Was steckt dahinter?
Amazon soll sensible Händlerdaten auf Amazon.de preisgeben. Dieser Vorwurf sorgte und sorgt unter Sellern für Unruhe. Dabei geht es um Daten, die automatisch von Amazon auf den Informationsseiten der Seller im Rahmen des automatisch generierten Impressums angezeigt werden. Einige Händler befürchten, dass kriminelle Akteure mithilfe dieser Daten ihre Sellerkonten hacken könnten. Amazon weist den Vorwurf eines Datenlecks entschieden zurück und argumentiert, dass die Veröffentlichung der Händlerdaten den gesetzlichen Anforderungen des europäischen Digital Services Act (DSA) entspricht.
Der Fall
Konkret geht es um Kontaktdaten wie E-Mail-Adressen und Telefonnummern von Marktplatzhändlern, die laut Kritik nur für die interne Kommunikation zwischen Sellern und Amazon bestimmt sind. Während Besucher:innen der Informationsseiten der betroffenen Seller im oberen Seitenbereich Informationen wie das vom Seller selbst erstellte Impressum oder Kundenbewertungen finden, werden im unteren Bereich dieser Seite seit einiger Zeit Kontaktdaten angezeigt, die Amazon unter dem Reiter „Impressum & Infos zum Verkäufer“ ausspielt. Zum Teil soll es sich dabei um Daten handeln, die Seller zum Login in ihren Selleraccount verwenden. Die betroffenen Seller sind besorgt um die Sicherheit ihrer Verkäuferkonten.
Ein Beispiel
Die Informationsseite von Anker, einem der bekanntesten Amazon-Händler, veranschaulicht dies: Der Abschnitt „Info zum Verkäufer“ zeigt die vom Verkäufer selbst hinterlegten Impressumsdaten an. Bei genauerem Hinsehen fällt jedoch auf, dass es sich hierbei nicht um die vollständigen Angaben gemäß Impressumspflicht handelt; beispielsweise fehlt die Unternehmensadresse.
Der Abschnitt „Impressum & Info zum Verkäufer“ im unteren Seitenabschnitt hingegen zeigt die gesetzlichen Pflichtangaben. Diese zieht sich Amazon aus den in Seller Central hinterlegten Informationen. Die E-Mail-Adresse mag mit dem Hauptbenutzer übereinstimmen. Bei der Telefonnummer handelt es sich jedoch um eine Festnetznummer, die nicht für die Zwei-Faktor-Verifizierung geeignet ist.
Was ist dran an den Vorwürfen?
Das haben wir uns gefragt und sind den Vorwürfen nachgegangen. Dazu haben wir mehr als 25 Händlerkonten überprüft, um herauszufinden, welche Daten Amazon konkret unter „Impressum & Infos zum Verkäufer“ veröffentlicht. Zudem wollten wir untersuchen, was Seller tun können, wenn dort sensible Daten ausgespielt werden, mit denen ihre Accounts potenziell gehackt werden könnten.
Das haben unsere Recherchen ergeben
Unseren Recherchen zufolge veröffentlicht Amazon im Bereich „Impressum & Infos zum Verkäufer“ der Verkäuferseite die Kontaktdaten der primären Geschäftsperson, die in Seller Central aufgeführt ist. Dabei ist wichtig zu wissen, dass es einen Unterschied gibt zwischen dem Hauptbenutzer und der primären Geschäftsperson:
Hauptbenutzer: Wenn jemand ein neues Sellerkonto anlegt, wird dieser – oder besser gesagt dessen Zugangsdaten – als Hauptbenutzer registriert. Der Hauptbenutzer kann nicht geändert werden, da die verwendete E-Mailadresse als User-ID fungiert. Und diese ist unveränderlich.
Viele Händler sind sich dessen nicht bewusst, wenn Sie ein Verkäuferkonto anlegen. Dies ist unserer Erfahrung nach durchaus problematisch. Insbesondere in größeren Unternehmen kommt es immer wieder vor, dass die Person, die das Händlerkonto ursprünglich als Hauptbenutzer angelegt hat, das Unternehmen verlässt. Das Unternehmen ist dann gezwungen, diese E-Mail-Adresse weiterhin aktiv zu halten, um Zugriff auf das Sellerkonto zu behalten. Denn nur der Hauptbenutzer verfügt über uneingeschränkte Zugangs- und Bearbeitungsrechte wie beispielsweise Zugang zu bestimmten Steuerinformationen oder zur Anbindung von Apps via API.
Primäre Geschäftsperson: Dabei handelt es sich um den eingetragenen Unternehmensnamen, d. h. die (juristische oder natürliche) Person, die mit Amazon Geschäfte macht. Deren Kontaktdaten werden unter Identitätsdaten > Geschäfts- und Kontaktinformationen hinterlegt.
Das Problem, das im vorliegenden Fall zu einer potenziellen Sicherheitsgefahr werden kann: Meistens werden hier dieselben Kontaktdaten wie für den Hauptbenutzer verwendet.
Wichtig zu wissen: Die E-Mail-Adresse und Telefonnummer der primären Geschäftsperson müssen nicht zwangsläufig mit denen des Hauptnutzers übereinstimmen. Außerdem können die Daten der primären Geschäftsperson jederzeit geändert werden.
Was Seller tun können, um sich zu schützen
Kontaktdaten der primären Geschäftsperson ändern: Wenn im Bereich „Impressum & Infos zum Verkäufer“ sensible Login-Daten ausgespielt werden, liegt das unseren Recherchen zufolge daran, dass für den Hauptbenutzer und die primäre Geschäftsperson dieselben Daten verwendet wurden. Dadurch wird der Anschein erweckt, dass hier interne Daten geleakt werden. Ist dies der Fall, sollten Seller die Kontaktdaten der primären Geschäftsperson in Seller Central ändern unter:
Identitätsdaten > Geschäfts- und Kontaktinformationen
Hier kann eine neue Telefonnummer hinzugefügt werden. Dabei ist zu beachten, dass die Änderungen zunächst von Amazon verifiziert werden, was einige Tage dauern kann.
Authenticator-App zur Zwei-Schritt-Verifizierung nutzen: Aus Sicherheitsgründen fordert Amazon beim Login in Sellerkonten eine Zwei-Schritt-Verifizierung (2SV). Dafür verwendet Amazon automatisch die als primäre Telefonnummer hinterlegte Handynummer, an die bei jeder Anmeldung ein einmaliges Kennwort per SMS gesendet wird.
Eine sicherere Alternative ist die Verwendung von Authenticator-Apps wie Google Authenticator oder Microsoft Authenticator zur Zwei-Schritt-Verifizierung. Anstatt eine SMS an die hinterlegte Handynummer zu senden, erhalten Seller den einmaligen Verifizierungscode über die Authenticator-App. Insbesondere wenn die primäre Handynummer im von Amazon erstellten Impressum veröffentlicht wurde und somit die Gefahr besteht, dass diese gespooft werden könnte, empfehlen wir die Verifizierung über eine Authenticator-App. Wie das genau funktioniert, haben wir in diesem Blog-Post beschrieben.
Ein eigenes Impressum erstellen: Teilen Sie in einem eigenen Impressum Unternehmensdaten, die der Öffentlichkeit bedenkenlos zugänglich gemacht werden können. Dieses können Sie hier erstellen:
Einstellungen > Informationen & Richtlinien > Impressum & Info zum Verkäufer.
Wichtig: Das Impressum muss für jedes Land separat erstellt werden.
Fazit
Alle Seller sind an die Impressumspflicht gebunden, um Transparenz und Sicherheit auf dem Amazon-Marktplatz zu gewährleisten. Amazon hält sich hier lediglich an die Gesetzeslage. Denn: Käufer:innen haben ein Recht darauf zu wissen, von wem sie etwas kaufen. Tatsächlich halten sich allein etwa ein Drittel der von uns untersuchten Seller nicht an diese Pflicht. Daher ist es aus unserer Sicht nachzuvollziehen, dass Amazon selbst aktiv wird, um den geltenden Gesetzen nachzukommen. Allerdings scheint der Reiter „Impressum & Infos zum Verkäufer“ nicht automatisch auf allen Verkäuferseiten des deutschen Marktplatzes ausgespielt zu werden. Unsere Recherchen lassen vermuten, dass dies mit der Firmierung zusammenhängt und Seller, die als Einzelhändler registriert sind, davon ausgenommen sind.
Bei den von im Rahmen der Impressumspflicht ausgespielten Kontaktdaten handelt es sich also nicht um ein Datenleck. Ein potenzielles Sicherheitsrisiko besteht jedoch, wenn die Kontaktdaten der primären Geschäftsperson, die in Amazons Impressum angeführt werden, mit denen des Hauptbenutzers übereinstimmen – insbesondere die Handynummer. In diesem Fall sollten Seller die Kontaktdaten der primären Geschäftsperson umgehend ändern.