Am 21.11.2016 erhielt ich eine Werbeemail an cweiske+pizza.de@meinedomain - eine E-Mailadresse, die ich nur bei pizza.de verwendet habe. Im pizza.de-Profil hatte ich der werblichen Nutzung meiner Daten widersprochen.
Die Spam-Mail von trend-dialog.de bot Handytarife der "Telefonica Germany GmbH & Co. OHG" an.
Auf meine erste Nachricht an den Support bekam ich nur eine unspezifische Standardantwort:
Pizza.de gibt in keinem Fall Kundendaten an andere Unternehmen heraus und auch anderweitig wurden keine Daten entwendet.
Ich fragte erneut, wie meine pizza.de-spezifische E-Mailadresse woanders landen konnte. Ein anderer Bearbeiter übernahm meinen "Fall" und teilte mir mit, daß der Fall geprüft wird und rechtliche Schritte eingeleitet werden sollen.
Heute fragte ich nach dem aktuellen Status und bekam folgende von der Rechtsabteilung abgesegnete Antwort:
Sehr geehrter Herr Weiske,
die Kollegen aus unserer IT können kein Datenleck bestätigen. Gleichzeitig untersuchen wir momentan einen ähnlichen Hinweis eines anderen Kunden, der uns eine Spam-Email weitergeleitet hatte. Dadurch konnten wir mit hoher Wahrscheinlichkeit die für den Spam-Versand verantwortliche Agentur identifizieren. Unsere Rechtsabteilung prüft aktuell die Möglichkeiten, die Agentur zum Stopp des Spam-Versandes zu bewegen.
Selbstverständlich geben wir keine Daten an andere Parteien weiter. Der Schutz von Kundendaten hat für uns oberste Priorität.
Weitere Informationen bekam ich nicht. Da pizza.de ihre Website selbst betreibt, fällt eine Internetagentur als Verursacher aus. Man kann jetzt nur spekulieren, in welcher Position eine Agentur bei pizza.de sein muß, um an die Kundendatenbank heranzukommen.
Daten
In der Spam-Email waren meine folgende persönliche Daten enthalten:
Anzahl geleckte Datensätze
pizza.de hat zur Anzahl der illegal kopierten Datensätze keine Angaben gemacht.
Ich gehe deshalb davon aus, daß das Datenleck die komplette Kundendatenbank von pizza.de umfasst.
Benachrichtigung?
Mir stellte sich noch die Frage, ob pizza.de ihre Kunden über die Datenpanne informieren muß. Schauen wir mal ins Gesetz:
Bundesdatenschutzgesetz § 42a verlangt die Benachrichtigung der betroffenen Personen nur in folgenden Fällen:
- besondere Arten personenbezogener Daten (§ 3 Absatz 9),
- personenbezogene Daten, die einem Berufsgeheimnis unterliegen,
- personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen, oder
- personenbezogene Daten zu Bank- oder Kreditkartenkonten
Der in Punkt 1 genannte §3 Absatz 9 besagt:
Besondere Arten personenbezogener Daten sind Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben.
Punkt 1 ist also nicht relevant, weil pizza.de im Profil keinerlei solche "besondere Arten personenbezogener Daten" abfragt.
Punkt 2 und 3 sind ebensowenig relevant.
Punkt 4, Bank- oder Kreditkartenkonten ist sehr relevant. pizza.de muß nun feststellen, ob die "betreffende Agentur" auch Zugriff auf die gespeicherten Zahlungsdaten der Kunden hatte oder nicht. Wenn sie es hatte, müssen alle Kunden informiert werden - denn wenn sich diese ominöse Firma nicht scheut, Spam zu versenden, dann ist der Mißbrauch der Kontodaten recht wahrscheinlich.
pizza.de
Pizza.de wurde Mitte 2014 von Delivery Hero aufgekauft, die hierzulande lieferheld.de betreibt. Wer etwas mehr über die Geschäftspraktiken und deren Einfluß auf die eigentlichen Essenslieferanten wissen möchte, den kann ich den Krautreporter-Artikel Ausgeliefert - Wie Pizza.de und Lieferheld die Gastronomie unter Druck setzen empfehlen.