Firma zu kaufen gesucht?

Und ewig grüßt die DSGVO. Auf dieser Seite protokolliere ich die verschiedenen Aktionen und Reaktionen nach dem Eingang einer Werbemail. Normalerweis lösche ich solche Mails direkt, aber wenn der Absender aus Deutschland erscheint, dann erlaube ich mir schon, der Spur zu folgen und auch nachzufragen. Zudem zeigt meine Recherche über den Absender, die nur wenige Minuten gedauert hat, wie einfach im Internet Informationen zusammengetragen werden können. Den gleichen minimalen Aufwand hätte der Absender auch über mich betreiben können.

Diese Seite ist ein Blick hinter die Kulissen einer deutschen Werbemail, die mal nicht auf Bitcoins, CTF/Forex-Handel, Partnervermittlung oder andere Dinge abzieht sondern vorgibt meine Firma kaufen zu wollen. Die gesamte Konversation ist aber so abwegig, dass ich die Mail als Spam einstufe und daher hier exemplarisch aufarbeite.

Ich habe auf Bitten des Absenders den Firmennamen unkenntlich gemacht. Mein Ziel ist ja nicht die Bloßstellung einer Firma, sondern das generelle Verhalten abzubilden und mögliche Analysewege zu erläutern.
Leider ist die deutsche Rechtsprechung nicht eindeutig, was genau unter "personenbezogene" Daten fällt. Vermutlich müsste ich erst eine Strafanzeige bei Polizei und Landesdatenschutz stellen, damit die Bilder und Analysen dann als "Beweis" aktenkundig werden. Das passiert dann bei der nächsten Mail. Andere Firmen haben das sportlicher gesehen. Siehe auch DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?.

Die Spam-Mail

Nicht alle Mails sind aber so schlecht gemacht, wie diese, die immer mal wieder an meine private Adresse gesendet werden.

Es könnte natürlich sein, dass die Firma "YYY Holding GmbH" gar nichts mit der Mail zu tun hat, da die Mail weder digital signiert war noch die Domain am 9.1.2020 weder einen SPF, DKIM noch DMARC-Eintrag hatte. Vielleicht ist der angebliche Sender gar nicht der tatsächliche Sender.

Der Inhalt ist zumindest nicht "individualisiert und wenn jemand ein Angebot zur Firmenübernahme abgibt und dann so schlecht vorbereitet ist, dass es ja nur ein Serienbrie an einen große Menge von Adressaten sein kann. Der Absender hat die Möglichkeiten nicht genutzt, die Mail verschlüsselt zu senden und ist in keiner Weise persönlich an mich gerichtet, so dass es für mich ein Werbeschreiben ohne Anspruch auf Briefgeheimnis ist. Schauen wir uns die Mail mal an:

Zitat aus der Mail Kommentar

Sie wollen meine Firma kaufen aber haben sich nichts mal die Mühe gemacht den Ansprechpartner zu ermitteln? Schon das disqualifiziert die Mail und andere können das besser. Mein Name steht im Impressum klar lesbar.

Wer expandieren möchte, muss ja schon ein Standbein haben. Ich habe also versucht diese Basis zu ermitteln. Es hat aber eher den Anschein, dass die Firma gar nicht in der IT aktiv ist, sondern eher den Bereich der medizinischen Pflege bedient.

Natürlich gibt es in der IT-Branche z.B. mit Office 365 sehr interessante Potentiale. Ob das aber der Schreiber auch so meint, kann ich nichts erkennen.

Das ist ja mal eine Steilvorlage genau das per DSGVO-Anfrage nachzufragen. Es könnte eine Internet-Recherche, Facebook-Suche, LinkedIn Suche o.ä. gewesen sein. Wenn der Absender meine private Adresse aber über eine Suchmaschine findet und weder die MSXFAQ noch Net at Work erwähnt, dann war die Recherche wohl eher ein Crawler oder eine zweifelhafte Adressdatenbank.

Vielleicht hat es sich noch nicht rumgesprochen aber ich bin selbständig und habe selbst noch keine Angestellten. Mein Engagement bei der Firma Net at Work fällt mit >100 Mitarbeitern würde eher in den Rahmen passen. Aber da hätte man sich schon mehr Mühe bei der Recherche geben können.

Wäre es Zuviel verlangt, hier ein paar Beispiele zu geben? Andere Verbundunternehmen spielen mit offenen Karten. Zur Expertise bei Unternehmensentwicklungen bietet sich eine Recherche an, welche Firmen der Absender schon gegründet und insbesondere auch wieder liquidiert hat. Es ist heute sehr einfach per Suchmaschine ohne viel aufwand solche Daten zu erhalten.

Diese Aufforderung ist quasi schon ein Betteln nach einer DSGVO-Anfrage, woher der Absender meine private Mailadresse bezogen hat und wie er aus das dünne Brett einer unverlangt zugesandten Mail mit einem völlig unqualifizierten Angebot kommt.

Aber die Neugier war natürlich geweckt, wer hier gerne meine Firma kaufen würde, die es gar nicht gibt und schon gar nicht die 15-20 Mitarbeiter hat, die in dem nicht sichtbaren Teil der Mail als Zielgruppe angegeben werden. Als auch ich mich auf die Suche gemacht, welche "Investment Company" hier auf Firmensuche ist.

Spurensuche

Daher habe ich mich auf die Spurensuche gemacht und der Versendersendinblue.com hat mir bestätigt, dass er die Mail im Auftrag des Absenders im Internet versendet hat. Ich habe daher den Header der Mail betrachtet und gesehen, dass das Bild, welches Outlook nicht nachgeladen hat, von folgender Adresse kommen soll:

<img alt=3D"XXX Gruppe Logo" height=3D"90" =
src=3D"http://4gcu6.img.ah.d.sendibm4.com/im/2609766/7f68e56dfe6a52ac84ae=
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx=
2dKUiRYLeJ8qRxF0Z6PVQ36KPHnpzWGw" style=3D"color: rgb(34, 34, 34); =
font-family: Arial, Verdana, sans-serif; font-size: 12px;" width=3D"258" =
sib_img_id=3D"0"/>

Die Quelle des Bildes verweist auf den Server eines Mailversanddienstleisters, über den solche Aussendungen getrackt werden. Der Dienstleister sollte also seine Kunden ja kennen, der den Dienst nutzt. Da ist es auch fast egal, dass der Abruf unverschlüsselt erfolgt. Dazu passen auch die Spuren im Header der Mail. Ich habe die Mailadressen und URLs soweit unkenntlich gemacht, dass Crawler diese nicht allzu einfach auswerten können.

Received: from ah.d.mailin.fr ([185.41.28.8]) by mx.kundenserver.de (mxeue010
 [212.227.15.41]) with ESMTP (Nemesis) id 1Mn1BX-1jVp770jSh-00jxmS for
 <frank@carius.de>; Thu, 09 Jan 2020 16:58:18 +0100
Reply-To: <xxxxx@yyy-gruppe.comxxx>
From: "YYY Holding GmbH" <xxx@yyy-gruppe.comxxx>
To: <frank@cariusxxx.de>
Subject: =?UTF-8?Q?z.Hd._Gesch=C3=A4ftsf=C3=BChrung?=
Date: Thu, 9 Jan 2020 16:27:35 +0100
Message-ID: <202009011527.5emtftz5fcrj@ah.d.mailin.fr>
MIME-Version: 1.0
Content-Type: multipart/alternative;
	boundary="----=_NextPart_000_0DE6_01D5C715.C83C8DF0"
X-Mailer: Sendinblue
List-Unsubscribe: xxxxx<mailto:unsubscribe@ah.d.mailin.fr?subject=unsub-xxxx>,<https://4gcu6.r.ah.d.sendibm4.com/mk/un/li/xxxxx>
X-Spam-Flag: NO
X-Mailin-Campaign: 3
X-Mailin-Client: 2609766
X-sib-id: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx-MJxxxxx

This is a multipart message in MIME format.

------=_NextPart_000_0DE6_01D5C715.C83C8DF0
Content-Type: text/plain;
	charset="UTF-8"
Content-Transfer-Encoding: 8bit

Sehr geehrte Damen und Herren,

wir sind ein Unternehmen, ...

Der Absender ist also wirklich ein kommerzieller Versender und kein anonymes Relay oder ein Bot. Der "List-Unsubscribe"-Zeile verweist auf den Versender und hinter sendibm4.com gibt es einen Verweis auf die Plattform von https://www.sendinblue.com/. Der Absender hat also einen Vertrag mit einem kommerziellen Versender geschlossen und nutzt keine SpamBots einer klassischen Spam-Mail mit reichen Erben in Nigeria. Dennoch schätze ich sie als Spam ein, da sie unverlangt zugesendet wurde und es keine bestehende oder vermutete Geschäftsbeziehung ist.

XXX Holding Webseite

Den Link in der Signatur klicke ich natürlich nicht direkt an, sondern geben ihn in einem gesicherten Browser ohne alle Parameter ein ein. Am 9.1.2020 habe dann aber nur eine Webseite mit dem Status "Überarbeitung" gesehen, die weder Kontaktdaten noch Impressum o.ä. enthält, was für einen Firma mit angeblichem Sitz in Deutschland schon bedenklich ist. Auch die COM-Domain ist kein Freibrief und warum hier dann "XXX Gruppe" statt "XXX Holding" steht, weiß wohl auch nur der Webmaster.

Für eine XXX-Gruppe konnte ich z.B. keinen GmbH-Eintrag finden aber sehr wohl für XXX Holding "https://www.northdata.de/XXX+Holding+GmbH,+Saarbr%C3%BCcken/HRB+ZZZZZZ" und eine Namensauflösung mit NSLOOKUP nach MX-Records gibt ein durchwachsenes Bild:

yyy-gruppe.de    MX preference = 0, m ail exchanger = yyygruppe-de0i.mail.protection.outlook.com 
yyy-gruppe.com   MX preference = 10, mail exchanger = w0157bc4.kasserver.com
yyy-holding.de   MX preference = 0,  mail exchanger = mail.yyy-holding.de 
yyy-holding.com  MX preference = 10, mail exchanger = mx119k.chinaemail.cn

Laut DNS-Abfragen https://rdap.verisign.com/com/v1/domain/XXX-GRUPPE.COM wurde die Domain erst "2018-11-06T14:05:13Z" registriert und hinter dem Registrar "KASSERVER.COM" verbirgt sich der Hoster all-inkl.com. Meine Erfahrung mit Hostern habe ich auf DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder? ja schon beschrieben. Eine Abmahnung aufgrund eines fehlenden Impressums und DSGVO-Angaben überlasse ich mal anderen "Beteiligungsfirmen".

Handelsregister?

Also musste ein Suchmaschine zum Firmenname herhalten, die sehr schnell einige Treffer liefert. Hier ein Auszug von Northdata, die grundlegende öffentliche Unternehmensdaten einfach erreichbar machen. Wer mehr wissen will, muss natürlich bezahlen. Die öffentlichen Informationen zeigen eine junge GmbH mit Gründungsdatum von 2018 und schon zwei Umfirmierungen. Der Geschäftszweck ist mit "Der Betrieb von Pflegeheimen und Pflegediensten jeder Art, der Erwerb, das Halten und die Verwaltung von Beteiligungen, insbesondere an solchen Unternehmen, die in dem vorgenannten Geschäftsbereich tätig sind, sowie die Erbringung von entgeltlichen Leistungen in den Bereichen Management & Controlling an verbundene Unternehmen sowie die lT - und Management Beratung." angegeben, was ich eine recht interessante Mischung von Tätigkeitsfeldern finde.


Quelle: https://www.northdata.de/XXX+Holding+GmbH,+Saarbr%C3%BCcken/HRB+xxxxxx

Wenn ich eine Firma zu verkaufen hätte und schon nach 5 Minuten solche Informationen über einen Käufer finde, dann würde ich nicht mal anrufen. Aber vielleicht steckt ja etwas anderes dahinter.

Wer mag, kann ja auch noch mal nach dem vorgeblichen Absender der Mail suchen und sich seine eigene Meinung bilden. So ist der Inhaber einer der Gesellschaften und einiger anderer Firmen zugleich angeblicher Absender der Mail.


Quelle: https://www.northdata.de

Auch hier macht der Absender den Eindruck, eine vielbeschäftigte Person zu sein, die aber erst wenige Jahre bei Northdata geführt wird. Viele Firmen wurden erst 2018 gegründet, umbenannt und sogar wieder liquidiert. Wobei eine GmbH zu gründen und wieder aufzulösen keine große Sache ist und schon für unter 1000€ zu haben ist.

Die Daten könnten natürlich unvollständig sein. Der Eindruck festigt sich aber, dass hinter der Mail gar keine ernstgemeinte Anfrage steckt. Wird vielleicht nur ein neuer Firmenname gesucht, der schon länger als GmbH eingetragen ist?

Pflegedienstleister

In dem Auszug der GmbH tauchen auch noch einige frühere Namen auf, die auch einfach zu finden sind. Eine Suche nach dem Namen gibt Hinweise auf einen Pflegedienstleister der gefunden, der zumindest auch in Saarbrücken ist, wenngleich die Postadresse sich unterscheidet.


Quelle: Google Suche vom 9.1.2020

Die Webseite folgt aber dem Muster der Holding. Viel mehr als ein "Wir überarbeiten momentan unseren Webauftritt für Sie" findet sich dort nicht. Vor allem auch hier kein Impressum.

Allerdings gibt es wohl das Gesetz aber wenn es nicht durchgesetzt wird, dann hätten sich unsere Politiker das auch sparen können.

... ยง 5 TMG. Grundsätzlich kann man sagen, dass die Pflicht für alle Anbieter einer Internetseite gilt, wenn die Plattform geschäftlichen Zwecken dient ...
...Hat ein Anbieter kein Impressum hinterlegt, obwohl er dazu nach dem Gesetz verpflichtet ist, droht ihm eine Geldbuße von bis zu 50 000 Euro
https://www.bmjv.de/DE/Verbraucherportal/DigitalesTelekommunikation/Impressumspflicht/Impressumspflicht_node.html

Es ist mir echt zu mühsam nun jemand zu suchen, der im gleichen Markt unterwegs ist und diese fehlenden Pflichtangaben per Abmahnung verfolgt. Selbst wenn ich eine Firma zu verkaufen hätte, könnte ich mir nicht vorstellen, sie genau an diesen Interessenten zu verkaufen. Der Grund für die Mail muss hier also was anderes sein. Ich habe also per Feedback-Formular den Versender https://de.sendinblue.com/ gefragt, ob die Firma ein Kunde von ihm ist und wie er die Gültigkeit der Sendedomain sichergestellt hat. Zudem hat der Dienstleister ja meine Mailadresse als Daten verarbeitet. Da wäre eine Auskunft nach DSGVO ja mal angebracht.

Dienstleister Sendinblue.com

Noch kann ich aber gar nicht sicher sein, dass hinter der Mail tatsächlich diese Firma steckt. Es könnte ja auch eine plumpe Fälschung sein, da es keinen SPF/DKIM Eintrag gibt und wie gewissenhaft der Mailversender die Legitimation geprüft hat, lässt sich noch nicht sagen. Vielleicht hat der Absender ja ein ernsthaftes Sicherheitsproblem mit Emotet, die in seinem Namen Mails verschickt. Also habe ich am gleichen Tag (9.1.2020) eine Anfrage über das Kontaktformular (https://de.sendinblue.com/contact/) gesendet. Da der erste Versuch einen Fehler gab und ich nicht sicher war, dass der zweite Versuch erfolgreich war, habe ich dann eine Mail mit folgendem Inhalt gesendet:

Kurz darauf kam schon mal die Empfangsbestätigung durch Zendesk.

Die Antwort liest auch nicht lange auf sich warten, auch wenn sie nach meiner Ansicht etwas "kurz" ausfällt und in keiner Weise auf die gestellten Fragen eingeht. Sollte das wieder in Richtung DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder? gehen?

Ich würde diese Mail aber erst einmal als ausreichend qualifiziert ansehen, dass die Firma sendinblue.com einen aktiven Kunden hat, und daher die Mail in deren Auftrag versendet hat. Das lässt aber immer noch keine Aussage zu, ob die Mail tatsächlich "authentisch" ist.

DSGVO Anfrage an XXX Holding

Ich gehe im weiteren davon aus, dass der angebliche Absender der Mail auch der reale Absender ist und da die Firma auch in Deutschland sitzt, möchte schon wissen, woher Sie die SMTP-Adresse haben und welche Daten vielleicht noch über mich gespeichert sind. Darauf habe ich nach DSGVO einen Auskunftsausspruch. Eine entsprechende Mail habe ich am 11. Jan 2020 auf die Reise gesendet.

Es sind die ganz normalen Standardfragen, die jede Firma sehr einfach und formlos beantworten könnte.

Antwort am Tag drauf

Der Adressat liest wohl auch Sonntags seine Mails und antwortete wie folgt:

Zur Sicherheit reiche ich den Link nach, von dem der Versender  die "Kontaktinformationen" bezogen haben will. Schauen Sie sich gerne die Seite http://www.carius.de/kontakt.htm einmal an. Zur Sicherheit hier noch mal den Stand von www.carius.de am 20. Jan 2020:

Frage: Würden Sie hier eine Firma kaufen wollen, auf deren Webseite sich seit 2006 nicht mehr tut?

Aus meiner Sicht ist das definitiv keine Seite einer Firma, die irgendjemand kaufen würde. Nur wenn es jemand mit gleichem Familiennamen auf den Domainnamen abgesehen hätte, könnte ich das verstehen. Ich hätte es ja akzeptiert, wenn der Absender meine Mailadresse wirklich per Suche im Internet ermittelt hat, dann hätte er auf den ersten Blick auf die Webseite schon sehen können, dass diese Firma wohl nicht seinen Anforderungen entspricht. Er hätte aber vor allem auch meinen "Namen" gesehen und eine persönliche Ansprache bei der Mail verwenden können. Es geht schließlich um den Kauf einer Firma und nicht um eine nigerianische Erbschaft. Ich nehme das aber gerne mal als Anlass die Seite deutlich zu überarbeiten.

Keine DSGVO-Auskunft

Ich dachte eigentlich, das ich mit meiner ersten Mail klar und unmissverständlich die Fragen hinsichtlich DSGVO formuliert habe. Darauf wurde aber nicht eingegangen sondern stattdessen schon wieder, analog wie bei DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder?, meine Adresse aus einer Liste entfernt, was ich gar nicht verlangt hatte. Darf ich das als Schuldeingeständnis werten, dass der Versender "ertappt" wurde und sich nun schnell aus der Affäre ziehen möchte? Das löst aber nicht die eigentliche Problematik, woher und wie die Adresse gewonnen und verarbeitet wurde. Entsprechend habe ich umgehend geantwortet:

Der Adressat hat auf meine erste Mail innerhalb von einem Sonntag geantwortet. Ich muss davon ausgehen, dass diese Mail auch angekommen ist und nun einfach ignoriert wird.

Anruf und Rückantwort am 11. Feb 2020

Leider war ich an dem Tag nicht zuhause, als angeblich ein Herr xxxxx  per Telefon bei meiner Familie einen Rückruf erbeten hat.

Ich kann verstehen, dass der angebliche Absender nicht erfreut über die Beschreibung des Sachverhalts auf dieser Seite ist. Ich habe am gleichen Tag diese Seite noch mal kontrolliert und neben der Mailadresse im Header und Namen insbesondere die Mobilfunknummer, die im Disclaimer einer als Image dokumentierten Mail noch erkennbar war, unkenntlich gemacht. Ich habe mich dann aber dazu entschieden, ihm schriftlich zu antworten.

Ich bin natürlich nicht überrascht, dass wir unterschiedlicher Ansicht darüber über die Klassifizierung der Mail als Spam" sind.

Schlussmail 18.2.20

Es hat den Anschein, dass die Gegenseite sich nun doch etwas Zeit zur Formulierung einer DSGVO-Auskunft gemacht hat. Hoffen wir mal, dass dies alles auch so stimmt wie versprochen.

Der letzte Satz über Datenschutz und personenbezogene Daten ist natürlich problematisch, da es hier immer unterschiedliche Ansichten gibt. Journalisten und Redakteure sind ja sogar angehalten die Quellen, Ross und Reiter zu nennen. Ich bin sicher, dass keine der Firmen glücklich darüber ist, wenn z.B. eine c't diese in ihrer Rubrik "Vorsicht, Kunde!" (https://www.heise.de/thema/Vorsicht-Kunde) aufführt. Als Beispiel für eine Spam-Mail habe ich die Seite soweit verpixelt, dass ein Rückschluss auf den realen Absender für Sie als Leser nicht möglich sein sollte.

Bewertung

In den allermeisten Fällen ist es mir zu mühselig bei jeder Spam-Mail die Zusammenhänge auseinanderzunehmen. Aber es gibt wenige Ausnahmen, die einen Platz als Negativbeispiel auf der MSXFAQ finden und die ein klassische Spamfilter auch nicht erkennen kann. Sie sind einfach zu "normal" aber dennoch überflüssig. Sie zeigen aber auch, wie aus meiner Sicht rücksichtslos und selbstherrlich Geschäftsführer das Werkzeug Mail missbräuchlich verwenden. Das hat schon Moneycheck.de ausgelöst, deren Fail ich auf der Seite DSGVO Fail - So kann man sich doch nicht über das Gesetz stellen, oder? dokumentiert habe.

Ich lasse mich überraschen, welche dreisten Werbemails mich zukünftig erreichen und die Liste hier erweitert.

Weitere Links