Die DSGVO & Mail-Spam
Hippe Berliner Fintech-Menschen waren noch gar nicht geboren als die britische Comedy-Gruppe Monty Python “Das Leben des Brian” ins Kino brachten. “Was hat das römische Imperium je für uns getan“ ist darin eine bissige Szene über die Wahrnehmungen der neuen Infrastruktur des römischen Imperiums für ihre unterworfenen Provinzen. Nach meinen enttäuschenden Erlebnissen der letzten Tage mit Spam-E-Mails frage ich heute im Kontext von Monty Python: Was hat die DSGVO je für uns getan?
Die Datenschutzgrundverordnung, bekannt als DSGVO, steht für mich seit Beginn an für eher negative User Experience:
- Nervige Clicks und Belehrung bei jeder besuchten WebSite
- Double-Opt-Ins aller ohnehin “seriösen” Newsletter
- neue Carte Blanche “Nein” zu sagen für ewige Blockierer und Verhinderer
- Mehrkosten bei vielen Cloudanbietern für spezielle europäische DSGVO Compliance
- gesperrte Websites von US-Seiten für Europäer
DSGVO in einem speziellen Segment gescheitert
Die DSGVO steht aber auch für entspannte BigTechs, die eigentlich durch die DSGVO “gezähmt” werden sollten aber gefühlt de-facto genauso weiter machen wie vorher, während viele KMUs, Vereine und Blogger ohne nennenswerte Budgets und Compliance-Bereiche unter den DSGVO-Anforderungen ächzten… was also hat die DSGVO uns je gebracht?
Ja ja, ich weiß doch: Die DSGVO gilt international als Erfolgsstory im Datenschutz, sogar Vorbild für andere Gesetze und sie sollte den Endkunden die Datensouveränität zurückgeben, was ein Stück weit auch klappte. Aber ist das in der Realität auf breiter Basis wirklich der Fall?
Ich möchte am Beispiel “Spam” zeigen, dass die DSGVO im Segment der eMails gescheitert ist. Kleine Randnotiz: Der Begriff “Spam” ist auch auf Monty Python zurückzuführen. Eigentlich sollte die DSGVO doch helfen. Ohne Opt-In von mir als Nutzer, darf ich eigentlich keine ungefragte E-Mail (aka Spam) mehr erhalten. Das hat schon mal nicht funktioniert! Die bösen Buben da draußen, die spammen oder phishen, sie interessieren sich nicht für die DSGVO genauso wie diejenigen, die im Darknet meine persönlichen Daten aus den diversen Datenbankhacks gegen Bezahlung feilbieten. Gegen Spam und Phishing war/ist die DSGVO komplett wirkungslos! Aber wie sieht es eigentlich bei vermeintlich seriösen Anbietern aus? Was hat dort die DSGVO für uns getan…?
Wirkungslosigkeit der DSGVO – am Beispiel Mail
Seit langem nervt mich, dass Spam-Nachrichten trotz DSGVO und Spam-Filter doch immer und immer mehr werden. Mich nerven unaufgeforderte Einladungen zu Video-Konferenzen von komischen B2B Anbietern. Mich nerven Einladungen zu irgendwelchen Services, die in den nächsten Tagen “nur” 30 Minuten meiner Zeit für einen Anruf benötigen, um ihr ”tolles“ Produkt zu pitchen. Klar, solch dubiosen Anbieter disqualifizieren sich gleich durch ihre Form der Ansprache. Aber wie ist die Sache bei eigentlich seriösen Anbietern? Anbieter, die gar in einem regulierten Business aktiv sind… gar im Segment Finanzdienstleistungen…? Das Resultat ist ähnlich: Meine Mailbox füllt sich, trotz DSGVO mit ungefragter Werbung. Zwei konkrete Beispiele diese Woche, die zeigen, dass sie irgendwie bei E-Mails nichts bewirkt hat… diese DSGVO.
Smava und die Spamschleuder Tricolux
Seit geraumer Zeit fällt mir die irische Spamschleuder-Gesellschaft Tricolux äussert negativ auf. Mehrmals die Woche kommt darüber ungefragt Werbung und das Spam-Filter-optimiert jeweils unter einer neuen Absender-E-Mail-Adresse. Tricolux ist wohl der technische Dienstleister, die Werbung kommt aber von namhaften Konsumgüterherstellern, Lottoanbietern, Datingportalen und immer wieder von den Fintech-Kollegen von Smava. Smava vermarktet ihre Konsumentenkredite über diese Spam-Plattform. Weder habe ich Smava, noch Tricolux mein Opt-In gegeben für die Weitergabe und Speicherung meiner E-Mail inkl. Ansprache. Das Opt-Out in der Mail (vom Newsletter abmelden) habe ich dagegen schon so oft gedrückt, dass ich Blasen an den Fingerkuppen bekommen müsste. Bewirkt hat es eher das Gegenteil.
Bekam ich anfangs alle x-Wochen Werbung nur von Smava, kamen nach dem Opt-Out eher mehr als weniger Werbung via Tricolux. Sogar meine direkte Beschwerde bei Smava via Twitter verhallte ungehört. Offensichtlich interessieren sich die Kollegen schlicht nicht für die DSGVO. Liebe Fintech-Kollegen von Smava mit einem solchen unseriösen Verhalten bestätigt ihr nur sämtliche Fintech-Kritiker in den Cliche-Vorurteilen, dass Fintechs/Startups sich eh einen Dreck um Compliance kümmern. Leider habe selbst ich dann keine Argumente Pro-Fintech mehr, bei einem solchen Vorgehen! Auch stellt sich die Frage, ob die Partnerbanken von Smava mit der Verwendung ihrer Logos in solchen eMails und Kanälen einverstanden sind. Da z.B. viele DKB-Kollegen hier immer gerne mitlesen. Was sagt Ihr denn zu dieser Verwendung Eures Brands?
AWS und der krampfhafte Versuch Relevanz im regulierten Hosting zu erhalten
Die Sales Kollegen von Amazon Web Services (AWS) in Deutschland scheinen unter extrem hohen Abschlussdruck zu stehen. Seit geraumer Zeit fallen diese mit einem äußerst hartnäckigem Salesvorgehen auf. Für das Commodity-Business Hosting, mit durchaus vergleichbaren Produkten, ein vielleicht nachvollziehbares Vorgehen. Weniger nachvollziehbar ist dagegen, dass es gerade Amazon als Bigtech offensichtlich nicht so genau mit der DSGVO nimmt. Ein Geschmäckle hat das vor allem, wollen sie doch unbedingt mehr Kunden im Hosting von regulierten Finanziendienstleister adressieren!
Kein Hellseher
Vor geraumer Zeit wurde eine Intro zu mir gemacht: Der Fintech-Sales Kollege von AWS wollte mit mir als Blogger sprechen. Ich solle ihm mit Tipps helfen die zukünftigen Fintech-Stars als frühe StartUps zu identifizieren. Interessanterweise ging die Anfrage nicht an meine Payment&Banking eMail-Adresse sondern an meine Corporate Traxpay eMail. Ein Schelm der Böses dabei denkt, denn der Kollege stellte sich natürlich gleich als der Relationship-Manager von Traxpay vor. Ich entgegnete nur kühl, dass mir sowohl die Gabe fehlt Lottozahlen vorherzusagen, als auch die zukünftigen Fintech-Unicorns früh zu erkennen – sonst würde ich nicht den Job machen den ich machte. Eine weitere Spitze, dass Traxpay es bei AWS zu einem Relationship Manager schaffte, ohne Business mit AWS zu machen und ohne eine Intention dafür, konnte ich mir auch nicht verkneifen.
Einige Monate später schrieb mich ein anderer AWSler an und wollte sogar, dass ich mit AWS zur Bafin gehe, um Lobbying für AWS als Hoster für Finanzdienstleister zu machen. Schöner Wunsch, was träumst Du Nachts dachte ich mit nur. Der Schwanz (AWS) will mit dem Hund (StartUp/Kunde) wackeln. Wo ist denn da dieser angebliche radikale Kundenfokus von dem der Amazon-Deutschlandchef immer spricht? Ich kann da leider nur einen extremen Sales-Abschluss-Fokus erkennen.
„Der Schwanz (‚Amazon Web Services‘) will mit dem Hund (StartUp/Kunde) wackeln.“
Egal, wir hatten weder Interesse an AWS Hosting (=Commodity), noch sah ich es als Blogger oder damaliger Traxpay CFO als meine Aufgabe an die Hausaufgaben für AWS zu machen. Für mich war damals die Sache erledigt, auch wenn ich mich bis heute über diesen durchaus selbstbewussten Anspruch eines austauschbaren Hintergrunddienstleisters aufregen kann.
Nun bekam ich diese Woche erneut elektronische Post von AWS an die alte Traxpay-Adresse. Eine Massenemail mit der Einladung zu einem virtuellen Financial Services Forum. Die Mail kam von wieder einem anderen AWS Vertriebler. Ich hatte bei der Kaltansprache, der “Blogger-eMail-Konversation”, die ja eigentlich ein Salespitch für Traxpay war, nie einer Speicherung der Daten für Werbezwecke zugestimmt. Selbstredend hatte ich mich bei keinen sonstigen AWS Newslettern angemeldet. Das Opt-In fehlt also bei Amazon! In der Einladung vermisste ich darüber hinaus das Opt-Out! Grundlegende Basics der DSGVO-Compliance werden ausgerechnet vom Vertrieb eines Hostinganbieters ignoriert, der so aggressiv ins Business mit regulierten Finanzdienstleistern einsteigen will. Genau mein Humor :)
Ich beschwerte mich umgehend beim Absender der AWS eMail, bekam eine Entschuldigung und das Versprechen, dass in der Datenbank eine “Nichtansprache” hinterlegt würde. Kommt da nicht schon der nächster DSGVO-Faux-Pas um die Ecke? Da ich nie einer Speicherung meiner Daten zugestimmt habe, dürften diese Daten in der Sales-Datenbank gar nicht stehen, oder? Hätte der Sales-Kollege die Daten nicht löschen müssen/sollen? Dem AWS-Sales-Kollegen mache ich auch persönlich gar keinen Vorwurf. Hier scheint ein grundlegendes strukturelles Problem vorzuliegen verbunden mit starkem Druck auf Sales-Abschlüsse im Finanzdienstleistungs-bereich. Dennoch frage ich mit einem Augenzwinkern in diesem Kontext einmal mehr: Was bitte hat die DSGVO je für uns getan?
Fazit:
Gegen Spammer und Kriminelle war/ist die DSGVO schon immer ein stumpfes Schwert gewesen. Je länger die Einführung der DSGVO zurück liegt, desto mehr scheint sie im Sales und Marketingtagesgeschäft ignoriert zu werden. Wer macht sich schon die Mühe, überlastete Datenschutzbeauftragte anzuschreiben? Wer schaltet gar Anwälte ein? Erschreckend ist aber, dass selbst Unternehmen, die nah am regulierten Finanzgeschäft arbeiten, insbesondere bei der Neukundengewinnung, jegliche DSGVO Compliance ignorieren. Samava und AWS, habt Ihr ein solches Vorgehen wirklich nötig? Müsst oder wollt ihr eure Namen in die gleiche Reihe mit vielen anderen wirklich unseriösen eMail-Spammern stellen? Was hat die DSGVO mit Euch getan?