x Hilfe schließen

Augen auf: Fallen Sie nicht auf DSGVO-Nepper herein

Augen auf: Fallen Sie nicht auf DSGVO-Nepper herein © fotolia, smolaw11

Kennen Sie noch die ZDF-Sendung „Nepper, Schlepper, Bauernfänger“ mit Eduard Zimmermann? Zwar gibt es diese Sendung über Abzockmaschen leider schon seit vielen Jahren nicht mehr. Mit Sicherheit hätte es aber eine „Werbeaktion“ per Fax der „Datenschutzauskunft-Zentrale“ zur Datenschutz-Grundverordnung (DSGVO) in die Sendung geschafft.

Über den Autor

Mehr als 12 Jahre Berufserfahrung als Vollzeit-Datenschützer im Unternehmen. Darüber hinaus ist er seit vielen Jahren als Chefredakteur von "Datenschutz aktuell" tätig und zeigt seinen Lesern wie sich Datenschutz pragmatisch umsetzen lässt.

Das hat es mit der Datenschutzauskunft-Zentrale auf sich

Anfang Oktober 2018 erhielten viele Unternehmen eine „Eilige FAX-Mitteilung“ der „DAZ Datenschutzauskunft-Zentrale“ mit angeblichem Sitz in Oranienburg. Das Fax ist überschrieben mit „Erfassung Gewerbebetriebe zum Basisdatenschutz nach EU-DSGVO“. Von der optischen Erscheinung her ähnelt es stark behördlichen Schreiben. Selbst die tatsächlich bei Behörden und Gerichten oft bestehende „Zentrale Postverteilstelle“ kommt in den Absenderangaben und der postalischen Rücksendeadresse vor. Im Schreiben selbst wird man gebeten, „das beigefügte Formular auszufüllen und bei Annahme unterschrieben bis zum 9.10.2018“ zurückzusenden.

Ergänzt wird das Schreiben durch einen „rechtlichen Hinweis“, dass der Versand per Fax erfolge, weil man noch eine rechtzeitige Bearbeitung gewährleisten wolle. Ergänzend gibt es unten auf dem Schreiben noch den Hinweis: „Dieses Schreiben wurde maschinell erstellt und ist ohne Unterschrift gültig […].“ Auch diese Hinweise könnten manchen darauf schließen lassen, dass es sich wohl um ein „offizielles“ oder „amtliches“ Schreiben eines Amtes oder einer Aufsichtsbehörde handeln dürfte.

Und genau das wollten die kriminellen Absender erreichen: Der Empfänger soll irrigerweise annehmen, dass er es mit einer Behörde zu tun hat und er quasi handeln muss. Diesen Eindruck soll wohl auch das dem Fax-Schreiben beigefügte Formular vermitteln. Unter Fristsetzung sollen etwa Angaben zu Rechtsform, Betriebsname und Betriebsstätte gemacht, ergänzt oder korrigiert werden.

Die teure Folge: 1.494 € weniger in der Tasche

In einer Leistungsübersicht wird dann darüber informiert, dass man nach der DSGVO zwingend gewisse Grundanforderungen erfüllen müsse, um Aufsichtsmaßnahmen der Behörde zu vermeiden. Erst nach einer Auflistung, welche Daten erhoben und gespeichert werden, folgt im Fließtext die Information, dass es sich um einen Auftrag für ein „Leistungspaket Basisdatenschutz“ handele. Dieses soll Informationsmaterial, Muster, Formulare und Anleitungen zur Umsetzung der DSGVO enthalten.

Erst dann kommt die Information „Basisdatenschutz-Beitrag jährlich netto, zzgl. Ust: Eur 498“ und dass die Berechnung jährlich erfolgt. Nach einer weiteren Beschreibung des Leistungsinhalts und Informationen zur Bearbeitung des „behörden- und kammerunabhängigen Angebots“ erfährt der Empfänger, dass er mit seiner Unterschrift die Leistung für drei Jahre bestellt. Allerdings muss man sich den Gesamtpreis selbst errechnen. „Der ganze Spaß“ würde mit netto 1.494 € zu Buche schlagen.

Nicht reagieren und erst recht nicht unterschreiben

Erhält Ihr Unternehmen solch ein „amtlich“ wirkendes Schreiben, heißt es, genau hinzuschauen. Lassen Sie sich nicht unter Druck setzen, nehmen Sie sich die Zeit zur Prüfung und zur Recherche und machen Sie vor allem eines nicht: schnell unterschreiben und bezahlen.

Datenschutz ist für Nepper immer wieder interessant

Das komplexe Thema Datenschutz wird immer wieder gerne von Neppern und Kriminellen ausgenutzt. Das funktioniert deshalb so gut, weil Menschen noch immer eine gewisse „Angst“ vor Behörden haben und auch das Wissen über das, was wer darf, oftmals nicht vorhanden ist. So versuchte etwa schon 2012 ein angebliches „Bundesamt für Datenschutz“, per Telefon die Löschung unzulässig gespeicherter Daten im Internet „zu verkaufen“.

Diese Aspekte müssen bei Ihnen die Alarmglocken schrillen lassen

Als Datenschutzbeauftragter sind Sie wahrscheinlich der erste Ansprechpartner, wenn es um Datenschutzangelegenheiten geht. Vielleicht erhalten Sie auch einmal ein solches Schreiben und sollen prüfen, ob man das im Schreiben Geforderte wirklich tun muss. Berücksichtigen Sie vorher unbedingt die folgenden Aspekte:

1. Behörden schreiben normalerweise keine Faxe

Wenn eine Behörde etwas von Ihrem Unternehmen will, dann wird man in erster Linie nach wie vor den postalischen Versand wählen. Fordert sie etwas, nennt sie Rechtsgrundlagen, wonach man dies darf. Soll Ihr Unternehmen etwas zahlen, ergeht in der Regel ein Bescheid. Bescheide und alles hoheitliche Handeln sind mit einer Rechtsbehelfsbelehrung versehen, sprich Sie erfahren, wie man sich gegen die „nachteilige“ Entscheidung wehren kann.

2. Hinterfragen Sie die Existenz des Absenders

Verwenden Sie einige Zeit auf die Frage, ob es den Absender, sprich die Behörde oder öffentliche Institution, den Verband oder die Interessenvereinigung, überhaupt geben kann. Geht es um den Datenschutz, gibt es in der Regel eine für Ihr Unternehmen zuständige Datenschutzaufsichtsbehörde. Diese sollten Sie kennen. Bei dieser können Sie im Zweifel auch telefonisch nachfragen, ob ein Fax oder Schreiben tatsächlich von der Behörde stammt. Egal, wie viel Aufwand es für Sie bedeutet: Verifizieren Sie die Echtheit des Absenders und des Faxes bzw. Schreibens.

Wichtig: Kriminelle und Gauner sind nicht auf den Kopf gefallen und geben auf den Schreiben ggf. auch den echten Namen und die richtige Postanschrift einer Behörde an, allerdings eine falsche Rufnummer und E-Mail-Adresse. Daher gilt: Nehmen Sie die Kontaktinformationen von der offiziellen Webseite der betreffenden Behörde.

3. Lassen Sie sich nicht unter Druck setzen

Dass etwas ganz schnell passieren muss, ist stets ein Indiz dafür, dass an der Sache etwas „faul“ sein kann. Hinterfragen Sie, ob eine kurze Fristsetzung im Hinblick auf das Geforderte überhaupt angemessen wäre. Meist ist dies nicht der Fall. Gerade wenn man etwas vom Unternehmen will, muss man eine angemessene Frist setzen. Kommt Ihnen hier etwas seltsam vor, sollten Sie den Kontakt zum Absender suchen.

4. Werden Sie bei AGB, Abos und Leistungsbeschreibungen hellhörig

Erweckt ein Schreiben den Anschein, dass es von einer Behörde kommt, müssen auch bei folgenden Punkten die Alarmglocken schrillen: Wird auf Allgemeine Geschäftsbedingungen (AGB) verwiesen oder ist von Abonnements oder Leistungsbeschreibungen die Rede, kann das nicht von einer Behörde kommen, egal ob diese „hochoffiziell“ und „echt“ zu sein scheinen. Diese Sachen gibt es bei Behörden, sprich öffentlich-rechtlichen Funktionsträgern, schlichtweg nicht.

5. Schauen Sie nach seltsamen Informationen

Schnell zu handeln und ggf. wichtige Informationen zu übersehen, darf nicht passieren. Sie müssen genau hinschauen und nach seltsamen Informationen suchen. Denn oft ist Schein nicht gleich Sein. So etwa auch beim Fax der „DAZ Datenschutzauskunft-Zentrale“. Zwar wirkt das Schreiben wie von einer Behörde. Deren „AGB“ sollten unter dem Link deutschland.datenschutz-auskunftszentrale-europa.com/allgemeinegfbedingungen.pdf zu finden sein. Dass eine deutsche Behörde AGB und eine .com-Adresse hat, ist mehr als verdächtig. Das kann es eigentlich nicht geben. Beim Blick in die AGB wird schnell klar, dass es sich um ein Unternehmen handelt, nämlich die „DAZ Datenschutzauskunft-Zentrale Ltd.“ mit Sitz auf Malta.

6. Recherchieren Sie

Googeln Sie nach dem Unternehmen oder der Anfrage. Unter Umständen werden Sie schnell fündig und können ein Fax oder Schreiben schnell als Fake entlarven. Finden Sie nichts, muss das nicht heißen, dass alles seine Ordnung hat. Fragen Sie dann bei den richtigen Stellen nach. Denken Sie an die zuständige Datenschutzaufsichtsbehörde oder auch an die zuständige Industrie- und Handelskammer bzw. Handwerkskammer. Bei all diesen Stellen finden Sie inzwischen auch Warnungen vor der Datenschutzauskunft-Zentrale. Wahrscheinlich hätten Sie auch dort erfahren können, dass es die Datenschutzauskunft-Zentrale weder als offizielle Stelle noch als Gewerbe in Deutschland gibt und vielmehr eine Ltd. auf Malta dahintersteckt.

7. Sensibilisieren Sie auch andere im Unternehmen

Vorbeugen ist besser als heilen – das wissen nicht nur Ärzte. Sprechen Sie mit Stellen, bei denen solche Faxe oder Schreiben ankommen könnten, beispielsweise der Unternehmensleitung oder beim Sekretariat der Geschäftsführung. Voreiliges Handeln kann teuer werden. Machen Sie außerdem deutlich: Im Fall der Fälle kann man auch Sie fragen.

 

© 2019 TeachToProtect