Veröffentlicht am Kategorien Aktivitäten

Auftrag oder Kundendatenbank?

Eine Interessante Frage, die ich in der Praxis nun bei Boels und ATU testen werde. Wobei ich lange warten musste, um endlich meinen ATU-Test beginnen zu können. Es geht um die Frage, wann der §35 II Nr.3 BDSG Anwendung findet: Der schreibt vor, das Daten zu löschen sind, wenn ihre Kenntnis für die Erfüllung des Zwecks nicht mehr notwendig sind, zu dem sie erhoben wurden.

Mir ist bei ATU schon vor langem aufgefallen, dass man da bei seinem ersten Auftrag seine Daten hergibt, und die wohl dauerhaft gespeichert werden. Dabei hatte ich seinerzeit in Alsdorf mal einen Auftrag erteilt, und in Eschweiler konnte man Jahre später (!) diese Daten abrufen.

Ich habe bewusst nichts unternommen, sondern auf etwas gewartet – undheute kam es an: Unverlangte Werbung von ATU an meine Adresse. Das Schreiben an ATU, das nächste Woche rausgeht, kann man sich sicherlich denken – ich werde fragen, warum die Daten, die zwecks Auftrag erhoben wurden, über den Auftrag hinaus gespeichert werden. Eine Einwilligung dazu habe ich nach meiner Kenntnis nicht gegeben, so dass sich die Frage stellt, inwiefern hier die Bildung einer Adressdtaenbank überhaupt zulässig ist. Wird sicherlich wieder ein paar Monate dauern, ich werde berichten.

Zeitgleich gibt es einen Test, wie eine Firma reagiert, wenn man direkt nach der Auftragsabwicklung auf Löschung der Daten besteht: Ich habe bei Boels etwas gemietet (ein einfaches Gartengerät) und dort wurde eine Kopie von meinem Ausweis gezogen. Wenn ich das GErät heute oder amMontag zurück bringe, werde ich verlangen, dass die Ausweiskopie zerstört wird und ich aus der Kundendatenbank gelöscht werde. Irgendwie habe ich das Gefühl, dass auch das nicht Reibungslos ablaufen wird….

21 Gedanken zu „Auftrag oder Kundendatenbank?“

  1. Gegen die sofortige Löschung kann man sicherlich einwenden, dass bei eventuell auftretenden, erst nachträglich festgestellten Schäden an der Sache die Daten weiterhin erforderlich sind. Das dürfte noch unter § 35 Abs. 2 Nr. 3 BDSG fallen.
    Ich frage mich zudem, ob derartige Daten – insbesondere Name und Adresse des ehemaligen Kunden – nicht auch im Fall einer Steuerprüfung erforderlich sind.
    Jedenfalls dürfte sich aber bei diesen Gründen die Zweckbindung ausschließlich auf diese Funktion reduzieren und damit Werbeaktionen ausgeschlossen sein.

    PizzaMax kennt übrigens auch immer wieder meine Daten. Unter dem Aspekt der Löschungspflicht habe ich das allerdings noch nicht betrachtet.

  2. Hi,

    das mit der Steuer stimmt, aber deswegen gibt es ja den Auftrag und die Rechnung auf der meine Daten stehen. Die sind von der Löschung ja nicht erfasst.

    Die Sache mit der Schadensprüfung akzeptiere ich – hier geht es aber um einen manuellen Erbohrer (Sieht aus wie ein Spaten), die Prüfung kann bei der Abgabe mit einem Blick erfolgen. Anders wäre das sicherlich wenn es um Mietwagen oder komplizierte Geräte geht – bei einer Stahl-Stange aber nicht 😉

  3. Übrigens, als Nachtrag: Es kommt ja auch darauf an, wie man das macht. Ich renne nie in einen Laden, schlage mit der Faust auf den Tisch und Brülle „So, jetzt wird gelöscht“. Ich erkläre worum es mir geht, bitte um Löschung/Sperrung und warte ab, was dann kommt. Hin und wieder werden mir in der Tat brauchbare Argumente geliefert, die mich dazu bewegen, etwas Zeit zu geben. Genauso, wenn jemand ehrlich(!) sagt,d ass er daovn noch nie was gehört hat, zwar skeptisch aber interessiert ist, und sich damit erst auseinandersetzen will. Da mein Ziel vor allem Aufklärung ist, sehe ich hier die besten Wege um was zu erreichen – so empfehle ich es auch allen anderen.

  4. Ich hatte vor kurzem einen netten Mailwechsel mit Kabel Deutschland. Die hatten mir zuvor einen personalisierten Werbebrief geschickt. Da ich Kabel Deutschland nie meine Daten gegeben habe, fragte ich also per Mail höflich nach, woher sie die denn haben.
    Tenor der Antwort: „Wir schicken keine Briefe raus. Das machen Subunternehmen und in die haben wir keinen Einblick.“
    Auf eine Nachfrage nach dem Subunternehmen bekam ich die Antwort, dass man das selbst nicht wisse.

  5. Würde ich direkt an den zuständigen Datenschutzbeauftragten weitergeben mit der Bitte, deinem Auskunftsverlangen Nachdruck zu verleihen. Hat bei mir auch mal einer versucht – hielt nicht lange 😉

  6. Nach Drohung mit DSB mir kam dann folgendes:

    „- Die Kunden-Nummer sagt uns, dass wir Ihre Adresse von „VNR Mittelstand und Großunternehmen“ angemietet haben und angemietete Adressen bei uns im Kunden-Stamm leider nicht hinterlegt sind.

    – Ihre Adresse haben wir nun in unserem Kunden-Stamm aufgenommen, jedoch nur um Ihre Adresse für weitere Katalogzusendungen zu sperren. Ansonsten können wir nicht dafür garantieren, dass Sie unter dieser Adresse nicht auch in Zukunft Katalog erhalten. Die Sperrung Ihrer Adresse beinhaltet zugleich den Verbot für die Weitergabe Ihrer Adresse an Dritte.“

  7. Rechnungen werden im PC erfasst und müssen für 10 Jahre archiviert werden und das weisst Du sicher besser als ich. Ausserdem kenne ich aus meinem Geschäft die Kundenaussage: „Sie haben doch meine Daten, ich war schon mal hier. Schauen Sie doch mal nach…“

    Die unberechtigte Weitergabe der Daten bzw. die Nutzung zu Marketingzwecken bleibt natürlich unbestritten. Aber als Händler sitzt man zwischen Besetzesbaum und Kundenborke^^

  8. Hallo!
    Einen ähnlichen Fall habe ich derzeit mit Lidl. Ich war noch nie Kunde bei Lidl und habe mit Sicherheit auch keinerlei Daten an Lidl mit meinem Einverständnis in irgend einer Weise abgegeben. Dennoch habe ich am Freitag von denen eine personalisierte Post erhalten mit der Nachfrage, ob in meinem Briefkasten Werbung korrekt ankommt – ein Kasten der mit einem Verweis verziehrt ist „Keine Werbung“.
    Im Schreiben selbst wird auf eine Zweckbindung meiner Daten verwiesen mit Angabe der Löschung meiner Daten nach 3 Wochen, sofern sie keine Antwort von mir erhalten. Angeblich geht es um Befragung über die Zustellung des Werbematerials, wo man mit Bewertungen Warengutscheine „absahnen“ kann.
    Mich würde brennend interessieren, woher sie meine Daten haben. Ich habe einen Vordruck für die Anfrage nach Datenursprung, Verwendung und Löschung gemäß BDSG und ich werde mal ein Schreiben verfassen (bei ehemaligen TK Anbietern hatte es bereits auch funktioniert)

  9. In einem anderen Fall bekam ich Werbung von der Direktmarketingorganisation der Deutschen Post. Es stellte sich heraus, dass ich angeblich vor zwei Jahren an einem Gewinnspiel im Internet teilgenommen haben soll. Es wurde ein Screendump der Gewinnspielseite und eine email-Adresse eines bekannten deutschen Freemail-Anbieters genannt. Natürlich war mir die eMail-Adresse nicht bekannt. Nach zwei Jahren konnte der Freemailer auch keine Daten mehr liefern, wer das email-Konto angelegt hatte. Der DSB sah keine Möglichkeit etwas zu tun. Der Freemailer wollte mir das Passwort zusenden, wenn ich mich mit Personalausweiskopie authentifiziere. Dass bei Anlage des Kontos sowas nicht gebraucht wurde, fanden die garnicht seltsam.

  10. Deswegen kann rein theoretisch jeder Dienstleister, jede Firma usw behaupten, ich (oder andere) hätten angeblich meine Daten bereitgestellt und das Einverständnis gegeben. Diese Lotterie/Gewinnspiel Sparte ist da mit mein „liebster“ Freund geworden.
    Vor allem öffnet man jenen Tür und Tor (Whois / Denic Abfragen auf Domains) oder andere Institutionen erstatten gegen eine „Verwaltungsgebühr“ Auskunft (siehe mein Webhoster, der von ganz allein meine Adress-Kundendaten nach meinem Umzug ohne dass ich ihn bis dato informierte geändert hat).

  11. Die Deutsche Post liefert bei einem Nachsendeauftrag an bestimmte Unternehmen von sich aus die neue Adresse, wenn man nicht ausdrücklich auf dem Auftrag widerspricht. Allerdings wird dieser Widerspruch auch manchmal nicht honoriert (mir passiert).

  12. Die Frage, die mich aber dann beschäftigt ist, wie konnte mein Webhoster die neue Anschrift erhalten, wenn ich von diesem keinerlei Post erhalte – und das gerade mal 2-3 Tage nach meinem Umzug.
    Das einzige „Unternehmen“, welches davon wusste, war das Einwohnermeldeamt.
    Mir ist schon bewusst, dass bei berechtigtem Interesse ein Gläubiger Nachforschungen zur Adresse eines Deliquenten einleiten lassen kann – gegen Gebühr. Nur muss man erstens das auch irgendwie (mein Rechtverständnis) auch nachweisen können. Für mich sah es aus, dass anscheinend (ohne etwas unterstellen zu wollen – aber es zwängt sich fast auf) das Einwohnermeldeamt selbstständig Daten herausgegeben hat. Die Zeiten zwischen Ummeldung und der nicht von mir veranlassten Änderung beim Webhoster waren sehr kurz.
    Einen Nachsendeauftrag gab es nicht, da ich noch Zugriff auf meinen alten Briefkasten hatte.
    Was kann man also in solch einer Situation tun? Eine gemäß BDSG Anfrage beim EMA?

  13. Einwurf von mir: Wieso ist es denn „erlaubt“ oder anders herum – wieso wird es gemacht?
    Außer dem Amt hat es keinen aus der Wirtschaft zu interessieren wo ich mich wohnhaft aufhalte. Und ich zähle Anschrift schon mitunter zu Daten, die dem Datenschutz untergeordnet sind, oder? Ergo macht sich das Amt doch ein bissel die Finger dabei schmutzig, wenn es die Daten ohne/mit wenig Prüfung weitergibt ..

  14. Ich kenne es seitens Rechtsanwälten als Anschriftenprüfung um den Klagegegner eindeutig mit aktueller Anschrift zu identifizieren. Manche Mahnsachen z.B: sind jahrealt – da ist ein Umzug nicht unrealistisch. Wenn man einmal mit falscher Adresse einen Mahnbescheid erwirken will, kostet das nur mehr Zeit und Geld. Der RA prüft daher vorher kurz die Adresse bei EA und arbeitet dann damit.

    Jedenfalls in NRW kann man -wenn man ein besonderes Interesse vorweisen kann- gegen eine solche Auskunft schon im Vorhinein widerspruch einlegen.

  15. Das heisst, ich kann beim EA ein Schreiben hinterlegen mit einer Art Sperrvermerk, dass meine Daten nicht Hinz und Kunz, sondern nur bei besonderem Interesse (nebst ggfs. Nachweis wieso) ausgehändigt werden. Aber eine Rückmeldung seitens des EA, wenn ein Zugriff bzw Herausgabe erfolgt, wird es nicht geben … das wäre zumindest Transparenz für mich.

  16. Es ist erlaubt, weil das Melderechtsrahmengesetz das so vorsieht.

    In §21 Abs. 1 und 1a MRRG ist ein Auskunftsrecht – auch als elektronische Massenübermittlung – vorgesehen, wenn neben dem Vor- und Familiennamen zwei weitere in §2 Abs. 1 MRRG genannte Merkmale angegeben werden, z.B. Geschlecht und Staatsangehörigkeit, soweit damit eine eindeutige Identifikation möglich ist. Bei einem Internetprovider ist aber möglicherweise sogar das Geburtsdatum bekannt.

    Das Gesetz ist aus meiner Sicht ein Skandal. Einzelabfragen sind aus meiner Sicht bei plausiblem berechtigten Interesse in Ordnung, aber der §21 Abs. 1 Satz 2 gehört ersatzlos gestrichen. Massenabfragen müssen mit einer Art „exponential backoff“ strategisch erschwert werden. Abs. 3 (öffentliches Interesse) bleibt davon unberührt.

  17. Ergänzung: Eigentlich kann man den gesamten Abs. 1 und 1a streichen, denn die erweiterte Auskunft mit dem berechtigtem Interesse aus Abs. 2 würde völlig ausreichen.

  18. Zu „wieso wird es gemacht“: Jemand möchte die aktuelle Adresse eines ehemaligen Mitschülers herausfinden, weil er ein Klassentreffen organisiert. Jemand möchte das Geburts- und Todesdatum des Grossvaters herausfinden, um einen Stammbaum zu malen.

    Für letzteren Fall (Ahnenforschung) wird es in Zukunft düster aussehen, da man wohl plant, eine Verpflichtung zur Löschung der Daten einzuführen; als ob der Tote noch ein Recht auf informationelle Selbstbestimmung hätte.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *