Home > Allgemein > Negativauskünfte per Email?

Negativauskünfte per Email?

4. Januar 2012

Die Anfragen über selbstauskunft.net verursachen bei Auskunfteien erheblichen Kosten, die bei kleineren Betrieben sogar existensbedrohlich werden können. Über die heutige Erwähnung bei netzpolitik.org freuen wir uns natürlich sehr, doch wird das Problem der Unternehmen dadurch noch verschärft.

Die meisten Auskünfte beinhalten lediglich die Information, dass keine Daten und Scoringwerte vorhanden sind (sog. Negativauskünfte) und werden alle über den Postweg versendet. In Gesprächen mit dem Datenschutzbeauftragten einer Auskunftei haben wir nun möglicherweise eine Lösung zur Senkung der Kosten gefunden. Die entscheidende Frage lautet:

Ist es datenschutzrechtlich zulässig, dem Anfragenden per E-Mail mitzuteilen, dass die vorgegebene Person bei einem Unternehmen nicht bekannt ist?

Sollten Daten oder Scoringwerte vorhanden sein, würde das Unternehmen eine Auskunft weiterhin per Post an den Anfragenden versenden. Bedacht werden muss hierbei, dass wir nicht prüfen können, ob die E-Mail-Adresse wirklich zu der angegebenen Person gehört. Bei vielen Hotlines genügt es heutzutage allerdings, sich mit persönlichen Daten wie Anschrift und/oder Geburtsdatum auszuweisen. Ein höheres Sicheheitsniveau bieten persönliche Kundenkennwörter, die beim Anruf abgefragt werden, aber seltener zur Anwendung kommen.

Im September haben wir eine entsprechende Anfrage an die für uns zuständige Aufsichtsbehörde gestellt. Wir erkundigen uns regelmäßig nach dem Status unserer Anfrage. Aufgrund zahlreicher Fristsachen konnte sie leider bisher noch nicht bearbeitet werden. Uns würde interessieren: Was haltet ihr von dem angedachten Verfahren? Fallen euch Alternativen ein?

  1. Patrick
    4. Januar 2012, 20:00 | #1

    Wie wäre es mit einer kleinen Box „Im Falle einer Negativauskunft bin ich mit einer Benachrichtigung per Email zufrieden“?
    Email ist bei sowas am einfachsten, schnellsten und wahrscheinlich auch kostengünstigsten. Ehrlich gesagt würde ich auch kein Schreiben per Post haben wollen, in dem steht „Über Sie ist bei uns nichts gespeichert“.

  2. Jochen
    4. Januar 2012, 21:02 | #2

    Ganz ehrlich? Wer Daten sammelt, muss damit rechnen gefragt zu werden, Auskunft zu geben und dafür zu zahlen! Wenn jeder von seinem Recht gebrauch machen würde gäbe es erst gar nicht mehr so viele Auskunfteien ….
    Ich möchte einen schönen Brief mit dickem Porto.
    Wenn er das Porto nicht zahlen kann oder will soll er den Laden dicht machen.

  3. Jana
    4. Januar 2012, 23:21 | #3

    Eine „Negativauskunft“ per E-Mail hat nur Kostensenkungsvorteile für das Unternehmen.
    Die bei der Beantwortung von Auskunftsersuchen anfallenden Kosten sind vor allem für Auskunfteien und Adresshändler, deren Geschäftszweck ausschließlich aus Datenverarbeitung und Datenübermittlung besteht, normale mit der Geschäftstätigkeit verbundene Kosten.
    Also kein falsches Mitgefühl mit den „armen“ Unternehmen, die durch ihre gesetzlichen Privilegien mit den Daten fremder Menschen, meist ohne deren Einwilligung, Geld verdienen!

    Der Betroffene hat außerdem eher Nachteile bei E-Mail-Negativauskünften:

    Denn 1. wird eine normale E-Mail unverschlüsselt gesendet und ist somit wie eine Postkarte zu sehen. Nur dass eine E-Mail im Gegensatz zu einer Postkarte durch das „halbe“ Internet läuft und von entsprechend vielen unbekannten Dritten mitgelesen wird.
    Merke: Unverschlüsselte E-Mail ist grundsätzlich unsicher! Und wir sind hier doch besonders Datenschutz-affin, oder nicht?
    Es wäre ja gerade zu absurd, wenn offenbar auf Datenschutz Wert legende Auskunftssteller dann dennoch eine unsichere, unverschlüsselte E-Mail akzeptieren würden.

    Und 2. kann bei Verzicht auf Postversand jeder ganz einfach per gefakter E-Mail-Adresse Auskunftsanfragen zu fremden Personen stellen. Es wird zwar nur die Negativauskunft per E-Mail zugestellt; dies ist an sich aber bereits ein personenbezogenes Datum, nämlich dass nichts zu der betreffenen Person bei Auskunftei/Adresshändler XY gespeichert ist.
    Beispielsweise könnte man so alle Banken in Deutschland abfragen, ob dort Daten zu einer bestimmten Person gespeichert sind.
    Am Ende hätte man womöglich nur von einer Bank keine Negativauskunft; und genau bei dieser hat die Person dann mit hoher Wahrscheinlichkeit ein Bankkonto.
    Also: Wollen wir Rasterfahndung durch jedermann?

    Langer Rede kurzer Sinn:
    Dass Unternehmen oder andere Stellen mehr Kosten und Aufwand durch vermehrte Auskunftsanfragen haben, ist gerade der Sinn und Zweck der ganzen Operation.
    Denn wenn immer mehr Menschen wissen wollen, wer was über sie speichert, werden diese Stellen alleine schon aus dem ökonomischen Marktprinzip heraus versuchen, die Menge der gespeicherten Daten zu reduzieren.
    Es ist nicht Aufgabe der Betroffenen, den datenspeichernden Unternehmen bei ihrer Gewinnmaximierung zu helfen.

    Hol Dir Deine Daten zurück! Denn Deine Daten gehören Dir!
    Die Tage der Goldgräberstimmung in der Datenindustrie sind gezählt!

  4. Julian
    5. Januar 2012, 00:39 | #4

    Hallo Jana, vielen Dank für deinen Beitrag.

    Denn 1. wird eine normale E-Mail unverschlüsselt gesendet und ist somit wie eine Postkarte zu sehen. Nur dass eine E-Mail im Gegensatz zu einer Postkarte durch das “halbe” Internet läuft und von entsprechend vielen unbekannten Dritten mitgelesen wird.

    Statt per E-Mail könnte man über eine gesichertes Webseite die Negativ-Aukunft bereitstellen. Das bedeutet allerdings, dass wir diese zumindest bis zum Abruf speichern müssten.

    Und 2. kann bei Verzicht auf Postversand jeder ganz einfach per gefakter E-Mail-Adresse Auskunftsanfragen zu fremden Personen stellen. Es wird zwar nur die Negativauskunft per E-Mail zugestellt; dies ist an sich aber bereits ein personenbezogenes Datum, nämlich dass nichts zu der betreffenen Person bei Auskunftei/Adresshändler XY gespeichert ist.
    Beispielsweise könnte man so alle Banken in Deutschland abfragen, ob dort Daten zu einer bestimmten Person gespeichert sind.
    Am Ende hätte man womöglich nur von einer Bank keine Negativauskunft; und genau bei dieser hat die Person dann mit hoher Wahrscheinlichkeit ein Bankkonto.

    Dem Problem sind wir uns bewusst und wir sind gespannt, wie die Aufsichtsbehörden dieses bewerten. Ein Angreifer könnte mit einer falschen Identität genauso alle Banken durchtelefonieren um zu erfahren, bei welcher Bank es ein Konto gibt. Vielen unserer Nutzern würden es sicherlich begrüßen, wenn Selbstauskünfte nicht in einem Papierkrieg enden und sie nur gespeicherte Daten auf Papier bekommen.

  5. Mathias Schindler
    5. Januar 2012, 00:42 | #5

    Ich glaube, dass mit der aktuellen Situation die Motivation für die Auskunfteien steigt, eine Gesetzesänderung von Pull nach Push zu befürworten. Anstelle von Anfragen wäre es denkbar, dass jeder Betrieb, der Daten über eine Person vorrätig hält, diese Person einmal pro Jahr in einer Art „Datenkontoauszug“ über Art und Inhalt der Daten informieren muss. Auf Wunsch des Betroffenen kann dann bilateral vereinbart werden, dass die Mitteilungen im nächsten Jahr auch per Email erfolgen können. Meines Erachtens ist so etwas schon mehrfach von anderen Menschen vorgeschlagen worden.

    Die Konsequenzen wären, dass sich ggf. viele Betriebe überlegen würden, ob sie personenbezogene Daten wirklich noch benötigen.

    Bis dahin ist es wohl sinnvoll, dass die jährliche Anfrage halt eben auch per Post beantwortet werden muss.

  6. Julian
    5. Januar 2012, 01:42 | #6

    Mathias Schindler :

    Anstelle von Anfragen wäre es denkbar, dass jeder Betrieb, der Daten über eine Person vorrätig hält, diese Person einmal pro Jahr in einer Art “Datenkontoauszug” über Art und Inhalt der Daten informieren muss.

    Das wäre der vom Chaos Computer Club geforderte Datenbrief. Wenn sich einzelne Auskunfteien freiwillig zu einem jährlichen Datenbrief verpflichten, würden wir diese sofort aus unserer Datenbank nehmen. Nur ab wann wird so ein Datenbrief für eine Auskunftei wirtschaftlich sinnvoll und was tut man, wenn sich diese nicht an die Selbstverpflichtung hält?

  7. Tutnix Zursache
    5. Januar 2012, 01:02 | #7

    Julian :
    … und was tut man, wenn sich diese nicht an die Selbstverpflichtung hält?

    Genau das ist der eigentliche Punkt. Ich traue gewissen Auskunfteien durchaus zu, der Einfachheit halber erst mal eine Negativauskunft per E-Mail rauszuhauen und nur im (vermutlich nicht allzu häufigen) Fall einer erneuten Nachfrage den „Irrtum“ zu berichtigen und mit den Daten rüberzuschieben.
    Ich denke, so einen einfachen Ausweg darf man den Gaunern dieser Branche nicht bieten.

    Politisch ist gewollt, dass der Bürger auf einem gesicherten Kanal (und da gibt es eben in Deutschland meines Erachtens nur den Brief mit Postgeheimnis) kostenlos Auskunft erhält. Wenn Politik oder Unternehmen in Zukunft andere (günstigere) Lösungen für sichere Kommunikation finden, soll es mir recht sein. Bis dahin dürfen sich ruhig ein paar Auskunfteien an der eigenen Portokasse verheben.

  8. Iron
    5. Januar 2012, 08:10 | #8

    Die Lösung eines Datenbriefes, wie vom CCC vorgeschlagen, finde ich gut.

    Die Frage bei der Übermittlung ist auch, ob ich Auskunfteien für falsch übermittelte auch Daten via E-Mail belangen kann oder nicht?

  9. Valentin
    5. Januar 2012, 09:59 | #9

    Ich finde negativauskünfte per Email sind absolut fair, und eine Negativauskunft ist auch kein Problem, wenn die einer auf dem Email-Weg mitliest (und wenn das das Problem ist, könnte man ja sogar erlauben einen public key mit anzugeben mit dem die Email verschlüsselt wird .. aber ich halte das für übertrieben). So lange sich die Aufsichtsbehörde nicht äußert, finde ich die Idee mit der Checkbox gut, den Absender der Anfrage um Zustimmung zu bitten.

  10. Bruno
    5. Januar 2012, 10:26 | #10

    Ich würde keine (Negativ-)Auskunft per E-Mail akzeptieren. Die Gründe wurden bereits in den vorherigen Kommentaren genannt. Daher beschränke ich mich auf das Kosten-Argument.

    Kosten für Selbstauskünfte werden von Unternehmen eingepreist, d.h. diese Kosten zahlen die Kunden der Datenhändler. Da alle Unternehmen von diesen Kosten für Selbstauskünfte betroffen sind, gibt es auch keine Verzerrung des Wettbewerbs.

    Eine Existenzgefährdung kann ich nicht erkennen, daher sehe ich auch keinen Grund auf den Brief zu verzichten.

  11. Julian
    5. Januar 2012, 11:47 | #11

    Valentin :

    Ich finde negativauskünfte per Email sind absolut fair, und eine Negativauskunft ist auch kein Problem, wenn die einer auf dem Email-Weg mitliest (und wenn das das Problem ist, könnte man ja sogar erlauben einen public key mit anzugeben mit dem die Email verschlüsselt wird .. aber ich halte das für übertrieben). So lange sich die Aufsichtsbehörde nicht äußert, finde ich die Idee mit der Checkbox gut, den Absender der Anfrage um Zustimmung zu bitten.

    Ohne Zustimmung der Aufsichtsbehörde machen wir nichts in der Richtung. Das Problem der nicht-verifizierten E-Mail Adresse bleibt leider bestehen – wir wissen nicht wem die E-Mail-Adresse gehört. Ein Angreifer kann neben seiner eigenen E-Mail-Adresse genauso die Checkbox anklicken.

  12. ruena
    5. Januar 2012, 18:31 | #12

    Bin für Brief und Kosten-Verursachen damit der Datenbrief motiviert wird.

  13. Matthias
    5. Januar 2012, 22:13 | #13

    Wie lang braucht eigentlich euer ISDN Fax für 40000 Nachrichten?

  14. Anno Nym
    6. Januar 2012, 00:12 | #14

    Ich hab für eine (Negativ-)Auskunft per E-Mail nichts übrig. Selbst wenn ein Unternehmen nichts über mich gespeichert hat, so möchte ich diese Aussage auch per Brief bekommen den ich mir abheften kann. Ich erhoffe mir hierbei mehr Rechtsverbindlichkeit als bei einer ausgedruckten E-Mail.

  15. Lars
    6. Januar 2012, 01:57 | #15

    Julian :

    Mathias Schindler :
    Anstelle von Anfragen wäre es denkbar, dass jeder Betrieb, der Daten über eine Person vorrätig hält, diese Person einmal pro Jahr in einer Art “Datenkontoauszug” über Art und Inhalt der Daten informieren muss.

    Das wäre der vom Chaos Computer Club geforderte Datenbrief. Wenn sich einzelne Auskunfteien freiwillig zu einem jährlichen Datenbrief verpflichten, würden wir diese sofort aus unserer Datenbank nehmen. Nur ab wann wird so ein Datenbrief für eine Auskunftei wirtschaftlich sinnvoll und was tut man, wenn sich diese nicht an die Selbstverpflichtung hält?

    Mal eine kleine Anmerkung zum „Datenbrief“.

    Auf den ersten Blick sieht dieses ja recht sinnvoll aus. Auf den zweiten Blick aber auch wieder nicht.

    Wenn jeder Betrieb dazu verpflichtet würde, einmal jährlich diesen Datenbrief zu verschicken, könnte es evtl. doch mal Innerfamiliäre probleme geben. Oder wie würde man es bespielsweise finden wenn die Frau den Brief einer Firma aufmacht die an den Ehemann adressiert ist und wo dann drin steht wann er welchen Pornofilm gekauft hat 😉

    Das nur mal so als Denkanstoß zum „Datenbrief“. Gut gemeint aber auch wieder am Ziel vorbei.

  16. b1
    6. Januar 2012, 11:01 | #16

    ich finde die Idee mit den Versand der Negativ-Auskunft per E-Mail, als Option anzubieten per Checkbox wirklich toll! da kann dann jeder der ein Brief nicht braucht bei Negativ-Auskunft, auch diese Checkbox anklicken.

  17. b1
    6. Januar 2012, 12:11 | #17

    @Matthias
    würde mich auch interessieren, mittlerweile bei über 50k

  18. Super Sache
    9. Januar 2012, 10:46 | #18

    Meine Meinung: Wer mit Daten von Bundesbürgern handelt, sollte auch dafür zahlen müssen.
    Es kann nicht sein, dass hinter unserem Rücken mit unseren Daten gehandelt wird und sich die Firmen eins ins Fäustchen lachen.
    Wenn dann aber Kosten auf die Firmen zurollen, dann sollen sie ihre Schwä*** einziehen dürfen?
    Nein.

    Nur wer bedacht wirtschaftet, sollte in der Wirtschaft überleben dürfen.

Kommentare sind geschlossen
Powered by: Digineo - Web-Entwicklung in Ruby On Rails und PHP