Mißbräuchlicher Gebrauch der DSGVO

  • Nachstehend eine Mail von einem Kölner, der einen Handwerksbetrieb angeschrieben und Auskunft und Löschung von Daten nach der neuen DSGVO fordert. Merkwürdig nur: Der angeschriebene Handwerksbetrieb kennt den Absender überhaupt nicht und hatte noch nie mit ihm geschäftlich zu tun. Warum macht der das? Geht es um " Abzocke " für den Fall, dass auf seine Mail nicht geantwortet wird.


    Hat noch jemand eine derartige Mail erhalten?


    >>>>>>>


    Sehr geehrte Damen und Herren,
    nach Art. 15 DSGVO habe ich das Recht, von Ihnen eine Bestätigung darüber zu verlangen, ob Sie personenbezogene Daten über meine Person gespeichert haben. Sofern dies der Fall ist, so habe ich ein Recht auf Auskunft über diese Daten.

    Angaben zur Identifizierung:
    Adresse:



    Sie können meine Identitätsangaben über die Angaben auf der Website „ ...... " und der digitalen Signatur dieser E-Mail verifizieren.

    1. Auskunft über meine bei Ihnen gespeicherten Daten
    Ich darf Sie in diesem Fall bitten, mir gemäß Art. 15 Abs. 1 DSGVO folgende Informationen elektronisch mitzuteilen:
    a) Welche Daten über meine Person konkret bei Ihnen gespeichert oder verarbeitet werden (z.B. Name, Vorname, Anschrift, Geburtsdatum, IP-Adresse, Cookies, E-Mail-Adresse).
    b) Weiterhin wollen Sie mich bitte über die Verarbeitungszwecke meiner Daten ebenso informieren wie über
    c) die Kategorien personenbezogener Daten, die bezüglich meiner Person verarbeitet werden;
    d) die Empfänger oder Kategorien von Empfängern, die meine Daten bereits erhalten haben oder künftig noch erhalten werden;
    e) die geplante Dauer für die Speicherung meiner Daten, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
    f) über das Bestehen meiner Rechte auf Berichtigung, Löschung oder Einschränkung der Verarbeitung meiner Daten, ebenso wie über mein Widerspruchsrecht gegen diese Verarbeitung nach Art. 21 DSGVO und mein Beschwerderecht bei der zuständigen Aufsichtsbehörde.
    g) Sofern die Daten nicht bei mir erhoben werden, fordere ich Sie auf, mir alle verfügbaren Informationen über die Herkunft der Daten mitzuteilen; sowie
    h) mir darzulegen, ob eine automatisierte Entscheidungsfindung einschließlich Profiling gemäß Art. 22 DSGVO besteht. In diesem Fall wollen Sie mir bitte aussagekräftige Informationen über die involvierte Logik und die angestrebten Auswirkungen einer derartigen Verarbeitung für meine Person mitteilen.
    i) Wurden meine personenbezogenen Daten an ein Drittland oder an eine internationale Organisation übermittelt, wollen Sie mir bitte mitteilen, welche geeigneten Garantien gemäß Art. 46 DSGVO im Zusammenhang mit der Übermittlung vorgesehen sind.
    Bitte stellen Sie mir kostenfrei eine Kopie meiner bei Ihnen gespeicherten personenbezogenen Daten zur Verfügung. Da ich diesen Antrag elektronisch stelle sind mir die Informationen in einem gängigen elektronischen Format zur Verfügung zu stellen.

    2. Löschung meiner Daten
    Weiterhin verlange ich nach Art. 17 DSGVO die unverzügliche Löschung meiner bei Ihnen verarbeiteten personenbezogenen Daten.
    Die Voraussetzungen des Art. 17 DSGVO liegen nach meiner Ansicht vor. Sofern ich eine Einwilligung zur Verarbeitung meiner Daten erteilt habe, widerrufe ich diese hiermit, bzw. lege gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung ein. Dies gilt ebenso für das Profiling gemäß Art. 22 DSGVO. Lehnen Sie die Löschung ab, so haben Sie dies mir gegenüber zu begründen.
    Sofern Sie meine personenbezogenen Daten öffentlich zugänglich gemacht haben und gemäß Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet sind, haben Sie angemessene Maßnahmen zu ergreifen, um sämtliche Empfänger meiner Daten darüber gemäß Art. 19 DSGVO zu informieren, dass ich die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien dieser personenbezogenen Daten verlangt habe.

    Mit freundlichen Grüßen


  • Sehr interessant. Habe noch nichts vergleichbares gehört. Aber wie verhält es sich denn nun.

    Der Handwerksbetrieb hatte vorher noch keinen Kontakt -> jetzt nach der Mail, die ja auf einem Server gespeichert ist, leider schon....

    Hört sich stark nach Abmahnung bei "Nichtbeantwortung" an, zumindest für mich als Rechtslaie...

  • Der angeschriebene Handwerksbetrieb kennt den Absender überhaupt nicht und hatte noch nie mit ihm geschäftlich zu tun.

    Wenn keine Daten vorhanden sind, dann ist das doch relativ einfach ihm das mitzuteilen? Vorausgesetzt er hat wirklich nichts gespeichert.

    Dachdecker [ˈdaχˌdɛkɐ] - Jemand der basierend auf ungenauen Daten, die von Leuten mit fragwürdigem Wissen zur Verfügung gestellt werden, präzise Rätselraten kann. Siehe auch; Zauberer, Magier

    * Administrative oder moderative Beiträge in rot

  • Nö, wer nicht anwortet, bekommt wahscheinlich eine kostenpflichtiges Schreiben und danach die Auskunftsklage des Anwalts, der die Mail aufgesetzt hat.


    Denn die Mail hat der Absender doch nie im Leben selbst aufgesetzt. Warum auch?

  • Ich habe schon mehrfach von einer Person, die sich nach intensiver Recherche als RA entpuppte, Anfragen nach Unterlagen bekommen, die ich per Post schicken soll (womit dann ja seine Daten bei mir gespeichert wären).


    Ich vermute, das dient der Vorbereitung einer Abmahnung.


    Ich kenne die Person nicht, und wüsste auch nicht, wie und warum wir geschäftlich zusammenkommen sollten.


    Bei einer ähnlichen Mail vor vielen Jahren, hatte ich ein paar Monate später eine Abmahnung einer anderen Kanzlei im Briefkasten. Zufall? Vielleicht.


    Irgendwo hatte ich diese Woche gelesen, dass der Schutz von Kleinbetrieben vor soöchen Abmahnungen verbessert werden soll.

    Der Betreiberverein dieses Forums freut sich über Spenden von Fragestellern, die hier kostenlos Hilfe bekommen haben. Kurze Wege führen über Paypal oder eine Banküberweisung

    .

  • Zitat

    Wenn keine Daten vorhanden sind, dann ist das doch relativ einfach ihm das mitzuteilen? Vorausgesetzt er hat wirklich nichts gespeichert.

    Schon richtig. Aber darum geht´s überhaupt nicht. Es geht darum, dass hier jemand eine neue Abzock-Welle aufzieht. Morgen bekommt der Handwerker womöglich ein gleichlautendes Schreiben von der " Truppe " und danach wieder eins usw. Irgendwann kannst Du dann den Betrieb einstellen.

  • Kann es sein, das jener Handwerksbetrieb Analyse-Tools auf deren Webseite einsetzt?

    Dachdecker [ˈdaχˌdɛkɐ] - Jemand der basierend auf ungenauen Daten, die von Leuten mit fragwürdigem Wissen zur Verfügung gestellt werden, präzise Rätselraten kann. Siehe auch; Zauberer, Magier

    * Administrative oder moderative Beiträge in rot

  • Kann ich ja mal nachfragen. Aber dann bitte vorab folgende Fragen beantworten: Was sind Analyse-Tools und inwiefern führen die zur Sammlung/Speicherung personenbezogener Daten?

  • Was sind Analyse-Tools und inwiefern führen die zur Sammlung/Speicherung personenbezogener Daten?

    Analyse-Tools: Google Analytics, Matomo - sind wohl die Bekanntesten. Das sind sogenannte Tracking-Softwares. Die werden eingesetzt um das Verhalten der Besucher zu analysieren. Welche Seiten werden aufgerufen, wie hoch ist die Verweildauer pro Seite, aus welchem Land usw.


    Die speichern alle IP-Adressen und da IP-Adressen personenbezogenes Datum ist, fällt das unter die DSGVO. Bei Analytics kommt halt noch hin zu, dass Google die Daten in ihren Rechenzentren speichert. Daher ist auch ein ADV von Nöten. Wir selber nutzen hier Matomo, das liegt auf unseren Servern und ist so eingestellt das die letzten 3 Stellen der IP-Adresse verschlüsselt werden. Eine Zuordnung ist daher nicht mehr möglich.


    Ich würde zu mindestens mal schauen ob die Internetseite des Betriebes über eine nötige Datenschutzerklärung verfügt. Kannst mir gerne per PN mal den Link zu senden, dann schaue ich ob sie Tracking-Software einsetzen.

    Dachdecker [ˈdaχˌdɛkɐ] - Jemand der basierend auf ungenauen Daten, die von Leuten mit fragwürdigem Wissen zur Verfügung gestellt werden, präzise Rätselraten kann. Siehe auch; Zauberer, Magier

    * Administrative oder moderative Beiträge in rot

  • Anfrage Per Mail?

    Würde ich als Handwerksbetrieb ablehnen. Ein Handwerksbetrieb arbeitet idr Regional. Soll das schriftlich einreichen. Per Post.

    Per Mail, kann sich es um Spam mit Datenfang handeln. Sobald du auf unbekannte Mails antwortest, wird ggf deine Adresse gespeichert und als Aktiv gelistet. Ergo noch mehr Mist im postfach

    :thumpsdown:

  • Was ist dem Ingenieur passiert?

    Bis jetzt nichts, das Schreiben ist ja noch frisch. Es kam von einem ihm Unbekannten. Deshalb hat ihm der Seminarleiter empfohlen, zu antworten, dass er von ihm keinerlei Daten gespeichert hat.


    Lustig wird es m.E., wenn jemand, mit dem man vielleicht irgendwann einmal geschäftlich zu tun hatte, solche Auskünfte fördert.


    Frage an Kalle : Bei Zugriffen auf die Website hat i.d.R. der Provider die IP-Adressen. Komme ich da selbst dran, und wie kann ich die einer Person zuordnen?

    __________________
    Gruß aus Oranienburg
    Thomas

  • Frage an Kalle : Bei Zugriffen auf die Website hat i.d.R. der Provider die IP-Adressen. Komme ich da selbst dran, und wie kann ich die einer Person zuordnen?

    Wenn ausser dem besuch deiner Webseite keine Kontakt zu deiner Firma stattgefunden hat, ist das die spannende Frage. Aus der Adresse des Anschreiben und der IP die vom Provider gespeichert wird läst sich keine Personenbezogen Verknüpfung herleiten. Dazu müsste er dir das genaue Datum und Uhrzeit nennen um das in den Logdateien zu finden.

    Er müsste jetzt eine sogenannte Negativauskunft erteilen (in dem Fall auf dem elektronischen Weg) und Ihm aber auch gleichzeitig mitteilen das mit abschluss dieses Vorgangs seine Daten die zu diesem Vorgang gehören gelöscht werden.


    Wenn Ihr einen Webseite betreibt. Loggt euch auf dem Kundenportal ein und schaut nach ob Ihr die IP anonymisieren könnt oder das loggen der IP komplett unterbindt.

  • Nö, wer nicht anwortet, bekommt wahscheinlich eine kostenpflichtiges Schreiben und danach die Auskunftsklage des Anwalts, der die Mail aufgesetzt hat.

    Müsste ich denn antworten, auch wenn ich den Verfasser/die Person nicht kenne? Es kann doch nicht sein, dass ich einem solchen Betrüger antworten muß? Ist ja nicht so, dass ich sonst nichts zu tun habe. Wie viel Erfolg hat eine solche Auskunftsklage, wenn ich nachweislich die Person nicht kenne bzw. Daten gespeichert habe?

    Ich habe manchmal das Gefühl, das den Verbrecher, die durch die Leitung kommen, immer neue Türen geöffnet werden, anstatt sie zu schließen. ;(  

  • Müsste ich denn antworten, auch wenn ich den Verfasser/die Person nicht kenne?

    Ja, du bist verpflichte eine Auskunft zu erteilen, auch wenn Sie negativ ist. Und wenn wenn nicht anders gefordert auch in der Form wie du Sie bekommen hast. Per Post, auf den elektronischen Weg oder mündlich.

  • Hallo Eric,


    das erste was der HW schon gemacht hat wäre mein Tipp gewesen: Sofort zum Anwalt.

    Melden macht frei und belastet wen anders.


    Dann würde ich den Schreiber der Mail darauf hinweisen, dass bislang keine Daten von Ihm gespeichert sind, der Schriftverkehr abgelegt und nach (ich weiß nicht wie viel Jahren) gelöscht wird.


    Sollte sich der Verfasser des Schreibens erdreisten eine Kostenpflichtige Abmahnung oder sonstiges zu veranlassen würde ich die Sache einen Richter entscheiden lassen. Darauf würde ich in meiner Antwort höflich aber bestimmt hinweisen.


    Wenn der Schreiber echt nur wissen wollte, ob das Unternehmen Daten von ihm gespeichert hat dürfte sich der Fall erledigt haben, wenn mit dem Schreiben eine Abmahnung vorbereitet wurde dürfte sich das erledigt haben, da Abmahnanwälte normalerweise den Gang vor Gericht scheuen.


    Ocho

  • Das spannende ist ja, das wenn du antwortest, seine Kontaktdaten gespeichert hast.... Oder seh ich das zu eng?

    Das spannende ist doch eigentlich, dass auch ohne eine Antwort jetzt Daten von Ihm auf (d)einem Mailserver liegen. Ergo auskunftspflichtig..., oder??

  • Jupp, jetzt hat man erst recht einen Vorgang und sollte den Ablegen. ->


    Bislang haben wir Keine Daten gespeichert, die ihrer Anfrage zuzuordnen sind.
    Infolge Ihrer Anfrage werden wir die von Ihnen uns nun mitgeteilten Daten zur Nachvollziehbarkeit des Vorgangs für max. 3 Jahre (2 Jahre + Löschvorgänge der Datensicherungen max. 1 Jahr) ab Jahresende also max. bis zum 31.01.2021 speichern.


    Ich denke, dass einige der Anfragen aus der Veröffentlichung des Formulars und dem "Datenklau" aus email-Adressen herrührt.
    Man bekommt also auch Anfragen von Bürgern, die eine spam email mit einer unautorisiert verwendeten email-Adresse bekommen haben und senden dahin das Anfrageformular.

    Nachdenken kostet extra!

  • Wenn Anwälte massenhaft solche Mails verschicken, dann könnten diese recht schnell in den Spamfilter der E-Mailprovider geraten und ihre Mails gleich im Spam-Ordner verschwinden und man bekommt deren Mails erst gar nicht zu sehen. Tja, da kommt Ungemach auf einen zu...


    Ich habe auf meiner Seite keine Tracker und sonstigen Firlefanz. Wozu auch? Mit dem Provider geht man einen Vertrag ein (wie nennt sich der noch?) und in Sachen IP ist der zuständig und man ist raus. Darum muss man sich noch kümmern, wenn man das nicht gemacht hat. Habe ich alles vor Monaten gemacht. Datenschutzerklärung auf der Webseite ist wichtig. Jetzt werde ich wohl noch einen Spruch zusätzlich rein schreiben müssen, dass bei vielfachem DSGVO Anschreiben ihre Mails wohl in den SPAM Filter landen und ich diese erst gar nicht erhalte und sie mich gefälligst per gelbe Post anschreiben sollten... Dann noch für den Fall der Fälle ein Musterschreiben abspeichern...


    Ach herrje... Immer mehr unnütze Arbeit... :motz2:

    Du musst immer einen Plan haben. Denn wenn Du keinen hast, dann wirst Du Teil eines anderen Planes...

  • Frage an Kalle : Bei Zugriffen auf die Website hat i.d.R. der Provider die IP-Adressen. Komme ich da selbst dran, und wie kann ich die einer Person zuordnen?

    Nicht der Provider hat Sie ausschließlich sondern Du ebenso. Server-Logs können bei jedem Provider aus der Weboberfläche abgerufen werden. Du selbst kannst sie nur relativ schwer zuordnen. Dazu musst du den Provider der vergebenen IP Anschreiben und um Auskunft bitten, das Recht dürftest du regelmäßig nicht haben. Spielt dafür aber keine Rolle, denn die IP ist personenbeziehbar, Punkt! Speicherst Du Sie, was ja legitim ist, dann muss darüber in der DS aufgeklärt werden.


    Zur Speicherung geistern so an die 7 Tage rum, die zulässig sein könnten, weil das aus Vergleichsurteilen hervorging. Wurde aber bis jetzt nie konkret Recht gesprochen. Darüber hinaus, musst du genau wegen diesem Fall ein ADV mit deinem Hosting-Provider haben.



    Aus der Adresse des Anschreiben und der IP die vom Provider gespeichert wird läst sich keine Personenbezogen Verknüpfung herleiten.

    Das sind ja auch für sich zwei separate personenbezogene Daten. Die IP, als Kontakt/Email aus dem Schreiben. Es spielt doch absolut keine Rolle ob wir in der Lage sind Verknüpfungen herzustellen. Eine IP ist es zu mindestens bis zu 24 Std. doch immer. Wenn man das Logging ganz ausschaltet, ist aber die Frage - gerade für uns - in wie weit wir der Strafverfolgung dienlich sein müssen. Hasskommentare usw. Derzeit ist zu mindestens die Aufzeichnung im Forum deaktiviert, weil ich mich hier noch nicht sicher bin wie man sich hier sinnvoll verhält. Die Server-Logs sind davon ja unberührt.



    Das würde auch bedeuten, dass ich evtl. Anhänge öffnen müsste, von Absender die ich nicht kenne??? Bisher wird sowas immer gleich in die Rundablage verschoben....

    Sofern du sie in einer Sandbox öffnest, sind mögliche Viren/Trojaner eher ungefährlich. Es sollte aber so sein, dass in deiner DS-Erklärung die zuständige Stelle benannt sein muss, mit Kontaktweg. Das war aber auch schon nach TMG so, das dass Impressum mindestens um eine "schnell verfügbare" Kontaktaufnahme verfügen muss. Ob ein Kontaktformular darunter fällt sei mal dahingestellt. Wenn du einen Brief bekommst, ist der Kommunikationsweg ja klar.


    Im Zeitalter der Digitalisierung sollte man aber Email's nicht einfach ignorieren.

    Bislang haben wir Keine Daten gespeichert, die ihrer Anfrage zuzuordnen sind.
    Infolge Ihrer Anfrage werden wir die von Ihnen uns nun mitgeteilten Daten zur Nachvollziehbarkeit des Vorgangs für max. 3 Jahre (2 Jahre + Löschvorgänge der Datensicherungen max. 1 Jahr) ab Jahresende also max. bis zum 31.01.2021 speichern.

    Was ja entgegen der DSGVO wäre. Die sagt ja, dass die Speicherung nur solange aufrecht erhalten werden darf, wie der Zweck noch nicht erfüllt oder gesetzliche Vorschriften dies unterbinden. Kennst du Aufbewahrungsfristen für derartige Schreiben? Ich nicht. Ergo, muss nach Klärung auch Löschung erfolgen.

    Wozu auch? Mit dem Provider geht man einen Vertrag ein (wie nennt sich der noch?) und in Sachen IP ist der zuständig und man ist raus.

    Nein! Der Provider einer Hostingplattform arbeitet im Auftrag. Man selber ist also NIE raus. Es ist deine Aufgabe das Loggen von IP einzustellen als auch deine Besucher darüber aufzuklären. Da hilft auch nicht der ADV.

    Jetzt werde ich wohl noch einen Spruch zusätzlich rein schreiben müssen, dass bei vielfachem DSGVO Anschreiben ihre Mails wohl in den SPAM Filter landen und ich diese erst gar nicht erhalte und sie mich gefälligst per gelbe Post anschreiben sollten... Dann noch für den Fall der Fälle ein Musterschreiben abspeichern...

    Der muss schon seit dem 25.05 drin stehen. Nennt sich zuständige Stelle. Ob das mit dem Spam-Filter im Sinne ist? Ich glaub da ja eher weniger dran.

    Dachdecker [ˈdaχˌdɛkɐ] - Jemand der basierend auf ungenauen Daten, die von Leuten mit fragwürdigem Wissen zur Verfügung gestellt werden, präzise Rätselraten kann. Siehe auch; Zauberer, Magier

    * Administrative oder moderative Beiträge in rot

  • Mit dem Provider geht man einen Vertrag ein (wie nennt sich der noch?) und in Sachen IP ist der zuständig und man ist raus.

    Das bist du nicht, denn der Provider arbeit in deinem Auftrag und du must mit Ihm einen Vereinbarung zur Auftragsverarbeitung abschliessen. Und zusätzlich solltest du noch ein Verzeichnis von Verarbeitungstätigkeiten erstellen. Hier listest du alles auf was bei dir mit erhobene Daten passiert. Das wird im Fall der Fälle von die abverlangt.

  • Der muss schon seit dem 25.05 drin stehen. Nennt sich zuständige Stelle. Ob das mit dem Spam-Filter im Sinne ist? Ich glaub da ja eher weniger dran.

    Ja aber wenn der Spamfilter die Mail vom Anwalt heraus filtert und man diese nicht bekommt und dann abgemahnt wird, weil man nicht reagiert hat?

    Du musst immer einen Plan haben. Denn wenn Du keinen hast, dann wirst Du Teil eines anderen Planes...

  • Was ist das fürn Spamordner den man nicht einsehen kann?

    Dachdecker [ˈdaχˌdɛkɐ] - Jemand der basierend auf ungenauen Daten, die von Leuten mit fragwürdigem Wissen zur Verfügung gestellt werden, präzise Rätselraten kann. Siehe auch; Zauberer, Magier

    * Administrative oder moderative Beiträge in rot