Was die DSGVO-Betroffenenrechte in der Praxis wert sind

Lesedauer: 12 Minuten. Veröffentlicht am .

Die Geschichte über einen Menschen, der auszog, Auskünfte über seine persönlichen Daten zu erhalten und über die Steine, die ihm dabei in den Weg gelegt worden sind.

Es ist für mich ein jährlicher Brauch, den verschiedenen Auskunfteien in Deutschland eine Anfrage zur Selbstauskunft zu stellen. Normalerweise prüfe ich diese nur oberflächlich, um herauszufinden, ob falsche Einträge vorliegen, die möglicherweise mein Kreditrating negativ beeinflussen. Aber dieses Jahr bin ich etwas weitergegangen und wollte wissen, wo meine Daten überhaupt herkommen. Dies hat sich als erstaunlich schwierig herausgestellt und ist auch nicht endgültig zu beantworten, denn viele Spuren sind einfach im Sande verlaufen.

Die üblichen Verdächtigen

Die großen Wirtschaftsauskunfteien in Deutschland sind:

Es gibt noch zahlreiche weitere, aber meiner subjektiven Einschätzung nach sind diese die wichtigsten, die sich außerdem gut als Ausgangspunkt für weitere Recherchen eignen. Wer selbst Auskünfte einholen möchte, gebe in eine Suchmaschine der Wahl den Namen der Auskunftei plus die Stichworte DSGVO und Auskunft ein. Dann sollten entsprechende Formulare gemäß Art. 15 DSGVO auffindbar sein. Vorsicht ist aber angebracht: manche der Auskunfteien versuchen, den Auskunftssuchenden eine kostenpflichtige Anfrage aufzudrücken. Diese ist normalerweise unnötig. Eine DSGVO-Selbstauskunft ist immer kostenfrei anzubieten: bestehe auf dein Recht!

Die vier Anbieter liefern meiner Erfahrung nach zügig vollständige Auskünfte, in denen – zumindest bei mir – selten Fehler auftauchen. Allerdings bleiben die Angaben zu Datenquellen stellenweise sehr unkonkret. Ob dies rechtlich in Ordnung ist, vermag ich mangels Jura-Studium nicht zu beurteilen. Ein fader Beigeschmack bleibt jedenfalls.

Auf die Suche

Zunächst habe ich die Angaben von CRIF Bürgel geprüft. Als Datenquelle für drei verschiedene Datensätze waren angegeben:

  1. Schober Direct Media GmbH + Co. KG
  2. Acxiom Deutschland GmbH
  3. CRIF Bürgel GmbH

Mal davon abgesehen, dass CRIF Bürgel offenbar das Kunststück der jungfräulichen Datengeburt geglückt ist, sind die beiden anderen Quellen Repräsentanten des Bodensatzes der Werbeindustrie: Adresshändler.1

Die veraltete Adresse, die CRIF Bürgel sich selbst geliefert hat, war schnell korrigiert. Richtig wild wird es aber erst jetzt, denn ich hatte mir zum Ziel gesetzt, bei Acxiom und Schober nachzuforschen. Um meine Rechte durchsetzen zu können, bat ich also CRIF Bürgel um Nennung der notwendigen Kontaktdaten der Adresshehler komplett seriösen Adressbroker. Antwort:

Die Kontaktdaten zur Firma Schober Direct Media GmbH + Co. KG können wir Ihnen nicht mitteilen, da diese Firma nicht mehr geschäftstätig ist.

Dies ist zwar gesellschaftlich zu befürworten, hilft mir aber an dieser Stelle nicht weiter. Deswegen habe ich meinen Suchradius auf die Schober Information Group ausgeweitet (näheres dazu und zu Acxiom weiter unten).

Was haben die anderen Auskunfteien so gesagt? Das Online-Formular der Infoscore hat nicht funktioniert, daher habe ich ihnen den Freundlichen Folterfragebogen2 schriftlich zukommen lassen. Neben einer legitimen Anfrage meines Internetproviders fand sich dort auch die Firma AZ Direct (gut merken, die wird später wichtig). Infoscore selbst hat dort eine Adressprüfung vornehmen lassen:

Im Auftrag der anfragenden Stelle […] wurde die Address Verification durchgeführt. […] Der Adressdienstleister liefert einen Wahrscheinlichkeitswert zur Zustellbarkeit der angefragten Adresse zurück.

Im Gegensatz zum Geschäftsmodell der Infoscore begrüße ich diese ausführliche Begründung, die sogar einen Zusammenhang mit der Anfrage des Internetproviders herstellt.

Außerdem: die Schufa hat ausschließlich zu erwartende Angaben gemacht; zur Creditreform habe ich bislang noch keine Anfrage gestellt.

Spur 1: Schober

Wenden wir uns nun dem ersten halbseidenen Unternehmen zu: Schober. Grob lässt sich deren Tätigkeitsfeld mit Marketing beschreiben. Auch ihnen habe ich den Folterfragebogen zukommen lassen. Die Frage nach der Weitergabe wurde geflissentlich ignoriert: möglicherweise liegt das daran, dass die Schober Information Group eine andere rechtliche Entität als die Schober Direct Media ist; denn nur für letztere kann ich nachweisen, dass diese Informationen an CRIF Bürgel weitergegeben hat. Als Datenquelle für meine Adresse gab Schober die Firma adpublisher AG mit Sitz im Fürstentum Liechtenstein an. An dieser Stelle kann man es schon erahnen, dass wir es demnächst mit höchstens viertel- bzw. achtelseidenen Unternehmen zu tun haben.

Aus dem verschlafenen Ruggell im Herzen von Liechtenstein wurde mir fristgerecht mitgeteilt, dass meine Adresse hiesig verarbeitet worden ist.3 An der Auskunft selbst war aus meiner Sicht nichts zu beanstanden, denn es wurde korrekt darauf hingewiesen, dass meine Daten an Schober weitergeleitet worden sind. Als Datenherkunft wurde die swissad GmbH mit Sitz in – Überraschung – der Schweiz genannt. Eine oberflächliche Web-Recherche förderte zutage, dass diese beiden Unternehmen wohl miteinander in Verbindung stehen, wobei ich diesen Punkt nicht weiter verfolgt habe.

Bei swissad verläuft die Spur allerdings im Sande, denn nach eigenen Angaben haben diese meine Daten bereits seit 2011 erfasst. Zu diesem Zeitpunkt waren sie (auch nach eigenen Angaben) noch nicht dazu verpflichtet, die Datenquelle zu registrieren. Selbst um diese nur wenig erfolgversprechende Auskunft zu erhalten, musste ich mehrmals schriftlich nachhaken.

Jedenfalls wird behauptet, dass die Datenverarbeitung ein „berechtigtes Interesse“ gemäß Art. 6 DSGVO für „postalisches Direktmarketing“ darstellt. Ich wage das zu bezweifeln. Bei sämtlichen involvierten Unternehmen habe ich meine Daten sperren lassen; ob und wie lang dies einen Effekt haben wird, kann ich allerdings nicht endgültig prüfen #NotMyBerechtigtesInteresse.

Spur 2: Acxiom

Ein weiteres Unternehmen, für das der Begriff Datensparsamkeit viel zu lang und kompliziert zum Beherzigen ist – deutsche Sprache, schwere Sprache! – ist Acxiom. Ich werde mir an dieser Stelle nicht die Mühe machen, das Geflecht der verschiedenen Niederlassungen zu dokumentieren. Ihr müsst mir einfach glauben, wenn ich zusammenfasse, dass es kompliziert ist und LiveRamp wohl auch irgendwie dazugehört.

Acxiom ist vergleichsweise geschwätzig was meine Daten betrifft. So gab es folgende Weitergaben in den letzten zwei Jahren vor meiner Anfrage:

  1. CRIF Bürgel
  2. LiveRamp Netherlands
  3. Acxiom Limited UK
  4. Vodafone Kabel Deutschland
  5. MarketWing

Die Weitergabe an CRIF war mir bereits vorher bekannt, denn diese hatten ja Acxiom als Datenlieferant aufgezählt. Die nächsten beiden sind wohl irgendwie verbandelt, es handelt sich wahrscheinlich um konzerninterne Vorgänge. Ob das nach Brexit noch zulässig ist, darf jemand anderes herausfinden. MarketWing hat keine weiteren spannenden Auskünfte für mich auf Lager gehabt; Vodafone Kabel Deutschland widme ich einen eigenen Abschnitt. Hier fokussiere ich mich nun auf den Lieferanten: Media Information Systems.

Dieses Unternehmen hat seinen Sitz in München und hat eine Datenschutzabteilung, die sich mit Gletschergeschwindigkeit (nein, nicht die Abschmelz-, sondern die Fließgeschwindigkeit) bewegt. Als bislang einziges Unternehmen hat sich Media Information Systems selbst eine Fristverlängerung für die Beantwortung des Folterfragebogens eingeräumt:

Da uns derzeitig eine hohe Anzahl von Anträgen erreicht, ist es uns aufgrund des damit verbundenen Aufwands nicht möglich innerhalb der Monatsfrist Ihr Anliegen zu beantworten.

Mein Mitleid für die derart unfair gequälten Verwaltungsfachkräfte hält sich allerdings in Grenzen.

Als die Brieftaube mich dann doch noch mit der heiß ersehnten Antwort erreichte, fiel ich fast vom Stuhl: auch Media Information System beruft sich – wie swissad – darauf, dass meine Daten bereits so antik sind, dass die Quelle nicht genannt werden kann. An eine Weitergabe an die Unternehmen panadress und Arnold, Demmerer & Partner hat sie das aber nicht gehindert. Bei diesen zwei Gesellschaften führten weitere Auskunftsersuche ins Leere, sodass diese Spur hier als erloschen gelten muss.

Übrigens: ich hatte Bekannte darum gebeten, sich ebenfalls bei Acxiom zu erkundigen. Die Angaben überschnitten sich dabei erheblich; sowohl Vodafone, als auch MarketWing und MIS tauchen vermehrt auf.

Der Fall Vodafone Kabel Deutschland

Für Deutschlands beliebtesten Provider, der ja sonst auch nur mit hochseriösen Partnern zusammenarbeitet, ist es ja sicherlich ein Klacks, mich zügig und transparent zu beauskunften. Dachte ich mir zumindest in meinem jugendlichen Leichtsinn. Offensichtlich sind ERP-Systeme schwer in den Griff zu kriegen, denn Vodafone Kabel Deutschland schwört Stein und Bein, noch nie im Leben von mir gehört zu haben. Eingabe ist raus, nun befasst sich das Bayerisches Landesamt für Datenschutzaufsicht mit der Causa.

Nachtrag (Juli 2022): Nach über einem Jahr hat das BayLDA meine Beschwerde beschieden. Die Behörde hat festgestellt, dass Vodafone Kabel Deutschland sich in meinem Fall nicht an die in der DSGVO beschriebenen Fristen gehalten habe. Deswegen wurden sie „nachdrücklich dazu angehalten […] die datenschutzkonforme Bearbeitung […] in der Zukunft zu gewährleisten“. Dies bezieht sich allerdings nicht auf den inhaltlichen Teil meiner Beschwerde, sondern lediglich um die Form bzw. Dauer der Antwort auf meine Auskunftsanfrage.

Inhaltlich hat Vodafone Kabel Deutschland auf Anfrage der Ansbacher Behörde mitgeteilt, dass eine Weitergabe von Acxiom „nicht ausgeschlossen werden könne“, die Daten jedoch „alle 3 Monate gelöscht“ würden. Daraus hat Vodafone Kabel Deutschland eine Erklärung konstruiert, wodurch die Negativauskunft gerechtfertigt sei, denn die Übermittlung von Acxiom hätte schließlich in einem Zweijahreszeitraum erfolgt sein können. Zwei Jahre sind aber wesentlich länger als drei Monate. Die Datenschutzbehörde folgt dieser hanebüchenen Erklärung und erklärt den Fall damit für erledigt.

Spur 3: AZ Direct

Das Unternehmen AZ Direct ist mir an zwei Stellen untergekommen: zum einen im Zusammenhang mit Infoscore, zum anderen als Datenquelle für Deutsche Post Direkt, ein weiteres Unternehmen, welches ich aber nur durch Zufall auf dem Schirm hatte. Mein Interesse war geweckt: so umtriebig, dass es mehrfach während meiner Recherchen auftaucht? Da muss ich weitergraben.

Pflichtbewusst sende ich das Folterschreiben an AZ Direct. Dass sie die Weitergabe an Deutsche Post Direkt nicht erwähnt haben: geschenkt. Aber die Datenquelle ist höchst interessant. Es handelt sich dabei um die b2c Performance GmbH. Laut Selbstdarstellung ein Adressdealer nicht zu beanstandender Verticker von Adressen mit – nach eigenen Angaben – ein Team von „echten Profis“.

Auch b2c Performance leidet an mangelnder Performance im ERP-System. Nach anfänglicher Fehlanzeige musste ich nachhaken, um wenigstens die mir bereits bekannten Vorgänge verbeauskunftet zu bekommen (Kommunikation mit AZ Direct). Dagegen scheint es schon fast vernachlässigbar, dass die im Briefbogen angegebene Mailadresse nicht funktioniert hat und ich zum Faxen genötigt worden bin.

Die eigentliche Auskunft enthielt eine Überraschung: Das Unternehmen, von dem b2c Performance meine Daten erhalten hat, heißt Kapitaxx Ltd mit Sitz in Wakefield, UK. Eine kurze Recherche im Handelsregister des Königreichs ergab eine sechzehntelseidene Firma mit durchaus amüsanten Führungsentitäten: Da wäre zum einen die Firma SL24 Ltd., die – Stand September 2021 – mit über 4500 Unternehmen in UK verbandelt ist oder war.

Zum anderen die 1998 geborene Person kambodschanischer Staatsbürgerschaft mit Adresse in Phnom Penh.

Ihr werdet es ahnen: jegliche Versuche, aus diesem Konstrukt verwertbare Informationen zu extrahieren, sind zum Scheitern verurteilt. Ich habe es trotzdem probiert. Angeblich stammen die Daten von der Firma ABCNEWSLETTER (ebenfalls geführt von unserem Lieblingsmenschen wohnhaft in Phnom Penh), die aber in Verletzung mit EU-Datenschutzgesetzen keine Vertretung in einem EU-Staat deklariert hat. Überflüssig zu erwähnen, dass ich dem angeblichen „Gewinnspiel“, aus denen Kapitaxx meine Einwilligung hergeleitet haben will, nicht habhaft werden konnte. Ob es sich lohnt, mit dem Information Commissioner’s Office in Verbindung zu setzen?

Abschließend sei noch zu diesem Firmengeflecht gesagt, dass ich über nur wenige Zwischenstationen auf die Münchner Firma Companea GmbH & Co. KG gestoßen bin. Nach eigenen Angaben wird man dort unter dem Markennamen Limited24 zu „Auslandsfirmen, die in Deutschland rechtsfähig sind“ beraten. Ein schwacher Trost, dass der Brexit diesem Geschäftsmodell in die Suppe gespuckt hat. Die Verbindung mit Phnom Penh bleibt mir allerdings weiterhin rätselhaft.

Die niedersächsischen Behörden sehen übrigens – trotz Zuständigkeit für b2c Performance mit Sitz in Buxtehude – keinen Grund zur Veranlassung:

Nach Prüfung und rechtlicher Würdigung des von Ihnen vorgetragenen Sachverhaltes und in Ausübung des mir zustehenden Ermessens, komme ich hier zu dem Ergebnis, dass ein gegebenenfalls vorliegender Verstoß […] als gering zu bewerten wäre.

Ich komme hier zu dem Ergebnis, dass die Datenschutzbehörden kein Interesse daran haben, offenkundig mysteriöse Kommunikationsketten zu untersuchen.

Parallel zum DSGVO-Weg habe ich noch andere Rechercheansätze verfolgt, aber ohne Rückendeckung durch eine Presse- oder ähnliche Organisation werden diese wohl erfolglos bleiben.

Fazit

Was lernen wir jetzt aus diesem ganzen Sumpf? Vermutlich nicht viel. Mir fehlt das juristische Verständnis, um einstufen zu können, ob hier völlig legal oder in einer Grauzone (oder einfach knallhart rechtswidrig) agiert wird. Eins ist jedenfalls klar: für interessierte Bürger:innen ist es praktisch unmöglich, diese Geflechte zu durchschauen. Die Betroffenenrechte werden damit – wenn man lang genug gräbt – zu einer Farce.

Allen EU-Bürger:innen kann ich trotzdem dazu raten, zu versuchen, die eigenen Rechte durchzusetzen. Die Webseite Datenanfragen.de bietet hierzu einen praktischen Generator, zusammen mit einer großen Datenbank von Unternehmen. Anfragen kann man routinemäßig bei den großen Auskunfteien stellen, oder aber anlassbezogen und punktuell.

Nachtrag (Oktober 2021): Im Oktober 2021 hat noyb Beschwerde gegen Acxiom und CRIF Bürgel eingereicht. Nach Auffassung der Datenschutz-NGO verstößt – so wörtlich – „der Datenhandel zwischen diesen Unternehmen mit personenbezogenen Daten von Millionen Deutschen gegen die DSGVO sowie nationales Datenschutzrecht“. Folgen die Behörden der Argumentation, so dürfte CRIF Bürgel künftig keine Daten, die dem Direktmarketing entstammen, für Kreditscores heranziehen (wie z.B. von Acxiom). Möglicherweise ist dadurch auch Arvato Infoscore betroffen; dies kann ich als juristischer Laie aber nicht beantworten.

Nachtrag (September 2022): Die Berliner Datenschutzbeauftragte teilt in Bezug auf meine Beschwerde über Kapitaxx Ltd mit:

Die von Ihnen geschilderte Problematik (Fingieren von Einwilligungserklärungen via Gewinnspielen) ist bereits Anlass umfassender Prüfungen bei Verantwortlichen, die ihren Sitz in Berlin haben und die zum Teil in Verbindung mit der Kapitaxx Ltd stehen. […] Es spricht vieles dafür, dass die stattgefundene Verarbeitung Ihrer Daten rechtswidrig war. Da die Kapitaxx Ltd jedoch ihren Hauptsitz in Großbritannien hat, bestehen für uns […] keine wirksamen Maßnahmen zur Durchsetzung bzw. Vollstreckung. Aktuell führen wir allerdings weitere Beschwerdeverfahren gegenüber einem Verantwortlichen in Berlin […] gegen den wir nach erfolgter Prüfung entsprechende aufsichtsrechtliche Maßnahmen treffen werden.

  1. Ferner war noch ein legitimer Datenlieferant angegeben: mein Mobilfunkprovider. 

  2. Folter lehne ich grundsätzlich strengstens ab, außer es handelt sich um Kapitalgesellschaften, bei denen ich dazu rate. 

  3. Übermittlung vermutlich per Alphorn.