DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?

Die DSGVO schreibt Firmen nicht nur vor, wie sie mit Daten umgehen müssen, sondern gibt Verbrauchern auch das ein oder anderen Recht gegenüber Firmen, die Daten verarbeiten. So gibt es das Recht auf Löschen, sie können einen Auszug der Daten erhalten und auch sonst muss der die Firma umfangreiche Auskünfte liefern. Hier zeige ich ein Beispiel, wie es vielleicht nicht gemacht werden sollte. Der Absender hat die Möglichkeit unterlassen, die Mails verschlüsselt zu senden, so dass die Nachricht eher einer Postkarte denn eines verschlossenen Briefs entspricht. Da die Mails auch keine persönliche Ansprache o.ä. enthalten, gehe ich von einem öffentlichen Schreiben aus, welches möglichst viele Adressaten erreichen soll und daher nicht besonders unkenntlich gemacht werden muss. Es haben sich aber schon einige Schreiben angesammelt:

Es stehen also schon noch einige Antworten aus.

6.12.18 - 8.1.2019 8 Unerwünschte Mails

Alles hat mal wieder damit angefangen, dass sich in meinem privaten Postfach, welches leider nur durch den relativ einfachen Spamfilter des Providers geschützt ist, mehrere Mails angekommen sind:


Quelle: Mein privater Posteingang Frank Carius, Gefiltert auf "monecheck", Stand 4.1.2019

Es ist quasi der "übliche" Werbespam zum Thema Rente und Krankenversicherung. ich frage mich schon, warum nicht die Krankenversicherungen hier ihr Vertriebsmodell etwas strenger regeln. Vielleicht sollte ich einfach mal den Kontakt suchen und bis kurz vor den Abschluss durchspielen lassen. Mit den Anrufen des Microsoft Supports, siehe Fraud Call, habe ich da ja schon durchgespielt. Schaue ich mir eine Mail an, dann ist auch schnell zu sehen, dass die URLs der Bilder "personalisiert" wurden.


Quelle: Beispielmail in meinem Posteingang vom 6.12.2018.

Über solche Links können solche Versender relativ effektiv eine Rückmeldung erhalten, ob, wann und wie oft die Mail gelesen wird. In dem Moment, in dem ich mir da Bild anzeigen lasse, hinterlasse ich auf dem Webserver des Anbieter eines eindeutige Spur. Er kennt ja meine Mailadresse und über den individuellen Link kann er auch die IP-Adresse zuordnen. IP-Adressen und Mailadressen zählen nach meinem Wissen zu personenbezogenen Daten. Der Anbieter könnte diese Information ja auch weiter verkaufen, da eine IP-Adresse meist zumindest einige Stunden statisch ist. Also habe ich ein Bild abgerufen und sicher wird der Anbieter diesen Datensatz ja irgendwo speichern und zur ausgesendeten Werbemail verknüpfen.

4. Jan 19: Wer steckt dahinter?

Wie Sie sicher schon gesehen haben, handelt es sich bei dieser Domäne nicht um eine Adresse aus fernen Ländern sondern eine DE-Domain. Dank der DSGVO ist es nicht mehr so einfach, schnell den Admin-C zu einer Domain zu ermitteln. Eigentlich bleibt nur der Verweis auf den DNS-Server übrig, um die Nameserver und Mailserver zu ermitteln.

C:\>nslookup -q=NS moneycheck.de
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
moneycheck.de   nameserver = ns2.namespace4you.de
moneycheck.de   nameserver = ns.namespace4you.de

C:\>nslookup -q=MX moneycheck.de
Server:  fritz.box
Address:  192.168.178.1

Nicht autorisierende Antwort:
moneycheck.de   MX preference = 100, mail exchanger = mxlb.ispgateway.de

Beide liegen beim Provider Domainfactory. Aber freundlicherweise endet die Mail mit einer Impressumangabe. Das ist schon mal ungewöhnlich, dass hier eine 0800er Nummer und eine komplette Adresse angegeben ist.


Quelle: unterer Teil der Mail von Moneycheck an mich vom 6.12.2018

Aber das muss ja alles nicht stimmen. Eine Steuernummer ist angeblich noch nicht erteilt worden aber die Firma hat schon einen Eintrag im Handelsregister. Das findet sich so auch im Impressum:


Quelle: https://www.moneycheck.de/ueber-moneycheck/impressum/ (04. Feb 2019)

Über die Nummer  HRB 515131 finden sich im Internet schon die ein oder anderen Hinweise. Zwar stimmt die Stadt überein und auch das Gründungsdatum ist ziemlich jung aber die Firmierung lautet auf eine "Immobilien und Hausverwaltungs & Service GmbH".


Quelle: https://www.handelsregister.de/ Suche nach HGB 515131, Jena

Das passt weder so richtig mit einer "Portalbetriebs GmbH" zusammen und auch nicht mit einem Versicherungsmakler, wofür geworben wird. Auch die Postadresse ist unterschiedlich. Ich kann nur vermuten, dass die Handelsregisternummer auf der Webseite falsch ist. Erst auf https://www.unternehmensregister.de/ habe ich dann mit HRB 514131 eine andere Nummer gefunden. Dieser Eintrag nennt aber 27.12.2017 als Eintragungsdatum. Sollte das Finanzamt in dem Fall immer noch keine Steuernummer vergeben haben?. Solche Fehler sollten aber gerade im Impressum besser nicht passieren. Ist das der neue wilde Osten?

Ein Versicherungsmakler ist in Deutschland zulassungspflichtig. Daher findet sich auf der Webseite natürlich auch dieser Hinweis:

Über diese Nummer kann unter https://www.vermittlerregister.info der Vermittler eingesehen werden. Allerdings passen die Daten nun auch wieder nicht:


Quelle: https://www.vermittlerregister.info Stand 2. Feb 2019

Geschäftsführer bzw. Vorstand ist hier eine Dennie Liemen und nicht Daniela Deckner. Auch die Orte Leipzig und Erfurt sind unterschiedlich. Die Firma "beratungswerk24" betreibt wohl einige Webportale (Siehe http://www.beratungswerk24.ag/web-portale) auf denen aber gerade die moneycheck.de nicht auftaucht. Wozu ist dann so ein Register gut, wenn es unstimmige Daten enthält? Oder ist das genau so eine Fehlinformation wie die HRB-Nummer?

Wenn Sie dann aber auf das Impressum gehen, dann finden Sie hier die Nummer D-M6BK-JBFIO-49.


Quelle: https://www.moneycheck.de/ueber-moneycheck/impressum/ 23. Feb 2019

Wobei auch hier die Überdeckung der Pflichtangaben durch ein nicht entfernbares Werbebanner kritisch sehen kann. Diesmal kommt eine andere Firma zum Vorschein:


Dies mal ist es auch tatsächlich die "Moneycheck Portalbetriebs GmbH", wie im Impressum angegeben.

Die Firmenbezeichnung "Portalbetrieb" verbinde ich eher mit einer IT-Dienstleistung für Webseiten und Portale aber nicht primär mit einer Maklertätigkeit. Wäre mal interessant aus dem GmbH Vertrag den Geschäftszweck zu erfahren. Vielleicht verkaufen Sie morgen ja noch Brötchen und übermorgen Autos. Die Zulassungshürden sind anscheinend sehr niedrig. Der Begriff "Versicherungsberater" ist ja geschützt. Makler kann sich dann ja jeder nennen.

Mailversand über Dienstleister vsend.de?

Die Mail wurde ja per SMTP eingeliefert. Daher ist z.B. die IP-Adresse des einliefernden Systems interessant. Ich habe mir daher den Header der Mail angeschaut, um die Versender zu ermitteln:

Received: from srv.vsend.de ([138.201.182.1]) by mx.kundenserver.de (mxeue011 [212.227.15.41]) with ESMTPS (Nemesis) 
From: "moneycheck.de" <info@service.moneycheck.de>
Sender: "moneycheck.de" <info@service.moneycheck.de>
Reply-To: "moneycheck.de" <info@service.moneycheck.de>
X-Report-Abuse: <abuse@mail.vsend.de>

Der Domainname hat auf den ersten Blick nichts mit Moneycheck.de zu tun. Die IP-Adresse 138.201.182.1 ist beim Provider "Hetzner Online AG" angesiedelt. Das DENIC verbirgt leider den Domaininhaber und da VSEND anscheinend kein Interesse an Kunden hat, liefert der Zugriff auf die Domain per HTTP nur eine 403-Fehlerseite aber kein Impressum. Domainhoster ist auch hier Domainfactory. Das allein erlaubt aber keine Aussage, ob es sich um eine eigenständige Firma oder nur einen zweiten Namen der gleichen Firma handelt.

Bei HTTPS meldet sich ein 10 Jahre gültiges selbst signiertes Zertifikat für "webserver.ispgateway.de". Schon interessant, dass man in Deutschland aufgrund §5 TMG-E eigentlich ein Impressum haben muss

Steht die DSGVU und der Datenschutz nun über dem TMG oder warum stellt das DENIC nicht mal diese Pflichtangaben per WHOIS bereit? Inwieweit eine Webseite ohne Impressum schon abmahnfähig ist, mögen bitte die Mitbewerber der Versicherungsbranche, Immobilienbranche o.ä. weiter verfolgen. Wenn "vsend.de" eine andere Firma ist, die den Mailversand im Auftrag von Moneycheck.de ausführt, dann ist das natürlich auch hinsichtlich der DSGVO relevant. Schließlich wurde meine Mailadresse dort verarbeitet.

Ich habe daher am 13. Feb 2019 den ABUSE-Kontakt von Domain Factory (abuse@df(dot)eu) angeschrieben mit der Bitte um Auskunft oder dass der Betreiber zumindest ein gültiges Impressum bereit stellt. Die Antwort kam innerhalb von 8 Stunden aber ist natürlich wertlos:

Ich frage mich schon, welchen Nutzen eine Impressumspflicht hat, wenn Sie nicht durchgesetzt wird. Vermutlich bin ich als Privatperson nicht einmal abmahnberechtigt, da ich ja nicht hinsichtlich Wettbewerb benachteiligt bin und ich auch keinen Urheber/Markenverstoß konstruieren kann. Vielleicht muss ich mal laut das Todschlagargument "Terror" rufen, auch wenn es hier nur ein bisschen "E-Mail Terror" ist. Da ich aber an das DENIC verwiesen werde, habe ich mich mit meinem Anliegen ans DENIC gewendet. Mal sehen, wir hier die Reaktion ausfällt.

Eine Antwort des DENIC steht noch aus.

8. Jan. 2019: Anfrage DSGVO: Welche Daten habt ihr von mir?

Also habe ich mit die üblichen Muster angeschaut und meine erste DSGVO-Anfrage formuliert. Folgendes Schreiben habe ich am 8. Januar 2019 folgendes Schreiben per Mail an die Kontaktadresse im Impressum gesendet.

Insbesondere interessiert mich natürlich die Quelle, aus der diese Information bezogen wurde. Beachten Sie auch, dass ich nur Informationen nach meinem Recht zur Löschung gefragt aber noch keine Löschung angefordert habe.

9. Jan. 2019: Antwort vom Anwalt

Eigentlich hätte ich nun eine Antwort von Herrn Peter Escher erwartet. Wird er doch auf https://www.moneycheck.de/peter-escher/ als Anwalt der Verbraucherschützer dargestellt, der als Robin Hood sich zu vielen Fragen per Video und Artikel äußert. Einen Beitrag zur DSGVO konnte ich darunter allerdings nicht finden.

Nach nicht einmal 24 Stunden bekam ich eine E-Mail von der Anwaltskanzlei franz.de, die mir ihre Berechtigung zur Vertretung der der "Moneycheck.de Portalbetriebsgesellschaft mbH" entsprechend "anwaltschaftlich versichert". Der Standardsatz bei Anwaltsschreiben. Da es sich ja um meine Daten handelt, sehe ich kein Problem damit diese Daten auch hier in Auszügen zu veröffentlichen, soweit sie für die weitere Argumentation erforderlich sind:

Es ist weder ungewöhnlich noch verwerflich, wenn Formbriefe mit Textbausteinen ergänzt und versendet werden und kann sowohl Kosten sparen als auch Fehler reduzieren. Mit den Fehlern hat es hier aber nicht geklappt. Die gemachten Angaben sind darin mit Sicherheit falsch. Mich interessiert keine DSGVO Auskunft des Anwalts. Den habe ich tatsächlich am 8.1.2019 erstmalig indirekt kontaktiert, weil die angesprochene Partei die Anfrage direkt an den Anwalt weiter geleitet hat. Meine Anfrage galt aber bezüglich der Datenhaltung bei der Moneycheck.de. Die von dort empfangenen Mails sprechen eine ganz andere Sprache. Schließlich wurde mein Postfach das erste Mal am 6.12.2018 angeschrieben und weitere sechs Mails kamen bis zu 8.1.2019. Wenn die Anwaltskanzlei "franz.de" nicht selbst als Werbemailversender auftritt und die Server betreibt, und in Vertretung für den Mandanten antwortet, dann sollte Sie auch eine vollständige Auskunft des Datenbestandes bei moneycheck.de geben können. Auch die Verbindung zu vsend.de als Dienstleister zum Versand der Mails würde ich in der Antwort und der Tracking-Bilder würde ich erwarten. Dann aber frech zu behaupten, dass die Daten aus meiner "Anfragemail vom 8.1.2019" stammen und eine abweichende Herkunft nicht ermittelbar sei, war letztlich der Grund diese Seite zu schreiben. Ich habe selten erlebt, dass sich jemand so plump und dreist den Pflichten der DSGVO entziehen will. Die Mail war am Ende noch mit einer Belehrung gespickt:

Natürlich habe ich das Recht zur Beschwerde bei einer Aufsichtsbehörde aber ohne Angabe, welche Behörde denn nun gemeint ist. Wenn diese Mail als DSGVO-Auskunft hinsichtlich der Datenverarbeitung bei der Anwaltskanzlei ist, dann wäre für den Sitz Düsseldorf der Datenschutzbeauftragte in NRW (http://www.ldi.nrw.de) zuständig . Ich habe aber klar nach einer Auskunft der Daten bei Moneycheck.de gefragt und hierfür wäre dann Sachsen zuständig (http://www.datenschutz.sachsen.de). Oder muss ich gar nach England gehen, da franz.de anscheinend eine deutsche Niederlassung der englischen LTD ist. Die Information ist im Impressum (https://www.franz.de/impressum/) öffentlich:


Quelle: Auszug aus Impressum (https://www.franz.de/impressum/) Stand 12.1.2019

Verbraucherfreundlich wäre einfach die Datenschutzbehörde im Bundesland des Bürgers. Bei mir wäre da dann auch NRW. Diese Information gibt es wohl nicht in der kostenfreien DSGVO-Auskunft.

Am Ende der Mail gibt es auch noch einen Link auf "Es gelten unsere allgemeinen Mandatsbedingungen":

Ich hätte mir die Mandatsbedingungen mal gerne angeschaut, aber am 12.1.2019 um 00:01 waren diese nicht abrufbar:

Ich konnte Sie zumindest über die Suchfunktion auf der Webseite unter https://www.franz.de/kanzlei/allg-mandatsbedingungen/ finden. Da scheint beim Disclaimer-Anheften wohl auch noch was im Argen zu liegen. Auch das Kontaktformular ist zumindest zu hinterfragen. Nach meinem Wissen ist man heute gut beraten über eine Checkbox die Bestätigung einzuholen, dass der Nutzer die Datenschutzbestimmungen gelesen hat. Aber darum könnten sich dann andere Anwälte kümmern. Vielleicht löst sich das Thema durch einen BREXIT auch von selbst, da es eine deutsche Niederlassung einer englischen LTD ist.

10. Jan. 2019: Nachfrage

Um hier mehr Klarheit zu erhalten habe ich auf die pauschale Mail des Anwalts mit einer individuellen Mail reagiert und um Klarstellung einer Punkte gebeten.


Quelle: Mein Postausgang. 10. Jan 2019: Das zitierte Bild in der Mail ist hier gekürzt wiedergegeben.

Ich habe insbesondere auf die Quellenangabe hingewiesen.

10. Jan. 2019: Zweite Antwort vom Anwalt

Eines muss man franz.de lassen. Sie scheinen relativ schnell zu reagieren. Knapp 10 Stunden später kam die nächste elektronische Postkarte. Natürlich wieder unverschlüsselt und die gewünschten Informationen sind

Nun wird sogar damit argumentiert, dass durch meine Löschanfrage quasi alle Spuren verwischt worden seien und man leider auch nicht mehr ermitteln könne, aus welcher Quelle die moneycheck.de meine Mailadresse bezogen hat. Es ist dem Schuldner also aus Sicht des Anwalts unmöglich. Vermutlich bezieht er sich daher auf Absatz 1 des BGB 275. Allerdings hatte ich eine Löschung noch gar nicht angefordert. (Siehe meine erste Mail am Anfang).


Auszug des BGG: Quelle: https://dejure.org/gesetze/BGB/275.html (Stand 12.01.2019)

Vielleicht sollte ich mal bei meiner Hausbank auf den §275 BGB verweisen, wenn ich meine Kreditraten nicht mehr bezahlen kann. Ich erspare mir nun die Recherche in den Tiefen des Gesetzbuches, um andere einschränkende Paragrafen zu finden. Es ist nur ein seltsames Verständnis der Arbeitsauffassung. Ich bin auch sicher, dass die Firma Moneycheck.de sicherlich mit Sicherungsbändern und Kopien arbeitet, so dass es problemlos möglich sein sollte, die geforderten Informationen zu ermitteln. Interessant hier hierbei auch die Angabe auf der Seite https://www.moneycheck.de/ueber-moneycheck/datenschutz/ zu diesem Thema.


Quelle: Auszüge aus https://www.moneycheck.de/ueber-moneycheck/datenschutz/ Stand 12.1.2019

Hier wird explizit angeboten, die Kontaktdaten zu übermitteln, was aber trotz entsprechender Anfrage in der ersten Mail nicht erfolgt ist. Auch eine maschinenlesbare Übermittlung der gespeicherte Daten wird angeboten aber nicht geliefert. Mir hätte ja eine CSV-Datei mit der Information über die Aussendungen als Feigenblatt schon gereicht. Dann wäre es wenigstens dem Anschein nach eine Auskunft gewesen. Wenn Moneycheck.de seriös wäre, dann würden Sie meine Mailadresse auf eine Blacklist setzen und in der DSGVO-Auskunft genau diese weitere Verwendung auch beschreiben.

Darauf weist Moneycheck.de auch unter "Dauer der Datenspeicherung" hin. Es gibt Fristen, die Sie beachten müssen und bei der Geltendmachung von Ansprüchen wird auch ein Richter verstehen, dass die zum Verfahren erforderlichen Daten und Belege natürlich vor Abschluss des Verfahrens vernichtet werden.


Quelle: Auszüge aus https://www.moneycheck.de/ueber-moneycheck/datenschutz/ Stand 12.1.2019

Stattdessen wird nun angeblich eine Mitarbeiterin der Mandantin zur Rede gestellt und am Ende soll ich auch noch schuld sein, wenn arbeitsrechtliche Folgen dafür entstehen. Der Fisch stinkt vom Kopfe und für Verfehlungen der Firma muss zuerst die Geschäftsführerin dafür gerade stehen. Mitarbeiter müssen schon Mittel oder Grob Fahrlässig handeln, damit eine Arbeitnehmerhaftung greift. Es erschließt sich mir auch nicht, wie man zukünftig solche Fehler vermeiden will. Das Geschäftsmodell dieser Aussendungen beruht ja darauf, Adressen zu sammeln oder zu kaufen und zu verwerten. Allein von selbst per Bannerwerbung o.ä. generierten Besuchern auf der Webseite, die sich dann noch auf dem Newsletter eintragen, kann die Firma wohl kaum existieren.

12. Jan 2019: Anfrage beim Landesdatenschutzbeauftragten

Ich habe mich mittlerweile an die beiden Datenschutzbeauftragten gewendet und um eine Einschätzung bezüglich des Verhaltens von Anwaltskanzlei und Mandant gebeten.

  • 18- Jan 2019: Antwort des LDI.NRW.DE
    Da die Firma in Thüringen sitzt, wurde die Anfrage nach Erfurt weiter gegeben. Der Sitz des Anwaltskanzlei ist also nicht maßgeblich, wenn die Auskunft der Kanzlei im Auftrag des Kunden in Erfurt gewesen ist.

Eine Zwischenantwort aus Erfurt kam dann am 23. Feb 2019 an

04. Feb 2019 Was meint die RAK dazu?

Ergänzend habe ich auch mal die Rechtsanwaltskammer in Düsseldorf angefragt, ob Sie zu dem Verhalten dieser Kanzlei Stellung nehmen möchte.

08. Feb 2019 RAK antwortet mit Aktenzeichen

Auf meine Rückfrage per Mail an die RAK habe ich nun eine erste Antwort mit einem Aktenzeichen erhalten. Der Formbrief erklärt, dass die Bearbeitung etwas Zeit erfordern wird und ich von zwischenzeitliche Sachstandsanfragen absehen sollte. Ich könnte aber widersprechen, dass zum 18.2 der Anwalt zu einer Stellungnahme aufgefordert wird. Die zweite Seite besteht im wesentlichen aus einer umfangreichen Beschreibung zu datenschutzrechtlichen Gründen, d.h. was wo wie gespeichert und ggfls. woanders hin gesendet wird. Ich bin mal gespannt, ab wann auch Webseiten nicht nur die Verwendung von Cookies absegnen lassen, sondern auch noch diese Hinweise aufpoppen.

Eigentlich hätte mir ja eine Stellungnahme der RAK gereicht aber wenn die Anwaltskanzlei über den Weg mal eine qualifizierte Aussage macht, wäre ja auch schon geholfen. Anhand meines Posteingangs kann ich ja belegen, dass schon 2018 die angefragte Firma meine Mailadresse gespeichert, genutzt und sogar an vsend.de weiter gegeben hat.

13. Feb 2019 RAK lehnt Beschwerde ab

Entgegen dem ersten Schreiben, dass am 18.Feb der Anwalt um eine Stellungnahme gebeten wird, ist bei mir am 19.2 ein Brief der RAK eingetroffen, der am 13. Feb geschrieben wurde und den Poststempel vom 14. Feb trägt. Die RAK lehnt meine Beschwerde ab und kein Vertroß gegen das Berufsrecht vorliegt. Es wird erst der von mir geschilderte Sachverhalt wiederholt. Hier einige weitere Auszüge:

  • ".. Darin teilte er ihnen mit, dass eine Auskunft hinsichtlich Ihrer Daten bei der oben genannten Firma nicht mehr möglich sei, da sie zwischenzeitlich gelöscht worden seien. Wir gehen davon aus, dass Rechtsanwalt Dr. Böse diese Auskunft von seiner Mandantin erhalten hat"
  • "In der Regel darf der Anwalt daher den Angaben des Mandanten vertrauen. Weitergehende Pflichten würden das Vertrauensverhältnis .. zerstören"
  • Es liegt somit kein Vertroß gegen das Sachlichkeitsgebot aus § 43a Abs. 3 BRAO (bewusste Verbreitung von Unwahrheiten) vor... Zum einen ist noch nicht einmal sicher, ob das richtig ist. Sollte dies jedoch nicht richtig sein, durfte Rechtsanwalt Dr. Böse auf die Angaben seiner Mandantin vertrauen.

Laut der RAK hat sich der Anwalt nicht falsch verhalten, selbst wenn er eine vermutliche Lüge der Mandantin weitergibt.

Als Firma ist mal also fein aus dem Schneider, wenn man sich selbst auf eine DSGVO-Anfrage antwortet, sondern einen Anwalt antworten lässt und dabei eine unvollständige Auskunft folgenlos bleibt.

13./14. Feb 2019: Domainfactory (DF.EU) Anfragen zu VSEND.DE

Die Mails wurden über Server der Firma mit dem Namen "vsend.de" gesendet. Beim DENIC ist "aus Datenschutzgründen" wieder keine Auskunft zu bekommen. Aber man wird auf support@df.eu verwiesen. Also habe ich eine freundliche Mail an Domain Factory gesendet, die sehr schnell und kurz gefasst beantwortet wurde:

So einfach lasse ich den Hoster von "vsend.de" natürlich erst mal nicht aus der Verantwortung. Ein Provider muss zwar nicht sicherstellen, dass seine Kunden ein Impressum auf der Webseite haben und er muss auch nicht deren Mailversand unterbinden. Aber das Bundesdatenschutzgesetzt führt unter "§ 44 BDSG – Klagen gegen den Verantwortlichen oder Auftragsverarbeiter " mein Klagerecht auf.

Wenn ich diesen Weg beschreiten wollte, muss ich natürlich wissen, wen ich anklagen muss. Zumindest erwarte ich mir vom Provider eine Klarstellung, auf welcher Grundlage diese negative Auskunft besteht. Ein "aus Datenschutzgründen" ist doch ein sehr allgemeiner Ansatz. Allerdings hat die df.eu nicht interessiert und die Anfrage am 18. Feb abgeblockt.

Nun gibt es meines Wissens nach in Deutschland eine Pflicht ein Impressum zu veröffentlichen, was VSEND nicht tut. Das kann als Ordnungswidrigkeit mit bis zu 50.000€ geahndet werden. Eine Meldung muss aber an eine geeignete Stelle im Bundesland erfolgen.

Also habe ich auf die zweite Ablehnung am gleichen Tag einer Auskunft am 18.2 umgehend zumindest um die Information zum Bundesland des Inhabers gebeten.

Sollte DF.EU sich noch einmal melden, finden Sie hier das Update

14. Feb 2019 Anfrage und Antwort DENIC

Dem Ratschlag von Domainfactory folgend habe ich mich an das DENIC per Mail gewandt. Wobei ich von dort ja gerade gekommen bin. ich bin mal auf die Antwort gespannt. Auch hier habe natürlich ausführlich erklärt, warum meine Anfrage berechtigt sein sollte. Eine Adresse zur Anforderung einer DSGVO-Auskunft ist aus meiner Sicht auf jeden Fall ein berechtigtes Interesse. Hier mein Mail vom 14. Feb. 2019:

Die Antwort war dann allerdings schon innerhalb von wenigen Minuten da:

Irgendwie komme ich mir veralbert vor und ich denke, dass es langsam an der Zeit ist wirklich über eine Strafanzeige nachzudenken. Ich stelle eine aus meiner Sicht qualifizierte Anfrage samt einer Dokumentation des gesamten Vorgangs und das DeNIC ist nicht mal in der Lage diese Daten zu sichten.

Ich habe daher am 27. Feb diese Webseite als "PDF-Datei" gedruckt und noch mal darauf geantwortet. Aber natürlich nicht an "noreply".

23. Feb 2019 Eingang beim TLfDI Thüringen

Wie süß. Ein Brief mit von Hand geschriebener Adresse. Das hatte ich schon lange nicht mehr. Die Damen und Herren hätten ja meine Mailadresse gehabt.

Darin wird meine Beschwerde bestätigt und um etwas Geduld gebeten, da aufgrund der hohen Arbeitsbelastung es etwas länger dauern könnte. Ich weiß ja nicht, wie lange es nun gedauert hat, den Brief zu schreiben und den Umschlag zu beschriften und letztlich mit 70ct abzusenden. Aber ich könnte mir vorstellen, dass hier durchaus noch Optimierungspotential verborgen ist. Es könnte aber auch sein, dass die Politik gerade absichtlich die Landesdatenschützer kurz hält, damit sie nicht allzu stark nerven.

Ich kann an die Budget-Verantwortlichen in Land und Bund nur appellieren, dass sie ihrer Verantwortung gerecht werden und Datenschutzgesetz, welches Sie selbst geschrieben und verabschiedet haben, auch durchsetzbar machen. Vielleicht sollten Sie einfach die ausgesprochenen Strafen direkt wieder dem LDI zuführen.

Ich denke nicht, dass demnächst jeder Bürger seine Auskunft nach DSGVO mit einer Strafanzeige bei der lokalen Polizei wiederholen sollte.

27. Feb 2019

Auf meine Anfrage vom 14. Feb an das DENIC kam sehr schnell eine negative Antwort, dass auch das DENIC mir keine Auskunft geben könne. Ich habe darauf folgendes Schreiben samt Anlage an das DENIC gesendet:

Die Antwort auf dieses Schreiben kam nun aber schon am gleichen Tag mit der Nennung einer Post-Adresse und Mail-Adresse. Die genannte Firma sitzt in Dresden und natürlich gibt es auf deren Webseite auch nur die gleiche 403-Meldung (Zugriff verweigert), wie bei VSEND.DE. Die Domäne ist bei verschiedenen Suchen auch schon früher als Massenversender für z.B. Versicherungscheck24.de aufgefallen.

Damit ist der Thread mit dem DENIC abgeschlossen und da mir die Verwendung nur zur Anfrage nach DSGVO erlaubt wurde, werde ich erst einmal keine Angaben dazu veröffentlichen.

27. Feb DSGVO-Anfrage an VSEND.DE

Ich habe einzig die Kontaktadresse des Inhabers der Domäne VSEND.DE und eine Postadresse. Als Versender der Werbe-Mail an mich und da aus den Daten nicht erkennbar ist, das es sich um die gleiche Firma von Moneycheck.de handelt, habe ich per Mail eine Auskunft nach DSGVO angefordert.

Eine Antwort auf mein Schreiben steht noch aus.

15. März: Antwort des TLfDI

An die Abkürzung TLfDI für ". Thüringer Landesbeauftragter für den Datenschutz und die Informationsfreiheit" kann ich mich immer noch nicht gewöhnen. Aber heute kam ein zweites Schreiben mit dem Aktenzeichen und der Bitte, die fraglichen Mails und alle damit verbundene Korrespondenz zu übersenden. Das habe ich gleich heute Abend noch gemacht, ehe ich zu Microsoft geflogen bin. Nun heißt es wieder warten. Aber anscheinend sind die Damen und Herrn in Thüringen doch flott unterwegs. Ich habe schon deutlich längere Bearbeitungszeiten erwartet.

Vorläufiger Zwischenstand

Aktuell habe ich erst einmal die Daten und Informationen gesammelt und dokumentiert. Ich denke nicht, dass sich an der Situation etwas bessert und ich tatsächlich an die Quelle kommt, die meine Mailadresse verkauft hat. Selbst dann wird das natürlich nichts bringen. Aber vielleicht führt die "Unbequemlichkeit" und den Aufwand, den ich bei dem Versender erzeuge vielleicht dazu, meine Adresse auf eine "Blacklist" zu setzen.

Zu dem Geschäftsmodell, Menschen zu einem Wechsel der Krankenversicherung zu bewegen und über die Provision ein Einkommen zu erzielen kann jeder seine eigene Meinung haben. Ich bin ja auch "Berater" aber meine Kunden kommen auf mich zu und sind gewerblich. Beim Geschäft mit Privatkunden gelten etwas andere Regeln bei der Kontaktanbahnung. Die DSGVO sollte der Privatperson sehr wohl die Möglichkeit geben, über die bei Firmen gespeicherten Daten eine korrekte Auskunft zu bekommen. Das hat aus meiner Sicht hier komplett versagt.

Vielleicht sollte ich aber einfach mal die verschiedenen Versicherungen ansprechen, ob sie wirklich mit solchen Maklern zusammenarbeiten wollen. So könnte man den Sumpf wohl auch zumindest etwas Wasser abgraben.

Ich bin gespannt, wie sich das weiter entwickelt. Aber ich vermute, dass ich am Ende sogar über eine Strafanzeige gehen muss. Noch setze ich meine Hoffnung auf den Landesdatenschutzbeauftragen in Thüringen.

Weitere Links