Mir ist vor einiger Zeit ein Leserhinweis untergekommen, der mich informierte, dass er ungewollt von Firmen Angebote über Versicherungen bekam, die er nicht angefordert hatte. Es wurde bei den Angeboten unumwunden eingestanden, dass diese auf Veranlassung eines BMW-Händlers erfolgten. Hintergrund ist, dass die BMW-Händler ungeprüft E-Mail-Adressen weitergeben, so dass nicht beteilige Dritte dann die Angebote erhalten. Mich würde von der Leserschaft interessieren, ob dies allgemeine Praxis ist und ob dazu eine DSGVO-Einwilligung erteilt wurde.
Anzeige
Ich hatte im Mai 2024 im Beitrag DSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst berichtet, wie lax manche Autohändler mit Kundendaten umgehen. Ein Leser hatte Werkstattbenachrichtigungen im Fleetback-Programm bekommen, die aber einen gänzlich anderen Kunden betragen.
In diesem Zusammenhang hatte Stefan K. mir dann noch eine Mail geschickt und meinte "zu Deinem Blog-Artikel passen auch die beiden angehängten Mails. BMW-Händler geben
Daten mit falschen, nicht überprüften Mail-Adressen an Versicherungen weiter. Hier eine solche Mail:
Angebot für den Abschluss von BMW/MINI Repair Inclusive
Guten Tag ,
herzlichen Dank für Ihr Interesse an BMW/MINI Repair Inclusive.
Mit dieser E-Mail erhalten Sie das von Ihrem BMW/MINI Partner veranlasste Angebot für die Absicherung Ihres Fahrzeugs über die Hersteller-Gewährleistung hinaus.
Um Ihren persönlichen Versicherungsantrag abzuschließen, ist nur noch ein kleiner Schritt erforderlich: Melden Sie sich einfach in unserem Kundenportal über den folgenden Link oder das Feld „Jetzt abschließen" mit Ihren Zugangsdaten an. Sofern Sie noch nicht registriert sind, werden Sie im ersten Schritt dazu aufgefordert, ein initiales Passwort zu vergeben.
Sollten Sie noch Fragen zum Produkt haben, steht Ihnen das Customer Support-Team der Real Garant unter +49 711 / *** gerne zur Verfügung.
In der Mail sind personalisierte Links enthalten, über die der Empfänger ein Benutzerkonto einrichten könnte. Dann ließe sich beliebig Schindluder treiben. Der Leser schrieb, dass er in den vergangenen Jahren eine ganze Reihe ähnlicher Mails von anderen, ihm völlig unbekannten BMW-Händlern an seine verschiedenen Mail-Adressen
erhalten habe. Gibt es jemand, der ähnliche Erfahrungen gemacht hat? Ist das allgemein Usus?
Cyberrisiko für BMW-Händler
Ich ergänze es mal hier: Mir liegt zudem die Information vor, dass BMW-Händler dem Risiko ausgesetzt sind, dass die benutzten Plattformen übernommen werden.
Anzeige
Sicherheitsforscher von Cybernews haben bei einer Recherche herausgefunden, dass ein BMW-Händler in Indien durch das Versäumnis, ein Passwort zu setzen, das gesamte Netz der Autohäuser des Landes gefährdet und seine Kunden einem Risiko ausgesetzt hat. Ob das auch für Deutschland zutrifft, weiß ich nicht – die Details des Falls lassen sich hier nachlesen.
Ähnliche Artikel:
DSGVO-Falle Fleetback: Wenn Du die falsche Benachrichtigung bekommst
BMW kickt Abonnement für Sitzheizung
Apple will Fix für BMW-Ladeschalen-Bug beim iPhone 15 bringen
Anzeige
Fährt der besagte Stefan K. einen BMW oder MINI? Hat er für diesen beim evtl. eine Anschlussgarantie mit abgeschlossen oder ggf. auch im Paket automatisch mit erhalten?
Dann ist es korrekt das seine Daten zum Abschluss der Versicherung an die Real Garant übermittelt wurden, denn die Versicherung wird zwischen der Versicherung und dem Käufer abgeschlossen. der BMW Händler führt den Vorgang nur im Auftrag aus und muss dabei natürlich die Kundendaten an die Versicherung melden.
Eine wahllose Übermittlung seitens des BMW Händler ist eigentlich ausgeschlossen, weil der BMW Händler jedes Mal eine aktive Anfrage stellen müsste, das sollte nicht pauschal ohne Zustimmung passieren.
Was also bleibt sind ja nur folgende Szenarien:
Stefan K. hat eine Mailadresse die einem Muster entspricht wie z.B. „keine@angabe.de", „keineangabe@mail.de etc, die als Platzhalter bei Kundendaten dient, wenn man keine Mailadresse hat. Der BMW Händler führt den Vorgang aus und achtet nicht darauf das keinen richtige Mailadresse eingetragen ist, sondern die eigentliche Platzhalter Adresse die bei Stefan K. landet.
Szenario 2: Nicht der BMW Händler ist das Problem, sondern die Real Garant die in ihrer Bestandsdatenbsnk Daten durcheinander wirft und Vorgänge per Mail versendet die nicht korrekt sind.
Szenario 3: Stefan K. ist selber Autohändler und kauft regelmäßig BMW und MINI Fahrzeuge um diese weiterzuverkaufen. Der BMW Händler stellt wirklich pauschal diese Anfragen auf X Jahre alte Fahrzeuge die Sie verkauft haben um so seine Abschlussquote zu pushen.
Ich würde einfach mal eine Datenauskunft nach DSGVO bei der Real Garant in Bezug auf die Mailadresse beantragen, oder sofern der/die BMW Händler bekannt sind, dort ebenfalls.
Bei ALDI gibt's viel besseren Spekulatius!
Ein Kleinkind ohne Nachnamen blafasel-blubberte: "Was also bleibt sind ja nur folgende Szenarien: [alles Unzutreffende entsorgt]"
Stefan K. hat weder einen BMW noch einen MINI, war und ist weder Kunde der in den Mails genannten BMW-Händler oder der Versicherung noch ein Rosstäuscher^WAutohändler.
Kurz: wehret den Spekulanten!
Dann sollte besagter Stefan (ebenfalls ohne Nachname) K. eine Auskunft seiner Daten gemäß Art. 15 verlangen um den Spekulationen ein Ende zu setzen. Sowohl beim Händler bzw. den Händlern, wie auch bei der Versicherung. Denn erst wenn alle mit im Boot sind kann wirklich geklärt werden, ob es der Händler oder die Versicherung ist die das Problem verursachen.
Stattdessen kritisiert er hier lieber konstruktive Lösungsansätze.
Wenn seine Mailadresse, wie auch immer, ständig in einem Verteiler landet muss es ja ein Grund haben, denn anscheinend wird er ja nicht persönlich angeschrieben. Der Admin des Händlers kann sehr einfach prüfen ob besagte Mailadresse im Datenstamm zu finden ist oder nicht.
Warum sollte "man" eine DSGVO-Auskunft gem. Art. 15 verlangen, wenn man gar nicht der Adressat ist und dann auch noch versuchen, herauszufinden, wer das Problem verursacht? Eine Beschwerde beim zuständigen LfDI wäre in seinem Fall angebrachter – aber damit spammen wir die Landesdatenschutzbeauftragte zu. Ändern würde sich auch nix – denn der Fehler liegt in der Konzeption des skizzierten Systems (siehe unten).
Der Kommentar von dir ist daher in meinen Augen daneben – auch wenn Du dich wegen des "konstruktiven Lösungsansatzes" angefasst fühlst. Segelt im Kontext "das Opfer ist schuld, es müsste doch mal …".
Nur zum Mitdenken: Die BMW-Händler sowie die betreffenden Versicherungen müssten nach DSGVO sicherstellen, dass sie a) eine DSGVO-Einwilligung vorliegen haben und b) stimmige Daten besitzen. Tun sie aber nicht – im Zweifelsfall sitzen sie auf einer Datenhalde die 50 % Nieten enthält.
Wenn ich hier im Blog einen Newsletter aufsetzen oder eine Registrierung von Kommentatoren zulassen wollte, müsste ich ein double-opt-in implementieren. Mache ich aus Aufwands- und DSGVO-Gründen nicht – würde aber zuverlässig verhindern, dass jemand mit einem Vertipper im E-Mail-Namen sich registrieren könnte.
Zurück zum obigen BMW-Händler und dessen Versicherungspartner: Warum machen die das eigentlich nicht? Zweiter Foolproof-Ansatz: Meine Banken schicken mir auch Mails – die landen dann aber im Postfach meines Online-Banking-Kontos. Machen viele Firmen, z.B. mit Rechnungen so (über den Komfort mag man streiten, wenn man sich am Kundenkonto anmelden muss, um die Rechnung zu lesen). Aber wer oder was hindert den BMW-Händler diese Lösung ebenfalls zu verwenden (die sitzen eh auf einer entsprechenden Software, die Händlern vorgeschrieben ist). Dort ein internes Kunden-Postfach beim Kunden-Konto für die Kundenkommunikation für den Kunden aufzusetzen. Auch dort würden Fehlläufer ausgeschlossen.
Sind nun zwei Lösungen gemäß "Stand der Technik", die den obigen Fall ausschließen. Aufgabe zum Nachdenken.
Tja, aus diesem Grund bekommen Firmen, die unbedingt eine Mail haben wollen sowas wie "bmw2019@meinedomain.tld" als alias. Dann weiß ich ganz genau wer, von wem und von wann diese stammt. Ich bekomme teilweise noch heute dropbox@ Mails, weil die vor 10 Jahren gehackt wurden.
Eine absterbende Branche, die immer mehr Enshitification betreibt.
Das kann man aber leider nur machen wenn man eine eigene Domain hat. Bei normalen Emailanbietern gibt es meist nur ein paar Alias-Adressen. Aber prinzipiell ist der Ansatz richtig keine Firma braucht meine Email-Adresse zwingend.
Bei Google Mail kann man viele beliebige Alias-Adressen nutzen, indem man einfach "+meinalias" zwischen der E-Mail-Adresse und dem @ hinzufüget, Bespiel: "mustermensch+musterservice@gmail.com". Ich bin mir gar nicht sicher, ob das ein Standard im E-Mail Ökosystem ist oder eine Google Kreation.
Ist kein Standard.
Google liest da auch gern jede Mail durch ist auch nicht jedermans Sache. Daher geht es wohl auch mit so vielen Aliasadresse da gibts auch mehr zu lesen.
Wobei man ja dann auch sofort die normale Emailadresse kennt die steht ja vorm "+".
Ist zwar kein Standard, aber wird von sehr vielen Mailserver-Systemen in der Standardkonfiguration unterstützt.
Ein Beispiel:
Bei dem netten deutschen Provider mit dem Namen einer indianischen Gottheit bekommst du für 2,50 €/Mon. eine Domain, 50 GB und unbegrenzt Emailadressen, das Problem ist also mit bescheidenem Aufwand lösbar.
GMX, Web.de etc. kosten mehr bei weniger Leistung, wenn man das Werbefrei-Abo nimmt.
Habe gerade bei BMW einen Jahreswagen gekauft. Es wurde nett gefragt, ob ich ein Angebot für eine Versicherung benötige. Da ich dies verneinte, bat man mich, trotzdem ein Angebot zu akzeptieren und versprach mir einen kleinen Bonus.
Nach 2 Tagen erhielt ich eine E-Mail mit einem Versicherungsangebot, das ich sofort löschte. Danach habe ich nichts mehr von der Versicherung gehört. Soweit so gut.
sibu, hast Du denn nun zu der Weitergabe Deiner personenbezogenen Daten eingewilligt? Das kann man aus Deinem Post nicht erkennen.
Wenn das Geschäftsmodell mit der Datenweitergabe lukrativer ist, als der Verkauf des eigentlichen Produktes ist es Zeit, diesem Laden/Hersteller den Rücken zu kehren. Egal ob Küchentopf, Software oder Auto.
Die Prüfung einer Mailadresse hört sich in der Theorie super an, macht nur keiner wenn man dafür nicht ein CRM System besitzt das eine Bestätigungsmail raus sendet und eine Antwort erwartet. Wenn ein Kunde angibt seine Mailadresse ist xxxx@yyyy.de gibt es erstmal keinen Ansatz das zu bezweifeln.
Das scheint hier aber nicht das Problem zu sein, denn wir reden hier nicht über ein Einzelfall wenn ich das richtig herauslese. Daher müsste man jetzt alle ins Boot holen und klären warum die Versicherung X Anfragen im Namen der Händler an diese Mailadresse sendet.
Wenn das mit einer formlosen Anfrage nicht funktioniert, dann eben über die DSGVO.
Und nein, man benötigt per se für einen Kontakt nicht zwingend eine DSGVO Freigabe solange es einen Vorgang betrifft. Wenn ich mein Fahrzeug in der Werkstatt zur Reparatur abgeben, darf die Werkstatt mich auch ohne DSGVO Freigabe anrufen oder mir eine Mail schicken um mich so zu informieren das mein Fahrzeug fertig ist.
Ebenso darf ein Möbelhaus mich informieren das meine bestellten Möbel da sind. Was nicht erlaubt ist, ist danach diese Kommunikationskanäle für weitere Werbeaktivitäten zu nutzen.
Die Versicherung geht in dem Fall also von dem konkreten Vorgang einer Anfrage aus und wird sich da erstmal nichts von Annehmen. Da die Versicherung behauptet das die Anfrage vom Händler kommt müssen also Händler und Versicherung untereinander klären wo das Problem liegt.
Gruß
"Lieber Absender,
Ihre Werbung ist unerwünscht.
Mit jeder weiteren Zusendung erklären Sie sich mit einer Vertragsstrafe von 10 € pro Sendung einverstanden."
Bei Email mit Übermittlungs- und Lesebestätigung versenden und das Ergebnis archivieren.
Ob es rechtswirksam ist, weiß ich nicht, aber vielleicht hilft es bei halbwegs seriösen Firmen.