Archive for the ‘datenschutz’ tag
WWK Versicherung verschickt “versehentlich” Spam
Die WWK kennt der ein oder andere evtl. als Versicherungsdienstleister. Bisher hatte ich mit diesem noch nicht das Vergnügen und werde es – zumindest in geschäftlicher Weise – auch in Zukunft nicht haben.
Denn vergangene Woche war ich verwundert, dass ich von einem offiziellen Vertriebspartner der WWK eine unerwünschte Werbemail mit der Bewerbung aller möglichen Versicherungen erhielt. Mit enthalten waren auch noch die ausführlichen Adressdaten des WWK Vertriebspartners und der WWK selbst. Sogar der Disclaimer der WWK mit Angaben der Vorstände etc. war in der Signatur vorhanden.
Überrascht über diese direkte Ansprache und interessiert daran, wo meine Emailadresse versehentlich gefunden wurde schrieb ich die WWK Hauptverwaltung in München mit einem Auskunftsgesuch nach §34 Bundesdatenschutzgesetz an.
Wenige Tage später erhielt ich von der „Referentin“ Datenschutz die Auskunft, dass alles nur ein Versehen wäre und und es sich um eine Namensverwechselung handeln würde. Das erklärte aber nicht, wie die WWK selbst oder deren Vertriebspartner tatsächlich an meine Emailadresse gekommen waren.
Eine weitere Anfrage wurde – diesmal per Email – mit dem gleichen Inhalt beantwortet. Zitat: “Es handelt sich um eine reine Namensverwechslung. Mehr ist dazu nicht auszuführen. Auch ein tieferer Sinn steht nicht dahinter.” Man kann sich also nicht erklären wie meine Emailadresse zur Nutzung von Werbemails gesammelt wurde. Ein einfache Erklärung wie z.B. “der Vertriebspartner hat willkürlich Emailadressen aus dem Internet kopiert” wäre wahrscheinlich nachvollziehbarer gewesen – wenn es denn so gewesen wäre was es ja nicht ist. Schließlich steht laut der WWK kein tieferer Sinn dahinter.
Nunja, damit hat der Vertriebspartner der WWK keinen neuen Kunden gewonnen es aber zumindest damit in meinen Blog geschafft. Herzlichen Glückwunsch!
Quo vadis Datenschutz, wenn dieser noch nicht mal bei Versicherungen vor “Verwechslungen” schützt.
Update: Nach einem zugegebenermaßen fast schon erwarteten “äußerst” freundlichen Schreiben der Rechtsabteilung der WWK habe ich den ein oder anderen Passus nochmal etwas genauer konkretisiert. Die WWK “würde sich freuen,” — wenn ich den Beitrag ändere oder entferne. Ich glaube dass es sie auch gefreut hat, dass es meinerseits keine Unterlassungserklärung gab und ich nicht weiter nachgebohrt habe woher meine Email-Adresse tatsächlich stammte. Persönliche Gedanken dazu wird man sich hoffentlich noch machen dürfen.
Fazit: Der Beitrag bleibt sozusagen als “Mahnmal” für Vertriebspartner von Versicherungen und anderen Unternehmen bestehen. Ich vermute, dass insbesondere die WWK im Zuge dessen auch mal ihre Policies zum Umgang mit Werbemails überarbeiten wird und den Vertriebspartnern ins Gewissen redet damit Emails nicht irgendwie zweckentfremdet werden. Ein nützlicher Link für den Anfang zum Thema Double-Opt-In wäre ja schonmal hilfreich.
Datenschutz im Mobilfunkbereich unzureichend?
Wo fängt Datenschutz an? Wenn man den bisherigen Berichten glauben schenken darf – ganz am Schluss – dann wenn es zu spät ist. Zumindest fängt dieser erst dort an, wo man z.B. als Mobilfunkanbieter das Vertrauen des Kunden bereits verloren hat. Alle technischen Sicherheitsvorkehrungen und Beteuerungen der Vergangenheit sowie Verbesserungen der Zugangskontrollen sind nichts wert, wenn das Fachpersonal in Mobilfunkgeschäften nicht oder unzureichend im Datenschutz geschult ist, bzw. minimale Grundsätze nicht einhält. Z.B. ist das Kopieren von Ausweisdokumenten rein rechtlich nur Behörden vorbehalten und darf nur in Ausnahmefällen durchgeführt werden. So wird dies z.B. auch im Allgemeinen tagtäglich beim Abschluss eines Mobilfunkvertrages mitsamt Bankkarte und / oder anderen Legitimationsdokumenten durchgeführt. Egal ob unabhängiger Vertriebspartner oder direkt beim Netzbetreiber angeschlossener Handyshop – welche Aushilfskraft erhält dort eine Einweisung inkl. datenschutzrelevanter Informationen, wo verbleiben kopierte Dokumente, wie lange werden diese dort aufgehoben? Fragen über Fragen, die man sich bei einer aufmerksamen Beobachtung dieser Handy-Points leicht selbst beantworten kann.
In Aktionszeiträumen und zu Stoßzeiten von turnusbedingten Vertragsverlängerungen bleibt auch mal die ein oder andere (Kunden)informationen auf dem Tisch liegen, solange man sich nebenan einem anderen Kunden widmet. Dies ist mir kürzlich mit kopierten T-Mobile Rechnungen inkl. Kundenkontonummer mit gleich drei Verträgen aus einem T-Mobile Rahmenvertrag passiert. Die kopierten Unterlagen lagen nun in besagtem Fall zuoberst auf dem Stapel einiger Dokumente auch von anderen Kunden mit personenbezogenen Daten auf dem Schreibtisch im Frontbereich des Verkaufsraums, während der Berater 20 Minuten lang in einem weiter entfernten Bereich einen anderen Geschäftskunden beriet, welcher sich kurzfristig “dazwischen drängelte”.
Nach der Beratung sprach ich den Angestellten darauf an. Sichtbar perplex und überrumpelt gab er an, dass die personenbezogenen Daten auf jeden Fall immer dann vom Schreibtisch kommen, wenn ein Kunde das nicht möchte. Ich muss wohl bisher der Erste gewesen sein, denn solch eine Aussage zählt meines Erachtens mit Sicherheit nicht, wenn jemand anders in den unbeobachteten 20 Minuten mit den Dokumenten aus dem Geschäft spaziert wäre. So entgegnete ich mich ihm, dass es nach dem aktiven Ansprechen des Kunden mit dem Vertrauensverhältnis eigentlich schon zu spät ist.
Über eine Anfrage bei dem Servicecenter Geschäftskundenbetreuung von T-Mobile erhoffte ich mir eine offizielle Antwort, wie der Umgang mit personenbezogenen Daten von Anbeginn im Handyladen gehandhabt wird. In der ersten Email wurde ich darauf hingewiesen, dass die beschriebene Situation bedauerlich ist, generell der Datenschutz ernst genommen werde und die Datenschutzbestimmungen bei unabhängigen Vertriebspartnern wie auch bei eigenen Shops eingehalten werden. Auf meine Bitte mir die dafür vorhandenen Datenschutzbestimmungen und Anweisungen für Mitarbeiter zuzusenden kam man nicht nach.
In einer zweiten Email wies ich nochmals darauf hin, dass ich mich für die aktuellen Datenschutzbestimmungen und Anweisungen an die Vertriebspartner interessiere. Wieder kam die Antwort mit einer meiner Meinung nach gekonnt falsch verstandenen Anfrage, denn kurz darauf erhielt ich die aktuellen AGBs und Datenschutzbestimmungen für Endkunden zugesendet. Nun beschlich mich langsam das Gefühl, dass es Anweisungen seitens des Mobilfunkbetreibers T-Mobile an die Vertriebspartner oder eine Überprüfung der selbstständigen Datenschutzbestimmungen der Vertriebspartner überhaupt nicht gibt.
Dies bestätigte sich durch ein Gespräch mit einem internen Vertriebsmitarbeiter der Geschäftskundenbetreuung von T-Mobile. Weder wird der selbstständige Datenschutz der Vertriebspartner geprüft oder angefragt noch wird den Vertriebspartnern seitens T-Mobile Anweisungen hierfür erteilt. Nach der bisher dritten Erinnerungsemail an den Geschäftskundenservice von T-Mobile und die Beteuerung, dass sich dem Anliegen auch bereits die Geschäftsleitung annehmen würde blogge ich nun hier Mangels Reaktion von T-Mobile meine gemachte Erfahrung.
Dabei vermute ich aber, dass dieser Fall nicht nur beim T-Konzern sondern auch bei anderen Netzbetreibern genauso oder ähnlich abgelaufen wäre.
Druckerei verbessert Datenschutz und schließt Datenlücke
Wie bereits berichtet nehmens Druckereien aus der Region mit dem Datenschutz nicht ganz so genau. So auch eine weitere Druckerei aus dem Ortenaukreis. Bei dieser wurde ebenfalls ein öffentlich zugänglicher FTP-Zugang an Kunden kommuniziert über den der einzelne Kunde die gesamten Druckvorlagen anderer Kunden, einsehen, herunterladen, umbenennen und sogar eigenmächtig löschen konnte. Nach dem Hinweis an die Geschäftsleitung wurde die Datenlücke durch den dortigen Datenschutzbeauftragten geschlossen und Besserung gelobt, ab sofort jedem Kunden ausschließlich nur noch einen persönlichen und geschützten FTP Zugang zur Verfügung zu stellen.
Ganz besonders heikel war diese Datenlücke u.a. dadurch, dass namhafte Firmen auf dem FTP Account “anziehende” Druckvorlagen für das kommende Jahr hochgeladen hatten, welche so als fertiges Produkt mit hoher Wahrscheinlichkeit eigentlich noch nicht im Handel zu haben sind.
Druckereien nehmens nicht so genau mit dem Datenschutz
Bei Druckereiunternehmen in der Region wirds mit dem Datenschutz anscheinend nicht so genau genommen. Bereits zum zweiten Mal habe ich mich bei dem dort jeweils zuständigen Datenschutzbeauftragten beschwert.
Grund war, dass die Druckereiunternehmen ihren Kunden für den Upload der Katalog- und Flyerdaten einen FTP Zugang zur Verfügung stellen. Dieser ist aber durch unseriöse Handhabung nicht persönlich und geschützt nur für den einzelnen Kunden erreichbar, sondern eine Art “Sammelordner” aller bisher hochgeladenen Kundendaten aller Kunden. Zwar werden hier ein paar einfache Sicherheitsvorkehrungen getroffen, sodass die hochgeladene Datei zum Beispiel zwar nur maximal fünf Minuten in dem FTP-Ordner liegt und dann automatisch archiviert wird.
Dennoch kann man an Hand der angelegten Ordnerstrukturen die genauen Auftraggeber erkennen. Auf gezielte Nachfrage hies es beim letzten Mal, dass der uns zur Verfügung gestellte FTP-Zugang eigentlich nur eine “Notlösung” sei und eigentlich jeder “Stamm”-Kunde einen eigenen FTP-Zugang erhält. Fragt sich nur was dann mit den ganzen anderen Einzelkunden passiert. Mmmh…
