Folgen

Mangelnder Datenschutz zum Gruseln: Ein großer deutscher Internet-Provider schickte mir erstmals 2018 fehlerhaft eine Rechnung zu, die eigentlich an einen Herrn mit gleichen Nachnamen gehen sollte. Danach wusste ich Namen, Wohnort und welche Domains für ihn gehostet wurde. Nett wie ich bin, habe ich 2018 eine antwortfähige eMail-Adresse des Providers herausgesucht und auf den Fehler aufmerksam gemacht. Keine Reaktion.

2019 erhielt ich wieder die Rechnung für den Kunden. Wieder wies ich über die zentrale eMail-Adresse den Provider auf den Fehler hin und erinnerte an meine eMail aus 2018. Reaktion: Eine eMail mit Dank für meine Unterstützung. Diese Tage ging die Rechnung für 2020 ein. Meine eMail mit Hinweis, dass ich nun zum dritten Mal personenbezogene Daten ihres Kunden zugesendet bekommen hatte, schickte ich in cc an die zuständige Landesdatenschutzbehörde.

Zeige Konversation

Darauf kam eine eMail, in der ich quasi um Rat gebeten wurde. Ich gab den Tipp, durch direkte Kontaktaufnahme eine korrekte eMail in Erfahrung zu bringen. Heute Morgen kam dann eine eMail des Providers, dass man mir für meine Unterstützung danke, nach Anruf bei meinem Nachnamens-Vetter eine korrekte eMail-Adresse erhalten habe und nun alles gut sei.

Zeige Konversation

Sekunden später traf eine wohl automatisierte eMail des Providers bei mir ein, dass man mir für den Auftrag zur Änderung der eMail-Adresse danke und mir den gesamten Adressdatenbestand mitteilte, inklusive voller Adresse, neu hinterlegter eMail-Adresse und Mobilfunknummer 🤦🏼‍♂️ War dann ein lustiges Kelber-Kelber-Telefonat 🤣

Zeige Konversation

@retha Nein. Aber ab jetzt bestätige und dementiere ich nicht weiter Namen ...

@ulrichkelber

Ich hoffe, dass das für den Anbieter Konsequenzen hat. Wenn es beim Wackeln mit dem Zeigefinger bleibt, machen die einfach so weiter.

Unsere Riester-Versicherung hat bis jetzt in über 10 Jahren jedes Jahr einen Fehler im Daten-Protokoll, und jede Korrektur wurde entweder falsch angewendet oder mit einem neuen Fehler "ausgeglichen". Sowas zeigt, was für unrobuste EDV immer noch betrieben wird.

@ulrichkelber das ist dann zum Ende hin doch völlig Prozesskonform abgelaufen. Nur das der Prozess für Datenänderungen eines Kunden nicht den Fall einer falschen (für den Kunden) aber gültigen (eben die des anderen Kelber) E-Mail berücksichtigt.
Solche Prozess-Beispiele kenne ich zur genüge, doch kann man auch Prozesse anpassen und ändern, nur passiert das relativ selten bei zentralen Prozessen mit ehreren Partnern, da hier der interne und externe Abstimmungs/Anpassungsaufwand "etwas" hoch ist.

@vilbi Naja, die Nicht-Reaktion 2018 und die Reaktion ohne Korrektur 2019 waren dann wohl nicht so wirklich prozesskonform :-)

@ulrichkelber
@vilbi

Doch, doch... Ihr hättet nur die Wohnungen tauschen müssen. Dann wäre die Welt in Ordnung gewesen. Aber die "falschen" Adressen zu behalten - so konnte die Post ja nicht den Richtigen finden!

D., der manchmal überraschende Ansätze für die Prozesskonformität vorfindet.

@ulrichkelber @vilbi
Ach ne, war per E-Mail. Dann halt die Mailadressen tauschen.

@ulrichkelber ich bezog mich ja nur auf den letzten "Sargnagel", die Datenschutzpanne mit dem (ver-)Teilen von Personendaten, im Prozessschritt der Kundenkontakt Änderung...
Die Fehler vorher waren in einem anderen Prozess ;-)

@ulrichkelber Eigentlich (ohne "eigentlich") ist sowas weniger zum Lachen und vielmehr zum Weinen. Skandalös. Ein Armutszeugnis im Hinblick auf die digitalen Kompetenzen eines großen deutschen Internet-Providers. Und es bleibt zu befürchten, dass es bei den Mitbewerbern nicht unbedingt besser aussieht. Digitaler Wahnsinn 2020.

@ulrichkelber Wie reagiert eigentlich so ein Provider, wenn man sich mit "Hallo, Kelber hier, Bundesdatenschutzbeauftragter" meldet? Hört man da direkt den Schweiß von der Stirn rinnen? 😂

@LasseGismo @Metal_Warrior Habe ich doch gar nicht. Ich bin ja als Privatperson angeschrieben worden und habe auch als Privatperson reagiert. Im dritten Jahr dann halt mit cc an zuständige Datenschutzbehörde

@ulrichkelber @LasseGismo

Hab ich schon verstanden, auch wenn ich Privat und Beruf weniger trenne (ist als Nerd auch wenig zielführend). Trotzdem wird das ja doch bisweilen vorkommen, und da wäre ich halt manchmal schon gern Mäuschen 😉

@ulrichkelber Ironie, dass es einfach gleich an Deutschlands höchsten Datenschützer ging. Aber Provider könnte doch ggf. als Telekommunikation gewertet werden und somit doch gleich in Ihre Zuständigkeit fallen? Respekt für die gelassene Reaktion. Ich hätte den Laden auf Links gedreht und allen mal eine Schulungssession und ein saftiges Bußgeld aufgedrückt, weil so oft ist schon mehr als grenzwertig.

@ulrichkelber Allein die letzten Monate Berichtserstattung in den Nachrichten haben öfter den Fall von gängigen Nachnamen gehabt, die dann "ohne Schuldner" zu sein Mahnungen von Unternehmen bekamen, wo sie keinen Vertrag sondern ein Namensvetter abgeschlossen hat. Sowas sollte meines Erachtens überhaupt nicht möglich sein und einen Riegel vorbekommen, da das auch ohne Verschulden in der SCHUFA etc. laden kann.

@citizenK4te Mein Nachnamens-Vetter, der wohl IT-affin ist, erzählte mir, dass er dem Mitarbeiter des Providers erzählt habe, was ich so mache, wenn ich nicht hier privat unterwegs bin 😎

@ulrichkelber das ist ja jetzt auch rein privater Ratschlag gewesen ;-) ob Sie das auf Ihren hochoffiziellen Kanal umsetzen oder in der Behörde ist ja Ihnen überlassen. Reiner Gedankenaustausch ;-)

@citizenK4te Der @bfdi führt die Aufsicht über die Aufgaben von Unternehmen, die Telekommunikationsleistungen darstellen. Und ab Ende des Jahres noch etwas mehr.

@ulrichkelber
@citizenK4te @bfdi

2018... Die haben das doch gemeldet, oder? Oder nicht? Nicht.

Fehlversand ist die... beliebteste Kategorie bei Datenschutzverletzungen. Das sollte nicht passieren, kann aber. Passiert eigentlich ziemlich zuverlässig, schon wegen der Menge von Versandsituationen.

D., der aus diesem Grund bereits öfter Meldeformulare ausfüllen müsste. Immer dumme Zufälle. Keine Wiederholungen unter denselben Umständen. Aber noch nie systematische Ursachen.

@ulrichkelber
Ich empfehle dazu auch einige der Blog posts von Posteo, aus denen man erahnen kann, wie oft Behörden rechtswidrig Auskunft von Kommunikationsanbietern ersuchen. Da wäre sicher nicht so, wenn die meisten Anbieter nicht trotzdem in der Regel Auskunft erteilten (ebenfalls rechtswidrig) ...

posteo.de/blog/transparenzberi

@ulrichkelber

Oha, gerade die Transparenz-Seite von Posteo aufgemacht, und das liest sich wirklich nicht gut, und lässt auch die Position der Landes-BfDs ziemlich schwach aussehen:
posteo.de/site/transparenzberi

Und ich denke mir: Wenn sichere Kommunikation Standard wäre und nicht nicht ständig irgendwie als kompliziert und gefährlich dargestellt würde, wären zumindest die unsicheren Anfragen von Behörden ganz schnell Geschichte...

@ulrichkelber Der Thüringer Amtskollege bekam in der Vergangenheit auch schon "interessante Post". Art. 9 lässt grüßen. 😄

@qbi
Wahrscheinlich illusorisch zu glauben, es könne sich um einen bedauerlichen Einzelfall handeln.
@ulrichkelber

Melde dich an, um an der Konversation teilzuhaben
Bonn.social

Bonn.social ist eine Mastodon-Instanz für Bonn und alle, die Bonn mögen.

Impressum, Datenschutzerklärung