Grundrechte wahren!

Grundrechte wahren!

Das Nachrichtendienstgesetz (NDG) soll revidiert werden und der Geheimdienst neue Überwachungsbefugnisse erhalten. Gegen die Gesetzesrevision wehren wir uns zusammen mit anderen Schweizer NGOs. Für die Koordination und die Kampagne benötigen wir über 60'000 Franken – wovon 20'000 Franken noch fehlen.

Hilf mit, den Geheimdienst zurückzubinden!

11%
Bereits 2'354 von 20'000 Franken erhalten 36 Spenden erhalten noch 44 Tage
Kreditkarte Kreditkarte Postkarte Postkarte

QR-Rechnung als PDF

Digitale Gesellschaft
4000 Basel
CH4009000000159933511
BIC: POFICHBEXXX

Erfahrungsbericht

Fallbeispiel: Datenauskunftsbegehren zu Werbe-E-Mails

SPAM
«SPAM» – AJC1, CC BY-NC 2.0

Wer hat nicht schon lästige Werbe-E-Mails erhalten und sich gefragt, wie die Absenderfirma an die eigene E-Mail-Adresse gelangt ist? Und woher sie die angebliche Einwilligung nimmt, eine:n anzuschreiben. Ich wollte es für einmal genau wissen und habe ein Datenauskunftsbegehren gestellt und – als dieses unbefriedigend ausfiel – den Rechtsweg beschritten. Das Ganze entwickelte sich zu einer über einjährigen Odyssee durch Rechtssystem und Behörden, die noch immer nicht zu Ende ist. Der vorliegende Erfahrungsbericht gibt einen Eindruck, wo die Schwierigkeiten der aktuellen Rechtslage beim Datenschutz liegen.

Dieser Gastbeitrag stammt von Andreas Stricker. Er arbeitet in der IT und steckt viel zu viel Aufwand in den Schutz seiner persönlichen Daten vor dem Überwachungskapitalismus.

Wie es dazu kam

Anfangs Dezember 2022 schaute ich mir die Aufzeichnung einer Präsentation zum Thema Datenschutz an. Rechtsanwalt Martin Steiger ermutigte darin die Zuschauer:innen, den Online-Generator für Datenauskunftsbegehren der Digitalen Gesellschaft ausgiebig zu nutzen und Ergebnisse dem Verein zu melden.

Ich erinnerte mich sofort an eine Werbe-E-Mail, die ein paar Tage zuvor in meiner Mailbox gelandet war (siehe Anhang). Speziell dabei: Es war nicht die erste. Übers ganze Jahr hinweg hatte ich schon zehn Varianten derselben E-Mail erhalten und keine davon war in meinem Spam-Filter hängengeblieben. In diesen Werbe-E-Mails wurde durchwegs für bekannte Schweizer Marken geworben, immer mit dem Verweis darauf, dass nicht die jeweilige Firma zuständig sei, sondern eine E-Mail-Marketing-Firma mit Sitz in der Schweiz. Diese besass zwar eine Web-Präsenz, doch in der E-Mail war nur ihre Postadresse angegeben. E-Mail-Absenderin war immer eine unverdächtige, nichtssagende Adresse in der Art von info@einkaufs-empfehlung.ch, welche meist variierte, zuweilen aber auch bei verschiedenen Werbekund:innen wieder gleich war und die sicher nichts mit der jeweiligen Kund:in zu tun hatte. Die E-Mails enthielten Links mit der Domain der jeweiligen E-Mail-Absenderin, gefolgt von einer eindeutigen Kennung zum Verfolgen der Konversionsrate. Sie waren professionell gestaltet, wiesen keine Schreibfehler auf und liessen nicht von Vornherein den Eindruck von Spam aufkommen. Schliesslich fand sich in der Nachricht die Behauptung, dass ich die Werbung bekäme, weil ich mich bei der Marketingfirma oder einem ihrer Partner mit meiner E-Mail-Adresse eingetragen hätte.

Das schien mir verdächtig oder gar gelogen, denn ich trage meine E-Mail-Adresse grundsätzlich nie irgendwo ein und wenn doch, dann nur mit eindeutiger Plus-Adressierung im Stil von hmuster+empfängerfirma@example.com.

Auf der Webseite der Marketingfirma fand ich eine ausführliche Anleitung, wie ein Datenauskunftsbegehren entsprechend der Schweizer Gesetzgebung zu erstellen sei. Die Marketingfirma vermittelte also nach aussen das Bild einwandfreier Seriosität.

Nun wollte ich aber wissen: Wie war diese Firma an meine E-Mail-Adresse gelangt? Und insbesondere: Wie an meine (angebliche) Einwilligung in E-Mail-Werbung?

Die Datenauskunftsbegehren

Datenauskunft bei der Marketingfirma

Ein nicht erfülltes Datenauskunftsbegehren ist ein Antragsdelikt. Damit ist eine Anzeige nur innerhalb von drei Monaten nach Bekanntwerden möglich. Ich ignorierte also die ersten neun Werbeschreiben und bezog mich beispielhaft auf das letzte vom Dezember 2022.

Ich liess mir über den Generator für Datenauskünfte der Digitalen Gesellschaft einen Auskunftsantrag für E-Mail-Werbung generieren. Weniger als eine Woche nach Erhalt der Werbe-E-Mail schickte ich diesen eingeschrieben an die Postadresse der Marketingfirma, so wie sie in der E-Mail angegeben war und auch im Handelsregister zu finden ist.

Rund eine Woche später, also viel früher als gesetzlich verlangt, traf per Post eine Auskunft der Marketingfirma bei mir ein. Auf den ersten Blick schien alles sauber. Die Marketingfirma erklärte, dass sie selber keine Adressdaten erhebe, sondern diese von Adresshändlern zukaufe. Sie nannte Firmenname und Adresse des Datenhändlers und erwähnte, dass dieser mein angebliches Opt-in bei einer Umfrage einer wohltätigen Organisation zum Thema Spenden eingeholt habe. Tatsächlich spende ich regelmässig an solche Organisationen und konnte mir durchaus vorstellen, einmal aus Versehen meine Einwilligung abgegeben zu haben. Eigenartig fand ich aber, dass der Name der Wohltätigkeitsorganisation unerwähnt blieb.

Datenauskunft beim Adresshändler – Versuch 1

Also warf ich erneut den Auskunftsgenerator der Digitalen Gesellschaft an und versandte wieder einen eingeschriebenen Brief, diesmal direkt an den erwähnten Adresshändler.

Schon zwei Tage später kam das Couvert ungeöffnet zurück mit dem Vermerk der Post, dass der Empfänger nicht ermittelt werden könne. Das war seltsam, denn die Adresse war genau so auch im Handelsregister zu finden. Ich hatte allerdings den sehr langen Firmennamen abkürzen müssen, um die beschränkte Zeichenzahl im Adressfeld des Generators nicht zu überschreiten.

Meine Vermutung: Die Abkürzung hatte die Zustellung verhindert.

Datenauskunft beim Adresshändler – Versuch 2

Ich klapperte also frei zugängliche Quellen nach Informationen zum Datenhändler ab. Es handelte sich dabei um eine Einzelfirma. Ich konnte mehrere ehemalige Wohnadressen des Inhabers ausfindig machen und fand Details zu vorherigen Firmen und Betätigungen des Inhabers.

So versandte ich diesmal gleich drei eingeschriebene Briefe mit dem Auskunftsbegehren:

  • an die Adresse aus dem Handelsregister mit dem vollständigen Firmennamen
  • an dieselbe Adresse mit dem Namen des Inhabers
  • an eine vermeintliche Wohnadresse des Inhabers

Alle drei Briefe kehrten innert einer Woche ungeöffnet zurück. Bei allen vermerkte die Post, dass sie den Empfänger nicht habe ermitteln können.

Der Strafantrag

Mit den ungeöffneten Auskunftsbegehren stand ich also nun etwas ratlos da. Wie weiter?

Die Digitale Gesellschaft zeigte mir schliesslich auf, dass mir in so einem Fall das Mittel eines Strafantrags zur Verfügung steht.

Mitte Januar 2023 und rund zwei Wochen nach dem erfolglosen Versand der Auskunftsbegehren reichte ich also bei der Staatsanwaltschaft des Kantons per Einschreiben einen Strafantrag gegen den Adresshändler ein.

Der Strafantrag umfasste zwei Verstösse in Bezug auf:

  • vorsätzlich falsche oder unvollständige Datenauskunft (Art. 34 Abs. 1 Bst. a DSG)
  • vorsätzlich unlauteren Wettbewerb (Art. 23 Abs. 1 UWG)

Im Strafantrag führte ich alle mir vorliegenden Informationen als Beweismaterial auf: Die E-Mail mit Kopfzeilen, das Datenauskunftsbegehren und die Datenauskunft der Marketingfirma, das Datenauskunftsbegehren an den Adresshändler und schliesslich die zurückgesendeten Couverts. Alles mit Angaben zum zeitlichen Verlauf.

Post von der Polizei

Gut zwei Wochen nach dem Strafantrag schickte mir die Polizei aus dem Kanton des Adresshändlers per Einschreiben das Formular «Geltendmachung von Rechten zur Privatklägerschaft». Ich füllte das Formular aus und sandte es zurück. Ich erklärte darin, dass ich keine Ansprüche auf Schadenersatz stellte, aber am Verfahren mitwirken wollte. Auf die Teilnahme an Einvernahmen verzichtete ich.

Funkstille

Knapp einen Monat lang hörte ich nichts mehr. Auf meine Anfrage liess mich die Staatsanwaltschaft Anfangs April 2023 wissen, dass die polizeilichen Ermittlungen noch andauerten.

Brief der Staatsanwaltschaft

Zwei Wochen später dann die Antwort: Die Strafuntersuchung stünde kurz vor dem Abschluss. Ich müsse in der Sache aber mit einer Einstellungsverfügung rechnen, sofern die Leitung der Staatsanwaltschaft diese genehmige. Innert einer Frist von sieben Tagen könne ich Beweisanträge stellen, und ich könne nach telefonischer Voranmeldung die Akten einsehen. Ebenso hätte ich die Möglichkeit, Entschädigungs- und Genugtuungsansprüche geltend zu machen.

Nur sieben Tage. Immerhin: Die Beweise hatte ich bereits alle übermittelt. Für die weiteren Details dagegen blieb mir nur das Wochenende, da ich die ganze Woche schon privat verplant hatte. Ich entschloss mich schliesslich, die Möglichkeit zur Akteneinsicht wahrzunehmen. Als ich dann aber am Montag anrief, war niemand zu erreichen, sodass ich diese Chance verpasste.

Einstellungsverfügung

Anfangs Mai 2023 erhielt ich per Brief die Einstellungsverfügung nach Art. 319 ff. StPO.

Die Begründung hatte es in sich: Der Adresshändler behauptete, keine Daten von mir an die Marketingfirma weitergegeben zu haben. Dies untermauerte er dadurch, dass er im Rahmen polizeilicher Ermittlungen seine komplette Datenbank mit «753’197 Datenpaketen» der Polizei habe zukommen lassen. Er habe zudem keine Kenntnis vom Auskunftsverfahren gehabt – die Marketingfirma habe ihn, im Gegensatz zu früheren Fällen, nicht darüber informiert. Seine Adresshandels-Einzelfirma existiere zwar noch, sei jedoch inaktiv. Gegenüber der Marketingfirma gebe es noch ausstehende Forderungen.

Der Tatverdacht gegen den beschuldigten Adresshändler habe in der Untersuchung nicht erhärtet werden können und es sei ungewiss, ob die Marketingfirma die Daten wirklich vom Adresshändler erhalten habe. Die Marketingfirma habe der Polizei keine Beweise dafür vorlegen können. Und da der Adresshändler nichts vom Auskunftsverfahren gewusst habe, sei das Verfahren einzustellen. Es bliebe mir der Weg einer Zivilklage. Dem Beschuldigten sei weder eine Genugtuung, noch eine Entschädigung zuzusprechen.

Ich wurde darauf hingewiesen, dass ich mich aus der Verteilerliste der Massenwerbung streichen lassen und diese E-Mails als «sog. Junkmail markieren» könne, wodurch «künftige E-Mails im Spam-Ordner landen würden». Ich konnte mir ein leichtes Grinsen nicht verkneifen.

Die Verfahrenskosten übernahm der Staat. Für den Entscheid galt eine Einsprachefrist von zehn Tagen.

Noch ein Strafantrag

Erneut stellte ich einen Strafantrag, diesmal gegen die Marketingfirma. Die Vorwürfe wiederum:

  • vorsätzlich falsche oder unvollständige Datenauskunft (Art. 34 Abs. 1 Bst. a DSG)
  • vorsätzlich unlauterer Wettbewerb (Art. 23 Abs. 1 UWG)

Ich begründete sie damit, dass die Marketingfirma bei der Auswahl der Adresshändler oder in der Buchführung die Sorgfaltspflicht verletzt habe oder in der Auskunft vorsätzlich falsche Angaben gemacht habe.

Der Anhang war wieder prall gefüllt mit Beweismaterial.

Überweisungs- und Nichtannahmeverfügung

Rund anderthalb Monate später erhielt ich per Einschreiben eine Überweisungs- und Nichtannahmeverfügung der Staatsanwaltschaft.

Die Nichtannahmeverfügung nach Art. 310 StPO betraf die Widerhandlung gegen das Wettbewerbsgesetz (UWG). Begründet wurde diese durch Ablauf der dreimonatigen Strafantragsfrist.

Die Überweisungsverfügung nach § 90 GOG betraf die Widerhandlung gegen das Datenschutzgesetz. Dieses Vergehen liege nicht in der Kompetenz der Staatsanwaltschaft, weshalb der Strafantrag an das zuständige Stadtrichteramt übergehe.

Verfahren durch Stadtrichteramt eingeleitet

Unerwartet erhielt ich im Januar 2024 ein Schreiben vom Stadtrichteramt, das mich informierte. dass ein polizeiliches Ermittlungsverfahren im Sinne von Art. 306 StPO eingeleitet worden sei. Bemerkenswert: Der Firmenname der Marketingfirma war im Brief durchgängig falsch geschrieben (mit “ch” statt “ck”). Aus der Strafanzeige lasse sich kein ausreichender Tatverdacht ableiten. Um den Sachverhalt zu beurteilen und festzustellen, ob ein strafbares Verhalten vorliege, werde deshalb die Stadtpolizei ersucht, ein Ermittlungsverfahren mit sachdienlichen Befragungen im Sinne von Art. 306 StPO durchzuführen.

Aktuell (Stand März 2024) warte ich noch auf den Ausgang dieses Verfahrens.

Fazit

Der kurze Hebel des Datenschutzgesetzes

Das Einholen von Datenschutzauskünften ist etabliert und bei grossen Firmen in der Regel einfach möglich. Man erhält dann auch oft eine Antwort innerhalb der gesetzten Frist.

Dass dabei aus formalen Gründen ein eingeschriebener Brief für CHF 6.30 notwendig ist, hält sicher schon einige davon ab, überhaupt ein solches Begehren zu stellen. Falls die erste Auskunft dann noch eine weitere Auskunft beim Adresshändler nach sich zieht, wird das nochmals einige abschrecken.

Falls die Auskunft ganz ausbleibt oder nicht vollständig ist, wird kaum jemand eine Anzeige einreichen. Der Aufwand dafür ist gross (bei mir: 60 Dokumente, 6 Einschreiben, 2 reguläre Briefe und viele E-Mails haben mich an 25 Tagen beschäftigt) und als juristischer Laie steht man schnell an.

Das Datenschutzgesetz sollte es einer Person ermöglichen:

  1. festzustellen, wo und bei wem persönliche Daten erhoben wurden
  2. festzustellen, wo und bei wem persönliche Daten bearbeitet werden
  3. persönliche Daten löschen zu lassen

All das ist hier nur teilweise und unzureichend geschehen.

Es ist mir auch unverständlich, wie eine Firma unter der im Handelsregister eingetragenen Adresse nicht erreichbar sein kann, ohne dass das Konsequenzen hat.

Der Adresshändler in diesem Fall war kein unbeschriebenes Blatt. Wie ich aus verlässlicher Quelle erfahren habe, hat er sich schon einiges zuschulden kommen lassen. Auch scheint er ein gewiefter Verkäufer zu sein und es ist möglich, dass er die Marketingfirma bezüglich der Rechtmässigkeit der Adressdaten und dem Vorliegen eines Opt-ins um den Finger gewickelt hat.

Einsprachefristen

Die Begründung der Nichtannahmeverfügung, dass die Frist von drei Monaten für die Zivilklage abgelaufen sei, ist mir suspekt: So wie ich den Gesetzestext verstehe, beginnt die Frist erst ab dem Zeitpunkt zu laufen, ab dem man Kenntnis von einer Straftat hat. Diese Kenntnis war meiner Meinung nach im Dezember 2022 noch nicht vorhanden, als ich die Datenauskunft der Marketingfirma erhielt. Erst mit der Einstellungsverfügung der Strafanzeige erfuhr ich, dass die Marketingfirma möglicherweise nicht sauber gearbeitet oder vorsätzlich falsche Angaben gemacht haben könnte. So gesehen hätte ich offenbar gleich von Anfang an alle Beteiligten anzeigen sollen, ohne begründeten Verdacht.

Anleitung zum Spammen

Bös gesagt, scheint man sich als Spammer schadfrei halten zu können, wenn man folgende Schritte befolgt:

  1. Eine E-Mail-Marketingfirma gründen und sicherstellen, dass sie möglichst sauber wirkt. Dazu am besten auch gleich den Prozess für Datenauskunftsbegehren auf die Homepage stellen.
  2. Eine zweite Firma für den Adresshandel gründen, jedoch nicht unter dem eigenen Namen, sondern über irgendeinen Strohmann.
  3. Via Adresshandelsfirma Adressen sammeln, vom Schwarzmarkt, via Scraping oder über veruntreute Daten.
  4. Die gesammelten Adressen an die Marketingfirma verkaufen und dann möglichst schnell das Geschäft einstellen, via Konkurs, Geschäftsaufgabe, Verkauf oder wie auch immer.
  5. Um den Zeitpunkt der Geschäftsaufgabe der Adresshandelsfirma grosszügig E-Mail-Werbung bzw. Spam versenden.
  6. Kommt es zu einem Datenauskunftsbegehren, sofort eine Auskunft erteilen und als Herkunft auf den Adresshändler verweisen.
  7. Sollte jemand der E-Mail-Werbefirma vorwerfen, eine unvollständige Auskunft erteilt zu haben, seine Verwunderung ausdrücken, dass der Händler nicht zu existieren scheint.

Wenn gewünscht, könnte man auch noch eine Zwischenhandelsfirma für Adressen einsetzen. Dann ist es noch unwahrscheinlicher, dass ein Auskunftsverfahren bis zum Ursprung durchdringt.

Staatsanwaltschaft und Polizei

Die Strafanträge erzeugten einen erheblichen Aufwand bei Staatsanwaltschaften und Polizeien, die bekanntlich mit anderen Belangen schon mehr als genug ausgelastet sind. Bei all meinen Schritten spielte deshalb auch immer das schlechte Gewissen mit, dass ich damit andere, wichtigere Verfahren verzögern könnte. Andererseits erhoffte ich mir, so die Schwierigkeiten der aktuellen Rechtslage beim Datenschutz aufzuzeigen. Ich danke den Staatsanwaltschaften und Polizeien ganz herzlich, dass sie trotz der hohen Arbeitslast mein Verfahren fristgemäss vorangetrieben haben.

Neues Datenschutzgesetz

In der Zwischenzeit – im September 2023 – ist das neue Datenschutzgesetz in Kraft getreten. Allenfalls kann Art. 19, “Informationspflicht bei der Beschaffung von Personendaten” die beobachteten Probleme etwas entschärfen. Da sich jedoch der Ablauf für die Auskunft selbst nicht ändert, erwarte ich ähnliche Schwierigkeiten.

Verbesserungsvorschläge

Es reicht, hier auf die Vielzahl von Verbesserungsvorschlägen hinzuweisen, welche bereits sorgfältig überlegt sind und sich aktuell in der Vorbereitungsphase für Gesetze und Initiativen befinden:

Nachtrag

Dieser Bericht beschreibt ein umfangreiches Verfahren zwischen verschiedenen Parteien. Es wurde grösstmögliche Sorgfalt auf die Anonymisierung der involvierten Parteien gelegt. Ich werde keine Auskunft bezüglich dieser Parteien geben, um die Persönlichkeitsrechte und den Datenschutz zu respektieren und zu gewährleisten.

Anhang

E-Mail

Subject: Auch Sie können bei XY einkaufen.
From: “XY” <info@shopping-aktionen.ch>
Date: NN.12.22, 09:20
To: “Hans Muster” <hmuster@example.com>

Mit XY sparen. [https://link.shopping-aktionen.ch/link.php?M=…&N=…&L=…&F=T] Sehr geehrter Herr Muster

Gerne machen wir Ihnen eine Freude und laden Sie herzlich ein, zukünftig bei XY einzukaufen. Unsere Märkte verfügen über ein vielfältiges Sortiment, alles in absoluter Top-Qualität und auch in praktischen Haushaltgrössen. XY ist gerne für Sie da, sei es für den Wocheneinkauf oder für kleine Mengen wie z.B. eine Banane, ein Joghurt oder ein Stück Fleisch.

Bestellen Sie noch heute Ihre kostenlose XY Karte. Oder melden Sie sich am Empfang im XY Ihrer Wahl, wo Sie einen Tageseintritt erhalten. Karte beantragen
[https://link.shopping-aktionen.ch/link.php?M=…&N=…&L=…&F=T]

Bei XY tun wir alles, damit Einkaufen für Sie bequem und sicher ist: Beeindruckendes Sortiment: Alles für den Alltag wie auch für spezielle Genussmomente, z.B. für Weihnachten und Silvester. Herausragendes Fleischangebot mit bedienter Metzgerei. Preise bis zu 40% günstiger als im übrigen Detailhandel. Exklusive Weinwelt: über 1’000 Weine mit Fachberatung und Möglichkeit zur Degustation. Reichhaltige Frische-Welt mit knackigem (Winter-) Gemüse und feinen Früchten.

Machen Sie es wie die Profis und kaufen auch Sie dort ein, wo es die grösste Auswahl, beste Qualität und einen tollen Service gibt – im XY in Ihrer Nähe.

Wir freuen uns auf Sie.

Herzliche Grüsse
Xxxx Yyyy
Geschäftsleiter XY
Abweg 1, 5109 Nixstadt
Kontakt Standorte [https://link.shopping-aktionen.ch/link.php?M=…&N=…&L=…&F=T]
Alle Angaben ohne Gewähr. Irrtümer und Fehler vorbehalten.

Sie erhalten dieses Mailing, weil Sie sich bei unseren Aktionsseiten oder der unserer Werbepartner mit der Email-Adresse hmuster@example.com eingetragen haben.
Dieser Newsletter ist ein kostenloses Angebot der [E-Mail Marketingfirma mit Adresse].
Melden Sie sich von dieser Liste ab.
[https://link.shopping-aktionen.ch/link.php?M=…&N=…&L=…&F=T]
Hinweis: Der Absender [E-Mail Marketingfirma] ist ausschliesslich Versender dieser E-Mail. Verantwortlich für den Inhalt der Mail ist der jeweilige Anbieter, bitte kontaktieren Sie diesen wenn Sie Fragen zum Angebot haben.