Kategorien
Allgemein Nachdenkliches

HP und der Datenschutz

Ich bin seit ca. 25 Jahren Inhaber einer auf meinen Spitznamen lautenden DE-Domain. Diese wird momentan nicht bzw. nur für Tests genutzt.

Um dennoch sicherzustellen, dass keine administrativen E-Mails verloren gehen, habe ich dort ein Sammelpostfach eingerichtet.

D.h., alle E-Mails an diese Domain werden grundsätzlich zugestellt. Unabhängig davon, was vor dem @-Zeichen steht.

Einleitung

Der Laptop von Frau W. ist defekt. Da sich das Gerät offenbar innerhalb der Garantiezeit befindet, wendet sie sich an den Hersteller des Gerätes, namentlich HP.

Hierbei unterläuft der Dame allerdings ein kleiner Fehler: Statt ihrer eigenen Adresse gibt sie eine Adresse unterhalb meiner Domain an.

Mit anderen Worten: Frau W. hat bei HP zwar ihre korrekte Postanschrift übermittelt, die von Ihr angegebene Adresse steht aber seit Jahrzehnten unter meiner Hoheit.

Da ich die Domain zu einem Zeitpunkt reserviert habe, als eigene Domains im privaten Bereich eher unüblich waren, behaupte ich mal, dass diese Adresse niemals(!) jemand Anderem als mir gehört hat.

Normalerweise ist das kein Problem: Gerade bei Adressen, an denen personenbezogene Daten übermittelt werden, führt man üblicherweise eine Verifizierung durch. Zum Beispiel, indem man einen Code oder einen Link an genau diese Adresse schickt, welcher dann eingegeben bzw. angeklickt werden muss. Erst danach ist die Adresse „gültig“.

Bei HP ist das zumindest in diesem Fall ausgeblieben. Mit anderen Worten: Man hat mich ungefragt und regelmäßig über den Status der Reparatur informiert.

Der Servicefall

Gleich die erste E-Mail beinhaltet personenbezogene Daten. Hier ein Auszug, bei der ich das, was eigentlich irrelevant ist, unkenntlich gemacht habe:

Auftragsbestätigung

Kundendienstauftrag Nr: xxxxxxxx-01
Kunde: W., GISELA

Sehr geehrte Kundin, sehr geehrter Kunde,
Dies ist eine Bestätigung Ihres kürzlich in Auftrag gegebenen HP. Support Solution-Service. Bitte bewahren Sie dieses Dokument für Ihre Unterlagen auf.

Kundendienstauftrag(CSO):

CSO-RMA Servicenummer:
xxxxxxxx-01

Bearbeitungsnummer:
xxxxxxxxxx

CSO-Erstellungsdatum:
xx-xx-xxxx

Modellnummer:
xxxxxxx

Modellbeschreibung:
HP Laptop 15s-xxxxxxxx

Seriennummer:
xxxxxxxxxx

Kundenadresse:
(vollständige Anschrift von Frau W. inklusive Straße, Hausnummer, Postleitzahl und Wohnort)

Kundentelefonnummern:
Telefonnummer

In dieser E-Mail befindet sich ein Link zu einem Serviceportal, in dem man sich mit der RMA-Servicenummer und der E-Mail-Adresse anmelden und über den Status des Servicefalls informieren kann. Was ich natürlich tunlichst unterlasse.

Nichtsdestotrotz bemühe ich mich natürlich, Kontakt zu HP aufzunehmen. Das ist nicht ganz einfach:

  1. Beim dem Kontaktformular, dass ich „auf den ersten Blick“ gefunden habe, muss man zwingend ein Benutzerkonto anlegen. Ich habe aufgrund meiner o.g. Beobachtung eher weniger Vertrauen und verzichte
  2. Bei einem weiteren Kontaktformular erhalte ich eine Fehlermeldung, dass der zuständige Server (www8.hp.com) nicht erreichbar ist

Hinzu käme in meinem Fall noch, dass die Homepage von HP alles Andere als barrierefrei gehalten ist. Ich finde mich aufgrund meiner Behinderung schlichtweg nicht zurecht, mea maxima culpa.

Da es eher unwarscheinlich ist, dass die fehlerhafte E-Mail-Adresse die Reparatur des Notebooks verhindert entscheide ich mich, alles Weitere zu dem Thema zu ignorieren.

Das Feedback

Das Notebook wird repariert. HP kann zu Recht stolz auf diese Serviceleistung sein und bittet in einer weiteren E-Mail um ein Feedback:

Sehr geehrte Frau W.,

ich möchte mich bei Ihnen erkundigen, ob Sie Ihren HP Laptop 15s-xxxxxxxx mit der Seriennummer xxxxxxxxxx bereits nach der Reparatur erhalten haben.

Die UPS Sendungsnummer: xxxxxxxxxxxxxxxxxx

Wir bedanken uns im Voraus und wünschen Ihnen einen schönen Tag.

Für Rückfragen stehen wir Ihnen gern zur Verfügung.

Mit freundlichen Grüßen
Maria S.
HP Exceptions Management Team

Das Besondere: Diese E-Mail-Adresse ist offenbar „replyfähig“.

D.h., der Betreff beinhaltet einen Code. Man kann auf „Antworten“ klicken und die Antwort wird anhand des im Betreff gefundenen Codes dem dazugehörigen Servicefall zugeordnet.

Na, dann wollen wir mal! 🙂 Eher „aus Übermut“ verfasse ich die folgende E-Mail:

Hallo,

ich möchte sie darüber in Kenntnis setzen, dass es die E-Mail-Adresse xxxxx@xxxxx.de nicht gibt und ich die E-Mails nur deshalb erhalte, weil ich Eigentümer der Domain bin und mit den fehlerhaften Zustellungen konfrontiert werde.

Ich finde es erschreckend, wie unbedarft sie persönliche Daten Dritter an nicht verifizierte E-Mail-Adressen rausschicken. Noch schlimmer ist, das ich bis dato nicht einmal die Möglichkeit hatte, Sie über die fehlerhaften Zustellungen in Kenntnis zu setzen. Ihre Homepage ist so extrem unübersichtlich, dass man schlichtweg keine Kontakt-E-Mail-Adresse findet. Da sollten Ihre „Manager“ aber mal dringend auf die Kommunikationsprozesse schauen!

Liebe Grüße,
Jörg Kalisch (Inhaber der Domain xxxxx.de)

Meine Erwartung an den Mitarbeiter lautete in etwa: „Hey, leite das doch einfach mal an euen Datenschutzbeauftragten oder den Informationsssicherheitsbeauftragen weiter. Die kümmern sich darum“.

Umso erstaunter war ich, als ich tatsächlich eine Antwort erhielt. Man bedankt sich brav für den „Anruf“. Huch? Habe ich etwa einen Sprachcomputer angeschrieben? …und teilt mir die E-Mail-Adresse der Beschwerdeabteilung mit.

Nungut – der Mensch ist ja von Natur aus neugierig und ich wende mich an die Beschwerdeabteilung.

Der „Abschluss“

Was jetzt kommt, verschlägt mir schlichtweg die Sprache.

Ich erhalte eine Rückantwort mit der Bitte, meine Telefonnummer mitzuteilen. Das klingt ja „eigentlich schon mal positiv“ und damit habe ich ehrlich gesagt auch nicht gerechnet. Ich fühle mich ernst genommen und kann durchaus verstehen, dass man derartig sensible Dinge nicht per E-Mail bespricht.

Ich antworte mit meiner Handynummer und erhalte 2 Tage später einen Anruf von einer Frankfurter Telefonnummer, dass sich alleine schon aufgrund der Sprachqualität als eher schwierig darstellt.

Die Dame teilt mir – sinngemäß und zusammengefasst – folgendes mit:

„Wir haben diese Adresse in unserem System und somit auch die damit verbundenen Zugriffsmöglichkeit deaktiviert“
Anmerkung: Das ist sehr gut so und die minimale Notfallmaßnahme um zu verhindern, dass ich weitere Daten der Kundin abgreifen kann. Was ich natürlich nicht tue und auch nicht getan habe.

„Wir haben die Kundin informiert“
Anmerkung: Das ist ebenfalls „sehr gut“. Bei Datenschutzvorfällen wird eine Information in Richtung des Betroffenen gefordert (vergleiche DSGVO). Man hat also das getan, was verlangt wird.

„Die Kundin behauptet steif uns fest, dass dies ihre E-Mail-Adresse ist und dass sie seit Jahren E-Mails unter dieser Adresse empfängt. Wir haben die Adresse daraufhin noch einmal gemeinsam verifiziert“
Anmerkung: Meines Erachtens nach beinhaltet so eine Überprüfung den Versand einer Test-E-Mail um zu schauen, ob diese bei der Kundin ankommt. Eine derartige E-Mail ist nicht angekommen, wohl aber diverse (SPAM-)E-Mails die belegen, dass mir – immer noch – alle(!) E-Mails an diese Domain zugestellt werden.

Wir haben der Kundin empfohlen, sich mit dem Domaininhaber in Verbindung zu setzen und die Streitigkeiten mit diesem zu klären“
Anmerkung: Diese Domain befindet sich seit ca. 1998 in meinem Eigentum. Es hat niemals einen Providerwechsel gegeben und letztendlich lässt sich das ja auch über die Rechnungen nachvollziehen. Ich finde es befremdlich, alleine aufgrund der Aussage von Frau W. abzuleiten, dass es u.U. Streitigkeiten bezüglich meines(!) Besitzstandes gibt. Ebenso befremdlich ist die Empfehlung, sich in irgendeiner Art und Weise rechtlich mit mir auseinanderzusetzen. Einer derartigen Auseinandersetzung sehe ich natürlich gelassen entgegen.

Letztendlich vermittelt gerade die letzte Aussage, dass die Mitarbeiterin nicht einmal im Ansatz verstanden hat, worum es überhaupt geht.

Als ich weitere kritische Fragen stelle, erinnert man sich auf einmal doch daran, dass es einen Datenschutz gibt, aufgrund dessen man natürlich keine weiteren Aussagen zu internen Prozessen treffen darf. In dem Fall scheint der „Datenschutz“ doch „irgendwie“ zu funktionieren 🙂

Fazit

Frau W. hat wirklich „Glück gehabt“.

Auch wenn ich es nicht probiert habe bin ich mir sicher, dass ich mit den mir vorliegenden Informationen eine Umleitung des (reparierten) Gerätes hätte veranlassen können. Im dem Fall wären nicht nur der Laptop, sondern evtl. auf dem Gerät gespeicherte Kundendaten verloren gewesen.

Prozesse zur Verifizierung von E-Mail-Adressen sollten eigentlich Standard sein. Mir persönlich ist kein CRM-System bekannt, dass so etwas nicht kann.

Und eine Meinung habe ich natürlich auch. Diese lautet in etwa wie folgt:

In einem Unternehmen sollte jeder Mitarbeiter wissen, wie er seinen Datenschutzbeauftragten erreichen kann.

Jeder Mitarbeiter sollte dahingehend geschult sein, derartige Vorfälle kommentarlos an diesen weiterzuleiten.

Und ich bin mir sogar sicher, dass ich vom HP-Datenschutzbeauftragten eine anders lautende Antwort erhalten hätte. Zum Beispiel so eine:

„Vielen Dank für die Info – ich kümmere mich darum…“

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert