
Zumal sie gerade das Kassenbon System so toll neu und kompliziert gemacht haben wegen der zig Milliarden schwarz verkauften Brötchen und Manipulierbarkeit. Irgendwoher müssen ja die die 30 Milliarden kommen, die bei CumEx an die Reichen verschenkt hat.
Früher war es möglich bei eBay Tankbelege zu verticken.
Für Gewerbetreibende mit hohen Gewinnen war das bares Schwarzgeld und Steuerersparnis.
Wie soll das Finanzamt erkennen, dass ein Beleg zweimal eingescannt wurde, wenn die Nummer nicht eindeutig ist und wie soll es erkennen, dass das nicht der Beleg eines Dritten war?
Original Belege muß man ja nicht mehr einreichen.Und dass dieser Umsatz statt gefunden hat kann es sehr schnell aus den digitalen cryptografisch gesicherten Kassenrollen auslesen.
Die PlusCarte war auch nicht so gedacht, dass damit jeder Mitarbeiter seine privaten Einkäufe machen kann.
Erfolgte damit die Bezahlung ausschließlich bargeld los vom Firmen Konto?
Auf dem Bon soll die Zahlweise und teile der Konto Nummer stehen. Die Kunden-Nummer ist auch personen beziehbar. Auch sollen beliebige Belegnummern manuell eingeben werden können. Belege von anderen Kunden.
Das wäre wirklich was zum Fremdschämen, wenn das so wäre.
Da tröstet die alte Kaufmanns Regel wenig:
Rabatt ist das, was man vorher draufgeschlagen hat.
Zur Frage, ob persönliche Informationen über den Kassenbon offen gelegt werden (ich meine ja, ein mir vorliegender, generierter PDF-Beleg, weist einige Informationen wie Kartennummer auf) und ob fremde Belege "frei abrufbar" waren, sollten wir die Beurteilung des Landesdatenschutzbeauftragten von Baden-Württemberg abwarten. Daher habe ich den Vorgang dort eingespeist.
Aber alleine die hier aufkommenden Diskussionen, in Verbindung mit dem zweiten BAUHAUS-Klops (Infos über Käufe der PlusCard im Internet abrufbar) legen nahe, dass da vielleicht einiges im Argen sein könnte und die Aufsichtsbehörden vielleicht in Bezug auf Datenschutz mal genauer nachschauen und prüfen.
Eine reine Nummer ohne Name oder sonstigen Bezug ist kein personenbezogenes Datum gemäß EU-DSGVO. Sonst lägen zu viele solcher Infos offen auf Parkplätzen und in Mülleimern herum…
@Pau1: Mit der PLUScard kann man nicht bezahlen, das erfolgt z. B. in bar, per EC, Karte, NFC,…
Sie wird nur zur Umsatzgutschrift auf dem Kundenkonto optional zusätzlich eingescannt.
Wenn ich mich mit meinem Konto bei bauhauslinfo anmelde, kann ich bei den Umsätzen auch lediglich die Belegenummer, Fachzentrum, Datum und Betrag sehen – keine Belege selbst, keine personenbezogenen Daten. Und ob ich da persönlich an dem Tag irgendwann in dem Markt war, ist daraus auch nicht ablesbar. Somit wäre da nicht schön, aber auch kein Super-GAU, wenn diese Liste irgendwo gar ganz öffentlich einsehbar wäre, da sie nicht zuweisbar ist.
Ich hatte ja einige Bemerkungen zum Thema gemacht und auf die Bewertung der Datenschützer verwiesen. Letztendlich muss jeder selbst wissen, was er an Apps nutzt – ich dokumentiere hier im Blog nur, was mir so auffällt.
Noch eine Anmerkung: Eine IP-Adresse ist auch eine "reine Nummer" ohne einen Namen oder einen direkten Datenbezug. Weil aber ein Bezug (z.B. über den Provider, per Tracking oder über eine BigData-Auswertung) hergestellt werden könnte, sind diese IP-Adressen von Datenschützern als persönliches Datum klassifiziert. Daher sollte man auch nicht unbedingt seine Kassenzettel auf Parkplätzen weg werfen. Vom Umweltaspekt mal abgesehen könnten da auch Informationen drauf sein, die man nicht wirklich öffentlich haben will. Daher das Zeugs vor dem Einwerfen in den Mülleimer oder Papierabfall zerreißen.
Danke für die Info.
Man kann also irgendwelche "gefundenen" Belege von Bar Käufen Dritter auf seinem Plus-Konto sammeln und so die 10% einkalkulierten Rabatt dieses Kunden kassieren?
Man kann die eingescannten Belege aus dem Plus-Konto aber nicht als PDF ausdrucken und beim Finanzamt einreichen, weil diese keine Details des Einkaufs enthalten sondern nur die Endsumme?
Klar kann man "gefundene" Belege bei entsprechender krimineller Energie einreichen. Dafür braucht es keine App.
Natürlich muss man damit rechnen, dass das FA mal nachrechnet, was man denn so gekauft hat und ob das mit den angegebenen Einnahmen korreliert. (Ein Gastwirt wird ja keinen gefundenen Beleg über gekauften Snaps einreichen, wenn er den nicht wirklich gekauft hat, weil das FA das ja rückrechnet. )
Genauso muss ja jeder Gewerbetreibende aufpassen, wenn er die 10% kassieren will, dass die Materialmengen passen. Selbst wenn im App Konto nur die Summe steht, in den Daten des Verkäufers ist jeder einzelne Posten gespeichert.
Vielleicht reicht dieses Risiko aus, keine fremden Belege einzuscannen? Das FA wird ggf. fragen, wofür das Material gekauft wurde oder, schlimmer, warum der Beleg nicht in der Buchführung erscheint, sondern nur im Pluskonto. Auch Kleinunternehmer werden geprüft, wenn auch selten.
Damit haben sie erschwert, dass man die sequentielle Beleg-Nummer eingibt. Nicht nur wegen DSGV, sondern weil, wie hier beschrieben, Kunden einfach ausgedachte Beleg-Nummern eingeben um die 10% Bonus am Jahresende zu kassieren.
Bisher brauchte man ja nicht einmal einen "gefundenen" Beleg zu besitzen. Und was sollten sie machen, wenn dieselbe Belegnummer im Bonus von 2 oder mehr Kunden erscheinen?
Es wird so nicht verhindert, dass der Bonus auf tatsächlich gefundene Belege eines Dritten gewährt wird.
Die Belegnummer auf dem Beleg um eine Quersumme zu erweitern damit Scanfehler sofort auffallen, ist vermutlich nicht so einfach zu machen, weil das ja in den Kassen geändert werden muss.
Scan/Eingabefehler werden jetzt implizit erkannt.
Naja, so haben sie die ungewollten Werbegeschenke an die Kunden recht einfach verhindert.
Nichts desto trotz sollten solche Fehler eigentlich nicht vorkommen. Ich will ja nicht von dem Praktikanten reden, der einst bei DHL die TAN für die Paketstation an das Ende der SMS gestellt hatte, ohne zu beachten, dass manche Paketstation an Straßen und in Städten mit sehr langen Namen steht und so die TAN außerhalb der 140 Zeichen stand…
Hallo zusammen,
ich bin selbst PlusCard-Benutzer und muss an dieser Stelle kurz etwas klarstellen: um eine bonifizierte Eingabe zu generieren muss beim Bezahlvorgang die PlusCard gescannt werden. Eine nachträgliche Buchung ist nicht (auch nicht wenn Karte vergessen, durch nachzeigen/nachbuchen) möglich. Ansonsten bin ich für diesen Artikel dankbar, weiter so!