Bereits seit vielen Jahren bin ich zufriedener Kunde bei Kabeldeutschland (heute Vodafone) und nutze viele Services des Telekommunikationsriesen: von Kabel-Fernsehen über Telefonie bis hin zur Internetanbindung. Lange Zeit hatte man als Kunde die Wahl, seine Rechnungen elektronisch oder gegen Kostenersatz per Post zu beziehen. Ich entschied mich für die Zahlung des Portos, denn das war für mich deutlich einfacher. Mitte 2017 stellte Vodafone dann vollständig auf elektronische Zustellung über das Kundenportal um, ohne dass mir die Wahl blieb. Eine monatliche E-Mail erinnerte fortan stets daran, dass eine neue Rechnung zum Download im Portal vorlag.

Verschlüsselung ist Pflicht bei sensiblen Daten

E-Mail Hinweis zum Rechnungs-Download

Ein Datenschutz-technisch sehr gutes Verfahren, denn das Kundenportal ist nur per HTTPS und Login zu erreichen, so dass der Rechnungs-Download vollständig Ende-zu-Ende verschlüsselt wird. Eine Einsichtnahme in die heruntergeladenen Rechnungen ist damit genauso wenig möglich, wie im kuvertierten Umschlag. Und das ist wichtig, schließlich enthält die Rechnung sensible Daten, wie den Videokonsum in der kostenpflichtigen Online-Videothek oder Einzelverbindungsnachweise über geführte Telefonate, Zielrufnummern und Uhrzeiten. Aber selbst wenn man keine Videos schaut und der Einzelverbindungsnachweis abgewählt ist, stehen immer noch die eigenen Rufnummern im mobilen und Festnetz auf der Rechnung – unverschlüsselt zusammen mit der Wohnadresse. In Zeiten von Phishing und Identitätsdiebstahl eine sehr gute Idee, hier auf Verschlüsselung zu setzen und nicht nur, weil die DSGVO angemessene „technische und organisatorische Maßnahmen“ fordert. „Gut gemacht, Vodafone!“, dachte ich…

Umstellung auf unverschlüsselten E-Mail Anhang

E-Mail mit anliegender PDF-Rechnung

Ohne jegliche Ankündigung stellte Vodafone Mitte Mai 2018 den Rechnungsversand jedoch erneut um. Statt zu verschlüsseln, wurde die Rechnung nunmehr als PDF einfach der monatlichen E-Mail angehängt. Ähnlich einer Postkarte waren damit alle Daten für Dritte einsehbar, die die E-Mail im Internet transportieren oder gar abfangen. Ein klares No-Go für mich als Datenschützer.

Überrascht über die mangelnde Sensibilität bei Vodafone wandte ich mich per Web-Formular an den Kundenservice. Ich bat, den Rechnungsversand wieder auf das bisherige Download-Verfahren umzustellen und den unverschlüsselten Versand zu unterlassen. Gleichzeitig stellte ich die Frage nach dem sog. „Erlaubnistatbestand“ für den unverschlüsselten Rechnungsversand. Denn die inzwischen in Kraft getretene Datenschutzgrundverordnung (DSGVO) erlaubt eine Datenverarbeitung nur dann, wenn eine klar definierte gesetzliche Rechtsgrundlage (der „Erlaubnistatbestand“) gegeben ist. Ansonsten ist die Datenverarbeitung schlichtweg verboten.

Keine Verschlüsselung – ohne Ausnahme

Die Antwort des Vodafone-Kundenservice verschlug mir die Sprache. Denn der Mitarbeiter antwortete:

Wir haben unternehmensweit entschieden unsere Rechnungen umzustellen. Haben Sie bitte Verständnis, dass wir keine Ausnahmen machen.

Vodafone Kundenservice (Fettung: Autor)

Der unverschlüsselte Versand von sensiblen Rechnungsdaten war erklärte Unternehmensvorgabe – ohne Ausnahme. Ein starkes Stück in Zeiten der DSGVO, das sich Vodafone hier erlaubt, dachte ich mir. Noch unglaublicher war die Begründung für den Erlaubnistatbestand:

Das schont die Umwelt und es geht sogar noch schneller.

Vodafone Kundenservice

Eine Antwort die, wenn sie nicht so traurig wäre, jeden Datenschützer lauthals lachen lässt. Denn auch in Zeiten von Klimaschutz und Nachhaltigkeit sind weder Umwelt- noch Geschwindigkeitsgründe zulässige Rechtsgrundlagen nach der DSGVO. Dies erklärte ich auch dem Mitarbeiter und er sicherte zu, meine Frage an einen Experten im Hause weiter zu leiten.

Keine Experten bei Vodafone tätig?

Leider hatte sich weder Vodafone noch ein Experte bei mir zurück gemeldet, so dass ich mich mit einer Beschwerde an die Hamburger Aufsichtsbehörde für den Datenschutz und die Informationsfreiheit wandte. Denn dank der DSGVO können sich Betroffene an ihre lokale Aufsichtsbehörde als „One-Stop-Shop“ wenden, auch wenn die Behörde selbst aufgrund regionaler Zuordnung gar nicht zuständig ist. In der Regel soll der Beschwerde-Fall dann automatisch an die zuständige Behörde weitergeleitet werden. Sitzt das verantwortliche Unternehmen aber in einem anderen EU-Mitgliedsland, kann alleine die Klärung der Zuständigkeit schon einmal (wie im Datenschutz-Fall mit SONOS) zahlreiche Monate in Anspruch nehmen.

Zum Glück musste ich auf die Hamburger Behörde nicht wieder so lange warten, denn ich erhielt nach wenigen Wochen folgende E-Mail:

Hamburger One-Stop-Shop „unzuständig“ (Schwärzungen, Markierungen: Autor)

One-Stop-Shop Prinzip funktioniert nicht für Telekommunikation

Zu meiner Überraschung funktioniert das One-Stop-Shop Prinzip im EU-Verfahren und bei allen anderen nationalen Beschwerden – nur eben nicht, wenn die Beschwerde den Bereich Telekommunikation betrifft. Für diesen ist per Gesetz allein die Bundesbehörde für den Datenschutz und die Informationsfreiheit zuständig. Nur war es der lokalen Aufsichtsbehörde offenbar zu viel, meine Beschwerde direkt an die Bundesbeauftragte weiter zu leiten. Beschwerdeführer wie Kunden zu behandeln steht leider nicht auf der Agenda der Hamburger Behörde – aber der Behördenleiter gelobt Besserung.

Ein Fall für die Bundesbehörde

Daher wandte ich mich am gleichen Tage mit meiner Beschwerde direkt an die Bundesbeauftragte Andrea Voßhoff. Auch wenn Frau Voßhoff in ihrer Amtszeit aus meiner Sicht eher farblos geblieben ist, war ich über die gute Kommunikation und die funktionierenden Prozesse ihrer Behörde positiv überrascht. Erhielt ich doch keine Woche später bereits eine Eingangsbestätigung per E-Mail. Genau 14 Tage später folgte eine weitere Nachricht, dass man Vodafone um Stellungnahme gebeten hätte. Ein Lob für die Geschwindigkeit der Behörde und für Frau Voßhoff, dachte ich – aber da hatte ich mich zu früh gefreut.

Vodafone ignoriert Aufforderung der Bundesbehörde

Scheinbar waren die Experten von Vodafone immer noch nicht zugegen, ignorierte Vodafone doch die Aufforderung der Bundesbehörde zur Stellungnahme nachhaltig. Denn die Bundesbeauftragte schickte mir nach weiteren zwei Monaten die Nachricht, dass man Vodafone erneut um Stellungnahme gebeten hätte. Erstaunlich, wie nett auf Bundesbehördenseite verfahren wird. Verpasst man als Bürger bei anderen Behörden gesetzte Fristen auch nur um einen Tag, drohen sofortige Strafen und eine massive Eskalation. Aber im Datenschutz und bei der Bundesbehörde geht es ganz offensichtlich gemütlicher zu. Verständlich, sind hier doch nur Millionen von Bürgern von einem klaren Rechtsbruch betroffen.

Verstoß dennoch schnell wieder abgestellt

Eine Krone für die Bundesbeauftragte

Dann geschah etwas völlig Überraschendes: Fast zeitgleich mit dem Schreiben der Bundesbehörde stellte Vodafone den Verstoß wieder ab. Das Verfahren wurde, wie zuvor, auf eine E-Mail Benachrichtigung und ausschließlich verschlüsselten Download im Portal umgestellt. Beeindruckt von der Durchschlagskraft der Bundesbehörde war ich sehr zufrieden mit dem Erreichten. Komisch nur, dass weder die Bundesbeauftragte noch Vodafone Experten mir den Erfolg kommunizierten?!

14 Monate später: Post vom Bundesbeauftragten Kelber

Bekanntlich wurde kurze Zeit später im November 2018 Ulrich Kelber zum neuen Bundesbeauftragten für den Datenschutz und die Informationsfreiheit und löste damit Frau Voßhoff ab. Vermutete ich seinerzeit, dass mein Verfahren und ein Abschlussschreiben durch den personellen Wechsel unter den Tisch gefallen sein könnte, wurde ich 14 Monate später eines Besseren belehrt.

Ungläubig erhielt ich Ende August 2019 ein Schreiben des Bundesbeauftragten. Darin erklärt der Bearbeiter, der betriebliche Datenschutzbeauftragte der Vodafone hätte ihm „die verschiedenen Versandmöglichkeiten aufgezeigt“. Sodann beschreibt er den Rechnungs-Download im Portal als unproblematisch. „Stimmt“, kann ich dazu nur sagen.

Gut geblendet, Vodafone!

Nur unproblematisch sehe ich die Nebelkerze von Vodafone nicht. Zeigt dieses Verfahren doch wieder sehr deutlich, wie leicht sich Behörden blenden lassen und Unternehmen getrost den Datenschutz in die Zukunft verschieben können. Schließlich reicht es, Verstöße erst dann zu beseitigen, wenn die Behörde doch mal an die Tür klopft. Bußgelder, Sanktionen oder Öffentlichkeit muss kein Unternehmen fürchten. Offensichtlich ist dann Datenschutz doch zwecklos!

[Zum Umgang der Bundesbehörde mit Beschwerden veröffentlichen wir in Kürze einen weiteren Artikel. Sie möchten in Echtzeit darüber informiert werden? Dann nutzen Sie gerne an unseren Push Nachrichten Dienst. Einfach am Fuß der Seite teilnehmen und 100% Datenschutz-konform informiert werden.]

Sorry, keine Krone für Herrn Kelber