FAIL: Kuppinger-Cole und der Datenschutz

It's a maexotic world ...


Anfang diesen Jahres kommt man auf heise online den Artikel "Studie: Nur jeder zweite Internetnutzer liest Datenschutzbestimmungen" finden. Darin war unter anderem zu lesen:

Nur die Hälfte der Web-Nutzer liest die Datenschutzbestimmungen von Internet-Diensteanbietern durch. Zu diesem Ergebnis kommt die TNS-Infratest-Studie zum "Bewusstseinswandel im Datenschutz", die Microsoft Deutschland heute gemeinsam mit dem Deutschen Digital Institut in Berlin vorstellt. Befragt wurden 1014 Internetnutzer Ende 2008 in Deutschland. Als Grund gaben drei Viertel der Nicht-Leser an, dass es ihnen einfach zu lange dauert. 13 Prozent haben bislang einfach nicht daran gedacht, die Bestimmungen zu lesen. 14 Prozent lesen die Datenschutzbestimmungen grundsätzlich nicht, weil sie ihnen misstrauen.

Nun gehöre ich zu der Hälfte, die die Datenschutzbestimmungen liest und ich misstraue ihnen trotzdem.

Zudem bin ich ein treuer Anhänger von "divide and conquer"-Strategien ("teile und herrsche") und verwende eindeutig zuordenbare und unterschiedliche eMail-Adressen für jeden Dienst, bei dem ich mich anmelde. So kann ich jederzeit nachvollziehen, welcher Dienst die eMail-Adresse hat "durchsickern" lassen. Das ist auch ein Teil dessen, was ich unter "Identity Management" verstehe.

Nun hat schon im September letzten Jahres die Kuppinger Cole Inc. (die sich auf "Identity Management" spezialisiert hat) meine eMail-Adresse an eine Firma weitergeben/verkauft und ich habe von der NetPro 4747 N. 22nd Street Suite 400 - Phoenix, AZ 85016 602-346-3600 Spam in Form einer Einladung zur "TEC 2009 Las Vegas - March 22-25, 2009" (natürlich eine schweineteuere Konferenz) erhalten.
Natürlich habe ich mich beschwert und nachdem ich im folgenden eMail-Wechsel nicht locker gelassen habe, wurde mir meine Sperrverfügung

Zudem untersage ich Ihnen hiermit explizit die Übermittlung meiner Daten an Dritte. Für bereits an Dritte übermittelte Daten fordere ich Sie zu einer unverzüglichen Sperrung auf. (§ 6 Abs. 2, § 28 Abs. 4 BDSG)

auch bestätigt. Dies sollte eigentlich gar nicht nötig sein, denn die Firma tönt auf Ihrer Website lauthals:

KCP respektiert die Privatsphäre seiner Leser und wird die Adressen seiner registrierten Benutzer niemals an Dritte weitergeben oder vermieten, noch werden wir es zulassen, dass andere das tun.
[ ... ]
Wenn Sie Fragen bezüglich dieser Datenschutzerklärung haben, wenden Sie sich bitte jederzeit an uns per E-Mail unter privacy@kuppingercole.com.
Damals hat diese eMail-Adresse auch noch funktioniert, heute tut sie das nicht mehr:
Remote host said: 550 5.1.1 : Recipient address rejected: User unknown in local recipient table
Äußerst befremdlich mutet auch folgende Passage an:
Diese Erklärung kann von Zeit zu Zeit angepasst oder verändert werden. Schauen Sie deshalb immer wieder mal vorbei.

Dazu sagt das Telemediengesetz:

§13 Abs. 1 Telemediengesetz (TMG):
"Der Diensteanbieter hat den Nutzer zu Beginn des Nutzungsvorgangs über Art, Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten ... in allgemein verständlicher Form zu unterrichten, sofern eine solche Unterrichtung nicht bereits erfolgt ist...Der Inhalt der Unterrichtung muss für den Nutzer jederzeit abrufbar sein."

Das bedeutet aber z.B. im Falle einer Mailingliste, dass sie nicht einfach nach Belieben die Datenschutzerklärung ändern können, zumindest nicht ohne vorher die Benutzer zu informieren und ihnen vorher eine erneute ausdrückliche Einwilligungserklärung abzuverlangen (§ 13 Abs. 2 TMG). Das ist definitiv nicht geschehen.

Entgegen meiner Sperrverfügung und allen Versicherungen von Seiten Kuppinger-Coles, dass meine Adresse nun sicher ist, habe ich im Mai erneut Spam an diese Adresse erhalten. Diesmal von der Firma Quest, dem Nachfolger von NetPro, und diese haben auch noch meine Daten an Avnet Technology Solutions, 5 Polaris Way, Aliso Viejo, CA 92656 weitergegeben, die für die Aussendung des "Newsletters" verantwortlich zeichnen. Natürlich ist der "Newsletter" gespickt mit Webbugs zum User-Tracking.

Also habe ich mich erneut an Kuppinger-Cole gewandt und mich beschwert und ihnen gleichzeitig die Möglichkeit eingeräumt selbst eine strafbewehrte Unterlassungserklärung abzugeben - mit Fristsetzung. Alles was ich als Antwort erhalten habe, ist Gelabere von wegen "wir können nichts dafür", "der Fehler liegt bei Quest" und eine Erklärung von Quest, dass sie vergessen hätten mich von einer "Master-Liste" zu streichen. Natürlich bedauern alle diesen Vorfall aus tiefstem Herzen, die Unterlassungserklärung könnten sie aber nicht abgeben.

Nun gut. Die Frist ist abgelaufen, nächste Woche habe ich einen Termin beim Anwalt und außerdem werde ich Anzeige erstatten lt. § 16 TMG und §§ 43, 44 Bundesdatenschutzgesetz (BDSG). Mal sehen, ob das die Staatsanwaltschaft auch so locker sieht wie Kuppinger-Cole.




Comments