Werbung: Wie kommen Unternehmen an Daten von Verbraucher/-innen?

Von: Verbraucherzentrale Bayern e.V.

Immer wieder beschweren sich Verbraucher/-innen über unaufgefordert zugesandte Werbung. Die Frage ist: Woher haben Unternehmen die Daten? Meist haben Verbraucher/-innen sie selbst weitergegeben. Der folgende Artikel gibt einen Überblick über datenrelevante Situationen. Denn letztlich hilft nur ein sensibler Umgang mit seinen persönlichen Daten. Sind sie erst einmal erhoben, steigt die Gefahr des Missbrauchs.

Wege des Datensammelns von Unternehmen

Viele Unternehmen nutzen ihre eigenen Kundendatenbestände für Werbemaßnahmen gegenüber bestehenden Kund/-innen. Manche beschaffen sich Daten von so genannten Adressenhändler/-innen um neue Kund/-innen zu gewinnen. Diese vermieten oder verkaufen auf spezielle Zielgruppen zugeschnittene Datenbestände. Dafür werten sie öffentlich zugängliche Quellen systematisch aus. Man nennt sie auch Harvester (Erntemaschinen). Dabei erheben sie nicht nur Adressen, sondern werten auch Informationen über Lebensstil und Kaufverhalten aus. Herangezogen werden zum Beispiel: Adress- und Telefonbücher, E-Mail-Verzeichnisse und -listen, Handels- und Vereinsregister, Branchenverzeichnisse, Internetseiten und private Anzeigen in Zeitungen. Außerdem wenden sie sich an die Meldebehörden der Städte und Gemeinden, die kostenpflichtig Daten aus den amtlichen Registern zum Familiennamen, Vornamen, Doktorgrad, aktueller Anschrift herausgeben.

Beabsichtigt ein Unternehmen Kundendaten nicht nur für den vereinbarten Zweck (zum Beispiel zur Vertragsabwicklung) zu nutzen, sondern beispielsweise auch für Werbung, so muss es gemäß der Datenschutz-Grundverordnung (DSGVO) bereits bei Erhebung der Daten darauf hinweisen und die betroffene Person über mögliche Empfänger/-innen der Daten unterrichten.

Einige Unternehmen führen Preisausschreiben, Verlosungen oder Informationsveranstaltungen durch, um an Anschriften und werberelevante Informationen zu kommen. Dem gleichen Zweck dienen häufig Kundenbindungsprogramme und Rabattsysteme. Viele Werbende greifen darüber hinaus auf Adressbestände anderer Unternehmen und Organisationen zurück.

Eine weitere Form der unaufgeforderten Werbung ist die Anzeige von Werbeflächen auf sozialen Medien oder Webseiten. Unternehmen nutzen Daten, die Verbraucher/-innen durch ihr Verhalten im Internet und auf sozialen Medien quasi „unfreiwillig“ Preis geben und verwenden diese für personalisierte Werbung.

Ebenso vermieten oder verkaufen Unternehmen ihre Kundenadressen oft auch untereinander. Versandhandelsunternehmen beispielsweise können aufgrund langfristiger Geschäftsbeziehungen zahlreiche Kundenadressen anbieten – geordnet nach werberelevanten Informationen über Kauf- und Zahlungsverhalten.

Viele Computer von Privatanwender/-innen, die zum Internetsurfen verwendet werden, sind nicht ausreichend gegen die Risiken der Online-Welt geschützt. Dasselbe gilt für Smartphones und Tablets. Insbesondere durch unsichere Browsereinstellungen werden Daten oftmals unfreiwillig an Dritte weitergeben.

Was können Verbraucher/-innen gegen Verbreitung ihrer Daten tun?

1. Auf Datenschutzklausel achten

• Bevor man einen Vertrag mit einem Internetdienstleister oder einem Kundenkartenunternehmen schließt, sollte man unbedingt einen Blick in das Kleingedruckte, die so genannten AGB sowie die Datenschutzbestimmungen werfen.
  

• Häufig finden sich dort Formulierungen, wie "Ich bin damit einverstanden, dass meine Daten zu Werbezwecken an angeschlossene Unternehmen oder Dritte weitergegeben werden." Eine solche Klausel kann durchgestrichen werden oder muss nicht angekreuzt werden bzw. das Kreuz kann entfernt werden..
  

• Wenn sich der/die Verbraucher/-in mit der Weitergabe der Daten einverstanden erklärt, muss er/sie damit rechnen, Werbung zu erhalten. Selbst wenn so eine Klausel im Einzelfall unzulässig sein sollte, muss man wissen, dass die Daten bereits erhoben und womöglich weitergeleitet wurden.
  

2. Bestimmte Daten grundsätzlich nicht angeben

• Verbraucher/-innen sollten niemals mehr Daten angeben, als zur jeweiligen Vertragsabwicklung notwendig. Das Geburtsdatum ist oft irrelevant.
  

• Es ist abzuwägen, ob die meist mageren Preisnachlässe beim Einsatz von Kundendaten die Offenlegung des eigenen Konsumverhaltens wert sind. Vielfach lässt sich durch Preisvergleiche aller Anbieter mehr einsparen.

3. Gewinnbenachrichtigungen ignorieren

• Benachrichtigungen über Gewinne sollten auf jeden Fall ignoriert werden, wenn man an keinem Preisausschreiben teilgenommen hat. Die Aussicht auf den vermeintlichen Gewinn dient nur dazu, Geld aus- bzw. Daten preiszugeben.

Persönliche Angaben in sozialen Netzwerken überdenken

• Nutzer/-innen sozialer Netzwerke sollten sich gut überlegen, welche Informationen sie dort angeben. Es lohnt sich zumindest den Zugriff auf die persönlichen Daten einzuschränken und ggf. die Sichtbarkeit des Profils zu beschränken. Meist finden die Nutzer/-innen in den Einstellungen Optionen um ihre Daten zu schützen.
  

Gesundes Misstrauen bei sicherheitsrelevanten Daten

• Persönliche Daten, insbesondere Konto- und Kreditkartennummern sollte man im Internet nur verschlüsselt versenden. Eine verschlüsselte Verbindung erkennt man am geschlossenen Vorhängeschloss-Symbol im Browserrahmen und an der Webadresse, die statt mit „http“ mit „https“ beginnt.

Sichere Einrichtung von Computer, Tablet und Smartphone

• Anpassung des Webbrowsers: Verbraucher/-innen haben die Möglichkeit,  Add-ons, Plug-ins oder andere Erweiterung zu nutzen, um die Speicherung von vertraulichen Informationen und die Weitergabe an Dritte zu vermeiden. (z. B. den Nervenschoner der Verbraucherzentrale Bayern)
• Cookies sollten regelmäßig gelöscht werden. Auch die  Einstellung „Drittanbieter-Cookies blockieren“ ist sinnvoll.
• Beim Einloggen zu Online-Diensten sollte wenn möglich immer eine Zwei-Faktor-Authentisierung genutzt werden.

Gewinnrätsel und Preisausschreiben

Im Internet wimmelt es geradezu von Gewinnspielen. Aufmerksam wird man auf sie meist durch Werbebanner, durch Spam oder in den sozialen Netzwerken. Für die Teilnahme ist es dabei oft erforderlich, eine Eingabemaske mit persönlichen Daten auszufüllen.

Lässt man ein Datenfeld unausgefüllt, kann man das Formular oft nicht abschicken. So werden Verbraucher/-innen gezwungen, auch Angaben zu machen, die für die Abwicklung des eigentlichen Gewinnspiels gar nicht erforderlich sind, wie z. B. Telefon-, Mobilfunk- oder Faxnummer.

Soziale Netzwerke: Datensammler per se

Soziale Netzwerke wie Facebook, Instagram oder TikTok sind aus dem Leben vieler Menschen nicht mehr wegzudenken. Sie setzen auf einen unentgeltlichen Zugang, funktionieren nur auf Grund der Freigabe von oft sehr persönlichen Daten und finanzieren sich in der Regel über Werbung.

Oft sind die Daten unzureichend geschützt und leicht auszuspähen. Auch wenn manche Netzwerke Schutzmechanismen vorsehen, hilft das wenig, solange die Mitglieder selbst diese Mechanismen nicht nutzen und den Zugang erlauben.

Wer selbst alles über sich verrät, ist für Werbetreibende ausgesprochen lukrativ. Marktforschungsinstitute sammeln die Daten und werten sie aus. Aber auch Kriminelle nutzen die Informationen, um potentielle Opfer auszuspähen.

Unternehmen nutzen vermehrt die Möglichkeit des „Targeted Advertising“ (gezielte Werbung). Jede Suchanfrage, jeder Aufruf einer Webseite und sogar die Verwendung eines bestimmten Browsers und dessen Spracheinstellung gibt den Unternehmen wichtige Informationen. Hierfür werden insbesondere Cookies und Analyse Tools genutzt. Mit Hilfe von Algorithmen werden dann genau auf den Nutzer oder die Nutzerin angepasste Werbeflächen auf den Sozialen Plattformen angezeigt.

Social Engineering

Beim Social Engineering werden menschliche Eigenschaften wie Hilfsbereitschaft, Vertrauen, Angst oder Respekt vor Autoritäten ausgenutzt, um Personen geschickt zu manipulieren. Auf diese Weise sollen beispielsweise vertrauliche Informationen gesammelt werden, um so auch Sicherheitsfunktionen auszuhebeln, Überweisungen zu tätigen oder Schadsoftware auf dem privaten Gerät oder einem Computer im Firmennetzwerk zu installieren.
Die privaten und beruflichen Sozialen Netzwerke ermöglichen es im Vorfeld des Angriffs eine Vielzahl von Hintergrundinformationen über Personen oder Mitarbeiter/-innen eines Unternehmens zu sammeln und gegebenenfalls zu verknüpfen.

Datenklau durch Phishing

Der Datenklau durch sogenanntes Phishing ist eine echten Bedrohung. Die Bezeichnung Phishing leitet sich vom Fischen (engl. fishing) nach persönlichen Daten ab. Das Ersetzen von F durch Ph ergibt sich dabei aus der Kombination der Worte Password und Harvesting (engl. für Ernte).

Hier geht es vor allem darum, möglichst viele Passwörter zu „ernten“, um diese als Zugangsdaten für Bankenportale, Versandhäuser oder Internet-Auktionshäuser zu nutzen. Mit den gestohlenen Zugangsdaten können Betrüger/-innen viel Schaden verursachen, vor allem natürlich Vermögensschäden durch so genannten Identitätsdiebstahl, aber auch durch Installation von Schadsoftware.

Doxing

Doxing ist eine weitere Form des Datenklaus. Täter sammeln personenbezogene Daten, die sie bündeln und öffentlich verfügbar machen. So können nicht nur E-Mail-Konten, sondern auch Accounts sozialer Netzwerke gekapert werden und fremde Nachrichten oder Posts auf diesen verbreitet werden. Auch Kreditkarten oder der Online-Zugang zur Bank kann in fremde Hände fallen. Insbesondere Namen und Geburtsdaten oder zugehörige Telefonnummern und E-Mail-Adressen finden sich im Internet leicht.

Datenfreigabe durch Kundenkarten, Payback & Co.

Kundenkarten verfolgen in erster Linie folgende Ziele: Kundenbindung und Marktforschung. Der Kunde soll allein beim Blick auf die Karte im Geldbeutel daran erinnert werden, im Zweifel dort einzukaufen. Zudem winken beim Einsatz der Karte mehr oder weniger großzügige Rabatte auf den Kaufpreis oder Wertpunkte, die dann in Sachprämien eingelöst werden können. Die Zahl der Kundenkarten steigt weiter an.

Schon bei der Beantragung der Karte verleiten manche Formulare zur Preisgabe von Informationen, die zur Rabattgewährung nicht erforderlich sind, z.B. Familienstand, Haushaltsgröße oder Beruf.

Aus den Angaben, die im Kartenantrag freiwillig gemacht werden, können zusammen mit den Umsatzdaten Kundenprofile erstellt werden. In dem Zusammenhang sei beispielsweise an die beliebte Payback-Karte erinnert. Durch diese werden im Verhältnis zu den geringen Prämien viele Information des Nutzers oder der Nutzerin gesammelt sowie Kaufgegenstand, Kaufort und -zeit.

Gerade wenn sich mehrere Anbieter verschiedener Branchen zusammenschließen, werden Informationen gewonnen, die sich nach Auswertung in verschiedensten Bereichen niederschlagen. So können das künftige Warenangebot und die Warenpositionierung optimiert werden oder man erhält Informationen, wie viel Personal man zu welchen Zeiten vorhalten muss. In der Praxis haben Verbraucher/-innen kaum Einblick in die Systeme.

Smartphones - Smart Homes

Die Verwendung von Smartphones - und immer mehr auch die Einrichtung von Smart Homes - ist in der heutigen Welt nicht mehr wegzudenken, dennoch ist bei dem Umgang damit Vorsicht geboten.

Im Hinblick auf die Verwendung von Apps auf Smartphones haben Apple-Geräte eine Vorschalteinrichtung, sodass der/die Verwender/-in des Smartphones bei jeder Applikation neu entscheiden kann, wie viele Daten bei der Nutzung der App erhoben werden können. Bei Android-Geräten kann man sich die Daten durch eine spezielle App anzeigen lassen und sich so, durch Löschen der App oder Veränderung der Einstellungen, vor einer ungewollten Datenerhebung schützen.

Die Nutzung der Sprachsteuerung eines Smartphones, die Aktivierung der Ortungsdienste sowie die Verwendung des Fingerabdrucks bzw. der Gesichtserkennung, um das Smartphone zu entsperren, bergen Risiken der Datenerhebung und -verwendung. Verweigert man die Zustimmung zu diesen Funktionen, bleibt einem meist die Nutzung verwehrt. Hier sollte man abwägen, ob der Komfort der Funktionen des Gerätes die Erhebung und Verwendung der Daten wert ist.

Im Hinblick auf die Einrichtung von sogenannten Smart Homes mit verschiedenen Geräten, wie beispielsweise eines Smart-TV oder eines virtuellen persönlichen Assistenten, ist zu beachten, dass diese im Zweifel „mithören“ können. Insbesondere ist es zur Aktivierung vieler solcher Geräte notwendig, auf den Schutz der Daten zu verzichten. Um sich vor einer ungewollten Datenerhebung zu schützen, ist es ratsam, solche Geräte zumindest im absoluten Kernbereich der Privatsphäre nicht zu verwenden.

Clouds

Eine Cloud ist ein Ort zur Datenspeicherung im Internet. Bei der Verwendung einer solchen Cloud sollten sich Verbraucher/-innen bewusst sein, dass die Daten sich online befinden. Auch wenn diese verschlüsselt werden, stellt dies für Expert/-innen kein Problem dar, diese zu entschlüsseln und weiterzuleiten. Es ist also ratsam, vor allem auf das Hochladen sensibler Daten zu verzichten.

Der Freistaat Bayern stellt Ihnen auf dieser Website unabhängige, wissenschaftsbasierte Informationen zum Verbraucherschutz zur Verfügung.
Einzelfallbezogene Rechtsauskünfte und persönliche Beratung können wir leider nicht anbieten. Auch dürfen wir Firmen, die sich wettbewerbswidrig verhalten, nicht selbst abmahnen.
Sollten noch Fragen zu Ihrem konkreten Sachverhalt verbleiben, wenden Sie sich bitte an die unter Service genannten Anlaufstellen.