Die Datenschutz-Grundverordnung DSGVO trat im Mai 2018 in Kraft und wir erinnern uns: Hunderte eMails von Newslettern verstopften unser Postfach, um nachträglich unser Einverständnis (Opt-In) einzuholen. Seitdem müssen wir alle täglich beim Besuch von Web Seiten diese nervigen Banner verklicken mit der Cookie-Belehrung. Aber hat uns die DSGVO auch wirklich etwas gebracht? Hat sie den unaufgeforderten Werbe-Spam eingestellt? Nein, wie unlängst ein Schwergewicht der Branche beweist!
Bereits vor über zwei Jahren haben wir hier im Blog über das Scheitern der DSGVO im Kampf gegen Werbung von namhaften Dienstleistern und Fintechs wie Smava und AWS Amazon Web Services amüsant geschrieben. In den letzten Tagen ist an eine der Payment & Banking eMail-Adressen wieder ein extrem kurioser Fall von klar DSGV-regelwidrigem Werbespam geschickt worden.
Unaufgeforderte Werbung trotz DSGVO
Nun erhalten wir alle täglich unaufgefordert Werbung, sei es im eMail-Postfach oder per Linkedin. Wenn aber ausgerechnet ein Bank- und Versicherungsdienstleister für Security und Compliance-Anwendungen so stark gegen die DSGVO verstößt, dann schlägt das dem Fass den Boden aus und gibt Anlass sich dem Thema nochmals ausführlich im Blog zu widmen.
Um wen geht es eigentlich? Es flatterte digital unaufgeforderte Werbung der Firma LexisNexis Risk Solutions ins Postfach. LexisNexis ist laut eigener Aussage ein „führender Anbieter von grundlegenden Informationen, um Kunden in verschiedenen Branchen und Behörden zu helfen, Risiken einzuschätzen, vorherzusagen und zu managen.“ Das Unternehmen ist global aktiv u.a. mit Kunden in den Bereichen Banken und Versicherungen, also ein Bereich, in dem es ganz besonders um Risiken, Compliance und Datenschutz ankommt. Das Unternehmen ist auch keine austauschbare, unseriöse, osteuropäische Entwicklerbude, von denen so viel Spam kommt, sondern Teil der RELX Gruppe.
Ein Schwergewicht pfeift auf die eigenen Anforderungen
RELX ist ein globaler börsennotierter Konzern mit Listings an den Börsen in New York (New York Stock Exchange), London und Amsterdam. Die aktuelle Marktkapitalisierung der Gruppe liegt bei knapp $60Mrd. Das ist grob 2,5 Mal so groß wie die Deutsche Bank. Also ein richtiges Schwergewicht seines Faches! Ironischerweise bietet RELX bzw. deren deutsche GmbH-Tochter LexisNexis ausgerechnet Compliance-Lösungen für Banken und Versicherungen z. B. für KYB / Geschäftspartnerüberprüfungen, Screenings von Geschäftspartnern, Überwachungen von Lieferanten etc.
Lustig wird es dann, wenn ein solcher Compliance-Dienstleister zwar Tools für Kunden entwickelt, aber im überbordenden Vertriebsdruck offensichtlich auf die grundlegenden Compliance-Anforderungen bei sich selbst komplett pfeift. Eine sowohl amüsante als auch erschreckende Geschichte entwickelte sich, wenn man in die Details einer 0815 Direktmarketing Werbemail von LexisNexis einsteigt und die Prozesse inkl. Datenschutzbeauftragten mal in der Realität durchspielt.
Ein Trauerspiel in vier Akten
1. Akt – Unaufgefordertes eMail-Marketing
Alles beginnt mit einer Spam-Direktmarketing-E-Mail von LexisNexis, unaufgefordert natürlich. Dort preist das Unternehmen Lösungen in blumigsten Worten die herausragenden Leistungen der eigenen Betrugsabwehr-Lösung an. „Betrug verstehen und bekämpfen“. Also machen wir doch mal das, was LexisNexis möchte: Wir versuchen den Spam der Firma zu verstehen und dann zu bekämpfen! Auf ins Gefecht!
Die E-Mail-Adressen unserer Herausgeber und Autoren sind ja leicht über unsere Blogseite identifizierbar. Nicht OK, und im krassen Widerspruch zur Datenschutzgrundverordnung, ist die ungefragte Aufnahme der E-Mail-Adressen in die Werbedatenbank von LexisNexis sowie der unaufgeforderte Versand von Werbe-E-Mails ohne vorherigen Opt-In. Aber wer weiß, vielleicht gelten für globale Risk & Compliance Dienstleister andere Datenschutzregeln als für den Rest der Welt?
2. Akt – Wenn schon non-compliant, dann aber richtig!
Unaufgefordert erhaltene E-Mails von Bankdienstleistern nerven, zumal wir bei Payment & Banking auch die vollkommen falsche Zielgruppe für irgendwelche Risikosysteme sind. Egal, aber es gibt ja, auch dank DSGVO, ein mandatorisches Opt-Out. „Sie können ihre Zustimmung von uns eMails zu erhalten jederzeit widerrufen … klicken Sie diesen Link“. Auch wenn es diese Zustimmung nie gab, wenigstens schnell raus aus diesem Nerv-Verteiler, um in Zukunft Ruhe zu haben. Was dann passierte, kann nur noch mit einem sarkastischen Schmunzeln konnotiert werden.
Der vorgeschriebene Opt-Out-Link führt auf eine nicht existente Seite von LexisNexis „No page available” heißt es da kleinlaut. Gut, eigentlich passt es ins Bild. Wenn kein Opt-In erfolgt ist, dann gibt es logischerweise auch nichts auszutragen, oder? Der bankfachliche Leser dieses Blogs mit ein wenig Compliance-Verständnis fühlt sich jetzt an das Facepalm-Emoji im Smartphone erinnert, also den vor Fremdscham hinter einer Handfläche versunkenen Kopf. Wie kann ausgerechnet ein Risiko- und Compliance-Dienstleister die geltenden Datencompliance-Vorschriften derart mit Füßen treten?
Leider geht die Fremdscham noch munter weiter. In der Browser-Adressleiste der LexisNexis Web Site steht „nicht sicher“. Die Firma, wir erinnern uns an ihre $60 Mrd. Marktkapitalisierung, schafft es wohl nicht, jährlich drei Euro fünfzig für ein vernünftiges SSL-Zertifikat ihrer Internetpräsenz auszugeben. Ein Risikospezialist mit einer „unsicheren“ Seite, der an einem SSL-Sicherheitszertifikat spart und auf die Datenschutzregeln pfeifft … darauf muss man erst mal kommen! Die Werbebotschaft „Betrug verstehen und bekämpfen“ wirkt so in einem gänzlich anderem Licht. An diese Stelle sollen keine weiteren Worte verloren werden, die Peinlichkeit der Gesamtsituation ist für das Unternehmen vermutlich schon groß genug.
3. Akt – Der vorhandene oder doch nicht vorhandene interne deutsche Datenschutzbeauftragte
Bei 0815 Spam hätte man die E-Mail einfach gelöscht, die Absenderadresse zurecht auf einen harten Spamfilter gesetzt und sich dann wieder den schönen Dingen des Lebens zugewandt. Aber wir haben es doch hier mit einem gestandenen Risk & Compliance Unternehmen zu tun! Weiß eigentlich der interne Datenschutzbeauftragte von den grenzwertigen Maßnahmen seiner Marketing- und Vertriebskollegen? Fehlen neben dem SSL-Zertifikat auch noch andere grundlegende Dinge wie Datenschutzbestimmungen und der interne Datenschutzbeauftragte?
Hier scheint der Anbieter jedenfalls seine Hausaufgaben gemacht zu haben. In den sehr ausführlichen deutschen Datenschutzbestimmungen führt die Suche nach dem Kontakt mit dem Datenschutzbeauftragten auf ein eindrucksvolles „Privacy Center“. Unter einer Vielzahl von Nationalflaggen kommt man auf das deutschsprachige Datenschutzzentrum der Düsseldorfer LexisNexis GmbH, in welchem man dem Datenschutzbeauftragten eine Anfrage stellen kann. Etwas Verwirrung macht sich sofort wieder breit, weil in der globalen Niederlassungskarte von LexisNexis die deutsche GmbH in Bonn und nicht Düsseldorf angesiedelt ist. Bei der Vielzahl der internationalen Flaggen ist am Ende aber auch irrelevant, ob die alte Hauptstadt Bonn oder die verbotene Stadt Düsseldorf. Hauptsache NRW! Oder ging der Spruch nicht anders? Mailand oder Madrid? Hauptsache Italien! Egal. Doch weiter in der Reise: Im deutschen Formular wird der rheinische Datenschutzbeauftragte der Firma freundlich um Löschung der Daten gebeten, weil das Opt-Out Formular nicht verfügbar ist. „Vielen Dank für Ihre Anfrage“
4. Akt – Think global act local oder umgekehrt – Do you understand me?
Zugegeben, die Datenschutzreise mit dem Compliance-Großkonzern wir immer lustiger, je länger sie andauert. Noch am selben Tag kommt ein Feedback auf unsere Anfrage im „Datenschutzzentrum“. Obwohl die Marketing-E-Mail in Deutsch ist, die Datenschutzbestimmungen in Deutsch gehalten sind und das eindrucksvolle Datenschutzzentrum mit Anfrage an den Datenschutzbeauftragten der jecken, rheinischen LexisNexis GmbH in Deutsch gestellt wurde, kommt eine Antwort … auf, man ahnt es, auf englisch vom „Consumer Rights Support Team“ aus Cardiff.
Abgesehen davon, dass es wenig professionell erscheint, wenn für deutsche Kunden plötzlich die Sprache gewechselt wird, ist die Mail so schlecht formatiert und sich nicht responsiv anpasst und deswegen Text im Fenster irgendwo verschwindet: Irgendwie verwechselt das Datenschutzteam des hervorragenden globalen Compliance-„Spezialisten“ die rechtlichen Grundlagen. Für die Marketingmaßnahmen einer deutschen GmbH gegenüber deutschen Kunden in Deutschland gilt selbstverständlich die deutsche Datenschutzgrundverordnung. So sehen es die „Experten“ bei LexisNexis aber irgendwie nicht. Sie behaupten lauthals „this processing is not unlawful, does not require your consent and remains necessary for the purposes of these legitimate interests„. Es ist eine sehr steile Interpretation des Compliance-Anbieters, dass der Erhalt von eMails und die Speicherung der Daten keine Zustimmung des Empfängers benötigten “does not require your consent”.
Es stellt sich nun ernsthaft die Frage, wie qualitativ hochwertig die Risk- und Compliance-Tools von LexisNexis für deren Bank- und Versicherungskunden wirklich sind, wenn ganz offensichtliche datenschutzrechtliche Grundlagen einfach so negiert werden. Gilt es auch für die Kunden und sind die so gar einem höheren Risiko ausgesetzt im Vertrauen auf die „Experten“? Auch behauptet das Datenschutzteam von LexisNexis das Gegenteil dessen, was LexisNexis faktisch operativ mit ihren Werbemails machen. Sie schreiben sehr selbstbewusst „LexisNexis Risk Solutions do not use your personal information for direct marketing.“ Aaaaach…? Und was ist indessen mit der E-Mail zu „Betrug verstehen und bekämpfen“. Ist die von Dritten im Namen von LexisNexis verschickt worden? Hat vielleicht ein geheimer ChatGPT-Trojaner auf dem Mac von Payment & Banking die Spam-Mail selbst erstellt, um den User ärgern? Oder ist das am Ende eine der berühmten nicht-zustimmungspflichtigen „Systemnachrichten“, nur dieses Mal an Nichtkunden?
Der letzte Absatz in der Mail des Teams, dessen Titel man angesichts der abenteuerlichen Uminterpretation der rechtlichen Fakten nur noch in Anführungszeichen geschrieben werden kann, hilft wenigstens weiter: Das „Datenschutzteam“ gibt einen wertvollen Hinweis für die weitere Bekämpfung der DSGVO-nonkonformen Direktmarketingkampagne: „if you are unsatisfied with this response and wish to have this reviewed, you can (…) raise a complaint externally with your local supervisory authority.“
Das wurde dann schnell gemacht und jetzt mahlen die Mühlen der lokalen Datenschutzaufsicht in NRW. Die eMail-Bestätigung als staatliche Behörde ist, anders als von den globalen „Datenschutzteam“-Experten LexisNexis, übrigens responsiv. Es passt sich der Größe des Fensters an und ist jederzeit zu lesen. Wehe es schmipft jemals noch ein Autor bei Payment & Banking über die verschlafene Digitalisierung deutscher Behörden, wenn die das besser können als ein super, digitaler, globaler 60Mrd-Risk & Compliance Konzern.
Fazit: Wie sehr kann man sich blamieren? Sehr!
Der globale Risk & Compliance Konzern ruft als Antwort auf die oben gestellt Frage wohl ein ganz lautes „JA! SEHR! BIS AUF DIE KNOCHEN“ in die digitale Finanzblogosphäre. Es ist erschreckend, wenn selbst Dienstleister im Handling hochsensibler Daten für hochregulierte Bereiche wie Banken und Versicherungen die grundlegendsten Datenschutzregeln mit Füßen treten. Wir wollen jetzt nicht noch einen Schritt weiter gehen und das eigentliche Handling der Kundendaten von LexisNexis beleuchten, wenn die Blamage bei einfachen Marketing-Mailings schon so gravierend ist. Daher fragen wir uns, vorerst am Ende dieser Reise angekommen, auf ein Neues: Was hat die DSGVO je für uns getan? Mehr amüsante Erlebnisse demnächst bestimmt wieder hier im Blog!
