DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?
Die DSGVO schreibt Firmen nicht nur vor, wie sie mit Daten umgehen müssen, sondern gibt Verbrauchern auch das ein oder anderen Recht gegenüber Firmen, die Daten verarbeiten. So gibt es das Recht auf Löschen, sie können einen Auszug der Daten erhalten und auch sonst muss der die Firma umfangreiche Auskünfte liefern. Hier zeige ich ein Beispiel, wie es vielleicht nicht gemacht werden sollte. Der Absender hat die Möglichkeit unterlassen, die Mails verschlüsselt zu senden, so dass die Nachricht eher einer Postkarte denn eines verschlossenen Briefs entspricht. Da die Mails auch keine persönliche Ansprache o.ä. enthalten, gehe ich von einem öffentlichen Schreiben aus, welches möglichst viele Adressaten erreichen soll und daher nicht besonders unkenntlich gemacht werden muss. Es haben sich aber schon einige Schreiben angesammelt:
Es stehen also schon noch einige Antworten aus.
6.12.18 - 8.1.2019 8 Unerwünschte Mails
Alles hat mal wieder damit angefangen, dass sich in meinem privaten Postfach, welches leider nur durch den relativ einfachen Spamfilter des Providers geschützt ist, mehrere Mails angekommen sind:
Quelle: Mein privater Posteingang Frank Carius, Gefiltert
auf "monecheck", Stand 4.1.2019
Es ist quasi der "übliche" Werbespam zum Thema Rente und Krankenversicherung. ich frage mich schon, warum nicht die Krankenversicherungen hier ihr Vertriebsmodell etwas strenger regeln. Vielleicht sollte ich einfach mal den Kontakt suchen und bis kurz vor den Abschluss durchspielen lassen. Mit den Anrufen des Microsoft Supports, siehe Fraud Call, habe ich da ja schon durchgespielt. Schaue ich mir eine Mail an, dann ist auch schnell zu sehen, dass die URLs der Bilder "personalisiert" wurden.
Quelle: Beispielmail in meinem Posteingang vom 6.12.2018.
Über solche Links können solche Versender relativ effektiv eine Rückmeldung erhalten, ob, wann und wie oft die Mail gelesen wird. In dem Moment, in dem ich mir da Bild anzeigen lasse, hinterlasse ich auf dem Webserver des Anbieter eines eindeutige Spur. Er kennt ja meine Mailadresse und über den individuellen Link kann er auch die IP-Adresse zuordnen. IP-Adressen und Mailadressen zählen nach meinem Wissen zu personenbezogenen Daten. Der Anbieter könnte diese Information ja auch weiter verkaufen, da eine IP-Adresse meist zumindest einige Stunden statisch ist. Also habe ich ein Bild abgerufen und sicher wird der Anbieter diesen Datensatz ja irgendwo speichern und zur ausgesendeten Werbemail verknüpfen.
4. Jan 19: Wer steckt dahinter?
Wie Sie sicher schon gesehen haben, handelt es sich bei dieser Domäne nicht um eine Adresse aus fernen Ländern sondern eine DE-Domain. Dank der DSGVO ist es nicht mehr so einfach, schnell den Admin-C zu einer Domain zu ermitteln. Eigentlich bleibt nur der Verweis auf den DNS-Server übrig, um die Nameserver und Mailserver zu ermitteln.
C:\>nslookup -q=NS moneycheck.de Server: fritz.box Address: 192.168.178.1 Nicht autorisierende Antwort: moneycheck.de nameserver = ns2.namespace4you.de moneycheck.de nameserver = ns.namespace4you.de C:\>nslookup -q=MX moneycheck.de Server: fritz.box Address: 192.168.178.1 Nicht autorisierende Antwort: moneycheck.de MX preference = 100, mail exchanger = mxlb.ispgateway.de
Beide liegen beim Provider Domainfactory. Aber freundlicherweise endet die Mail mit einer Impressumangabe. Das ist schon mal ungewöhnlich, dass hier eine 0800er Nummer und eine komplette Adresse angegeben ist.
Quelle: unterer Teil der Mail von Moneycheck an mich vom
6.12.2018
Aber das muss ja alles nicht stimmen. Eine Steuernummer ist angeblich noch nicht erteilt worden aber die Firma hat schon einen Eintrag im Handelsregister. Das findet sich so auch im Impressum:
Quelle:
https://www.moneycheck.de/ueber-moneycheck/impressum/
(04. Feb 2019)
Über die Nummer HRB 515131 finden sich im Internet schon die ein oder anderen Hinweise. Zwar stimmt die Stadt überein und auch das Gründungsdatum ist ziemlich jung aber die Firmierung lautet auf eine "Immobilien und Hausverwaltungs & Service GmbH".
Quelle:
https://www.handelsregister.de/ Suche nach HGB 515131,
Jena
Das passt weder so richtig mit einer "Portalbetriebs GmbH" zusammen und auch nicht mit einem Versicherungsmakler, wofür geworben wird. Auch die Postadresse ist unterschiedlich. Ich kann nur vermuten, dass die Handelsregisternummer auf der Webseite falsch ist. Erst auf https://www.unternehmensregister.de/ habe ich dann mit HRB 514131 eine andere Nummer gefunden. Dieser Eintrag nennt aber 27.12.2017 als Eintragungsdatum. Sollte das Finanzamt in dem Fall immer noch keine Steuernummer vergeben haben?. Solche Fehler sollten aber gerade im Impressum besser nicht passieren. Ist das der neue wilde Osten?
Ein Versicherungsmakler ist in Deutschland zulassungspflichtig. Daher findet sich auf der Webseite natürlich auch dieser Hinweis:
Über diese Nummer kann unter https://www.vermittlerregister.info der Vermittler eingesehen werden. Allerdings passen die Daten nun auch wieder nicht:
Quelle: https://www.vermittlerregister.info Stand 2. Feb 2019
Geschäftsführer bzw. Vorstand ist hier eine Dennie Liemen und nicht Daniela Deckner. Auch die Orte Leipzig und Erfurt sind unterschiedlich. Die Firma "beratungswerk24" betreibt wohl einige Webportale (Siehe http://www.beratungswerk24.ag/web-portale) auf denen aber gerade die moneycheck.de nicht auftaucht. Wozu ist dann so ein Register gut, wenn es unstimmige Daten enthält? Oder ist das genau so eine Fehlinformation wie die HRB-Nummer?
Wenn Sie dann aber auf das Impressum gehen, dann finden Sie hier die Nummer D-M6BK-JBFIO-49.
Quelle:
https://www.moneycheck.de/ueber-moneycheck/impressum/ 23.
Feb 2019
Wobei auch hier die Überdeckung der Pflichtangaben durch ein nicht entfernbares Werbebanner kritisch sehen kann. Diesmal kommt eine andere Firma zum Vorschein:
Dies mal ist es auch tatsächlich die "Moneycheck Portalbetriebs GmbH", wie im Impressum angegeben.
Die Firmenbezeichnung "Portalbetrieb" verbinde ich eher mit einer IT-Dienstleistung für Webseiten und Portale aber nicht primär mit einer Maklertätigkeit. Wäre mal interessant aus dem GmbH Vertrag den Geschäftszweck zu erfahren. Vielleicht verkaufen Sie morgen ja noch Brötchen und übermorgen Autos. Die Zulassungshürden sind anscheinend sehr niedrig. Der Begriff "Versicherungsberater" ist ja geschützt. Makler kann sich dann ja jeder nennen.
Mailversand über Dienstleister vsend.de?
Die Mail wurde ja per SMTP eingeliefert. Daher ist z.B. die IP-Adresse des einliefernden Systems interessant. Ich habe mir daher den Header der Mail angeschaut, um die Versender zu ermitteln:
Received: from srv.vsend.de ([138.201.182.1]) by mx.kundenserver.de (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) From: "moneycheck.de" <info@service.moneycheck.de> Sender: "moneycheck.de" <info@service.moneycheck.de> Reply-To: "moneycheck.de" <info@service.moneycheck.de> X-Report-Abuse: <abuse@mail.vsend.de>
Der Domainname hat auf den ersten Blick nichts mit Moneycheck.de zu tun. Die IP-Adresse 138.201.182.1 ist beim Provider "Hetzner Online AG" angesiedelt. Das DENIC verbirgt leider den Domaininhaber und da VSEND anscheinend kein Interesse an Kunden hat, liefert der Zugriff auf die Domain per HTTP nur eine 403-Fehlerseite aber kein Impressum. Domainhoster ist auch hier Domainfactory. Das allein erlaubt aber keine Aussage, ob es sich um eine eigenständige Firma oder nur einen zweiten Namen der gleichen Firma handelt.
Bei HTTPS meldet sich ein 10 Jahre gültiges selbst signiertes Zertifikat für "webserver.ispgateway.de". Schon interessant, dass man in Deutschland aufgrund §5 TMG-E eigentlich ein Impressum haben muss
- Telemediengesetz (TMG) § 5 Allgemeine
Informationspflichten
https://www.gesetze-im-internet.de/tmg/__5.html
Steht die DSGVU und der Datenschutz nun über dem TMG oder warum stellt das DENIC nicht mal diese Pflichtangaben per WHOIS bereit? Inwieweit eine Webseite ohne Impressum schon abmahnfähig ist, mögen bitte die Mitbewerber der Versicherungsbranche, Immobilienbranche o.ä. weiter verfolgen. Wenn "vsend.de" eine andere Firma ist, die den Mailversand im Auftrag von Moneycheck.de ausführt, dann ist das natürlich auch hinsichtlich der DSGVO relevant. Schließlich wurde meine Mailadresse dort verarbeitet.
Ich habe daher am 13. Feb 2019 den ABUSE-Kontakt von Domain Factory (abuse@df(dot)eu) angeschrieben mit der Bitte um Auskunft oder dass der Betreiber zumindest ein gültiges Impressum bereit stellt. Die Antwort kam innerhalb von 8 Stunden aber ist natürlich wertlos:
Ich frage mich schon, welchen Nutzen eine Impressumspflicht hat, wenn Sie nicht durchgesetzt wird. Vermutlich bin ich als Privatperson nicht einmal abmahnberechtigt, da ich ja nicht hinsichtlich Wettbewerb benachteiligt bin und ich auch keinen Urheber/Markenverstoß konstruieren kann. Vielleicht muss ich mal laut das Todschlagargument "Terror" rufen, auch wenn es hier nur ein bisschen "E-Mail Terror" ist. Da ich aber an das DENIC verwiesen werde, habe ich mich mit meinem Anliegen ans DENIC gewendet. Mal sehen, wir hier die Reaktion ausfällt.
8. Jan. 2019: Anfrage DSGVO: Welche Daten habt ihr von mir?
Also habe ich mit die üblichen Muster angeschaut und meine erste DSGVO-Anfrage formuliert. Folgendes Schreiben habe ich am 8. Januar 2019 folgendes Schreiben per Mail an die Kontaktadresse im Impressum gesendet.
Insbesondere interessiert mich natürlich die Quelle, aus der diese Information bezogen wurde. Beachten Sie auch, dass ich nur Informationen nach meinem Recht zur Löschung gefragt aber noch keine Löschung angefordert habe.
9. Jan. 2019: Antwort vom Anwalt
Eigentlich hätte ich nun eine Antwort von Herrn Peter Escher erwartet. Wird er doch auf https://www.moneycheck.de/peter-escher/ als Anwalt der Verbraucherschützer dargestellt, der als Robin Hood sich zu vielen Fragen per Video und Artikel äußert. Einen Beitrag zur DSGVO konnte ich darunter allerdings nicht finden.
Nach nicht einmal 24 Stunden bekam ich eine E-Mail von der Anwaltskanzlei franz.de, die mir ihre Berechtigung zur Vertretung der der "Moneycheck.de Portalbetriebsgesellschaft mbH" entsprechend "anwaltschaftlich versichert". Der Standardsatz bei Anwaltsschreiben. Da es sich ja um meine Daten handelt, sehe ich kein Problem damit diese Daten auch hier in Auszügen zu veröffentlichen, soweit sie für die weitere Argumentation erforderlich sind:
Es ist weder ungewöhnlich noch verwerflich, wenn Formbriefe mit Textbausteinen ergänzt und versendet werden und kann sowohl Kosten sparen als auch Fehler reduzieren. Mit den Fehlern hat es hier aber nicht geklappt. Die gemachten Angaben sind darin mit Sicherheit falsch. Mich interessiert keine DSGVO Auskunft des Anwalts. Den habe ich tatsächlich am 8.1.2019 erstmalig indirekt kontaktiert, weil die angesprochene Partei die Anfrage direkt an den Anwalt weiter geleitet hat. Meine Anfrage galt aber bezüglich der Datenhaltung bei der Moneycheck.de. Die von dort empfangenen Mails sprechen eine ganz andere Sprache. Schließlich wurde mein Postfach das erste Mal am 6.12.2018 angeschrieben und weitere sechs Mails kamen bis zu 8.1.2019. Wenn die Anwaltskanzlei "franz.de" nicht selbst als Werbemailversender auftritt und die Server betreibt, und in Vertretung für den Mandanten antwortet, dann sollte Sie auch eine vollständige Auskunft des Datenbestandes bei moneycheck.de geben können. Auch die Verbindung zu vsend.de als Dienstleister zum Versand der Mails würde ich in der Antwort und der Tracking-Bilder würde ich erwarten. Dann aber frech zu behaupten, dass die Daten aus meiner "Anfragemail vom 8.1.2019" stammen und eine abweichende Herkunft nicht ermittelbar sei, war letztlich der Grund diese Seite zu schreiben. Ich habe selten erlebt, dass sich jemand so plump und dreist den Pflichten der DSGVO entziehen will. Die Mail war am Ende noch mit einer Belehrung gespickt:
Natürlich habe ich das Recht zur Beschwerde bei einer Aufsichtsbehörde aber ohne Angabe, welche Behörde denn nun gemeint ist. Wenn diese Mail als DSGVO-Auskunft hinsichtlich der Datenverarbeitung bei der Anwaltskanzlei ist, dann wäre für den Sitz Düsseldorf der Datenschutzbeauftragte in NRW (http://www.ldi.nrw.de) zuständig . Ich habe aber klar nach einer Auskunft der Daten bei Moneycheck.de gefragt und hierfür wäre dann Sachsen zuständig (http://www.datenschutz.sachsen.de). Oder muss ich gar nach England gehen, da franz.de anscheinend eine deutsche Niederlassung der englischen LTD ist. Die Information ist im Impressum (https://www.franz.de/impressum/) öffentlich:
Quelle: Auszug aus Impressum
(https://www.franz.de/impressum/) Stand 12.1.2019
Verbraucherfreundlich wäre einfach die Datenschutzbehörde im Bundesland des Bürgers. Bei mir wäre da dann auch NRW. Diese Information gibt es wohl nicht in der kostenfreien DSGVO-Auskunft.
Am Ende der Mail gibt es auch noch einen Link auf "Es gelten unsere allgemeinen Mandatsbedingungen":
Ich hätte mir die Mandatsbedingungen mal gerne angeschaut, aber am 12.1.2019 um 00:01 waren diese nicht abrufbar:
Ich konnte Sie zumindest über die Suchfunktion auf der Webseite unter https://www.franz.de/kanzlei/allg-mandatsbedingungen/ finden. Da scheint beim Disclaimer-Anheften wohl auch noch was im Argen zu liegen. Auch das Kontaktformular ist zumindest zu hinterfragen. Nach meinem Wissen ist man heute gut beraten über eine Checkbox die Bestätigung einzuholen, dass der Nutzer die Datenschutzbestimmungen gelesen hat. Aber darum könnten sich dann andere Anwälte kümmern. Vielleicht löst sich das Thema durch einen BREXIT auch von selbst, da es eine deutsche Niederlassung einer englischen LTD ist.
10. Jan. 2019: Nachfrage
Um hier mehr Klarheit zu erhalten habe ich auf die pauschale Mail des Anwalts mit einer individuellen Mail reagiert und um Klarstellung einer Punkte gebeten.
Quelle: Mein Postausgang. 10. Jan 2019:
Das zitierte Bild in der Mail ist hier gekürzt wiedergegeben.
Ich habe insbesondere auf die Quellenangabe hingewiesen.
10. Jan. 2019: Zweite Antwort vom Anwalt
Eines muss man franz.de lassen. Sie scheinen relativ schnell zu reagieren. Knapp 10 Stunden später kam die nächste elektronische Postkarte. Natürlich wieder unverschlüsselt und die gewünschten Informationen sind
Nun wird sogar damit argumentiert, dass durch meine Löschanfrage quasi alle Spuren verwischt worden seien und man leider auch nicht mehr ermitteln könne, aus welcher Quelle die moneycheck.de meine Mailadresse bezogen hat. Es ist dem Schuldner also aus Sicht des Anwalts unmöglich. Vermutlich bezieht er sich daher auf Absatz 1 des BGB 275. Allerdings hatte ich eine Löschung noch gar nicht angefordert. (Siehe meine erste Mail am Anfang).
Auszug des BGG: Quelle: https://dejure.org/gesetze/BGB/275.html
(Stand 12.01.2019)
Vielleicht sollte ich mal bei meiner Hausbank auf den §275 BGB verweisen, wenn ich meine Kreditraten nicht mehr bezahlen kann. Ich erspare mir nun die Recherche in den Tiefen des Gesetzbuches, um andere einschränkende Paragrafen zu finden. Es ist nur ein seltsames Verständnis der Arbeitsauffassung. Ich bin auch sicher, dass die Firma Moneycheck.de sicherlich mit Sicherungsbändern und Kopien arbeitet, so dass es problemlos möglich sein sollte, die geforderten Informationen zu ermitteln. Interessant hier hierbei auch die Angabe auf der Seite https://www.moneycheck.de/ueber-moneycheck/datenschutz/ zu diesem Thema.
Quelle: Auszüge aus
https://www.moneycheck.de/ueber-moneycheck/datenschutz/
Stand 12.1.2019
Hier wird explizit angeboten, die Kontaktdaten zu übermitteln, was aber trotz entsprechender Anfrage in der ersten Mail nicht erfolgt ist. Auch eine maschinenlesbare Übermittlung der gespeicherte Daten wird angeboten aber nicht geliefert. Mir hätte ja eine CSV-Datei mit der Information über die Aussendungen als Feigenblatt schon gereicht. Dann wäre es wenigstens dem Anschein nach eine Auskunft gewesen. Wenn Moneycheck.de seriös wäre, dann würden Sie meine Mailadresse auf eine Blocklist setzen und in der DSGVO-Auskunft genau diese weitere Verwendung auch beschreiben.
Darauf weist Moneycheck.de auch unter "Dauer der Datenspeicherung" hin. Es gibt Fristen, die Sie beachten müssen und bei der Geltendmachung von Ansprüchen wird auch ein Richter verstehen, dass die zum Verfahren erforderlichen Daten und Belege natürlich vor Abschluss des Verfahrens vernichtet werden.
Quelle: Auszüge aus
https://www.moneycheck.de/ueber-moneycheck/datenschutz/
Stand 12.1.2019
Stattdessen wird nun angeblich eine Mitarbeiterin der Mandantin zur Rede gestellt und am Ende soll ich auch noch schuld sein, wenn arbeitsrechtliche Folgen dafür entstehen. Der Fisch stinkt vom Kopfe und für Verfehlungen der Firma muss zuerst die Geschäftsführerin dafür gerade stehen. Mitarbeiter müssen schon Mittel oder Grob Fahrlässig handeln, damit eine Arbeitnehmerhaftung greift. Es erschließt sich mir auch nicht, wie man zukünftig solche Fehler vermeiden will. Das Geschäftsmodell dieser Aussendungen beruht ja darauf, Adressen zu sammeln oder zu kaufen und zu verwerten. Allein von selbst per Bannerwerbung o.ä. generierten Besuchern auf der Webseite, die sich dann noch auf dem Newsletter eintragen, kann die Firma wohl kaum existieren.
12. Jan 2019: Anfrage beim Landesdatenschutzbeauftragten
Ich habe mich mittlerweile an die beiden Datenschutzbeauftragten gewendet und um eine Einschätzung bezüglich des Verhaltens von Anwaltskanzlei und Mandant gebeten.
- 18- Jan 2019: Antwort des LDI.NRW.DE
Da die Firma in Thüringen sitzt, wurde die Anfrage nach Erfurt weiter gegeben. Der Sitz des Anwaltskanzlei ist also nicht maßgeblich, wenn die Auskunft der Kanzlei im Auftrag des Kunden in Erfurt gewesen ist.
Eine Zwischenantwort aus Erfurt kam dann am 23. Feb 2019 an
04. Feb 2019 Was meint die RAK dazu?
Ergänzend habe ich auch mal die Rechtsanwaltskammer in Düsseldorf angefragt, ob Sie zu dem Verhalten dieser Kanzlei Stellung nehmen möchte.
- Rechtsanwaltskammer Düsseldorf
https://www.rak-dus.de/
08. Feb 2019 RAK antwortet mit Aktenzeichen
Auf meine Rückfrage per Mail an die RAK habe ich nun eine erste Antwort mit einem Aktenzeichen erhalten. Der Formbrief erklärt, dass die Bearbeitung etwas Zeit erfordern wird und ich von zwischenzeitliche Sachstandsanfragen absehen sollte. Ich könnte aber widersprechen, dass zum 18.2 der Anwalt zu einer Stellungnahme aufgefordert wird. Die zweite Seite besteht im wesentlichen aus einer umfangreichen Beschreibung zu datenschutzrechtlichen Gründen, d.h. was wo wie gespeichert und ggfls. woanders hin gesendet wird. Ich bin mal gespannt, ab wann auch Webseiten nicht nur die Verwendung von Cookies absegnen lassen, sondern auch noch diese Hinweise aufpoppen.
Eigentlich hätte mir ja eine Stellungnahme der RAK gereicht aber wenn die Anwaltskanzlei über den Weg mal eine qualifizierte Aussage macht, wäre ja auch schon geholfen. Anhand meines Posteingangs kann ich ja belegen, dass schon 2018 die angefragte Firma meine Mailadresse gespeichert, genutzt und sogar an vsend.de weiter gegeben hat.
13. Feb 2019 RAK lehnt Beschwerde ab
Entgegen dem ersten Schreiben, dass am 18.Feb der Anwalt um eine Stellungnahme gebeten wird, ist bei mir am 19.2 ein Brief der RAK eingetroffen, der am 13. Feb geschrieben wurde und den Poststempel vom 14. Feb trägt. Die RAK lehnt meine Beschwerde ab und kein Verstoß gegen das Berufsrecht vorliegt. Es wird erst der von mir geschilderte Sachverhalt wiederholt. Hier einige weitere Auszüge:
- ".. Darin teilte er ihnen mit, dass eine Auskunft hinsichtlich Ihrer Daten bei der oben genannten Firma nicht mehr möglich sei, da sie zwischenzeitlich gelöscht worden seien. Wir gehen davon aus, dass Rechtsanwalt Dr. Böse diese Auskunft von seiner Mandantin erhalten hat"
- "In der Regel darf der Anwalt daher den Angaben des Mandanten vertrauen. Weitergehende Pflichten würden das Vertrauensverhältnis .. zerstören"
- Es liegt somit kein Verstoß gegen das Sachlichkeitsgebot aus § 43a Abs. 3 BRAO (bewusste Verbreitung von Unwahrheiten) vor... Zum einen ist noch nicht einmal sicher, ob das richtig ist. Sollte dies jedoch nicht richtig sein, durfte Rechtsanwalt Dr. Böse auf die Angaben seiner Mandantin vertrauen.
Laut der RAK hat sich der Anwalt nicht falsch verhalten, selbst wenn er eine vermutliche Lüge der Mandantin weitergibt.
Als Firma ist mal also fein aus dem Schneider, wenn man sich selbst auf eine DSGVO-Anfrage antwortet, sondern einen Anwalt antworten lässt und dabei eine unvollständige Auskunft folgenlos bleibt.
13./14. Feb 2019: Domainfactory (DF.EU) Anfragen zu VSEND.DE
Die Mails wurden über Server der Firma mit dem Namen "vsend.de" gesendet. Beim DENIC ist "aus Datenschutzgründen" wieder keine Auskunft zu bekommen. Aber man wird auf support@df.eu verwiesen. Also habe ich eine freundliche Mail an Domain Factory gesendet, die sehr schnell und kurz gefasst beantwortet wurde:
So einfach lasse ich den Hoster von "vsend.de" natürlich erst mal nicht aus der Verantwortung. Ein Provider muss zwar nicht sicherstellen, dass seine Kunden ein Impressum auf der Webseite haben und er muss auch nicht deren Mailversand unterbinden. Aber das Bundesdatenschutzgesetzt führt unter "§ 44 BDSG – Klagen gegen den Verantwortlichen oder Auftragsverarbeiter " mein Klagerecht auf.
- § 44 Klagen gegen den Verantwortlichen
oder Auftragsverarbeiter
https://dejure.org/gesetze/BDSG/44.html
Wenn ich diesen Weg beschreiten wollte, muss ich natürlich wissen, wen ich anklagen muss. Zumindest erwarte ich mir vom Provider eine Klarstellung, auf welcher Grundlage diese negative Auskunft besteht. Ein "aus Datenschutzgründen" ist doch ein sehr allgemeiner Ansatz. Allerdings hat die df.eu nicht interessiert und die Anfrage am 18. Feb abgeblockt.
Nun gibt es meines Wissens nach in Deutschland eine Pflicht ein Impressum zu veröffentlichen, was VSEND nicht tut. Das kann als Ordnungswidrigkeit mit bis zu 50.000€ geahndet werden. Eine Meldung muss aber an eine geeignete Stelle im Bundesland erfolgen.
- Wikipedia Impressumspflicht:
Ordnungswidrigkeiten und Zuständigkeiten
https://de.wikipedia.org/wiki/Impressumspflicht#Ordnungswidrigkeiten_und_Zust%C3%A4ndigkeiten
Also habe ich auf die zweite Ablehnung am gleichen Tag einer Auskunft am 18.2 umgehend zumindest um die Information zum Bundesland des Inhabers gebeten.
Sollte DF.EU sich noch einmal melden, finden Sie hier das Update
14. Feb 2019 Anfrage und Antwort DENIC
Dem Ratschlag von Domainfactory folgend habe ich mich an das DENIC per Mail gewandt. Wobei ich von dort ja gerade gekommen bin. ich bin mal auf die Antwort gespannt. Auch hier habe natürlich ausführlich erklärt, warum meine Anfrage berechtigt sein sollte. Eine Adresse zur Anforderung einer DSGVO-Auskunft ist aus meiner Sicht auf jeden Fall ein berechtigtes Interesse. Hier mein Mail vom 14. Feb. 2019:
Die Antwort war dann allerdings schon innerhalb von wenigen Minuten da:
Irgendwie komme ich mir veralbert vor und ich denke, dass es langsam an der Zeit ist wirklich über eine Strafanzeige nachzudenken. Ich stelle eine aus meiner Sicht qualifizierte Anfrage samt einer Dokumentation des gesamten Vorgangs und das DeNIC ist nicht mal in der Lage diese Daten zu sichten. Ich habe daher am 27. Feb diese Webseite als "PDF-Datei" gedruckt und noch mal darauf geantwortet. Aber natürlich nicht an "noreply".
23. Feb 2019 Eingang beim TLfDI Thüringen
Wie süß. Ein Brief mit von Hand geschriebener Adresse. Das hatte ich schon lange nicht mehr. Die Damen und Herren hätten ja meine Mailadresse gehabt.
Darin wird meine Beschwerde bestätigt und um etwas Geduld gebeten, da aufgrund der hohen Arbeitsbelastung es etwas länger dauern könnte. Ich weiß ja nicht, wie lange es nun gedauert hat, den Brief zu schreiben und den Umschlag zu beschriften und letztlich mit 70ct abzusenden. Aber ich könnte mir vorstellen, dass hier durchaus noch Optimierungspotential verborgen ist. Es könnte aber auch sein, dass die Politik gerade absichtlich die Landesdatenschützer kurz hält, damit sie nicht allzu stark nerven.
Wie in der Verwaltung üblich, hat der Vorgang nun auch ein Aktenzeichen 779-12/2019.8 bekommen. Sollte das die 8te Anfrage in 2019 sein, die ich am 12.1 gestellt habe?.
Ich kann an die Budget-Verantwortlichen in Land und Bund nur appellieren, dass sie ihrer Verantwortung gerecht werden und Datenschutzgesetz, welches Sie selbst geschrieben und verabschiedet haben, auch durchsetzbar machen. Vielleicht sollten Sie einfach die ausgesprochenen Strafen direkt wieder dem LDI zuführen.
Ich denke nicht, dass demnächst jeder Bürger seine Auskunft nach DSGVO mit einer Strafanzeige bei der lokalen Polizei wiederholen sollte.
27. Feb 2019 2ter Versuch DENIC
Auf meine Anfrage vom 14. Feb an das DENIC kam sehr schnell eine negative Antwort, dass auch das DENIC mir keine Auskunft geben könne. Ich habe darauf folgendes Schreiben samt Anlage an das DENIC gesendet:
Die Antwort auf dieses Schreiben kam nun aber schon am gleichen Tag mit der Nennung einer Post-Adresse und Mail-Adresse. Aber auch hier verweist die Webseite auf eine 403-Meldung wie bei VSEND.DE.
Die Domäne ist bei verschiedenen Suchen auch schon früher als Massenversender für z.B. Versicherungscheck24.de aufgefallen. Die Adresse Bautzner Straße 9 in 01099 Dresden scheint ein Mietbüro zu sein, dann es sind doch einige Firmen dort gemeldet oder waren dort gemeldet.
- Streetview zur Bautzener Str
https://www.google.com/maps/@51.0634474,13.7492493,3a,75y,30.46h,102.96t/data=!3m6!1e1!3m4!1smP-9PyEjFC1EcxBrmlQ-Tw!2e0!7i13312!8i6656 - AntiSpam-EV (SPAM) für
Versicherungscheck24.de
https://www.antispam-ev.de/forum/showthread.php?39479-(SPAM)-f%FCr-Versicherungscheck24-de
27. Feb DSGVO-Anfrage an Betreiber von VSEND.DE
Ich habe einzig die Kontaktadresse des Inhabers der Domäne VSEND.DE und eine Postadresse. Als Versender der Werbe-Mail an mich und da aus den Daten nicht erkennbar ist, das es sich um die gleiche Firma von Moneycheck.de handelt, habe ich per Mail eine Auskunft nach DSGVO angefordert.
Eine Antwort auf mein Schreiben steht noch aus.
15. März: 2. Brief Antwort des TLfDI
An die Abkürzung TLfDI für ". Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit" kann ich mich immer noch nicht gewöhnen. Aber heute kam ein zweites Schreiben mit dem Aktenzeichen und der Bitte, die fraglichen Mails und alle damit verbundene Korrespondenz zu übersenden. Das habe ich gleich heute Abend noch gemacht, ehe ich zu Microsoft geflogen bin. Nun heißt es wieder warten. Aber anscheinend sind die Damen und Herrn in Thüringen doch flott unterwegs. Ich habe schon deutlich längere Bearbeitungszeiten erwartet.
8. Mai: 3. Brief des TLfDI
Im Postbrief des TLfDI wurde mit mitgeteilt, dass das TLfDI bei Moneycheck.de eine vollständige Auskunft nach Art 58 Abs. 1lit a) DS-GVO i.V.m §40 BDSG erbeten hat und eine Kopie auch an mich bis zum 23.4.2019 gehen sollte. Die Firma hat mir natürlich nichts gesendet und auch dem TLfDI quasi mitgeteilt, dass es nicht viel mehr mit zuteilen gibt. Interessanterweise schreibt moneycheck, dass eine Löschung nicht nachvollzogen werden konnte und zum Zeitpunkt der Auskunftserteilung keine weiteren personenbezogenen Daten von mir gespeichert worden wären. Man könne vor allem die vorherige Kontaktaufnahme nicht nachvollziehen.
Die gescholtene Firma Moneycheck.de streitet quasi ab, je eine Mail vorab gesendet zu haben.
Laut dem von meinem vertrauenswürdigen Provider addierten Header ist die Mail von vsend.de gekommen und ich bin bis dahin davon ausgegangen, dass dieser Dienstleister mit Moneycheck.de verbunden ist
12. Mai: Rückmeldung an das TLfDI
Ich habe dem TLfDI geschrieben, dass ich die Antwort von moneycheck.de als nicht ausreichen und unvollständig ansehe und damit der Auskunftspflicht nach DSGVO nicht Genüge getan wir. Ich habe für mich festgehalten:
- Angeblich wurden nur mein Name und
Mailadresse anhand meiner Mail vom 8.1
verarbeitet
Mit keinen Wort wird darauf eingegangen, das 7 Werbemails davor versendet wurden. - Als Verarbeitungszweck wird auch nur
eine „Löschanfragen“ angegeben. Ich habe
aber nie eine Löschanfrage gestellt
Ich habe „nur“ eine Auskunft angefordert. Insbesondere um die Quelle der Adresse und deren Weitergabe - Angeblich wurden die Daten nur der
Kanzlei „Franz LLP“ offengelegt
Kein Wort darüber, das die Adressen dem „Versanddienstleister“ vsend.de übergeben wurden. - Als Datenherkunft wird meine Mail vom
8.1 angegeben
Dreister kann eine Lüge ja nicht sein. Hat der Versender denn 7 mal „zufällig“ meine Mailadresse generiert?
Ich habe nachweislich davor Mails bekommen und das Ziel ist die „Werbung“
Und auch die Firma "vsend.de", als Auslieferer der Nachricht hat sich bislang noch nicht zu dem Sachverhalt geäußert. Aber letztlich obliegt es dem TLfDI, wie sie damit nun weiter verfahren.
13. Mai: Erinnerungsmail an VSEND.DE
Auf meine Mail vom 27. Feb 2019 hat die Firma bis zum 13. Mai 2019 nicht reagiert. Ich habe daher am 13. Mai noch ein zweites Mal eine Mail gesendet und die Anfrage dazu widerholt.
14. Mai: Info an GDV
Wie so häufig tun sich mehrere privaten Unternehmen gerne als Verband zusammen, um ihre Interessen zu vertreten. So ist es nicht verwunderlich, dass es einen "Gesamtverband der Deutschen Versicherungswirtschaft e.V. "in Berlin gibt. Vielleicht interessiert sich dieser Verband für den ein oder anderen Makler und dessen Verhalten. Eine Information habe ich zumindest an die auf https://www.gdv.de/de/ueber-uns/wer-wir-sind/kontakt-23846 veröffentlichte Kontaktadresse gesendet.
Rückmeldung habe ich bislang noch nicht bekommen
15. Mai: Rückantwort des GVD
Die Antwort kam schnell aber hilft natürlich nicht weiter
Das ist wohl eher ein "Lobby-Verein" zur Einflussnahme auf Politik und Co aber keine gemeinsame Instanz zur Abwehr unseriöser Makler. Den Hinweis auf den "Verband Deutscher Versicherungsmakler" werde ich nicht weiter verfolgen. Der Verband ist ja eher die Lobby-Organisation der "Gegenseite". Anscheinend hat die Versicherungsbranche gar kein Interesse, unseriöse Makler in Eigenverantwortung zu reglementieren-
18. Jul 2019 Weiteres Opfer meldet sich
Anscheinend betreibt die Moneycheck.de ihre Masche unverändert weiter. Ein mir namentlich bekannte Person hat diese Webseite über eine Suche im Internet gefunden und mich per Mail gefragt, ob es weitere Aktionen oder Informationen gibt, die ich noch nicht auf der Webseite publiziert hätte.
Er hat auch Mails von Moneycheck.de bekommen aber war so ausgefuchst für jeden Service eine eigene SMTP-Adresse zu verwenden. So konnte er anhand der Empfängeradresse auch ohne Rückfrage erkennen, aus welchem Adresstopf seine Mailadresse zu dem Versender gekommen ist. In seinen Fall hat der die Adresse wohl auf der Webseite "finanzen.de - Vermittlungsgesellschaft für Verbraucherverträge GmbH)" genutzt.
Ich habe zumindest wissentlich mit dieser Firma noch nie etwas zu tun gehabt. Das bedeutet aber nicht, dass die Daten nicht doch über verschiedene Verstrickungen weiter durch die Adressbestände geistern.
30 Jul 2019 - Abschließende Antwort vom TLdDI
Am 30. Jun 2019 hat der Thüringer Landesdatenschutzbeauftrage für den Datenschutz und die Informationsfreiheit mir per Postbrief mitgeteilt, dass das verwaltungsverfahren abgeschlossen wurde.
Auf eine Klage habe ich des weiteren verzichtet. Die beklagte Firma wird sich ja weiter darauf herausreden, dass Sie keine Daten mehr hat und mir daher nicht sagen kann, woher die Daten gekommen sind. Eine weitergehende Sanktion durch den TLfDI dürfte auch nicht zu erwarten sein.
Endstand
Aktuell habe ich erst einmal die Daten und Informationen gesammelt und dokumentiert. Ich denke nicht, dass sich an der Situation etwas bessert und ich tatsächlich an die Quelle komme, die meine Mailadresse verkauft hat. Selbst dann wird das natürlich nichts bringen. Aber vielleicht führt die "Unbequemlichkeit" und den Aufwand, den ich bei dem Versender erzeuge vielleicht dazu, meine Adresse auf eine "Blocklist" zu setzen.
Zu dem Geschäftsmodell, Menschen zu einem Wechsel der Krankenversicherung zu bewegen und über die Provision ein Einkommen zu erzielen kann jeder seine eigene Meinung haben. Ich bin ja auch "Berater" aber meine Kunden kommen auf mich zu und sind gewerblich. Beim Geschäft mit Privatkunden gelten etwas andere Regeln bei der Kontaktanbahnung. Die DSGVO sollte der Privatperson sehr wohl die Möglichkeit geben, über die bei Firmen gespeicherten Daten eine korrekte Auskunft zu bekommen. Das hat aus meiner Sicht hier komplett versagt.
Vielleicht sollte ich aber einfach mal die verschiedenen Versicherungen ansprechen, ob sie wirklich mit solchen Maklern zusammenarbeiten wollen. So könnte man den Sumpf wohl auch zumindest etwas Wasser abgraben.
Weitere Links
- Fraud Call
- Anonyme Umfrage der EU
- Firma zu kaufen gesucht?
- Jooble Spam
- Art. 51 DSGVO - Aufsichtsbehörde
https://dsgvo-gesetz.de/art-51-dsgvo/ - Aufsichtsbehörden und
Landesdatenschutzbeauftragte
https://www.datenschutz-wiki.de/Aufsichtsbeh%C3%B6rden_und_Landesdatenschutzbeauftragte - Landesbeauftragte für Datenschutz und
Informationsfreiheit Nordrhein-Westfalen
http://www.ldi.nrw.de - Landesbeauftragter für den Datenschutz
Sachsen Anhalt
http://www.datenschutz.sachsen.de - Arbeitnehmerhaftung
https://de.wikipedia.org/wiki/Arbeitnehmerhaftung - DSGVO-Bilanz: Erstklassiges Gesetz,
mangelhafte Durchsetzung
https://www.heise.de/newsticker/meldung/DSGVO-Bilanz-Erstklassiges-Gesetz-mangelhafte-Durchsetzung-4320653.html - AntiSpam-EV (SPAM) für
Versicherungscheck24.de
https://www.antispam-ev.de/forum/showthread.php?39479-(SPAM)-f%FCr-Versicherungscheck24-de