Woher haben Sie meinen Namen?

Updates unten: Eine erste Stellungnahme von Otto / Der Landesbeauftragte für Datenschutz wird aktiv.

Ich könnte behaupten: Dieser eine Anruf hätte mein Leben verändert. Danach hätte ich mir einen Edward Snowden-Aufkleber auf den Briefkasten geklebt, angefangen alle meine Mails zu verschlüsseln und Google für immer Lebewohl gesagt. Aber das entspricht nicht der Wahrheit und das käme mir auch übertrieben vor. Hysterie tut selten gut. Aber doch: Dieser eine Anruf hat etwas verändert. Seitdem sind einige Dinge einfach anders.

Die Geschichte beginnt so banal, dass es mir fast peinlich ist, jemanden damit zu langweilen. Ich wollte meine Küche neu streichen. Freunde berieten mich bei der Farbauswahl. Die Marke, die wir aussuchten, gibt es nur in Hagebaumärkten. Ich wohne in Bonn, der nächste Markt ist in der Nachbarstadt Siegburg. Bevor ich da umsonst hinfahre, dachte ich, rufe ich kurz an und frage, ob es dort einen Farbmischer gibt. Ich ging also auf Hagebau.de, fand dort schnell die Nummer der Servicehotline heraus, nahm mein Smartphone, rief an und wurde folgendermaßen begrüßt:

„Hagebau Direkt. Mein Name ist … Guten Tag, Herr Vielmeier!“

Es wird einen kurzen Moment gedauert haben, bis ich die Sprache wiederfand. Ich hatte in meinem Leben noch nie bei Hagebau angerufen, geschweige denn dort im Onlineshop etwas bestellt. Und nun rufe ich da an und werde namentlich begrüßt.

„Guten Tag … Moment erst mal, woher haben Sie meinen Namen?“
„Der wird mir hier angezeigt. Sind Sie nicht Herr Jürgen Vielmeier aus Bonn?“
„Schon, aber soweit ich weiß, habe ich noch nie etwas bei Ihnen bestellt.“
„Da muss ich einmal nachschauen. Wie ist denn Ihr Geburtsdatum?“
„Das brauchen Sie ja wohl nicht zu wissen!“
„Ohne Ihr Geburtsdatum darf ich Ihnen leider nicht weiterhelfen.“

Noch einmal kurz zur Erinnerung: Ich rufe hier nicht bei meiner Krankenkasse, meiner Bank oder dem Bundeskanzleramt an. Es ist eine Baumarktkette, von der ich wissen möchte, ob sie einen Farbmischer hat. Ich glaube mich verhört zu haben und frage nach:

„Ich bin hier wirklich bei der Servicehotline vom Hagebaumarkt gelandet?“
„Nein, Sie sind bei Baumarkt direkt. Wir sind eine Tochtergesellschaft von Hagebau.“

Ich beende das Gespräch, höflich, aber ohne mein Geburtsdatum abgeglichen oder etwas über Farbmischer erfahren zu haben. Auch, woher er meine Daten hat, will mir der Callcenter-Agent nicht sagen. Einige Minuten sitze ich sprachlos da. Woher haben die meine Nummer, meinen Namen, mein Geburtsdatum und weiß ich was noch? Ich grase noch einmal meine E-Mail-Konten, Rechnungen, sozialen Profile ab. Aber es ist sicher: Bei Hagebau.de habe ich noch nie etwas bestellt. Ich rufe also irgendwo an und man weiß schon, wer ich bin, wo ich wohne und wie alt ich bin, will mir aber nicht sagen, woher man das alles weiß.

So nicht.

Ich suche die Nummer der Pressestelle der Hagebau Gruppe in Soltau heraus und rufe an. Als ich der Kollegin am anderen Ende der Leitung schildere, was vorgefallen ist, ist sie immerhin genauso überrascht wie ich, verspricht, sich zu erkundigen und ruft eine halbe Stunde später zurück:

„Herr Vielmeier, haben Sie einen Account bei Otto.de?“
„Ja, habe ich.“
„Der Service auf Hagebau.de wird von Baumarkt Direkt betrieben, das zum gleichen Unternehmen wie Otto.de gehört. Haben Sie dort Ihre Telefonnummer und Ihr Geburtsdatum angegeben?“
„Ich denke ja.“
„Dann wird der Agent die Daten von dort haben.“
„Wurden meine Daten also weitergegeben?“
„Nein, es handelt sich bei Baumarkt Direkt und Otto.de um das gleiche Unternehmen.“

Es dauert nicht lange, um herauszufinden, dass nicht nur Baumarkt Direkt zur Otto-Gruppe gehört, sondern das ganze Online-Angebot von Hagebau.de. Bei der Pressestelle der Hagebau Gruppe betont man ebenso wie der Service-Agent von Baumarkt Direkt, dass Hagebau und Hagebau.de nicht all zu viel miteinander zu tun hätten. Warum auch.

Dennoch verweist auch die Kontaktseite von Hagebau.com (die offizielle Website der Hagebau Gruppe) für telefonische Servicenachfragen auf Hagebau.de, Ich werfe als nächstes einen Blick in die AGB von Hagebau.de, wo es heißt (Hervorhebung von mir):

Die Otto (GmbH & Co KG) kann ferner Adress- und Bestelldaten für eigene Marketingzwecke erheben und verarbeiten. Für fremde Marketingzwecke werden ausschließlich solche Daten weitergegeben, bei denen dies gesetzlich erlaubt ist (…).

Die danach genannten Passagen in Artikel 28 Bundesdatenschutzgesetz erlauben die Nutzung „personenbezogener Daten für Zwecke des Adresshandels oder der Werbung“ (Hervorhebung von mir), soweit ich eingewilligt habe. Ich nehme an, dass ich das habe, als ich mich auf Otto.de angemeldet habe. Werdet ihr auch haben, wenn ihr dort ein Konto angelegt habt. Stimmt ihr den AGB nicht zu, gibt es kein Kundenkonto.

Keiner ist zuständig

Als nächstes also ein Anruf bei der Pressestelle von Otto.de, wo ich schildere, was vorgefallen ist. Der Mitarbeiter dort ist nett, delegiert die Zuständigkeit aber an die gesonderte Pressestelle der Otto Group. Dort wiederum hört man sich mein Anliegen an, verspricht, das zu überprüfen und sich wieder zu melden.

Als das einen Tag später noch nicht geschehen ist, rufe ich noch einmal bei der Pressestelle der Otto Group an und erreiche dieselbe Person wie am Vortag. Ich bin mir sicher, freundlich gegrüßt zu haben und das ganze Gespräch über höflich geblieben zu sein, aber diesmal reagiert man erstaunlich barsch auf meinen erneuten Anruf. Warum ich schon wieder anrufe, werde ich gefragt. Man habe schon intern darüber gesprochen, müsse den Sachverhalt aber prüfen, was einige Tage dauern könne.

Ich bin ratlos. Gehe ich der Person schon auf die Nerven, habe ich Otto wirklich zu wenig Zeit gelassen, mein Anliegen zu überprüfen oder habe ich am Ende gar einen wunden Punkt getroffen?

Und dann fällt er, dieser bemerkenswerte Satz. Ich bin mir bis heute nicht ganz sicher, warum die Person das sagt und worauf genau sie damit hinauswill. Aber er fällt:

„Was die Weitergabe persönlicher Daten angeht, ist die Otto Group aus der Verantwortung raus.“

Ich bin überrascht und sage, dass ich das anders sähe, aber werde schließlich mit dem Wunsch hinauskomplimentiert, in Zukunft zunächst die Zentrale anzurufen, nicht die direkte Durchwahl (die auf der Presseseite der Otto Group klar angegeben ist). Zuständig sei in diesem Falle Otto.de. Ein Konzern, in dem zwei oder mehrere beteiligte Unternehmen meine Daten munter hin- und herschieben sieht sich also selbst nicht in der Verantwortung?

So. Nicht.

Also noch einmal die Pressestelle von Otto.de. Als man mich dort wieder an die Otto Group verweisen will, beharre ich darauf, dass sich jetzt jemand bitte um mein Problem kümmert. Der Kollege verspricht es, und tatsächlich erhalte ich noch am selben Nachmittag einen freundlichen Rückruf von Frank Surholt, dem stellvertretenden Pressesprecher Corporate PR Otto. Surholt erklärt, dass ein gemeinsames Kundencenter für mehrere Geschäftsbereiche der Otto Group zuständig sei.

Ein Callcenter für mehrere Konzerntöchter

Die Service-Mitarbeiter wären demnach deutschlandweit verteilt und verfügten über die persönlichen Daten, die ein Nutzer eines Otto-Dienstes bei der Anmeldung hinterlegt hat. Das seien Name, Adresse, Telefonnummer, Geburtstag und Kundenkontonummer. Zur Vereinfachung der Kommunikation werde eine eingehende Telefonnummer im Service-Center mit den anderen persönlichen Daten abgeglichen. „Der Mitarbeiter kann Sie dann direkt persönlich ansprechen“, erklärt Surholt. „Ansonsten müsste er Sie erst nach Ihrem Namen fragen.“ Es gehe darum, dass der Kunde sich gut aufgehoben fühle. Ein Service!

Ob dieses Callcenter auch Zugang zu meinen Bestelldaten hätte, frage ich. Surholt bejaht das. Die Agenten müssten darauf Zugriff haben, falls der Kunde Rückfragen zu einer Bestellung tätigen möchte. Surholt verweist auf die Datenschutzerklärung auf Otto.de und weitere Hinweise, was Otto.de mit meinen Daten anstellt. Auf der Website von Otto.de gibt es außerdem Formulare, um die Weitergabe der persönlichen Daten zu widerrufen, oder um sich Auskunft über die personenbezogenen Daten bei Otto.de einzuholen.

Surholt unterstreicht, dass Otto sich an die geltenden Gesetze halte und Otto.de mehrfach für Kundenfreundlichkeit ausgezeichnet wurde. Ich kündige an, mich voraussichtlich noch einmal zu melden und wir verabschieden uns durchaus freundlich.

Ich schaue mir im Netz die Gesetze an, die Otto in der eigenen Datenschutzerklärung zitiert. Unter anderem sind das Artikel 28 und 47 des Bundesdatenschutzgesetzes. Demnach darf Otto meine Daten intern weitergeben, sofern ich den AGB bei der Anmeldung zustimme. Otto dürfte demnach sogar noch einiges mehr, etwa meine Adressen verkaufen und weiteres Geld damit verdienen. Alles legal, solange ich dem zugestimmt und nicht nachträglich widersprochen habe. Zumindest weiß ich jetzt, wie meine Daten von Otto.de zu Baumarkt Direkt kamen.

Hier könnte die Geschichte enden. Die Pressestelle von Otto hat mir erklärt, wie die Weitergabe meiner Daten zustande kam, hat auf die notwendigen Gesetze hingewiesen.

Und dass ich namentlich begrüßt werde beim Anruf in einer Firma, mit der ich noch nie etwas zu tun hatte? Ist im ersten Moment gruselig. Aber das waren die ersten Anrufe der Outbound-Callcenter, die meinen Namen schon kannten, auch. Der Spieß wurde hier also nur umgedreht. Aber man gewöhnt sich an alles, nicht wahr?

Keiner weiß, wo meine Daten genau sind

Doch es blieb ein fader Beigeschmack, irgendetwas stimmte da nicht und ließ mir keine Ruhe. Vielleicht, weil eben doch ein paar Fragen offen geblieben waren, die mir nicht mehr aus dem Kopf gingen und die mir auch bei Otto niemand beantworten konnte:

  • Wer genau hat denn innerhalb der Otto Group eigentlich noch alles Zugang zu meinen Daten und auf welche Daten genau?
  • Was ist mit Unternehmen, die neu zur Otto Group hinzustoßen oder Beteiligungen an Startups, die Otto erwirbt?
  • Oder der umgekehrte Weg: Was ist mit Unternehmen, die die Otto Group verlassen? Nehmen die meine Daten mit? Wie kann ich mich dann noch gegen eine Weitergabe wehren?
  • Wandern die Daten mit, wenn Otto selbst eines Tages übernommen würde? Zum Beispiel von einem ausländischen Konzern wie Amazon, der dazu verpflichtet ist, Auskünfte an US-Behörden zu erteilen.

Per Formular auf Otto.de ersuche ich Auskunft über meine persönlichen Daten nach Artikel 34 BDSG. Dann wende ich mich schriftlich an den Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, der für Otto am Standort Hamburg zuständig ist.

Es ist die Behörde des ambitionierten Datenschutzbeauftragten Johannes Caspar, der aktuell – nicht ganz unpassenderweise – damit beschäftigt ist, WhatsApp die Weitergabe der Mobilfunknummer eines Nutzers an Facebook zu untersagen.

„Betriebliche Datenschutzbeauftragte sind oft reine Namen, die auf Zetteln stehen“

Nach einigen Tagen antwortet mir jemand aus Caspars Team: Bevor man meinen Fall rechtlich bewerten könne, solle ich selbst bei der Datenschutzbeauftragten der Otto Group eine Auskunft nach Artikel 34 BDSG einholen. (So viel schon einmal zum Thema „Wir sind aus der Verantwortung raus“.) Der Antwort der Hamburger Behörde entnehme ich noch einen weiteren interessanten Satz:

„Für die Einhaltung des Datenschutzes in Unternehmen sind diese jedoch in erster Linie selbst verantwortlich.“

Das klingt ein wenig so, als wäre es nur an der Bundesregierung zu kontrollieren, ob Angela Merkel sich an die geltenden Gesetze hält. Man schaut mal selbst, ob alles stimmt. Kontrollen von außen, also von Seiten der Beauftragten für Datenschutz und Informationsfreiheit, so klingt es zumindest, finden nur selten statt.

Ich schreibe eine Mail an die Datenschutzbeauftragte der Otto Group und stelle oben genannte Fragen und noch einige mehr: Wer alles hat meine Daten und welche Daten?

Auch eine Woche später hat man noch nicht darauf geantwortet oder zumindest bestätigt, dass meine Mail eingegangen wäre. Ein Datenschützer, den ich später dazu befrage, nennt betriebliche Datenschutzbeauftragte „reine Namen, die auf einem Zettel stehen“ und die Datenschutzbehörden „chronisch überlastet“. Auf meine Auskunftsanfrage bei Otto.de nach Artikel 34 BDGS warte ich drei Wochen vergebens.

Nein, so nicht.

Ich ziehe einen Fachanwalt für IT- und Datenschutzrecht zur Hilfe. Als er hört, um welches Unternehmen es sich handelt, bittet er mich, seinen Namen in meinem Beitrag nicht zu nennen. Ich schildere ihm den Fall und er geht von einem Verstoß gegen das Datenschutzgesetz aus. Die Weitergabe persönlicher Daten an Dritte sei per Gesetz nicht gestattet. Und „schon konzernverbundene Unternehmen gelten als Dritte“.

Wollten Otto.de und andere Online-Shops das Datenschutzrecht genau einhalten, sei eine qualifizierte Einwilligung notwendig, etwa in Form einer Checkbox während der Anmeldung mit der Option: ‚Ich bin damit einverstanden, dass Otto meine persönlichen Daten speichert und weitergibt.‘

Transparent ist da nichts

Eine solche Checkbox gibt es bei der Anmeldung auf Otto.de nicht. Will man dort ein neues Kundenkonto einrichten, muss man vielmehr eine Checkbox mit folgender Aufschrift anklicken, ohne die eine Anmeldung gar nicht möglich ist:

Ich möchte zukünftig über Trends, Schnäppchen, Gutscheine, Aktionen und Angebote der OTTO (GmbH & Co KG) per E-Mail informiert werden.

Otto weist direkt darunter darauf hin, dass man der Einwilligung jederzeit widersprechen könne. Zustimmen muss man ihr jedoch zunächst einmal, sonst ist keine Anmeldung möglich. Von AGB, denen ich bei der Anmeldung zustimme, lese ich auf der Seite nichts. Auch nicht, an wen meine Daten weitergegeben werden und warum. Selbst wenn Otto.de die Informationen hier irgendwie rechtssicher eingebaut hat und ich dem damit stillschweigend zustimme: transparent ist hier nichts.

Ich wende mich noch einmal an Frank Surholt von der Otto-Pressestelle und bitte ihn, für mich in Erfahrung zu bringen, welche Daten in der Otto Group über mich kursieren und wer alles darauf Zugriff hat. Es verspricht, das in die Wege zu leiten. Einen Tag später kündigt er an, dass mir ein Schreiben per Post zugestellt würde, das alle meine Fragen beantworte. Das Schreiben trifft wenige Tage später wirklich ein:

otto-anfragen-vom

Darin erklärt man mir auch, wie es sein konnte, dass ich beim Anruf der Servicehotline von Hagebau.de persönlich begrüßt wurde. So werde der Onlineshop von hagebau.de von Baumarkt Direkt betrieben, das wiederum ein gemeinsames Unternehmen von Otto und Hagebau (ohne .de) sei. Und weiter:

„Die über den Shop www.hagebau.de abgeschlossenen Kaufverträge kommen ausweislich der AGB – abrufbar unter https://www.hagebau.de/agb/ – ausschließlich mit Otto.de zustande, bei der daher auch die Kundendaten mit Ihren persönlichen Informationen geführt werden.“

Schon hier werde ich stutzig, denn ich hatte ja vor, nach und während meines Anrufs keinerlei Kaufvertrag auf hagebau.de geschlossen. Weiter heißt es:

„Grundlage dieser Datenspeicherung ist § 28 Abs. 1 BDSG, der es gestattet, personenbezogene Informationen zu Zwecken der Vertragsabwicklung zu speichern und zu nutzen.“

So weit okay, wobei ich, wie gesagt, Verträge in Form von Bestellungen bislang schon mit Otto.de geschlossen habe, aber noch nie mit hagebau.de. Und schließlich:

„OTTO übermittelt diese Informationen zu Ihrem OTTO-Kundenkonto weder an baumarkt direkt, noch an hagebau.“

Und wie sind dann meine Daten trotzdem in das Callcenter von Baumarkt Direkt gelangt?

Ich lege Ottos Schreiben noch einmal dem Fachanwalt für Datenschutzrecht vor. Und er bleibt dabei, dass er von Seiten Ottos einen Verstoß gegen das Datenschutzrecht sieht. Er schreibt mir zurück:

„Wenn Sie auf Hagebau.com gehen, ist es nicht transparent gemacht, dass sie an das Callcenter von Otto weitergeleitet werden.

Otto könnte hier dann maximal Auftragsdatenverarbeiter sein, was ich jedoch bezweifle, denn Otto will umgekehrt ja gerade Herr der Daten sein. Aber auch dann haben wir schon einen Verstoß, weil die Daten ja nicht von Hagebau.com erhoben wurden.

Also wären Ihre Daten seitens Otto für den Service von Hagebau.com als Dritten verwendet worden, was ohne Ihre Einwilligung so nicht zulässig ist.

Das ist einfach alles so „gestrickt“, damit man die datenschutzrechtlichen Probleme möglichst umgeht, was aber meines Erachtens trotzdem nicht funktioniert.

Im Übrigen halte ich die Konstruktion auch für wettbewerbsrechtlich bedenklich in Form einer Irreführung des Verbrauchers. Denn auf Hagebau.de steht als Betreiber des Online-Shops die baumarkt direkt GmbH & Co KG, die Verträge werden aber ausschließlich mit Otto geschlossen. Das vorgenannte Unternehmen ist also Betreiber eines Shops, verkauft dort selbst aber überhaupt nichts.

Da kaum ein Verbraucher die AGB liest, dürfte diese Tatsache für die meisten dann auch recht überraschend sein. Für mich wettbewerbsrechtlich höchst fragwürdig.“

Und jetzt? Wer geht der Sache nach? Ottos Datenschutzbeauftragter? Johannes Caspar? Soll ich am Ende gar selbst einen Shop verklagen, bei dem ich eigentlich immer ganz gerne eingekauft hatte und das auch in Zukunft gerne würde? Nein, nicht mein Ding. Statt dessen würde ich mir wünschen, Otto würde selber aktiv werden, transparenter machen, welche Daten erhoben werden und auch den Datenschutz ernster nehmen.

Otto schrieb mir außerdem, welche Daten in meinem Kundenkonto gespeichert seien. Das wären demnach wirklich nur Name, Vorname, Anschrift, Geburtsdatum und E-Mail-Adresse. Zur Ermittlung meiner Zahlungsfähigkeit dürften meine Bonitätsdaten an die Schufa und andere Versandhandelsunternehmen im Otto-Konzern weitergegeben werden. Zu Zwecken der Printwerbung seien außerdem meine Postadressdaten an die Firmen Schwab Versand und Baur Versand innerhalb der Otto-Gruppe weitergegeben worden. Und noch ein interessanter Satz, vor allem aufgrund des Tempus:

„Eine Weitergabe Ihrer Adressdaten an Dritte erfolgte nicht.“

Das ist schön, aber demnach liegt es alleine an Otto, ob das nicht in Zukunft noch geschieht. Und wer garantiert mir, dass Otto sich bei allen Maßnahmen an die Regeln hält?

Warum muss ich mich eigentlich darum kümmern?

Ein Blick auf die Website der Otto Group verrät, dass mehrere Dutzend Unternehmen im In- und Ausland zum Konzern gehören. Darunter sind auch Finanzinstitute, der Paketdienst Hermes und – was vielen Verbrauchern sicherlich gar nicht klar ist – ehemalige Konkurrenten wie Quelle, Neckermann und Baur. Beteiligungen sind hier noch gar nicht aufgelistet.

Ich halte einmal fest:

  • Es hat mich viel Eigeninitiative und ein gutes Dutzend Telefongespräche gekostet, um herauszufinden, dass Otto wahrscheinlich gegen das Datenschutzrecht verstößt. Was herauszufinden und zu ahnden eigentlich schon die Aufgabe des Datenschutzbeauftragten der Otto Group und des Hamburger Datenschutzbeauftragten gewesen wäre.
  • Eine Auskunft, welche Daten über mich vorliegen und wie damit verfahren wird, erhalte ich erst nach mehrmaliger Anfrage nach drei Wochen und erst nachdem ich die Pressestelle darum gebeten habe. Warum kann mir nicht gleich bei der Anmeldung mitgeteilt werden, welche Daten an wen weitergegeben werden, und warum kann ich nicht proaktiv dem widersprechen, was Datenschützer „Blankovollmacht“ oder „Generaleinwilligung“ nennen?
  • Ich habe den Vorteil Journalist zu sein und die Pressestelle um Hilfe bitten zu können, was offensichtlich gewirkt und Abläufe deutlich beschleunigt hat. An wen hätte ich mich wenden können, wenn ich als bloßer Privatmann dasselbe erlebt hätte? Wie lange hätte ich dann auf eine Auskunft warten müssen?
  • Warum erfahre ich erst durch Zufall, dass Firmen schon Zugang zu meinen Daten haben, von denen ich noch nicht einmal wusste, dass sie existieren, wie eben Baumarkt Direkt? Kann man von einem Anrufer verlangen, dass er die Geschäftsbeteiligungen eines Großkonzerns vorher recherchiert?
  • Steigt nicht mit jedem weiteren Mosaikstein in einem Großkonzern die Gefahr, dass meine Daten in die falschen Hände fallen? Unzufriedene Mitarbeiter, Datenlecks, Schwachstellen, die Hackerangriffe ermöglichen, Geheimdienste, die Daten abgreifen?
  • Und nicht zuletzt: Ist so eine intransparente und für die Anmeldung notwendige Generaleinwilligung überhaupt noch zeitgemäß in einer Zeit, in der laut einer Bitkom-Studie aus dem vergangenen Jahr 98 Prozent der deutschen Internetnutzer in Online-Shops einkaufen, 77 Prozent davon mehrmals monatlich, Online-Shopping also längst Alltag ist?“

Der Verbraucher hat bei der Anmeldung bei einem neuen Shop meist nur die Möglichkeit, „ja“ zur völligen Datenauslieferung zu sagen. Erst danach kann er deutlich aufwändiger per Brief, E-Mail oder – wenn vorhanden – Online-Formular widersprechen. Und zwar ganz. Dabei könnte er mit einigen Auswertungen oder einigen Unternehmen doch einverstanden sein. Aber welche das sind, wer überhaupt alles Daten zur Verfügung hat, erfährt der Betroffene erst, nachdem er selbst aktiv wird und um eine Auskunft bittet, die er Wochen später per Post erhält.

Es war nicht ganz leicht, herauszufinden, was Otto eigentlich datenschutzrechtlich darf und was nicht. Datenschützer Jochim Selzer, mit dem ich den Fall bespreche, wird mir später dazu sagen:

„Dürfen ist mir egal. Es ist auch eine Frage des Stils, wie jemand mit meinen Daten umgeht.“

Wäre es nicht langsam an der Zeit, den Umgang mit notwendigen persönlichen Daten modern und kundenfreundlich zu gestalten, also mehr zu tun als das Gesetz verlangt? Und zusätzlich das Gesetz zu reformieren?

Ich bin kein Kind von Traurigkeit, was den Umgang mit persönlichen Daten angeht. Ich nutze Facebook und zahlreiche Google-Dienste, teile meinen Standort mit mobilen Apps, mein Haupt-E-Mail-Konto ist ein GMail-Account. AGB bei Diensten oder Shops, bei denen ich mich anmelde, lese ich mir selten genau durch. Wann auch? Es gibt in diesen hektischen Zeiten kaum einmal Gelegenheit dazu.

Und doch hatte ich bis zu diesem Anruf bei der Hagebau-Hotline immer das Gefühl, dass schon alles irgendwie im Rahmen bliebe, Online-Dienste mit meinen Daten ja doch nicht viel anfangen könnten und sich schon irgendeine Instanz darum kümmert, wenn etwas aus dem Ruder läuft.

Ich war wohl zu naiv.

Übrigens: Habt ihr kürzlich den neuen AGB von WhatsApp zugestimmt, die eine Weitergabe eurer Handynummer und persönlicher Daten an Facebook erlauben? Dann wundert euch nicht, wenn euch bald etwas Ähnliches passiert wie mir.

Mit großem Dank an alle Hinweisgeber und Unterstützer dieses Beitrags, dem Rechtsanwalt, dem Datenschützer, dem Callcenter-Experten und insbesondere dem Callcenter-Agenten von Baumarkt Direkt/Hagebau.de/Otto.de, ohne dessen kleinen Fauxpas ich wohl immer noch gedacht hätte, dass da draußen alles eitel Sonnenschein wäre.

Nachtrag 19.11.2016: Die erste Stellungnahme ist da. Otto-Pressesprecher Frank Surholt hat in einem Kommentar unter diesem Beitrag verdeutlicht, dass Otto das Datenschutzgesetz immer und zu aller Zeit einhalte und warum. Das finde ich toll! Und ich würde mich freuen, wenn der Hamburger Landesbeauftragte für Datenschutz, dem ich meine Recherche-Ergebnisse zur Verfügung gestellt und um eine Bewertung gebeten habe, zum gleichen Ergebnis kommt.

Nachtrag 22.11.2016: Der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit hat sich bei mir gemeldet. Man habe Otto angeschrieben und zu einer Stellungnahme aufgefordert. Vorbehaltlich näherer Informationen gehe man bislang von einem rechtswidrigen Datenaustausch aus.

Nachtrag 24.11.2016: Ich habe ein Follow-up zu diesem Beitrag mit einem eher ernüchternden Fazit geschrieben.

55 Kommentare

  1. „Otto schrieb mir außerdem, welche Daten in meinem Kundenkonto gespeichert seien. Das wären demnach wirklich nur Name, Vorname, Anschrift, Geburtsdatum und E-Mail-Adresse. “

    Habe ich da etwas überlesen? Wie kam das Callcenter bei Deinem Anruf an Deinen Namen, wenn es Deine Telefonnummer nicht hat?

  2. Hallo Jürgen! Schöner Artikel, wenn auch vor einem eher unangenehmen Hintergrund – und ich meine nicht die angemalte Wand 😉
    Wäre ich damals mit Telekom nicht so ausgeflippt, hätte ich mal den Support der Leihgeräte auseinandergenommen. Ich kriege allerdings jetzt noch Ausschlag, wenn ich daran denken. Konntest du immer so ruhig und überlegt bleiben, wie es dein Artikel wiedergibt? Liebe Grüße, Anna

    • Jürgen Vielmeier

      16. November 2016 um 16:20

      Hi Anna, was war da damals los mit deinen Telekom-Testgeräten? Hast mal davon erzählt? Weiß es gar nicht mehr. Sorry.

      Beim ursprünglichen Anruf im Callcenter war ich schon perplex und auf 160 (also nicht ganz 180). Der Rest war dann nicht mehr so schlimm. Bin bei dem Thema aber auch halbwegs entspannt. Solange keine Nacktfotos von mir im Netz auftauchen…

      Hab die Wand übrigens nochmal überstrichen. Sieht jetzt deutlich gleichmäßiger aus als auf dem Bild oben. 😉 Also gegen die Farbe kann ich nichts sagen…

      • Huhu Jürgen!
        Nein, hatte ich noch nicht erzählt, das war 2014.
        Long story short: Fristgerechte gekündigt, der Router (ausgerechnet) wurde zwei Monate vorher gekündigt (warum auch immer), was zu Mahnungen führte. telekom fand, dass ich am Ende alle Geräte behalten und bezahlen sollte. Ein dreiviertel Jahr später wurde der Streit mit Rechtsandrohungen und Einschreiben-Rückschein an die Geschäftsführung in Bonn beendet und ich bekam meine 200 zu viel investierten Euro zurück. Klingt jetzt unspektakulär, aber du hättest mich sehen sollen, wie ich mit einem schweren Paket voller Leihgeräte im Shop stand, heulte, schrie und verzweifelt war, weil die im Shop das Paket nicht annehmen können. Weiterhelfen übrigens auch nicht.

        Einen neuen Vertrag bei einem anderen Unternehmen kam übrigens währenddessen natürlich auch nicht zustande, weil ich vergebens darauf wartete, dass ein Techniker von Telekom kommt bzw. der Konzern die Daten einfach weitergibt. Vermutlich nennen sie das Kundenbindung und – hach, wie passend – Datenschutz.

  3. Zum Thema betrieblicher DSB (Datenschutzbeauftragter): Ich war das mal, als Angestellter einer Versandapotheke – natürlich werden dort sehr sensible Daten verarbeitet, schließlich kann man von den Rezepten direkt auf die Krankheiten der Einsender schließen. Mein Einsatz beschränkte sich auf einen Monat ca., danach habe ich das Unternehmen verlassen. Mein Nachfolger war ein Azubi aus dem Lager.

    What could possibly go wrong …

    Aufgabe des BDSB ist übrigens auch die Überwachung von technischen und organisatorischen Maßnahmen zur Sicherstellung des Datenschutzes. D.h. die Sicherheit von IT-Anlagen. Exemplarisch prüfe ich alle paar Monate mal die Güte der HTTPS-Installation dort mit SSLLabs. Und seit Jahren erfreue ich mich an der F-Wertung, die das Setup dort bekommt.

    What could possibly go wrong …

    • Jürgen Vielmeier

      16. November 2016 um 16:22

      Klingt echt toll. 😉 Bist du dann gegangen, weil man dich in deiner Arbeit nicht genug unterstützt hat und für das Thema nichts ausgeben wollte?

      • Es gab viele Gründe, warum ich gegangen bin, aber was den BDSB angeht, war es eher so, dass man die Stelle auf dem Papier eben brauchte und ansonsten nichts damit zu schaffen haben wollte, da man andere Baustellen schlicht als wichtiger erachtete. Wirtschaftlich kann ich das nachvollziehen. Insbesondere aus Kleinbetrieben, die aber groß genug sind, einen BDSB zu brauchen, höre ich das über mein Netzwerk auch unisono.

        Übrigens kümmert sich ein BDSB ja auch um den Datenschutz der Mitarbeiter, z.B. was Internetnutzung oder Personalwesen angeht. Man sollte also nicht nur als Kunde ein Auge darauf haben, sondern auch als Mitarbeiter.

  4. DerausdemWesten

    16. November 2016 um 19:02

    Hallo.

    Zunächst einmal ein sehr schön geschriebener und interessanter Beitrag, danke dafür. Das motiviert mich auch hier mal etwas mehr zu lesen 😉

    Eine Kleinigkeit ist mir jedoch aufgefallen: Das BDSG hat keine Artikel sondern Paragraphen. Das mag kleingeistig wirken, aber vermeidet den Eindruck, dass man sich mit den Gesetzen gar nicht wirklich auseinandergesetzt habe 😉

    LG

    • Jürgen Vielmeier

      17. November 2016 um 10:17

      Hab mich schon damit auseinander gesetzt, klar, aber bin eben nur rechtlicher Laie, wie du siehst. 😉 Danke für den Hinweis!

  5. Ich richte mir fast nie irgendwelche Kundenkonten ein, aber:

    Ich sitze zu Hause und stelle bei einem Blick in die Hausbar fest, dass der Rum fast alle ist. Ich brauche neuen. Mir fällt ein, daß mir vor Jahren mal ein Barkeeper erklärt hat, der Havanna Club 7Anos wäre ein guter Rum.

    Später bin ich in meinem Supermarkt (große Supermarktkette mit großen Geschäften), gehe zum Rumregal und stehe da vor dem Regal. Den 7Anos gibts nicht. Ich überlege ein paar Minuten, und nehme dann den 3Anos, gehe zur Kasse und bezahle in Bar (mache ich immer). Zuhause angekommen klappe ich den Rechner auf und das erste, was ich sehe ist eine Havanna Club 7Anos-Werbung.

    Natürlich gibt es Zufälle. Auch sehr unwahrscheinliche Zufälle. Die Wahrscheinlichkeit ist groß, daß man auch mal unwahrscheinliche Zufälle erlebt. Ich habe so etwas oder vergleichbares aber nicht nur einmal erlebt, sondern m.E. signifikant zu oft.

    Ich vermute, sie haben da entweder einen illegalen Imsi-Catcher installiert, oder sie können es irgendwie übers W-Lan erkennen.

    Über die Vorratsdatenspeicherung werden alle meine Bewegungen aufgezeichnet und gespeichert.

    Wie kann das sein, daß fundamentale Freiheitsrechte sich einfach ins Nirvana begeben, und unsere Regierung befeuert das noch?

    • Jürgen Vielmeier

      17. November 2016 um 10:23

      Eine Kundenkarte hast du vermutlich auch nicht benutzt, nehme ich an.

      Ja, es gibt Zufälle. Und es gibt mittlerweile recht intelligentes Retargeting. Kann es sein, dass du an einem früheren Tag zu ähnlicher Uhrzeit (Rum trinkt man ja eher abends) mal im Web nach Havana Club gesucht hast?

      Dich sonst über dein Mobiltelefon im Laden zu identifizieren, herauszukriegen, dass du es warst, der zu der und der Sekunde an der Kasse den Rum gekauft hast und das alles noch mit deiner IP-Adresse zuhause abzugleichen, wäre – ganz unabhängig von der datenschutzrechtlichen Problematik – eine technische Meisterleistung. Kann mir kaum vorstellen, dass die Technik schon so weit ist. Aber unmöglich ist das nicht.

      • Im Internet gibt es inzwischen Nachverfolgungsmaßnahmen, die die Stasi vor Neid erblassen lassen. Viele Unternehmen setzen sog. Fingerprint-Methoden ein, die es ermöglichen, die eingesetze Hardware immer wieder zu erkennen. Für den normalen User sind Javascript bzw. Canvas-Identifikation kaum zu überwinden, da braucht es schon einige Add-Ons für den Browser Firefox. Der neueste Schrei ist der Akku-Fingerprint, die Kapazität wird auf 6 Nachkommastellen gemessen und ist für jedes akkubetriebene Gerät auch einmalig. Es gibt übrigens Seiten, die setzen über 150 Tracker ein…

    • Du überschätzt maßlos was technisch möglich und wirtschaftlich sinnvoll ist.

      Vermutlich hast du die Werbung schon vorher präsentiert bekommen, hast dann die Idee gehabt, Rum zu trinken, festgestellt dass du keinen mehr hast, bis einkaufen gegangen und hast danach dann die Werbung wieder gesehen.

  6. Danke für diese lebensnahe Recherche, die den alltäglichen Missbrauch schön zeigt.

  7. Sehr informative und augenöffnende Abhandlung zum Thema Datenschutz.
    Vielen Dank dafür.
    Verwunderlich nur, dass in einem Artikel zu ausgerechnet diesem Thema im Bild Ihre Adresse nicht unkenntlich gemacht ist…

    • Jürgen Vielmeier

      17. November 2016 um 10:28

      Meine Adresse steht auch hier im Impressum (weil sie angegeben werden muss) und man dürfte sie recht leicht finden, wenn man meinen Namen googelt. Jemand, der eine Stunde nach mir googelt, wird noch einiges mehr über mich herausfinden. Darum geht es aber nicht. Es geht darum, dass ICH entscheiden möchte, wann meine Adresse wo auftaucht und nicht jemand anders. Hoheit über meine persönlichen Daten möchte ich haben.

  8. Einfache Normen nennt man hierzulande übrigens „Paragraphen“. „Artikel“ haben wir nur im Grundgesetz und in einigen Einführungsgesetzen (zB EGBGB, EGHGB).

    • Jürgen Vielmeier

      17. November 2016 um 10:29

      Hat oben schon einer angemerkt. Bin Laie auf dem Gebiet des Rechts. Daraus mache ich ja kein Geheimnis. Wird bei Gelegenheit korrigiert. Vielen Dank auch für deinen Hinweis!

  9. Hallo Jürgen,

    Schöne Recherche und gut aufgeschrieben! Ich beschäftige mich aus wissenschaftlicher Sicht mit den sog. Rechten des Betroffenen (Auskunft und Löschung) und habe vor kurzem eine Studie dazu veröffentlicht, die dich interessieren könnte: https://arxiv.org/pdf/1602.01804v2.pdf

    Eine Zusammenfassung einiger Ergebnisse gibt es auch als Vortrag: https://svs.informatik.uni-hamburg.de/publications/2016/2016-07-14-Herrmann-HUBerlin-Kein-Recht-zu-schweigen.pdf

    Derzeit arbeiten wir an einer Wiederholung mit leicht veränderter Fragestellung. Wenn Interesse besteht können wir uns dazu gerne einmal austauschen.

    Grüße,
    Dominik

  10. Ich habe vor ein paar Jahren bei einem Tochterunternehmen von Otto gearbeitet. Ein paar Monate nach dem Einstieg bekam man einen Brief aus der Personalabteilung, in der bestätigt wurde, daß man dort arbeitet und das man nun Personalrabatt bekommt. Ist ja schön, allerdings wurden damit alle meine Daten an Otto und diverse andere Firmen, die zur Otto-Group gehören, ungefragt weitergegeben. Wird etwas bei diesen Unternehmen über das Personal-Konto bestellt wird die Rechnung in der Regel automatisch vom Gehalt abgezogen.

    Achja, übrigens: Bei der Otto-Group wird natürlich auch Scoring benutzt. Wenn man sich zu ausfallend im Call-Center benimmt, kann es sein, daß man an speziell geschulte Leute weiter geleitet wird. Im schlimmsten Fall soll der Anruf sogar abgelehnt werden können. Weiß nicht, ob das bisher wirklich schon getan wurde…

    • Jürgen Vielmeier

      17. November 2016 um 10:34

      Auf Facebook kommentierte jemand zu meinem Beitrag: Otto sieht die eigenen Konzernbestandteile vermutlich nicht als eigenständige Unternehmen an. So werden dann auch Daten hin- und hergeschoben. Das müsste vermutlich genauer geklärt werden, wie da die Rechtslage ist. Ich halte das aber für bedenklich.

      Scoring ist meines Wissens legal und schafft nicht selten ebenso viele Probleme, wie es löst. Im Zweifel würde ich erst einmal meine Nummer unterdrücken. Neukunden helfen sie im Normalfall ja auch weiter.

  11. Schöner Artikel. Auch wenn ich das grundsätzliche Problem nicht als solches sehe: Die können doch intern mit den Daten machen, was sie wollen. Allerdings verstehe ich Deinen Punkt: Es ist schräg. Und es ist gut, dass Du drauf hinweist!

    • Jürgen Vielmeier

      17. November 2016 um 10:37

      Die Frage ist hier eben: Was ist intern? Nur Otto.de oder alles, was zur Otto Group gehört? Angenommen Otto übernimmt demnächst den Bäcker um deine Ecke. Kriegt der dann auch alle Infos über dich, wie alt du bist, wie so deine Zahlungsmoral ist, was für Unterwäsche du deiner Freundin zu Weihnachten schenkst?

  12. So ärgerlich, bedenklich und vielleicht sogar rechtlich im Graubereich der Fall ist, er zeigt meiner Meinung nach auch, wie wenig grosse Konzerne ‚big data‘, Algorithmen etc. wirklich sinnvoll nutzen. Der beschriebene Fall klingt ein bisschen so, als ob eine Beratungsfirma oder ein tolles Big Data-Startup den Leuten von Otto und seinem Firmengeflecht Daten- und Clouddienste augeschwatzt haben die die gar nicht sinnvoll nutzen können. Namentlich begruesst werden ist ja jetzt weder Geheimwissen noch der genialste Marketingtrick des 21. Jht. Wäre doch ‚cool‘, wenn nach einem Anruf beim Baumarkt plötzlich passende Produkte im Otto-Newsletter nächte Woche ankommen oder nach einem Telefonat ueber Kuechen plötzlich Einrichtungs- und Kuechenbauanzeigen kommen wuerden; nur: bei aller berechtigten Kritik, so ’schlau‘ sind die Geflechte eben (noch?) nicht-was ich eigentlich ganz beruhigend finde. Datenschutz und Datensparsamkeit sind absolut wichtig, aber wir sollten den Wert der Daten auch nicht ständig ueberschätzen. Was mir bei LinkedIn, Twitter und facebook regelmässig angeboten ist hanebuechend-einfach mal mit dem ‚firehose‘ draufgehalten: Männlich, Altersspanne, Wohnort…wow, ihr kennt mich ja genau ;)!

    • Jürgen Vielmeier

      17. November 2016 um 10:40

      Mit Big Data lässt sich sicherlich einiges Interessantes anstellen. Und, ja, vielleicht mag es der eine oder andere sogar, namentlich begrüßt zu werden, der andere eher nicht. Nur: Warum habe ich keinen Einfluss darauf, wofür meine Daten genutzt werden und warum erfahre auch nirgendwo wofür? Es wäre doch fairer, wenn mir ein Unternehmen genau vorher sagt, was es mit meinen Daten anstellt und ich dann immer noch ja zu dem und nein zu jenem sagen könnte. Aber das wird alles über meinen Kopf hinweg entschieden. Warum eigentlich?

  13. Spannende Geschichte. Danke dafür!

    Was mich interessieren würde. Was konkret hat sich für dich durch diese Sache geändert? Du schreibst was von „ich war zu naiv“ und „der Anruf hat etwas verändert“. Fernab von (unangebrachter) Hysterie: Was planst du ab sofort anders zu machen?

    P.S.: Passend zum Thema und ein Vorschlag von meiner Seite: Wenn ich das richtig sehe bindest du über Jetpack Social Media Buttons direkt ein (also das autom. eine Verbindung zu Facebook usw. aufgebaut wird). Auch so werden sensible Daten an andere Unternehmen weitergegeben. Tools wie Shariff sind wesentlich datenschutzfreundlicher. Einfach mal ausprobieren 😉 Der Hinweis im Impressum zum Datenschutz ist zwar nett. Das Impressum lesen Leute in etwas so selten wie AGB.

    https://www.heise.de/ct/artikel/Shariff-Social-Media-Buttons-mit-Datenschutz-2467514.html
    https://de.wordpress.org/plugins/shariff/

    • Jürgen Vielmeier

      17. November 2016 um 10:55

      Danke für den Tipp! Shariff kannte ich noch nicht. Und guter Punkt auch mit dem Impressum: Ich bin im Grunde nix besser als die anderen.

      Was sich für mich geändert hat: Ich stelle mehr Fragen. Ich schaue jetzt genauer hin, wenn ich mich irgendwo anmelde und weiß jetzt, was da stehen sollte und was nicht. Und wenn es absolut daneben ist, was ich sehe, sage auch mal „nö“. Was ich definitiv tun werde: Bei mehreren Diensten der Weitergabe meiner Daten widersprechen und mir mehr Auskünfte über meine Daten einholen. Die Datenschutzbeauftragten müssen beschäftigt werden. Die Unternehmen müssen merken, dass den Leuten nicht alles egal ist. Und wenn sich ein Unternehmen absolut daneben verhält, dann gehe ich gerne den Landesbeauftragten damit nochmal auf die Nerven.

  14. Und hat der Hagebaumarkt in Siegburg nun einen Farbmischer?

    • Jürgen Vielmeier

      18. November 2016 um 15:38

      Stimmt, die wichtigste aller Fragen hatten wir noch gar nicht geklärt!

      Ja, hat er. Das hätte man auf Hagebau.de auch herausfinden können, wenn man nicht stumpf zum Telefon gegriffen hätte. Aber dann wäre es wohl weniger interessant geworden. 😉

  15. Lieber Herr Vielmeier, mit großem Erstaunen haben wir Ihren ausführlichen Blogbeitrag gelesen. Erlauben Sie mir dazu ein paar Gedanken. Eigentlich geht es hier nur um einen Anruf von Ihnen bei einer Baumarkt-Service-Nummer, der wegen Überlastung der Lines im OTTO-Kundencenter landete. Weil Sie, lieber Herr Vielmeier, dort geschätzter OTTO-Kunde sind und man deshalb Ihre Rufnummer erkannte, konnten die OTTO-Kollegen Sie erkennen und (höflich gemeint) mit Namen begrüßen. Das hatte ich Ihnen sowohl mündlich als auch schriftlich erklärt. Alle darüber hinaus gehenden Mutmaßungen, mit Verlaub, sind ein Sturm im Wasserglas. OTTO und die Otto Group halten sich selbstverständlich an alle Vorgaben des deutschen Datenschutzgesetzes, dies wird natürlich regelmäßig von Datenschutzbeauftragten geprüft und bestätigt. Wir geben uns sehr viel Mühe, AGB und Datenschutzhinweise verständlich auf der Internetseite zu erklären und machen es jedem leicht, Werbemaßnahmen zu erlauben oder zu widersprechen – ein Mausklick genügt. Doch das alles steht hier gar nicht zur Debatte, weil Sie hier nur als OTTO-Kunde in einem OTTO-Callcenter erkannt worden sind. Mit besten Grüßen, Frank Surholt, OTTO

  16. Danke für die Geschichte und daß Du so gründlich hinterher recherchiert hast. Passend zum Thema Datenschutz und Umgang mit personenbezogenen Daten habe ich heute diesen Artikel bei heise.de gelesen -> https://heise.de/-3490700 „Reichtum statt Sparsamkeit: Dobrindt will Datenschutz lockern“.

    Was Dir passiert ist, soll also in Zukunft die Regel sein und keine Ausnahme.

  17. Lieber Jürgen,
    Danke für die Recherche. Auch wenn OTTO hier betont, sich an alle Regeln zu halten (hat VW übrigens auch immer getan), ist es doch faszinierend, in welche Untiefen ein solches Bohren führen kann.
    Das Blöde daran ist, dass es für den Verbraucher durchaus Vorteile haben kann, wenn seine Daten *transparent* zwischen verbundenen Unternehmen ausgetauscht werden. Was mich allerdings sehr stört ist die Frage, die in Deinem Beitrag am Ende aber ob der Komplexität der Vernetzungen offen bleiben muss: Wer hat eigentlich meine Daten, OHNE, dass ich davon weiss und das wünsche?
    Wenn es nur an dieser Ecke Transparenz gebe und die einfache – und verlässliche – Möglichkeit, Daten gezielt zu löschen und die Nutzung zu verbieten, dann wäre schon viel geholfen.
    Ich habe einst in einem Marketing-Unternehmen gearbeitet, dass Adressen gesammelt und verkauft hat. Das war schon „interessant“.

  18. Hallo Jürgen,

    Klasse Artikel! Hat es sogar bis zu Golem.de geschafft. Aber Qualität sind wir von dir ja ohnehin gewohnt.
    Wir müssen uns mal wieder in der Whisky-Runde gepflegt ganz Analog und ohne Digital auf ein, zwei Gläschen treffen.

    Beste Grüße aus der Schweiz
    Daniel H.

    • Jürgen Vielmeier

      18. November 2016 um 14:11

      Was auch immer du in der Schweiz machst… Von daher: Merci und, ja, man scheint sich eindeutig zu selten zu treffen.

  19. Carl Gustav der II.

    18. November 2016 um 18:34

    Seitdem ich einmal „Otto Inkasso“ gegoogelt habe und mir die Geschichten (lesen sich wie Krimis und Psycho-Thriller) dort angeschaut habe, ist für mich Otto und alles, was damit zu tun hat, unten durch.

    Deren Geschäftsgebaren, die hier erläutert werden, wundern mich darum überhaupt nicht mehr.

    Zum Glück darf jeder für sich entscheiden, mit welchen Unternehmen er Geschäfte macht und mit welchen nicht.

    Schade nur, dass Verbraucher so schlecht geschützt werden und sich erst einmal die Finger verbrennen müssen, bevor sie schlauer werden.

    Die Politik wird leider immer wirtschafts- statt verbraucherfreundlicher. Die Resultate sind unübersehbar.

    Ich bin aber zuversichtlich, dass solches Gebaren langfristig ins Aus führen, denn die Verbraucher sind auch nicht dumm und sowas spricht sich herum.

    BTW: Es gibt whatsapp Alternativen wie z. B. Threema oder ICQ (letzteres schon seit 20 Jahren). Das ist doch ein Beispiel dafür, wie Marktmacht schamlos ausgenutzt wird. Erst wird der User abhängig gemacht, bis er fast nicht mehr anders kann, wenn nämlich alle seine Freunde auch whatsapp haben und ein Wechseln ja zu umständlich ist. Gerne wird das schlechte Gefühl dann beschwichtet mit Gedanken wie „die können sich gar nicht erlauben, mit meinen Daten Schindluder zu treiben.“ oder „die haben doch damals bei der Facebook-Übernahme versprochen, die Daten gerade nicht zu übernehmen. Daran werden die sich schon halten.“

  20. Jüüüürgen. Jetzt habe ich es doch geschafft, die 22.000 Anschläge zu lesen. Plus Kommentare. Mein Fazit: Bitte! Keine! Nacktfotos!

  21. Zunächst mal danke für eine sehr lesenswerte Geschichte, über die ich durch Zufall gestolpert bin (verlinkt vom shopblogger.de) und die mir die Wartezeit am Flughafen verkürzt hat.

    Allerdings bin ich bei genauerer Betrachtung der Meinung, dass das am Ende halbwegs harmlos ist und ich keinen Datenschutzverstoß sehe. (Zur Klarstellung: Ich habe nichts mit Otto zu tun, ich kann noch nicht mal sagen, ob und wann ich da was gekauft habe).

    Von vorne betrachtet bin ich völlig bei Dir, man ruft bei Hagebau an und wird mit Namen begrüßt, weil man irgendwann mal bei otto.de was bestellt hat – das stinkt zum Himmel.

    Wenn man die Geschichte aber mal von hinten auflöst, dann steht da:

    Du hast bei Otto, und zwar bei deren Baumarkt-Marke „hagebau.de“ angerufen. Die verkaufen halt Baumarkt-Zeug und treten unter der Marke hagebau.de auf, aber es ist Otto und darum haben die (natürlich) Deine Kundendaten. Eigentlich Ende der Geschichte, einen Datenschutz-Verstoß sehe ich da nicht.

    Worüber man natürlich stolpern darf ist, dass im Impressum von hagebau.de eine ganz andere Firma Baumarkt Direkt steht, die den Shop betreibt, aber nichts (selbst) verkauft. Das ist wenig transparent, das ist komisch, da darf man mit dem Finger drauf zeigen. Und vielleicht stellt es auch eine Täuschung der Kunden dar (weil man glaubt, man würde bei Baumarkt Direkt kaufen, es aber bei Otto tut). Vielleicht ist es damit ein Wettbewerbsverstoß. Aber wenn es ein Datenschutzprobleme wäre, dann doch für Baumarkt Direkt (denn die schieben ihre Kunden ja ungefragt zu Otto), aber ja nicht in die andere Richtung. Aber da ja nur Kunden geschoben werden, nicht aber Kundendaten, würde ich selbst das verneinen.

    Auch stolpern darf man, dass Hagebau.com bei bestimmten Anfragen auf hagebau.de verlinkt (ohne, dass man wirklich erkennen könnte, dass das ein Onlineshop ist, der zwar hagebau-Design hat, aber eben von Otto/Baumarkt Direkt betrieben wird). Ja, auch das ist uncool und nicht besonders transparent. Aber wenn es ein Datenschutz-Problem ist, dann auch hier höchstens eines auf Seiten Hagebau (denn die lenken ihre Kunden auf den Otto-Baumarkt-Shop, ohne das klarzustellen).

    Aber einen Datenschutzverstoss bei Otto vermisste ich ehrlich gesagt.

    Mal auf die offline-Welt projiziert: Du hast eine Frage an Gardena zu einem Produkt. Jetzt gibt Gardena Dir die Telefonnummer des „Gardena-Showrooms“ im „Stadtgarten“, letzteres ist die Gartenabteilung des örtlichen Bauhauses. Und da rufst Du an, die melden sich mit „Das Gardena-Team im Stadtgarten“ und haben Zugriff auf Deine Bauhaus-Kundendaten. Ein Datenschutz-Problem? Und noch dazu eines von Bauhaus? M.E. nein.

  22. Schöner Beitrag, die bestimmt nur die Spitze des alltäglichen Daten-Missbrauch zeigt. Aber zum Thema OTTO. Frage mich was hat OTTO mit der Deutschen Post zu tun. Denn bei einer Bestellung in den letzten Tagen, habe ich bemerkt das der OTTO-Versand bereits meine neue Adresse im Bestand hatte, obwohl ich erst vor einem Monat umgezogen bin. Weil mir das doch sehr spanisch vor kam, habe ich bei OTTO angefragt.

    Die Antwort von OTTO : „Dank der Umzugsdatenbank der Deutschen Post erreichen wir Sie auch künftig auf dem direkten Weg. Da Sie durch den Umzug sicher genug um die Ohren haben, wollten wir Sie ein wenig entlasten. Ich hoffe wir haben in Ihrem Sinne gehandelt. “

    Nicht schlecht…, dass muss man sich erstmal auf der Zunge zergehen lassen. Also die Weitergabe konzernweit wird nur die Spitze des Eisberges sein – Datensicherheit, wie, was?

    Gruß Fritz

    • Jürgen Vielmeier

      23. November 2016 um 11:27

      Du hörst mich durch die Zähne pfeifen. Die haben was?! Also du hast bei der Post einen Nachsendeauftrag gestellt und Otto hat sich die Daten von da abgefischt?

      Das ist alles so mies. Ja, es ist vermutlich rechtens (vgl. §28 (3) BDSG, Adresshandel. Der Passus ist in meinen Augen übrigens eine Art Blankoscheck. Hast du stillschweigend eingewilligt, dürfen die praktisch alles). Und ich sag ja nicht, dass es nicht auch ganz bequem sein und Vorteile haben kann, wenn jemand am Telefon dich namentlich begrüßt oder du deine Kundendaten nicht erst bei 20 Diensten neu eingeben musst.

      Aber immer dieses Hintenherum. Der eine erhebt deine Daten für einen bestimmten Zweck und nur zu diesem Zweck, gibt sie wie selbstverständlich weiter, der andere sieht es als Service, das für dich zu tun und nimmt dir die Entscheidung einfach ab.

      Du selbst hast nur mangelhafte Einsicht, was mit deinen Daten passiert. Ich wette, bei der Post hat dir keiner gesagt, dass Otto deine Daten bekommt. Und wahrscheinlich war auch in den AGB, die sie dir vorgesetzt haben, keine Rede von Otto. Das mag alles rechtens sein – wobei ich auch das gerne mal vom Datenschutzbeauftragten prüfen lassen würde – aber es ist schlicht kein fairer Umgang.

    • Da ich selbst (online) bereits zwei Nachsendeaufträge bestellt hatte, kommt mir das bekannt vor. Zumindest was das Online-Formular angeht, finde ich die Beschreibung der Post allerdings sehr transparent:

      https://www.efiliale.de/efiliale/nachsenden-lagern/nachsendeservice.jsp (Informationen erscheinen am Ende des Antrags, wenn man seinen Namen eingegeben hat)


      Einwilligung:
      Ich (wir) willige(n) ein, dass die Deutsche Post die dauerhafte Anschriftenänderung denjenigen, die die alte Anschrift bereits kennen, zur Adressaktualisierung zur Verfügung stellt, damit möglichst viele zukünftige Postsendungen sofort die neue Anschrift erhalten.
      Möchten Sie oder Mitglieder Ihres Haushaltes die Einwilligung nicht erteilen, dann klicken Sie bitte unten das Feld „Ich möchte die Einwilligung streichen“ an.

      Diese Einstellung kann man auch direkt unter der Beschreibung abwählen, bevor man den Antrag in den Warenkorb legt (nichts versteckt). Wie es in einer Filiale gehandhabt wird, kann ich aber nicht beurteilen.

      Meine persönliche Meinung zu diesem Service: Ich finde ihn sehr praktisch und vergleiche die „neue Welt“ auch gerne mit dem „alten Telefonbuch“: Was diese Datensätze angeht finde ich die Nutzung ok. Transparenz sollte aber immer gegeben sein und andere persönliche Meinungen sind ebenso zu respektieren.

  23. Großartiger Beitrag! Ich bin gespannt, wie sich Herr Caspar äußert – schließlich ist das nicht ganz kleine Unternehmen Otto einer der größten Steuerzahler in der Stadt seiner Zuständigkeit…

  24. OTTO sucht jetzt aktuell nach einem Datenschutzreferenten …. ob das ausreicht?

    http://www.ottogroup.com/de/karriere/jobs/Referent-Datenschutz-w-m-im-Bereich-Konzern-Datenschutz.php

    Die internen OTTO-Prozesse scheinen jedenfalls noch ganz schön anpassungsbedürftig zu sein , um mit der geltenden Rechtslage in Einklang zu stehen.

    Vielleicht haben sie auch einfach nur die Befürchtung, dass sie einer Prüfung durch Caspars Behörde nicht standhalten und rüsten schon mal rein vorsorglich ihre personellen Ressourcen auf, um die Feststellungen schneller bearbeiten zu können :-))

    Looking forward ….

  25. Wenn ich das so lese bleibt immer noch die Frage offen, wie Otto/Hagebau an die Telefonnummer ran kam.
    Wie es technisch funktioniert, dass Konzerne, wie z.B. Otto, von einen anonymen Internet-Nutzer, die Telefonnummer, Namen und E-Mail-Adresse bekommen, somit also einen anonymen Internet-Nutzer de-anonymisieren können, ist hier ab Seite 42 bestens beschrieben:
    https://comidio.de/wp-content/uploads/2016/10/Comidio-TrutzBox-Kompendium_v4-72.pdf

  26. Christiane Pfohlmann

    27. November 2016 um 17:57

    Hallo,

    danke für diesen erhellenden und erschreckenden Beitrag!

    Auch mich interessiert, wie Sie jetzt mit dem facebook-Plugin auf dem eigenen Blog umgehen. Es ist für mich jetzt nicht ersichtlich, ob ich erst durch Klicken auf das f-Zeichen persönliche Infos an Facebook übermittle oder allein schon durch das Lesen Ihrer Zeilen…
    https://www.youtube.com/watch?v=wxYOpVREVwU&feature=youtu.be

    Bitte um Aufklärung.
    Christiane Pfohlmann

    • Jürgen Vielmeier

      28. November 2016 um 12:35

      Gute Frage! Ich habe das nicht abschließend klären können und deswegen das Social Plugin auf dieser Seite deaktiviert.

      • Cool… Das klingt wirklich nach Konsequenz und Respekt – Ich bin Ihnen sehr dankbar für die schnelle Reaktion.

        Ich finde es ungeheuerlich, wie da von Facebook hintenrum wertvolle Infos über Webseitenbesucher gesammelt werden, und zwar mit der ehrenamtlichen Hilfe von arglosen Webseitenbetreibern, die sich gar nichts dabei denken und wohl auch selten etwas darüber wissen.

        Ich will nicht eines Tages bei Facebook anrufen und mit meinem Namen begrüßt werden.

        A propos: Hat jemand mal die private Handynummer von Mark Zuckerberg für mich? Ich möchte mal sowas wie „Informationsgleichstand“ mit dem Herrn erreichen, denn neulich hat er sich wohl gegen meinen Willen meine Nummer über Bekannte ergattert, die WhatsApp nutzen und bei denen ich dummerweise im gekaperten Adressbuch stehe.
        Korrigiere: Stand. Ich habe persönliche Konsequenzen gezogen.

        Wir müssen noch viel öfter „Nein“ zur heimlichen Datensammelei sagen, behaupte ich, wenn wir Freiheit und Selbstbestimmung retten wollen. Danke für die Hartnäckigkeit in Ihrem Fall, Herr Vielmeier, Sie inspiriert mich, das nachzumachen.

    • Das Plugin überträgt direkt Informationen. Danke fürs deaktivieren!

      Kurz zur Technik (ergänzend zum Video). Ist das Social Plugin eingeschaltet werden Besucher bei einem Seitenaufruf des Artikels direkt an FB weitergeleitet um die aktuelle Zahl der FB-Likes für den jeweiligen Artikel zu erfragen. Die werden nämlich von FB bereit gestellt und nicht vom Seitenbetreiber selbst. Bei eben dieser „Like-Anzahl-Anfrage“ ist FB aber in der Lage den Besucher des Artikels zu erkennen und zu tracken.

      Das passiert unabhängig davon, ob der Social-Button geklickt wird oder nicht! Es passiert direkt beim Seitenaufruf. Die Zahl der Likes steht ja auch direkt dar…

      Eine Alternative wie man FB Buttons ohne direktes Tracking nutzen kann habe ich weiter oben beschrieben (Shariff)

      Viele Grüße

      • Ich schlage übrigens vor, statt des etwas defensiven Wortes „Datenschutz“ in Zukunft lieber das Wort „Datensouveränität“ zu benutzen. Das klingt nicht so opfermäßig, sondern deutlich mehr nach Selbstbewusstsein und Selbstbestimmung.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

*

© 2016 Jürgen Vielmeier

Theme von Anders Norén↑ ↑