DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?

Die DSGVO schreibt Firmen nicht nur vor, wie sie mit Daten umgehen müssen, sondern gibt Verbrauchern auch das ein oder anderen Recht gegenüber Firmen, die Daten verarbeiten. So gibt es das Recht auf Löschen, sie können einen Auszug der Daten erhalten und auch sonst muss der die Firma umfangreiche Auskünfte liefern. Hier zeige ich ein Beispiel, wie es vielleicht nicht gemacht werden sollte. Der Absender hat die Möglichkeit unterlassen, die Mails verschlüsselt zu senden, so dass die Nachricht eher einer Postkarte denn eines verschlossenen Briefs entspricht. Da die Mails auch keine persönliche Ansprache o.ä. enthalten, gehe ich von einem öffentlichen Schreiben aus, welches möglichst viele Adressaten erreichen soll und daher nicht besonders unkenntlich gemacht werden muss.

Unerwünschte Mails

Alles hat mal wieder damit angefangen, dass sich in meinem privaten Postfach, welches leider nur durch den relativ einfachen Spamfilter des Providers geschützt ist, mehrere Mails angekommen sind:


Quelle: Mein privater Posteingang Frank Carius, Gefiltert auf "monecheck", Stand 4.3.2019

Es ist quasi der "übliche" Werbespam zum Thema Rente und Krankenversicherung. ich frage mich schon, warum nicht die Krankenversicherungen hier ihr Vertriebsmodell etwas strenger regeln. Vielleicht sollte ich einfach mal den Kontakt suchen und bis kurz vor den Abschluss durchspielen lassen. Mit den Anrufen des Microsoft Supports, siehe Fraud Call, habe ich da ja schon durchgespielt. Schaue ich mir eine Mail an, dann ist auch schnell zu sehen, dass die URLs der Bilder "personalisiert" wurden.


Quelle: Beispielmail in meinem Posteingang vom 6.12.2018.

Über solche Links können solche Versender relativ effektiv eine Rückmeldung erhalten, ob, wann und wie oft die Mail gelesen wird. In dem Moment, in dem ich mir da Bild anzeigen lasse, hinterlasse ich auf dem Webserver des Anbieter eines eindeutige Spur. Er kennt ja meine Mailadresse und über den individuellen Link kann er auch die IP-Adresse zuordnen. IP-Adressen und Mailadressen zählen nach meinem Wissen zu personenbezogenen Daten. Der Anbieter könnte diese Information ja auch weiter verkaufen, da eine IP-Adresse meist zumindest einige Stunden statisch ist. Also habe ich ein Bild abgerufen und sicher wird der Anbieter diesen Datensatz ja irgendwo speichern und zur ausgesendeten Werbemail verknüpfen.

Wer steckt dahinter?

Wie Sie sicher schon gesehen haben, handelt es sich bei dieser Domäne nicht um eine Adresse aus fernen Ländern sondern eine DE-Domain. Dank der DSGVO ist es nicht mehr so einfach, schnell den Admin-C zu einer Domain zu ermitteln. Eigentlich bleibt nur der Verweis auf den DNS-Server übrig, um die Nameserver und Mailserver zu ermitteln.

C:\>nslookup -q=NS moneycheck.de
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
moneycheck.de   nameserver = ns2.namespace4you.de
moneycheck.de   nameserver = ns.namespace4you.de

C:\>nslookup -q=MX moneycheck.de
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
moneycheck.de   MX preference = 100, mail exchanger = mxlb.ispgateway.de

Beide liegen beim Provider Domainfactory. Aber freundlicherweise endet die Mail mit einer Impressumangabe. Das ist schon mal ungewöhnlich, dass hier eine 0800er Nummer und eine komplette Adresse angegeben ist.


Quelle: unterer Teil der Mail von Moneycheck an mich vom 6.12.2018

Aber das muss ja alles nicht stimmen. Eine Steuernummer ist angeblich noch nicht erteilt worden aber die Firma hat schon einen Eintrag im Handelsregister. Über die Nummer  HRB 515131 finden sich im Internet schon die ein oder anderen Hinweise. Zwar stimmt die Stadt überein und auch das Gründungsdatum ist ziemlich jung aber die Firmierung lautet auf eine "Immobilien und Hausverwaltungs & Service GmbH"


Quelle: https://www.handelsregister.de/ Suche nach HGB 515131, Jena

Das passt weder so richtig mit einer "Portalbetriebs GmbH" zusammen und auch nicht mit einem Versicherungsmakler, wofür geworben wird. Auch die Postadresse ist unterschiedlich. Ich kann nur vermuten, dass die Handelsregisternummer auf der Webseite falsch ist. Erst auf https://www.unternehmensregister.de/ habe ich dann mit HRB 514131 eine andere Nummer gefunden. Dieser Eintrag nennt aber 27.12.2017 als Eintragungsdatum. Sollte das Finanzamt in dem Fall immer noch keine Steuernummer vergeben haben?. Solche Fehler sollten aber gerade im Impressum besser nicht passieren. Ist das der neue wilde Osten? Ich habe mir dann mal die Header der Mail angeschaut, um die Versender zu ermitteln:

Received: from srv.vsend.de ([138.201.182.1]) by mx.kundenserver.de (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) 
From: "moneycheck.de" <info@service.moneycheck.de>
Sender: "moneycheck.de" <info@service.moneycheck.de>
Reply-To: "moneycheck.de" <info@service.moneycheck.de>
X-Report-Abuse: <abuse@mail.vsend.de>

Zumindest dem Namen nach ist dies eine andere Firma und die IP-Adresse 138.201.182.1 ist bei dem Provider "Hetzner Online AG" angesiedelt. So richtig ernst scheint der Betreiber von "vsend.de" seinen Beruf aber auch nicht zu nehmen. Unter der Domäne gibt es nur eine 403 Fehlerseite aber kein Impressum. Domainhoster ist auch hier Domainfactory. Das allein erlaubt aber keine Aussage, ob es sich um eine eigenständige Firma oder nur einen zweiten Namen der gleichen Firma handelt.

Bei HTTPS meldet sich ein 10 Jahre gültiges selbst signiertes Zertifikat für "webserver.ispgateway.de". Wenn "vsend.de" eine andere Firma ist, die den Mailversand im Auftrag von Moneycheck.de ausführt, dann ist das natürlich auch hinsichtlich der DSGVO relevant. Schließlich ist meine Mailadresse dann auch dort gelandet. Inwieweit eine Webseite ohne Impressum schon abmahnfähig ist, mögen bitte die Mitbewerber der Versicherungsbranche, Immobilienbranche o.ä. weiter verfolgen. Ich kümmere mich erst mal um meine Daten.

8.1.2019: Anfrage DSGVO: Welche Daten habt ihr von mir?

Also habe ich mit die üblichen Muster angeschaut und meine erste DSGVO-Anfrage formuliert. Folgendes Schreiben habe ich am 8. Januar 2019 folgendes Schreiben per Mail an die Kontaktadresse im Impressum gesendet.

Insbesondere interessiert mich natürlich die Quelle, aus der diese Information bezogen wurde. Beachten Sie auch, dass ich nur Informationen nach meinem Recht zur Löschung gefragt aber noch keine Löschung angefordert habe.

9.1.2019: Antwort vom Anwalt

Nach nicht einmal 24 Stunden bekam ich eine E-Mail von der Anwaltskanzlei franz.de, die mir ihre Berechtigung zur Vertretung der der "Moneycheck.de Portalbetriebsgesellschaft mbH" entsprechend "anwaltschaftlich versichert". Der Standardsatz bei Anwaltschreiben. D es sich ja um meine Daten handelt, sehe ich kein Problem damit diese Daten auch hier in Auszügen zu veröffentlichen, soweit sie für die weitere Argumentation erforderlich sind:

Es ist nicht undgewöhnlich und auch nicht verwerflich, wenn Formbriefe mit Textbausteinen ergänzt und versendet werden und kann sowohl Kosten sparen als auch Fehler reduzieren. Mit den Fehlern hat es hier aber nicht geklappt. Die gemachten Angaben sind darin mit Sicherheit falsch. Mich interessiert keine DSGVO Auskunft des Anwalts. Den habe ich tatsächlich am 8.1.2019 erstmalig indirekt kontaktiert, weil die angesprochene Partei die Anfrage direkt an den Anwalt weiter geleitet hat. Meine Anfrage galt aber bezüglich der Datenhaltung bei der Moneycheck.de. Die von dort empfangenen Mails sprechen eine ganz andere Sprache. Schließlich wurde mein Postfach das erste Mal am 6.12.2018 angeschrieben und weitere sechs Mails kamen bis zu 8.1.2019. Wenn die Anwaltskanzlei "franz.de" nicht selbst als Werbemailversender auftritt und die Server betreibt, und in Vertretung für den Mandanten antwortet, dann sollte Sie auch eine vollständige Auskunft des Datenbestandes bei moneycheck.de geben können. Auch die Verbindung zu vsend.de als Dienstleister zum Versand der Mails würde ich in der Antwort und der Tracking-Bilder würde ich erwarten. Dann aber frech zu behaupten, dass die Daten aus meiner "Anfragemail vom 8.1.2019" stammen und eine abweichende Herkunft nicht ermittelbar sei, war letztlich der Grund diese Seite zu schreiben. Ich habe selten erlebt, dass sich jemand so plump und dreist den Pflichten der DSGVO entziehen will. Die Mail war am Ende noch mit einer Belehrung gespickt:

Natürlich habe ich das Recht zur Beschwerde bei einer Aufsichtsbehörde aber ohne Angabe, welche Behörde denn nun gemeint ist. Wenn diese Mail als DSGVO-Auskunft hinsichtlich der Datenverarbeitung bei der Anwaltskanzlei ist, dann wäre für den Sitz Düsseldorf der Datenschutzbeauftragte in NRW (http://www.ldi.nrw.de) zuständig . Ich habe aber klar nach einer Auskunft der Daten bei Moneycheck.de gefragt und hierfür wäre dann Sachsen zuständig (http://www.datenschutz.sachsen.de). Oder muss ich gar nach England gehen, da franz.de anscheinend eine deutsche Niederlassung der englischen LTD ist. Die Information ist im Impressum (https://www.franz.de/impressum/) öffentlich:


Quelle: Auszug aus Impressum (https://www.franz.de/impressum/) Stand 12.1.2019

Verbraucherfreundlich wäre einfach die Datenschutzbehörde im Bundesland des Bürgers. Bei mir wäre da dann auch NRW. Diese Information gibt es wohl nicht in der kostenfreien DSGVO-Auskunft.

10.1.2019: Nachfrage

Um hier mehr Klarheit zu erhalten habe ich auf die pauschale Mail des Anwalts mit einer individuellen Mail reagiert und um Klarstellung einer Punkte gebeten.


Das Bild in der Mail ist hier gekürzt wiedergegeben.

Ich habe insbesondere auf die Quellenangabe hingewiesen.

10.1.2019: Zweite Antwort vom Anwalt

Eines muss man franz.de lassen. Sie scheinen relativ schnell zu reagieren. Knapp 10 Stunden später kam die nächste elektronische Postkarte. Natürlich wieder unverschlüsselt und die gewünschten Informationen sind

Nun wird sogar damit argumentiert, dass durch meine Löschanfrage quasi alle Spuren verwischt worden seien und man leider auch nicht mehr ermitteln könne, aus welcher Quelle die moneycheck.de meine Mailadresse bezogen hat. Es ist dem Schuldner also aus Sicht des Anwalts unmöglich. Vermutlich bezieht er sich daher auf Absatz 1 des BGB 275. Allerdings hatte ich eine Löschung noch gar nicht angefordert. (Siehe meine erste Mail am Anfang).


Auszug des BGG: Quelle: https://dejure.org/gesetze/BGB/275.html (Stand 12.01.2019)

Vielleicht sollte ich mal bei meiner Hausbank auf den §275 BGB verweisen, wenn ich meine Kreditraten nicht mehr bezahlen kann. Ich erspare mir nun die Recherche in den Tiefen des Gesetzbuches, um andere einschränkende Paragrafen zu finden. Es ist nur ein seltsames Verständnis der Arbeitsauffassung. Ich bin auch sicher, dass die Firma Moneycheck.de sicherlich mit Sicherungsbändern und Kopien arbeitet, so dass es problemlos möglich sein sollte, die geforderten Informationen zu ermitteln. Interessant hier hierbei auch die Angabe auf der Seite https://www.moneycheck.de/ueber-moneycheck/datenschutz/ zu diesem Thema.


Quelle: Auszüge aus https://www.moneycheck.de/ueber-moneycheck/datenschutz/ Stand 12.1.2019

Hier wird explizit angeboten, die Kontaktdaten zu übermitteln, was aber trotz entsprechender Anfrage in der ersten Mail nicht erfolgt ist. Auch eine maschinenlesbare Übermittlung der gespeicherte Daten wird angeboten aber nicht geliefert. Mir hätte ja eine CSV-Datei mit der Information über die Aussendungen als Feigenblatt schon gereicht. Dann wäre es wenigstens dem Anschein nach eine Auskunft gewesen. Wenn Moneycheck.de seriös wäre, dann würden Sie meine Mailadresse auf eine Blacklist setzen und in der DSGVO-Auskunft genau diese weitere Verwendung auch beschreiben.

Darauf weist Moneycheck.de auch unter "Dauer der Datenspeicherung" hin. Es gibt Fristen, die Sie beachten müssen und bei der Geltendmachung von Ansprüchen wird auch ein Richter verstehen, dass die zum Verfahren erforderlichen Daten und Belege natürlich vor Abschluss des Verfahrens vernichtet werden.


Quelle: Auszüge aus https://www.moneycheck.de/ueber-moneycheck/datenschutz/ Stand 12.1.2019

Stattdessen wird nun angeblich eine Mitarbeiterin der Mandantin zur Rede gestellt und am Ende soll ich auch noch schuld sein, wenn arbeitsrechtliche Folgen dafür entstehen. Der Fisch stinkt vom Kopfe und für Verfehlungen der Firma muss zuerst die Geschäftsführerin dafür gerade stehen. Mitarbeiter müssen schon Mittel oder Grob Fahrlässig handeln, damit eine Arbeitnehmerhaftung greift. Es erschließt sich mir auch nicht, wie man zukünftig solche Fehler vermeiden will. Das Geschäftsmodell dieser Aussendungen beruht ja darauf, Adressen zu sammeln oder zu kaufen und zu verwerten. Allein von selbst per Bannerwerbung o.ä. generierten Besuchern auf der Webseite, die sich dann noch auf dem Newsletter eintragen, kann die Firma wohl kaum existieren.

Wie geht es weiter?

Aktuell habe ich erst einmal die Daten und Informationen gesammelt und dokumentiert. Ich denke nicht, dass sich an der Situation etwas bessert und ich tatsächlich an die Quelle kommt, die meine Mailadresse verkauft hat. Selbst dann wird das natürlich nichts bringen.

Zu dem Geschäftsmodell, Menschen zu einem Wechsel der Krankenversicherung zu bewegen und über die Provision ein Einkommen zu erzielen kann jeder seine eigene Meinung haben. Ich bin ja auch "Berater" aber meine Kunden kommen auf mich zu und sind gewerblich. Beim Geschäft mit Privatkunden gelten etwas andere Regeln bei der Kontaktanbahnung. Die DSGVO sollte der Privatperson sehr wohl die Möglichkeit geben, über die bei Firmen gespeicherten Daten eine korrekte Auskunft zu bekommen. Das hat aus meiner Sich hier komplett versagt.

Ich habe mich mittlerweile an die beiden Datenschutzbeauftragten gewendet und um eine Einschätzung bezüglich des Verhaltens von Anwaltskanzlei und Mandant gebeten.

Fortsetzung folgt

Kleine Spitze am Rand

Am Ende der Mail gibt es einen Link auf "Es gelten unsere allgemeinen Mandatsbedingungen":

Ich hätte mir die Mandatsbedingungen mal gerne angeschaut, aber am 12.1.2019 um 00:01 waren diese leider nicht abrufbar:


Ich konnte Sie zumindest über die Suchfunktion auf der Webseite unter https://www.franz.de/kanzlei/allg-mandatsbedingungen/ finden. Da scheint beim Disclaimer-Anheften wohl auch noch was im Argen zu liegen. Auch das Kontaktformular ist zumindest zu hinterfragen. Nach meinem Wissen ist man heute gut beraten über eine Checkbox die Bestätigung einzuholen, dass der Nutzer die Datenschutzbestimmungen gelesen hat. Aber darum könnten sich dann andere Anwälte kümmern. Vielleicht löst sich das Thema durch einen Brexit auch von selbst, da es eine deutsche Niederlassung einer englischen LTD ist.

Weitere Links