Ein persönlicher Erfahrungsbericht.

(1709 Wörter – Lesedauer: ca. 7 Minuten)

Seit dem 25. Mai 2018 ist die europäische Datenschutzgrundverordnung endgültig anwendbar. In Kraft getreten ist sie bereits zwei Jahre früher, sorgte aber erst ganz am Ende des Übergangszeitraums für größeres Aufsehen.

Als betroffene Person hat man unter anderem das Recht auf Auskunft. Damit kann ich erfragen, welche Daten Firmen von mir speichern.

Ich habe versucht, in den letzten 6 Monaten dieses Recht in Anspruch zu nehmen und wollte von Firmen wissen, was über mich gespeichert wird. Das Ergebnis ist überwiegend enttäuschend gewesen.

Fall 1: Vodafone Kabel Deutschland

Am 24. Mai 2018 flatterte bei mir Werbung ins Haus, Absender war Vodafone Kabel Deutschland. Der an mich persönlich adressierte Brief war für mich doppelt merkwürdig. Einerseits kam er gleich doppelt an (Zwei Umschläge, zwei gleichlautende Werbe-Briefe), andererseits habe ich keinen Vertrag mit dieser Firma und hatte auch nie einen. Woher hatte Vodafone Kabel Deutschland also meine Adresse?

Ich habe daraufhin am 25. Mai den Datenschutzbeauftragen des Unternehmens angeschrieben und wollte wissen, welche Daten über mich gespeichert sind, woher die Daten kommen, an wen man sie ggfs. weitergeleitet hat und zu welchem Zweck man diese speichert. Außerdem habe ich der Verwendung meiner Daten zu Werbezwecken widersprochen.

Es passierte: nichts. Nachdem ich nach 6 Wochen keine Reaktion bekommen habe, habe ich den Datenschutzbeauftragten von Vodafone Kabel Deutschland am 9. Juli erneut angeschrieben, diesmal mit einer ausdrücklichen Fristsetzung von 4 Wochen.

Am 11. August bekam ich Post von Vodafone Kabel Deutschland. Statt der von mir erwarteten Antwort auf meine Anfrage handelte es sich jedoch um einen personalisierten Werbebrief.

Da das Unternehmen sich weigert, meine Anfrage zu beantworten und auch meinen Widerspruch gegen die Werbesendungen ignoriert hat, habe ich nun das bayerische Landesamt für Datenschutzaufsicht eingeschaltet und über das Webformular am 13. August eine Beschwerde eingereicht. Dazu weiter unten mehr.

Update 30.11.2018

Nach über 6 Monaten und einer Beschwerde beim zuständigen Landes-Datenschutzbeauftragten hat Vodafone geantwortet. Sie haben mir bestätigt, dass ich in eine Widerspruchsdatei aufgenommen wurde und mir dabei auch mitgeteilt, woher sie meine Adresse haben. Gleich drei verschiedene Adresshändler haben Vodafone mit Datensätzen beliefert, bei denen auch meine Daten enthalten waren. Auch dort werde ich nun nachfragen, woher diese wiederum an meine Daten kamen.

Burda Direkt Services

Beim letzten Werbebrief von Vodafone habe ich mir das Kleingedruckte angesehen und bin da auf eine interessante Textstelle gestoßen:

[Wir verarbeiten] auf Grundlage von Artikel 6 (1) (f) der Europäischen Datenschutz-Grundverordnung (auch mit Hilfe von Dienstleistern) Ihre Daten, um Ihnen Informationen und Angebote von uns und anderen Unternehmen zuzusenden. Wenn Sie dies nicht wünschen, können Sie jederzeit der Verwendung Ihrer Daten für Werbezwecke widersprechen. Sie können den Widerspruch auch per e-Mail senden an: burdadirektservices[ät]datenschutzanfrage[punkt]de Weitere Informationen zum Datenschutz erhalten Sie unter http://burdadirekt.com/datenschutz.

Unseren Datenschutzbeauftragten erreichen Sie ebenfalls unter unserer Anschrift. Burda Direkt Services GmbH […]

Der Absender des Briefes ist Vodafone Kabel Deutschland, der Brief enthält Werbung für Vodafone, in der Grußformel grüßt mich „Ihr Vodafone-Team“, und dem Brief lag ein Vodafone-Flyer bei, aber in dem winzigen, grauen Text ganz unten am Ende des Briefes ist als verarbeitende Stelle plötzlich nicht mehr Vodafone, sondern Burda Direkt Services genannt.

Ich habe daraufhin bei Burda angefragt, neben einer Eingangsbestätigung kam vier Wochen später eine Nachricht, dass die Bearbeitung noch ein wenig dauert und nochmal wenige Tage später kam Post von Burda.

Burda hat meinen Widerspruch gegen die Datenverarbeitung bestätigt und schreibt mir, dass sie meine Namens- und Adressdaten von ihrem Kooperationspartner Add Conti GmbH aus der Schweiz haben, dazu haben sie mir die Postadresse des Unternehmens genannt.

Add Conti

Daraus ergeben sich für mich zwei neue Fragen: Gilt mein Auskunftsrecht überhaupt in der Schweiz, die ja nicht zur EU gehört? Und muss ich jetzt für mein Recht auf Auskunft Auslandsporto bezahlen?

Die erste Frage ließ sich noch relativ leicht beantworten. Die DSGVO ist meiner Webrecherche zufolge auch in der Schweiz anwendbar, zumindest wenn es um personenbezogene Daten von EU-Bürgern geht.

Die Firma Add Conti hingegen möchte wohl nicht so gerne im Internet gefunden werden, überall ist nur eine Post-Anschrift angegeben. Die Webseite der Firma liefert eine Fehlermeldung zurück (403 Forbidden), über Google findet man mehrere Werbemails, doch auch die dort genannten Absender (wie @conti.news-mailer.eu oder @ac.news-mailer.com) scheinen für eine Anfrage nicht in Frage zu kommen.

Daneben scheint es jedoch diverse „Gewinne irgendwelche Gutscheine“-Webseiten zu geben, die von Add Conti verantwortet werden. Zum Zeitpunkt meiner Suche erhielt ich bei einer der Seiten statt eines Inhalts nur einen weißen Bildschirm, es schien, als ob das Gewinnspiel beendet sei, man hatte jedoch vergessen, das PDF mit der Datenschutzerklärung ebenfalls vom Server zu löschen, wodurch ich an die Mail-Adresse des Datenschutzbeauftragten von Add Conti kam.

Mein Anfrage vom 25. Oktober, woher diese meine Daten haben und an wen sie die (außer Burda) noch weitergegeben haben, ist aktuell noch unbeantwortet (die in der DSGVO genannte Frist ist jedoch noch nicht abgelaufen).

Update 27.11.2018

Die Frist für Add Conti ist mittlerweile abgelaufen. Ich habe nun eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten eingereicht, gehe aber nicht von irgendeiner Reaktion aus. In der Schweiz scheint man keine einzelnen Fälle zu bearbeiten. Dort heißt es lediglich: „Beanstandungen bearbeiten wir unter Berücksichtigung der Schwere der Persönlichkeitsverletzung, der Anzahl betroffener Personen sowie unserer Prioritäten und personellen Ressourcen“. Außerdem habe ich Add Conti nochmal per Einschreiben an meine Anfrage erinnert.

update  04.12.2018

Das Einschreiben ist wieder nach Deutschland zurückgekommen. Add Conti ist umgezogen, Burda hatte mir wohl eine veraltete Post-Adresse genannt.

Das bayerische Landesamt für Datenschutzaufsicht

Da es ursprünglich um Vodafone Kabel Deutschland ging und das Unternehmen seinen Sitz im bayerischen Unterföhring hat, ist dort das bayerische Landesamt für Datenschutzaufsicht zuständig. Am 13.08. habe ich über das Webformular eine Beschwerde eingereicht und war erneut begeistert, dass man mit einigen Behörden auch verschlüsselt kommunizieren kann.

Passiert ist jedoch auch dort zunächst: nichts. Nach zweieinhalb Monaten habe ich telefonisch nachgefragt, wie der Stand der Dinge sei, meine Eingabe war jedoch nach telefonischer Auskunft im System gar nicht eingespeichert gewesen. Dennoch hat mein Telefonat wohl irgendwelche Prozesse in Gang gesetzt, bei einem Anruf eine Woche darauf beim zuständigen Mitarbeiter ist die Akte wieder aufgetaucht und wird nun bearbeitet.

Fall 2: Egmont Ehapa

Auch der Egmont Kundenservice hat mich kontaktiert. Im Gegensatz zu Vodafone hatte ich hier jedoch tatsächlich einen Vertrag, den ich Anfang diesen Jahres gekündigt hatte.

Der Brief hatte ebenfalls am Ende Datenschutzhinweise, dort sogar in einer normalen Schriftgröße. Unter anderem heißt es dort:

Wir weisen Sie darauf hin, dass sie der Verarbeitung oder Nutzung Ihrer Daten für Zwecke der Werbung oder der Markt- oder Meinungsforschung widersprechen können.

Richten Sie Ihren Widerspruch direkt an kundenservice[ät]dpv[punkt]de.

Endlich eine klare, lesbare Ansage. Auch dort wollte ich wissen, welche Daten man von mir hat und wozu man sie nutzt. Außerdem habe ich der weiteren Nutzung zu Werbezwecken widersprochen.

Die Antwort kam zügig, innerhalb von nicht mal einer Woche:

[V]ielen Dank für Ihre E-Mail an den Gruner + Jahr – Verlag, der von der DPV, Deutscher Pressevertrieb GmbH betreut wird. Ihre Nachricht wurde daher an uns zur Klärung weitergeleitet.

Hiermit teilen wir Ihnen mit, dass wir zu Ihrer Person unter der angegebenen Anschrift für den Verlag Gruner + Jahr GmbH keine Daten vorhalten.

Egmont hat also als Adresse für Widersprüche gegen ihre Werbung die Deutsche Pressevertrieb GmbH gewählt, die mit meinem Widerspruch nichts anfangen kann.

Da die Mail an die für den Widerspruch genannte Adresse nicht das gewünschte Ergebnis brachte, habe ich mir daraufhin die Kontaktdaten im Briefkopf angesehen und eine Mail an abo[ät]egmont-service[punkt]de geschickt.

Es passierte: nichts. Naja, fast nichts.

Im Oktober kam die nächste Werbesendung von Ehapa. Am Ende des Briefes wurde ich darüber informiert, dass ich der Verwendung meiner Daten für Werbezwecke widersprechen kann und ich weitere Informationen unter www.egmont-shop.de/datenschutz erhalte. Dort wiederum findet sich die Mai-Adresse kontakt[ät]egmont-shop[punkt]de.

Eine erneute Schilderung des Sachverhaltes, eine Eingangsbestätigung, die Antwort ist noch ausstehend (jedoch noch innerhalb der Frist, sofern man die Frist erst mit Absenden dieser Mail beginnt).

Update 26./27.11.2018

Auf die lange Mail kam am 26.11. ein Zweizeiler von Egmont zurück. Man habe inzwischen die über mich vorliegenden Daten von der DPV bekommen. Offenbar hat die DPV doch Daten von mir gespeichert, sie bloß bei meiner ersten Anfrage nicht gefunden. Einen Tag später kam auch die Info, dass man meine Daten für die werbliche Verwendung gesperrt habe.

Am Rande: Wenn ich meine Daten einsehen möchte, muss ich die Nutzungsbedingungen für den Server akzeptieren, wonach ich mich verpflichte, die „zur Verfügung gestellten Informationen absolut vertraulich zu behandeln und nicht an Dritte weiterzugeben“. Sollte ich also meinen eigenen Datensatz veröffentlichen, droht mir eine Vertragsstrafe von 5100€.

Fall 3: Deutsche Bahn

Neben einem Unternehmen, mit dem ich nie was zu tun hatte und einem Unternehmen, mit dem ich keine Vertragsbeziehung mehr habe, wollte ich wissen, welche Daten ein Unternehmen über mich speichert, bei dem ich aktuell Kunde bin. Ich bat daher die Deutsche Bahn um eine Übersicht über alle Daten, die sie zu mir gespeichert haben in einem „strukturierten, gängigen und maschinenlesbaren Format“.

Nicht einmal zwei Wochen später hatte ich einen großen Umschlag im Briefkasten. Darin enthalten waren die Antworten de DB Vertrieb GmbH und der DB Fernverkehr GmbH, welche unter anderem neben meinen persönlichen Daten und Zahlungsinformationen auch alle Bahncards der letzten fünf Jahre, alle meine Fahrscheinkäufe der letzten drei Jahre und sogar meine bevorzugten Sitzplatz-Angaben enthielt (2. Klasse MG Möglichst Großraum Fenster).

Auszug der Datenanfrage von der Deutschen Bahn.

Die Antwort der Bahn hat mich begeistert, sie war nicht kurz vor Ende der Frist (oder gar verspätet bzw. gar nicht) gekommen, sondern tatsächlich unverzüglich, die Antwort war klar strukturiert und nachvollziehbar. Lediglich bei der Frage, was „maschinenlesbar“ ist, bin ich wohl einer anderen Auffassung als die Bahn.

Fazit

Die europäische Datenschutzgrundverordnung soll eigentlich alles besser machen und den Bürgerinnen und Bürgern bei der Durchsetzung ihrer Rechte gegenüber den Unternehmen helfen.

Doch während viele kleine Unternehmen vor einem halben Jahr viel Aufwand betrieben haben, um die Vorgaben zu erfüllen statt sich um den eigentlichen Zweck ihres Unternehmens zu kümmern, scheinen einige Unternehmen, darunter auch so namhafte wie die hier beschriebenen, sich damit zu begnügen, ein paar blumige Worte unter ihre Werbe-Briefe zu schreiben und ihre Aufgabe damit als erledigt zu betrachten.


Anmerkungen
  • Alle Mail-Adressen in diesem Text wurden so beabeitet, dass sie nicht automatisch ausgelesen werden können.
  • Da noch einige Anfragen offen sind, wird der Text natürlich mit Updates versehen, sobald sich etwas ändert.