Von zweien, die auszogen, ein Haus zu mieten
Prolog
Anfang Januar beschlossen ein Arbeitskollege und ich, uns zusammen eine neue Bleibe zu suchen, da wir beide in absehbarer Zeit umziehen wollten und Wohnraum in der Regel klein und teuer ist. Wir hatten Glück und fanden innerhalb einer Woche ein Haus mit vier Schlafzimmern und riesengroßem Wohnzimmer, das uns auf Anhieb gefiel.
Der Vermieter bot das Haus, wie hier üblich, nicht selber an, sondern überließ die Sache einem Maklerbüro, der Agentur Romans. Und damit fingen die Probleme an...
Erster Schritt: Die Reservierung
Damit das Maklerbüro das Haus nicht noch anderen Interessenten zeigte, mußten wir eine Reservierungsgebühr von 400 Pfund zahlen und einen "Tenant's Guide" lesen und auf dem letzten Blatt unterschreiben. Letzteres fiel vorläufig aus, weil ich die Reservierung telefonisch mit dem Maklerbüro erledigte. Da ich per Karte zahlte, wurde mir die Gebühr von 1 Pfund nach Ansage gleich obendrauf geschlagen. Das fand ich relativ frech, denn später würde das Maklerbüro ja noch den Gegenwert von 13 Tagen Miete zuzüglich Mehrwertsteuer, d.h. ungefähr 550 Pfund, für die Arbeit verdienen. Darin eingeschlossen sollte das Erstellen des Mietvertrags und die Überprüfung von Referenzen und Kreditwürdigkeit sein.
Der "Tenant's Guide" ist übrigens in veralteter Form noch auf der Webseite von Romans zu finden, mit anderen Preisen. Obwohl wir schon damals darauf hinwiesen, ist er bis heute noch nicht aktualisiert worden. Unter anderem wird dort auch verlangt, daß man seine Sozialversicherungsnummer preisgibt, eine Sache, die man definitiv nie machen sollte. Nach einigen Diskussionen mit dem Maklerbüro strichen wir einige Passagen und unterschrieben dann am 29.1.2009.
Update: Eine Überprüfung am 7.4.2009 ergab, daß die neue Version inzwischen endlich online ist.
Zweiter Schritt: Prüfen der Kreditwürdigkeit
Unsere persönlichen Angaben wurde an eine Agentur Keysafe Tenant Vetting weitergereicht, die unsere Kreditwürdigkeit durchleuchten sollte. Es wurden nicht nur die Adressen der letzten drei Jahre abgefragt, sondern merkwürdigerweise auch, ob wir rauchten. Auf telefonische Nachfrage erklärte mir ein Mitarbeiter, man führe ja nicht nur einen Kreditcheck aus, sondern biete eine umfassende Überprüfung von Mietern an. Warum ich auch einen nahen Angehörigen angeben sollte, bei dem es sich aber nicht um meinen Ehepartner handeln durfte, verstehe ich bis heute nicht.
Da ich zur Zeit im Haus der verstorbenen Mutter meines Freundes mietfrei wohne, stand ich vor dem Problem, das diese Variante nicht in die vorgegebenen Möglichkeiten des Formulars paßte. Also gab ich "Living with family" an und notierte als Bemerkung, daß es "Living with friends" nicht gebe.
Dann wurde noch gefragt, bei wem man denn angestellt sei und wieviel man verdiene. Die Frage ist insofern berechtigt, als daß man sich ja das Mietobjekt leisten können muß. Die Faustformel in diesem Fall war, das Bruttojahresgehalt muß 30x Monatsmiete sein, d.h. mehr als 33000 Pfund. Da wir zu zweit mieten wollten, reduzierte sich der Betrag auf 16500 Pfund pro Person. Diesen Wert trug ich dann auch ein, zusammen mit den Kontaktdaten der Personalabteilung meines Arbeitgebers.
Die Agentur verschickte dann ein Fax "Urgent and confidential" (Wichtig und vertraulich), in dem sie nicht etwa um Bestätigung des von mir angebenen Betrages baten, sondern u.a. folgendes fragten:
- Art der Beschäftigung (Vollzeit, Teilzeit, in der Probezeit)
- Sind Visum oder Arbeitserlaubnis notwendig?
- Wie hoch ist das Grundgehalt?
- Wieviel gibt es für Überstunden?
- Wie hoch ist der durchschnittliche Bonus?
- Wie ist die Adresse des Angestellten?
Per Mail wurde mir dann mitgeteilt, daß ich die zwingend notwendigen Angaben zum Eigentümer des derzeitigen Mietobjekts unterschlagen hätte. Leider bot das Web-Formular gar nicht die Möglichkeit an, diese Angaben einzutragen, wenn man "Living with family" eintrug. Ich gab ihnen die Telefonnummer meines Freundes, und die relevanten Fragen an ihn waren:
- Ist das Mietverhältnis gut?
- Würde er ihnen wohl verraten, wieviel ich Miete zahle? - Die Antwort lautete natürlich nein, d.h. möglichst wenig Information
Danach wurde ich dann anscheinend für kreditwürdig befunden. Nach Abschluß des Mietvertrages bat ich die Agentur, mir die über mich gesammelten Daten zukommen zu lassen, interessanterweise war dort das Telefonat mit meinem Freund mit keiner Silbe erwähnt. Und die Hausverwaltung, über die ich 2006/2007 in Cambridge einen Mietvertrag hatte, schickte das Fax mit der Anfrage über mich anscheinend mit dem Vermerk "Sorry we do not know this person" zurück. Natürlich hatte es die Agentur auch hier nicht für nötig befunden, irgendwelche zeitlichen Angaben zur Anfrage im Fax einzutragen.
Bei meinem Mitbewohner dauerte der Vorgang etwas länger, aber nach etwa zwei Wochen, d. h. Anfang Februar, waren wir fertig mit diesem Kapitel.
Dritter Schritt: Der Mietvertrag
Wir hatten schon ein Muster des Standard-Mietvertrags von 25 Seiten von Romans bekommen, bevor wir den "Tenant's Guide" unterschrieben, und waren ihn mit einer Mitarbeiterin des Maklerbüros innerhalb einer Stunde durchgegangen. Es gab einige Passagen, die uns störten, z.B. daß das Büro uns bei einem bestimmten Energie-Versorger anmelden wollte und daß die Datenschutzklausel praktisch keine war, sondern eher ein Freibrief dafür, unsere Daten an Gott und die Welt weitergeben zu dürfen.
It is agreed that the personal information of both the Landlord and the Tenant will be retained by the Agent and may be used for marketing purposes during the Tenancy. However, it is agreed that present and future addresses and other contact details of the parties may be provided to each other, the local authority, authorised contractors, any credit agencies, reference agencies, legal advisers, debt collectors.
Als wir für kreditwürdig befunden worden waren, erwarteten wir die Zusendung des Mietvertrags zur Unterzeichnung. Das war uns am 9.2. zugesichert worden, aber als wir am 11.2. anriefen, sagte uns die Sachbearbeiterin, daß der Vertrag gerade im Postausgangskorb gelandet sei. Zur Beschleunigung des Vorgangs baten wir darum, daß sie ihn uns mailen möge, wir würden ihn dann selber ausdrucken. Auch das klappte erst nach der zweiten Anfrage.
Groß war unsere Überraschung, daß das Dokument bis auf ein "It is NOT agreed" in der Datenschutzklausel keine der von uns besprochenen Änderungen enthielt. Ein weiterer Anruf bei der Sachbearbeiterin, nein, von irgendwelchen Anpassungen wisse sie nichts, sie werde sich aber umgehend mit der Kollegin in Verbindung setzen und uns die neue Version dann mailen. Auch hier waren wieder zwei Anrufe nötig, damit das klappte.
Der Mietvertrag sollte vor einem Zeugen unterschrieben werden, also beschlossen wir, das direkt im Maklerbüro zu machen. Der junge Mann dort nahm den Mietvertrag an sich, nachdem wir unterzeichnet hatten, ohne seine Zeugenangaben gemacht und ohne unsere Identität überprüft zu haben. Er erklärte uns, daß wir den Mietvertrag vom Vermieter erst nach Einzug und per Briefpost bekämen; das ist hier anscheinend so üblich. Interessanterweise schickte das Maklerbüro den Vertrag dann doch schon früher raus als angekündigt, und dann auch noch an die neue Adresse, d. h. wir hatten keinen Zugriff darauf.
Vierter Schritt: Das Energiezertifikat
Seit Oktober 2008 muß bei Verkauf oder Vermietung eines Hauses oder einer Wohnung ein Zertifikat vorgelegt werden, in dem eine Analyse des aktuellen Energieverbrauchs und der möglichen Einsparungen vorgenommen wird. Die Einstufung sieht dabei so aus wie beim Kühlschrank, A für sehr gut, G für sehr schlecht.
Schon vor Unterzeichnung des Mietvertrags forderten wir dieses Dokument an. Was wir bekamen, ist zwar vermutlich für das richtige Haus, allerdings steht als Adresse eine Grundschule, die ist allerdings schräg gegenüber von unserem Haus. Trotz mehrfacher Nachfrage war es uns nicht möglich, diese Angabe berichtigt zu bekommen. Das bekamen wir dann am 23.2.2009 auch schriftlich:
Having spoken to the company that has supplied the EPC, they have informed me that all there information comes from the Land Registry. So when reports are being done in certian areas they obviously may come up under another address due to postcodes. I have be assured that the EPC we have recived is definatlly for 33 Church End Lane.
Inzwischen hatten wir im Gespräch mit dem Vermieter bei der persönlichen Übergabe festgestellt, daß Romans die falsche Postleitzahl im Mietvertrag eingetragen hatten, worauf vermutlich auch die falsche Zuordnung im Energiezertifikat zurückzuführen war. Ein Hinweis meinerseits am 26.2. hat leider bis heute keinerlei Reaktion von Romans hervorgerufen.
Fünfter Schritt: Die Übergabe
Wie mit dem Vermieter telefonisch vereinbart, erfolgte die Übergabe des Hauses am 23.2. Er ging mit uns durch das Haus, hatte aber keinerlei Inventarliste (entgegen dem Mietvertrag). Er zeigte uns verschiedene Dinge, die noch nicht repariert waren (ein Waschbecken defekt, daher Wasserschaden im angrenzenden Zimmer; Heizung nicht voll funktionsfähig, da noch Wasser nachgefüllt werden sollte) und erklärte kurz, wie Prepaid-Gas und -Strom funktionieren.
Dieses Kapitel ging also recht reibungslos.
Sechster Schritt: "Versehentliche" Anmeldung beim Energieversorger
Am 27.2. erhielt ich zu meiner Überraschung eine Kurznachricht: "Willkommen bei Spark Energy!". Im Vordruck des Mietvertrages war eine Klausel enthalten gewesen, die es dem Maklerbüro gestattete, im Namen des Mieters die Energieversorgung auf Spark Energy umschreiben zu lassen. Diese Klausel hatten wir allerdings explizit streichen lassen.
Also rief ich bei Spark Energy an, um die Sache zu klären. Der Mitarbeiter, mit dem ich sprach, erklärte mir, daß mein Mietvertrag diesen Transfer zulasse. Anscheinend kam diese Frage also öfters auf. Er schaute in seine Datenbank und sah, daß es da einen Eintrag für einen aktuellen Mieter für das Haus gab, aber keinerlei Angaben zu Namen oder Telefonnummer. Dieser Eintrag sei auch mit einem Vermerk versehen, daß das Kundenkonto schon wieder geschlossen sei. Allerdings gab es noch einen übergeordneten Eintrag zum Haus selber, und da sei nichts geschlossen.
Ich versuchte ihm zu erklären, daß selbst wenn er keinerlei Angaben zu mir oder meinem Mitbewohner sehe, so seien sie doch zweifellos vorhanden, denn sonst hätte ich ja keine SMS bekommen können. Und es sei nicht genug, das Kundenkonto zu schließen. Er wollte sich bei seinen Vorgesetzten erkundigen, um deren Rückruf ich bat.
Dann rief ich bei dem Maklerbüro an und bekam die Aussage zu hören, daß die Datenübermittlung an Spark Energy automatisch vom System erfolge und man nichts dagegen tun könne. Allerdings habe sie, die Mitarbeiterin, schon eine Mail an Spark Energy geschrieben und um Schließung des Kundenkontos gebeten.
Weniger als zwei Stunden später bekam ich dann einen Rückruf von dem Mitarbeiter bei Spark Energy, mit dem ich schon vorher gesprochen hatte. Er bestätigte mir ein weiteres Mal, daß ich keinerlei Nachrichten vom Energieversorger bekäme, weil das Kundenkonto geschlossen sei. Er konnte mir allerdings zur Speicherung meiner persönlichen Daten nichts sagen, also ließ ich mich zu seinem Vorgesetzten durchstellen. Dieser erklärte mir, daß die Daten vom Maklerbüro immer gebündelt kommen und dann in einer interne Salesforce-Datenbank übertragen würden. Er könne unsere Daten umgehend aus der Datenbank löschen.
Das Maklerbüro bekommt übrigens pro Anmeldung anscheinend 10 GBP Provision.
Siebter Schritt: Datenschutz - was ist das?
Wie man schon sehen konnte, verstehen hier viele Leute nicht das Unbehagen, daß persönliche Daten in die Gegend geblasen werden, so daß jeder, der Interesse hat, sie sammeln und verwenden kann. Das Prinzip der Datensparsamkeit gibt es hier nicht. Denn eigentlich ist es für einen Energieversorger nicht relevant, daß er die Handynummer seiner Kunden hat.
Das größte Datenleck findet sich aber bisher bei der Firma, die unsere Kreditwürdigkeit überprüft hat. Denn der Link zum Web-Formular existiert noch, und die Daten sind in keiner Weise vor öffentlichem Zugang geschützt.
Dies ist der Link zu meinem eigenen Formular (Rechtsklick -> In neuem Fenster öffnen bewirkt, daß man sich beide Seiten parallel ansehen kann). Man sieht zwar nicht meinen Namen, aber den meines Mitbewohners, die Miethöhe und -dauer und die komplette Adresse. Wenn man die ID im Link um 1 verringert, landet man im Formular meines Mitbewohners. Und so könnte man sich auch zu anderen Personen durchhangeln und diverse Daten sammeln und korrellieren.
Rechts unten in der Ecke ist ein kleines Logo der Firma Comodo, das Sicherheit zu suggerieren versucht, diesen Zweck aber in meinen Augen eindeutig verfehlt. Denn erstens ist dieses Logo auch da, wenn man die Seite nicht über eine geschützte Verbindung aufruft (HTTP anstatt HTTPS), und zweitens ließe es sich vermutlich relativ einfach nachbauen. Anstatt so einem Logo gibt es auch bessere Methoden, die Sicherheit und Identität einer Webseite zu überprüfen.
Achter Schritt: Der Stein kommt ins Rollen
Am 7.4. gab ich Romans per Web-Formular Rückmeldung zu der meiner Ansicht nach sehr schlechten Betreuung und versuchte auch, die Probleme bei Keysafe anzusprechen. Da ungewiß war, wer meine Rückmeldung lesen würde, schrieb ich nur:
Using the services of Keysafe Tenancy Vetting means some of your clients' data being involuntarily published on the internet for anybody else to see, this is a huge security risk. Contact us for more details.
Das (zu erwartende) Ergebnis: Keine Reaktion.
Gestern abend betrat ich "mein" Web-Formular bei Keysafe ein weiteres Mal und füllte es teilweise mit anderen Daten aus als beim ersten, echten, Durchgang vor einigen Monaten. Interessanterweise konnte ich das Formular sogar abschicken und schrieb direkt im Anschluß daran eine Mail an Keysafe:
Dear Sir/Madam, after having gone through your tenant vetting process in February I am concerned about the way my personal data is protected. Also I would like to know what personal data you hold about me currently. Do you have a contact person in your company that I could talk to regarding a possible violation of the data protection act that I discovered on your website? Kind regards, Gundemarie Scholz
Interessanterweise hörten wir heute zwar nichts von Keysafe, dafür aber von Romans. Anscheinend hatte das System von Keysafe mit meiner Mailadresse als Absender eine Mail an Keysafe und Romans versendet, woraufhin Keysafe dann Romans 100 Pfund in Rechnung stellte, die Romans jetzt an mich weiterreichen möchten.
Erst als ich an den Geschäftsführer von Keysafe schrieb, kam eine Antwort:
Gundemarie, Good morning. I am sorry but I did not receive an e-mail from you on Sunday. You can discuss any concerns you have with myself and I would be very interested to hear of the supposed breach. Kind regards Gareth Fowler Gareth Fowler - Managing Director Direct Dial No: 0870 224 9617 Fax No: 0870 224 9636
Da 0870-Nummern teuer sind, bat ich um eine normale Telefonnummer, die ich nicht bekam; dafür aber auf einmal eine erzürnte Mail eines vermutlich zusammengestauchten Webdesigners:
Dear Gundemarie, I have been asked to contact you regarding your concerns over the data security. We look after their web site and integration of data for Keysafe. Therefore, if you have managed to Hack into their system, we take this very seriously and request that you inform us immediately of any security hole you have found. Failure to provide this information will result in action against you. Tim Pearson Director www.twmedia.co.uk
Na klasse, da will man nett sein, und bekommt Rechtsschritte angedroht. Ich blieb trotzdem freundlich und antwortete wie folgt:
Dear Tim, first of all I would like to point out that I have not hacked the Keysafe web site nor would it be my intention to do so. To summarise the security and data protection issues I see: - Application forms containing personal information do not get removed after submission - Application forms can be accessed even after the vetting process - Application forms can be submitted even after the vetting process; whether this overwrites any existing data I do not know - Application forms can be accessed not only by the owners, but by anybody that can guess the quite obvious way that IDs are assigned I will now describe the procedure I used to determine the above issues which I think will make clear that there has been no attempt to hack any site on my part. The underlying problem seems so obvious that my partner reacted only with a sharp intake of breath when he saw the link to the application form in the initial mail from Keysafe. The link looks like this: https://www.keysafetv.com/application.php?id=47570&email=romans@gunde.de As the vetting process was over more than two months ago I decided to verify whether the link is still accessible, and indeed it is. Clicking the "Continue to application form" button at the end of the page took me to the actual form: https://www.keysafetv.com/application_step2.php?id=47570&email=romans@gunde.de The form shows the address of the property that I was being vetted for, how much the rent was and the name of the person with whom I was going to share the house. My housemate has confirmed that his form looks the same, except that it contains my name. It is possible to remove the email address from the URL and still get the same data displayed: https://www.keysafetv.com/application_step2.php?id=47570 Going to a different computer I found out the link above still works fine, so obviously there is no kind of authentication, neither username/password, cookies or any other method. Looking at my ID which is 47570, combined with the fact that my housemate tells me his ID is 47569 I can only assume that there are at least another 47,568 data sets that would be accessible in the same manner, from any computer, without any verification. It also means that there are 47,568 other people out there who could get the same ideas as me, but would not necessarily be interested in notifying you. As it happens this also works, which doesn't really make much difference, but adds to the general feeling of incompetence: http://www.keysafetv.com/application_step2.php?id=47570 Note the lack of an S after HTTP -- so no encryption here, as well as no security. Just to avoid any confusion, I should point out that both my housemate and I explicitly permit you to access our personal data that is contained in the pages that I have referred to above, to the extent that is required for you to resolve your security issues. I wouldn't want any concerns about you further infringing the Data Protection Act to prevent you from solving the problem. You will note that I have continued in the spirit of constructive cooperation that initially prompted me to contact Romans and Keysafe about this issue, despite your clumsy threat of legal action. My primary motivation is to ensure that my personal data be kept secure, but if you preferred that I simply report the matter to the Information Commissioner's Office feel free to continue in the same vein. Kind regards, Gundemarie Scholz
Die genannten Seiten waren nach wenigen Stunden nicht mehr erreichbar. Eine Rückmeldung habe ich allerdings von Keysafe nie bekommen. Inzwischen liegt mir ein Schreiben von Gareth Fowler (Keysafe) an einen Manager bei Romans vor, nach dem angeblich persönliche Daten nie zugänglich oder manipulierbar waren...
Update: Am 17.9.2009 bekam ich auf weiteres Nachbohren eine Bestätigung, daß alle unsere persönlichen Daten gelöscht worden seien.