Kurzbeitrag: Lufthansa Website-Update und alte Fehler in neuem Gewandt

Gastbeiträge
,
1

Kurzbeitrag: Lufthansa Website-Update und alte Fehler in neuem Gewandt

In der Vergangenheit habe ich öfter über den Datenschutz bei der Lufthansa berichtet.
So zum Beispiel hier, wo ich die Problematik mit tiqcdn erläutere.

Das im Artikel erwähnte Skript im Buchungsformular, welches im Hintergrund nach offenen Ports auf Windowsrechnern gesucht hat, wurde damals nach Hinweisen bei der Lufthansa sogar entfernt.

Doch nun gab es ein Redesign der Seite und damit kommen wieder alte Probleme ans Licht.

Auf der Buchungsseite der Lufthansa sind nun wieder folgende Skripte ungefragt und ohne
Einwilligung aktiv:

digital-analytics.amadeus.com
cdn-net.com
uk.cdn-net.com
s2.go-mpulse.net

Zusätzlich wurde die Funktion abgestellt, dass man den Buchungscode aus Datenschutzgründen nicht per E-Mail erhalten möchte.

Passenger Receipt

Wenn man bei der Lufthansa bucht oder buchen lässt, so wird auch auf Geschäftsreisen erstmal nur auf den eigenem Namen und Adresse gebucht (sofern kein Business Account bei größeren Unternehmen vorhanden).

Eine Möglichkeit bei der Web-Buchung für die Steuer bzw. das Finanzamt den Firmennamen oder die Firmenadresse anzugeben gibt es nicht. Man erhält auch nicht automatisch per E-Mail eine Rechnung, denn diese muss bei Bedarf manuell angefordert werden.
Dazu hat man bzw. die Buchhaltung oder das Reisemanagement bis zu 90 Tage nach der Reise Zeit.

Hierfür existiert ein Onlineformular, um den Beleg für eure Flug- oder Zugreise zu erhalten.
In dieses Formular müssen folgende Informationen über die eigene Reise eingegeben werden:

  • Name / Vorname
  • Buchungscode
  • Ticketnummer
  • E-Mail Adresse
  • Telefonnummer
  • Sitzplatzreservierung
  • Upgrades
  • Handgepäck
  • u.v.m.

Um diese Rechnung zu erhalten, wozu es auch keine Alternative gibt, muss dieses Formular genutzt werden. Ohne explizite Erlaubnis oder Einwilligung wird bei dem Formular, wo personenbezogene Daten eingegeben und verarbeitet werden mit folgenden Skripten getrackt:

decibelinsight.net
cdn.decibelinsight.net
collection.decibelinsight.net
google.com
adservice.google.com
www.google.com
google.de
adservice.google.de
www.google.de
doubleclick.net
fls.doubleclick.net
g.doubleclick.net
googleads.g.doubleclick.net
exactag.com
cdn.exactag.com
m.exactag.com
go-mpulse.net
s2.go-mpulse.net
google-analytics.com
region1.google-analytics.com
www.google-analytics.com
googletagmanager.com
www.googletagmanager.com
monetate.net
f.monetate.net
se.monetate.net
tealiumiq.com
collect.tealiumiq.com
visitor-service-eu-central-1.tealiumiq.com
tiqcdn.com
tags.tiqcdn.com

Ab dem Punkt kann ich mich nur immer wieder aus vorherigen Beiträgen wiederholen, was die explizite Einwilligung oder das Google Fonts Urteil angeht.

Solltet ihr davon betroffen sein, dann gibt es hier eine Vorlage für ein Auskunftsersuchen, welches ihr allerdings entsprechend anpassen müsstet.