Warum ich die Post eines Fremden erhielt

Digitalisierung und Datenschutz miteinander zu vereinbaren – dies verspricht heutzutage so gut wie jedes Unternehmen. Verlassen sollte man sich darauf besser nicht.

Aktualisierte Fassung vom 11. März 2019.

Mehrere Dienstleister und selbst die Deutsche Post verkünden seit einigen Jahren die gelungene Transformation des Briefes in die digitale Welt. Das funktioniert so: Eingehende Briefe werden per Nachsendeauftrag an die Adresse eines Scanzentrums umgeleitet, dort geöffnet und gescannt. Der Kunde kann seine Post somit auch auf Reisen im Internet abrufen. Das klingt praktisch und ist es grundsätzlich auch. Nach den persönlichen Erfahrungen des Autors sollte man sich allerdings ganz genau überlegen, wem man seine Post da anvertraut.

Werbeversprechen wie „Höchste Sicherheit“, „Datenschutz by Design“ und die „ISO 27001“ verwendet das Berliner Unternehmen AMN Data Solutions GmbH für seinen Dienst „Caya“. Nach der Übernahme des Wettbewerbers „Digitalkasten“ konnte die Firma laut einem Pressebericht bereits siebenstellige Investorengelder einsammeln, etwa von Holtzbrinck Ventures. AMN Geschäftsführer Alexander Schneekloth kündigte im Interview mit dem ZDF heute-journal zukünftige Innovationen wie das automatische Bezahlen von per Brief erhaltenen Rechnungen an. Mit der Gegenwart tut sich sein Unternehmen schwerer.

Fremde Post vom Finanzamt

Anfang Dezember 2018 erhielt der Autor als Kunde von „Caya“ seine „Sammelsendung“ mit den bis dahin gescannten und gelagerten Briefen. In dem DHL-Paket befanden sich gleich zwei Briefe eines fremden Kunden. Ausweislich der Umschläge kamen beide vom Finanzamt. Dies dürfte wohl der größte anzunehmende Unfall für einen Post-Digitalisierer sein, zumal die Briefumschläge vom Scannen auch noch geöffnet waren.

Erster Schritt: Die Kontaktaufnahme mit dem Datenschutzbeauftragten der AMN Data Solutions GmbH. Doch die in der Datenschutzerklärung des Unternehmens genannte E-Mail Adresse funktionierte nicht. Der Autor erhielt auf seine E-Mail an den Datenschutzbeauftragten eine Fehlermeldung mit dem Absender Google:

„We’re writing to let you know that the group you tried to contact (datenschutz) may not exist, or you may not have permission to post messages to the group. (…) If you have questions related to this or any other Google Group, visit the Help Center“

Nun hätte Google als Datenschutzbeauftragter einen ganz eigenen Reiz. Der Autor versuchte jedoch weiter, den eigentlich Verantwortlichen über die Kontaktadressen des Unternehmens zu erreichen. Nach drei Tagen dann die erste Reaktion: Ein junger Mitarbeiter rief an und fragte, ob man einen Umschlag mit der fremden Post an „Caya“ adressieren könne, der dann von einem Kurier abgeholt werde. Gesagt, getan.

Auch der Datenschutzbeauftragte der AMN Data Solutions GmbH meldete sich und bat darum, „die Schreiben nicht zu kopieren“. Das wäre dem Autor auch nicht in den Sinn gekommen. Er hätte vom Datenschutzbeauftragten allerdings schon gerne erfahren, was mit seiner Post geschehen war. Denn auch einer seiner eigenen Briefe fehlte in der DHL-Sendung von „Caya“.

Brief im Archiv vergessen

Er sollte ganze fünf Tage dauern, bis ihn das Unternehmen darüber informierte, dass der Brief sich „weiterhin im Archiv“ befinde und neu zugestellt werden müsse. Wie es zum Vergessen dieses Briefs und zur Fehlleitung der Behördenpost eines Fremden kommen konnte? Dazu keinerlei Auskunft – weder vom Unternehmen, noch von seinem Datenschutzbeauftragten.

An dieser Stelle hatte der Autor genug: Er kündigte seinen Vertrag mit der hinter „Caya“ stehenden AMN Data Solutions GmbH und verfasste eine Bewertung auf Google Maps sowie eine zweite beim Bewertungsportal Ekomi. Heute ist das gesamte Google Maps Profil des Unternehmens AMN Data Solutions GmbH in Berlin verschwunden. Darin hatten sich neben einigen positiven Bewertungen auch mehrere andere Kunden sehr kritisch über den Anbieter geäußert. Neben den Bewertungen sind nun auch die Antworten des Unternehmens auf diese nicht mehr einsehbar.

Verschwundene Bewertungen

Im Ekomi-Bewertungsprofil des Unternehmens antwortete „Caya“ damals: „Wir geben Ihnen Recht, dass auch selbst kleinste Fehler in einem solchen Vertragsverhältnis nicht auftreten dürfen.“

Kleinste Fehler?

Ganze elf Tage nach dem Vorfall und recht bald nach den beiden Internet-Bewertungen meldete sich mit Philipp Rechberg erstmals einer der drei Geschäftsführer. Er entschuldigte sich für die „wirklich mangelhafte Kommunikation unsererseits“. Man habe in Folge der fehlgeleiteten Briefe eine „Vielzahl an Maßnahmen“ ergriffen. Rechberg erstattete dem Autor die bezahlten Gebühren und kündigte ihm darüber hinaus einen Scha­den­er­satz an: „Bitte bedenken Sie hierbei auch Ihren Zeitaufwand.“

Wenig später fragte Rechberg dann im Zusammenhang mit der bis heute ausstehenden Zahlung, „ob und wie Sie planen die gemeinsamen Fortschritte die wir seit Dezember gemacht haben, auch entsprechend in Ihre Bewertungen bei Google und Ekomi einfliessen zu lassen, oder diese planen zu löschen.“ Selbstverständlich löschte der Autor seine sachlich nach wie vor zutreffenden Bewertungen nicht, was dem AMN Geschäftsführer offenkundig missfiel: „Daher bin ich enttäuscht bis überrascht, dass Sie keine Anpassung Ihrer Bewertungen vornehmen möchten.“

Ein Teil des Bewertungs-Problems hat sich für das Unternehmen durch die wundersame Löschung seines Google Maps Profils nun „von selbst“ erledigt. Eine Anfrage hierzu will die AMN Geschäftsführung nicht selbst beantworten und verweist auf ihren Rechtsanwalt. Der rät seiner Mandantin laut Anwaltsschreiben von einer öffentlichen Stellungnahme ab, mit dem originellen Argument, „dass unsere Mandantin in keinem Fall den Eindruck erwecken möchte, sich eine negative Berichterstattung abkaufen zu lassen.“

Abkaufen zu lassen?

Offenbar hält es der Rechtsanwalt für selbstverständlich, dass der Autor nach Erhalt des zuvor für seinen Zeitaufwand als „Caya“-Kunde mit der Abwicklung der Fehlzustellungen zugesagten Scha­den­er­satzes im dreistelligen Bereich von einer öffentlichen Berichterstattung über die Vorfälle und deren zweifelhafte „Aufarbeitung“ absehen würde. Ein problematisches Verständnis von Journalismus.

Betroffener blieb ahnungslos

Der Hauptbetroffene, dessen Briefe vom Finanzamt einem Fremden in geöffneten Umschlägen übersandt worden waren, erfuhr davon zunächst nichts – auch nicht von der bereits seit Dezember informierten Berliner Beauftragten für Datenschutz und Informationsfreiheit.

Ihre Behörde sagt dazu auf Anfrage: „Eine Mitteilung nach Art. 34 DS-GVO an betroffene Personen ist zwar immer wünschenswert, gesetzlich aber nicht vorgeschrieben. Insbesondere trifft die Informationspflicht nicht die Aufsichtsbehörde, sondern den Verantwortlichen.“

Im Klartext: Die zuständige Aufsichtsbehörde verlässt sich darauf, dass der Verursacher eines Datenschutzverstoßes den Geschädigten selbst auf den Verstoß hinweist.

Dies geschah im Falle von „Caya“ auch – allerdings erst ganze fünf Wochen nach dem Vorfall. Geschäftsführer Rechberg hierzu: „Die Rechtslage fordert eine solche Information unsererseits nicht, aber wir empfinden es als unsere Verantwortung auch Fehler transparent zu kommunizieren.“

Datenleck by Design

Was man daraus lernen kann? „Datenschutz by Design“ gibt es tatsächlich – etwa bei einem anderen Anbieter namens Dropscan, welcher zunächst nur den ungeöffneten Briefumschlag scannt, so dass man Post von sensiblen Absendern verschlossen lassen kann.

Allerdings sollte man die vollmundigen Werbeaussagen zur Datensicherheit immer hinterfragen. Dass laut AMN Geschäftsführer Rechberg zwischenzeitlich eine „Vielzahl von Maßnahmen“ ergriffen worden sei, spricht jedenfalls nicht gerade für die Datensicherheit dieses Anbieters vor den Vorfällen.

So kritisch man das Thema Internet-Bewertungen generell sehen kann – ein plötzlich verschwundenes Google-Maps Profil wirft Fragen auf. Besonders, wenn ein Kunde zuvor noch in Verbindung mit einer ausstehenden Entschädigungszahlung explizit gefragt worden ist, ob er seine Bewertung jetzt nicht „löschen“ möchte.

Und auf eine Benachrichtigung durch die Aufsichtsbehörde kann man als Betroffener eines Datenschutzverstoßes lange warten. Dies überlässt der Gesetzgeber ausgerechnet dem Verursacher. Der lässt sich – das zeigt das Beispiel „Caya“ exemplarisch – dafür alle Zeit der Welt.

Die Zukunft der Postzustellung – noch bevor sie richtig begonnen hat steckt sie bereits mitten in einer veritablen Vertrauenskrise.