Datenschutz bei o2Wer nicht fragt, gewinnt

Wer in o2-Shops einen Vertrag abschließt, bekommt offenbar häufig Einwilligungen zur Datennutzung untergejubelt. Zehntausende Kund:innen könnten betroffen sein. Der Konzern sagt, für das DSGVO-konforme Einholen seien die Betreiber:innen der Geschäfte verantwortlich, doch mehrere von ihnen fühlen sich von o2 unter Druck gesetzt.

Ein O2-Logo an einem Fachgeschäft in Köln. O2 ist seit 2002 eine Marke des in Europa und Lateinamerika tätigen Telekommunikationsunternehmens Telefonica.
„o2 can do“ – auch beim Datenschutz – Alle Rechte vorbehalten C. Hardt via Imago

Wer einen Handy-Vertrag abschließt, muss viele Entscheidungen treffen. Soll es ein Prepaid-Tarif sein oder lieber eine Flatrate? Wieviel Datenvolumen brauche ich? Und darf es dazu vielleicht noch ein Smartphone sein?

Weniger offensichtlich sind Fragen nach dem Datenschutz: Will ich meinem Provider erlauben, mein Kommunikationsverhalten zu Marketingzwecken zu analysieren und mich auf allen erdenklichen Kanälen mit Werbung zu kontaktieren?

Vielen Kund:innen des Mobilfunkanbieters o2 dürfte nicht klar sein, dass sie hier überhaupt eine Wahl haben. Unsere Recherchen zeigen: Statt sie nach ihrer Einwilligung zu fragen, entscheiden Verkäufer:innen in Shops des Anbieters offenbar regelmäßig für ihre Kund:innen – und räumen o2 weitgehende Nutzungsrechte ein.

Telefónica, der Kommunikationskonzern hinter o2, versteht sich als Förderer der Selbstbestimmung. o2 wird als „Marke der Freiheit“ inszeniert, die den Kund:innen ein selbstbestimmtes Leben ermöglicht. Auch bei der Datensouveränität sieht sich der drittgrößte Mobilfunkanbieter Deutschlands als Vorreiter: „Wir setzen uns dafür ein, dass die Hoheit über die Daten bei den Kunden bleibt“, heißt es prominent über der Datenschutzerklärung des Telefonanbieters.

Doch dieses Bild bekommt Risse. Wir sprachen mit mehreren o2-Kund:innen, die sich von dem Mobilfunkkonzern beim Datenschutz getäuscht fühlen. Und wir sprachen mit mehreren Händler:innen, die offen zugaben, ihren Kund:innen Pseudo-Einwilligungen unterzujubeln und die sich von o2 zu unlauterem Verhalten gedrängt fühlen. Nach Informationen von netzpolitik.org ist auch der Bundesdatenschutzbeauftragte über den Sachverhalt informiert und prüft diesen derzeit.

Wer erteilt freiwillig neun verschiedene Einwilligungen?

Ihren Anfang nimmt diese Recherche mit einem Shop-Betreiber, der nicht mehr mitspielen will. Rainer Hartmann ist sauer. Der energische Mittvierziger, der eigentlich anders heißt, ist einer von dutzenden Unternehmer:innen, die in einer Art Franchise-System für o2 sogenannte Partnershops betreiben. Gut zwei Drittel der 900 o2-Geschäfte in Deutschland werden von Partner:innen betrieben. Von außen ist der Unterschied meist nicht erkennbar, doch diese Geschäftsleute gehören nicht direkt zu dem Konzern. Sie können eigenständig agieren, doch sind sie abhängig von o2. Und genau das ist das Problem.

Der Telefonkonzern knüpft Prämienzahlungen an Einwilligungsquoten. Interne Unterlagen, die netzpolitik.org vorliegen, zeigen: Bei 75 Prozent aller Vertragsabschlüsse sollen die Verkäufer:innen in den Shops mindestens neun verschiedene Datenschutz-Einwilligungen einholen, andernfalls zahlt o2 den sogenannten Qualitätsbonus nicht aus. Das setzt die Shop-Betreiber:innen offenbar unter Druck: Weil diese Einnahmen für ihre Betriebe enorm wichtig seien, bleibe ihnen kaum etwas anderes übrig, als die Einwilligungen um jeden Preis einzuholen, klagt Rainer Hartmann.

Andere Betreiber:innen von Partnershops, die ebenfalls anonym bleiben wollen, bestätigen diese Perspektive: Bevor sie auf den Bonus verzichten, nehmen sie es mit dem Datenschutz lieber nicht so genau.

Eigentlich müssen solche Einwilligungen freiwillig und informiert erfolgen, schreibt die Datenschutzgrundverordnung (DSGVO) vor. An die halte man sich selbstverständlich, teilt ein o2-Sprecher auf Anfrage mit. Auch die Vertriebspartner:innen seien dazu verpflichtet, das informationelle Selbstbestimmungsrecht der Kunden zu respektieren. Und: „Selbstverständlich achten wir auch bei unseren Partnern sehr genau auf die korrekte Einhaltung und kontrollieren dies auch regelmäßig.“

In Arbeitsanweisungen für Vertriebspartner:innen weise o2 zudem explizit darauf hin, dass Einwilligungen freiwillig und nach ausreichender Information zu erfolgen haben, heißt es von dem Sprecher weiter. Das bestätigt auch Rainer Hartmann, und doch wüssten mindestens die Händler, dass die Vorgabe mit Freiwilligkeit nicht zu erreichen sei. Mehrfach hätten Kolleg:innen auch o2 darauf hingewiesen, dass sie die Quote nicht erreichen könnten, wenn sie sich an die DSGVO halten: „Wer würde denn bitte freiwillig neun unterschiedliche Einwilligungen erteilen, wenn er die Wahl hat?“

„Das wäre eindeutig rechtswidrig“

Hartmann ist seit vielen Jahren in der Branche. Wenn die Verkäufer:innen fair mit den Kund:innen umgehen und offen über die Datenschutzeinwilligungen informieren würden, sei vielleicht eine 50-prozentige Erfolgsquote möglich, behauptet der Vertriebsprofi. Im Herbst 2020 habe o2 jedoch erstmals eine Einwilligungsquote von 60 Prozent als Mindestmaß für den Qualitätsbonus vorgegeben.

Das Unternehmen will sich nicht zu den Verabredungen mit seinen Vertriebspartner:innen äußern, da es um Geschäftsgeheimnisse gehe. Die uns vorliegenden Dokumente belegen jedoch nicht nur die Existenz der Quote, sondern auch, dass sie inzwischen bei 75 Prozent liegt. „Wenn ich das nicht schaffe, fehlt mir am Ende ein Viertel meiner Einnahmen“, beklagt Hartmann. Es sei Geld, mit dem die Shop-Betreiber:innen lange geplant hätten, mit dem sie die Miete ihrer Läden und die Löhne ihrer Angestellten zahlen würden.

Kontaktaufnahme und Profilerstellung: o2 will diverse Einwilligungen
Screenshot einer Schulungsfolie, auf der o2 einzuholende Einwilligungen zeigt

Damit ein sogenanntes Permission-Set als vollständig gilt, müssen die Shop-Betreiber:innen bei Vertragsabschluss mindestens neun unterschiedliche Einwilligungen einholen. Auf internen Schulungsfolien, die wir an dieser Stelle veröffentlichen, erklärt o2 ausführlich, was die einzelnen Einwilligungen bedeuten: Es geht um die Erlaubnis, die Kund:innen per Anruf, E-Mail, SMS, Messenger-Diensten und ähnlichem kontaktieren zu dürfen, um Marktforschung zu betreiben und für o2-Produkte zu werben. Außerdem will der Konzern dafür Nutzungsprofile erstellen dürfen, die auf Bestandsdaten oder ihren monatlichen Umsätzen und den von ihnen genutzten Geräten basieren.

Nicht unter den acht Permissions in den Schulungsunterlagen, aber dennoch notwendig für das Erreichen der Quote, ist zudem die Einwilligung für Online-Targeting mit Cookies oder der Custom-Audience-Funktion von Facebook.

Eigentlich müsste jede dieser Einwilligungen bei Vertragsabschluss einzeln vorgetragen und erklärt werden, sagt der auf Datenschutz spezialisierte Rechtsanwalt Matthias Lachenmann. Im Gespräch mit netzpolitik.org erklärt er, dass Einwilligungen ungültig seien, wenn dies nicht geschehe und die Kund:innen nicht einzeln zustimmen würden. „Wenn Verkäufer die Häkchen für die Kunden setzen und sie nicht danach fragen, ist das eindeutig rechtswidrig.“

Sollte das von Hartmann und seinen Kolleg:innen beschriebene Vorgehen bei o2-Shops tatsächlich deutschlandweit System haben, ginge es wohl um zehntausende DSGVO-Verstöße allein in diesem Jahr. Konservativ geschätzt schaffe ein Shop im Quartal mindestens 85 Vertragsabschlüsse, sagt Hartmann. Dazu zählen sowohl Neuverträge als auch Verlängerungen. Bis Mitte Mai hatten die Shops Corona-bedingt geschlossen und die Betreiber:innen mussten auf telefonische Beratung umschalten – die Einwilligungsquote galt ihm zufolge trotzdem. Selbst wenn man nur die zwei Monate in Betracht zieht, seit denen die Geschäfte wieder geöffnet haben, macht das bei 900 Shops gut 50.000 Abschlüsse.

“Dem hätte ich niemals zugestimmt“

Kund:innen von o2 können im Servicebereich „Mein o2“ auf o2online.de nachsehen, welche Einwilligungen für sie gespeichert sind.

Für diese Recherche sind wir das Verfahren Schritt für Schritt mit zehn unterschiedlichen Kund:innen durchgegangen. Die Hälfte stellte dabei fest, dass sie dem Unternehmen unbewusst mehrere weitreichende Einwilligungen erteilt haben soll. Nur drei der von uns befragten Kund:innen fanden in etwa die Datenschutzeinstellungen vor, die sie erwartet hatten. Bei zweien gab es kleinere Unstimmigkeiten.


Ihr wollt die Datenschutzeinstellungen bei eurem Mobilfunkanbieter überprüfen? Hier geht’s zur Anleitung für Kund:innen von o2, Telekom und Vodafone


Dieser stichprobenartigen Prüfung zufolge machte es keinen Unterschied, ob die Menschen ihre Verträge im Geschäft vor Ort oder an der Hotline abgeschlossen haben: Bei beiden Varianten konnte der Blick auf die Datenschutzeinstellungen zu bösen Überraschungen führen. Ob o2 auch den Verkäufer:innen an der Hotline eine entsprechende Permission-Quote vorgibt, wollte das Unternehmen auf Anfrage nicht sagen.

Eine der Personen, die sich von o2 getäuscht fühlen, ist Anna. Die junge Frau hat sich nach einem Twitter-Aufruf gemeldet. Erst vor wenigen Wochen hat sie in einem Shop in Lüneburg einen Prepaid-Vertrag für mobiles Internet abgeschlossen.

Über Datenschutzeinwilligungen sei dabei nicht gesprochen worden, erinnert sich die Studentin. Und doch findet Anna, deren Namen wir geändert haben, in ihrem Profil eine ganze Reihe ungewollter Zustimmung: Kontaktaufnahme auf allen Kanälen für Marktforschung und Werbung, Profilerstellung, sogar in die Analyse ihrer Verbindungsdaten zu Werbezwecken, die nicht Quoten-relevant ist, soll sie eingewilligt haben. Ganze zehn Häkchen sind gesetzt – das volle Programm.

Anna ist überzeugt: „Dem hätte ich niemals zugestimmt, wenn ich danach gefragt worden wäre.“

Die Einwilligung als Blankoscheck

Vielen Unternehmen gilt die Einwilligung heute als eine Art Blankoscheck für datenbasiertes Marketing. Tatsächlich können Menschen unter der DSGVO in fast jede erdenkliche Nutzungsart ihrer persönlichen Daten einwilligen, einfach nur durch ein kleines Häkchen. Seit Inkrafttreten der DSGVO ist deshalb ein regelrechter Run auf die Einwilligungen entstanden, der wenig mit der ursprünglichen Intention des Datenschutzes und der Idee der informationellen Selbstbestimmung zu tun hat. Mit fragwürdigen Tricks versuchen manche Unternehmen, an die begehrten Permissions zu gelangen.

Bei Online-Angeboten sind das oft manipulative Oberflächendesigns: Jede:r kennt inzwischen den farblich hervorgehobenen oder gar nervig blinkenden „Alle akzeptieren“-Knopf in den allgegenwärtigen Cookie-Bannern im Netz, der viel leichter geklickt ist als das aufwendige Auswahl-Menü. Obwohl sie rein formal die freie Wahl haben, entscheiden sich viele Menschen in solchen Situationen für die Option mit dem geringsten Aufwand. Dark Patterns nennt man diese Tricks, also unsichtbare Muster in der Gestaltung, mit denen Nutzer:innen zu einer bestimmten Auswahl geleitet werden.


Mit List und Tücke: Lest hier unsere Recherche zu untergejubelten Einwilligungen bei der Sparkasse


Doch auch im stationären Geschäft gibt es Muster, mit denen die Verkäufer:innen an die Einwilligungen gelangen. „Viele drucken die Verträge für die Kunden gar nicht mehr aus, sondern lassen sie digital unterschreiben“, erzählt Rainer Hartmann. „Der Verkäufer setzt am Computer einfach alle Einwilligungs-Häkchen und dreht dem Kunden dann nur noch das Signpad zur Unterschrift rüber.“ Auf der kleinen Fläche für die digitale Unterschrift sei der Vertrag kaum zu lesen.

Wer sich die Mühe machen und die Details überprüfen will, muss dies am Bildschirm des Verkaufspersonals machen oder um einen Ausdruck bitten. Selbst wenn der Person dabei etwas auffallen sollte: Am Signpad unterschreibe sie nur ein PDF, erklärt Hartmann. „Die Häkchen kann der Kunde hier nicht selbst entfernen.“

Schwierige Beweislage

Allerdings sind auch ausgedruckte Verträge mit klassischer Unterschrift keine Garantie dafür, dass Kund:innen keine Einwilligungen untergejubelt werden. „Bei mir im Geschäft werden die Verträge immer ausgedruckt“, erzählt ein anderer Händler, der ebenfalls anonym bleiben möchte. „An die Einwilligungen komme ich trotzdem. Ich sage den Kunden zum Abschluss einfach immer kurz, dass ich ihre Zustimmung brauche, um in ihre Daten reingucken zu können. Das ist dann für die meisten okay.“

Dass es in Wirklichkeit um eine Vielzahl unterschiedlicher Einwilligungen geht und was genau sie bedeuten, werde dabei nicht thematisiert. Auch wenn er sich nicht wohl dabei fühle, komme er in seinen Geschäften damit auf eine Quote von fast 100 Prozent, erzählt der Shop-Betreiber. „Bei 500 Leuten sind vielleicht drei dabei, die dann sagen, dass sie es nicht wollen.“

Und tatsächlich: Auch Anna findet schließlich ihren ausgedruckten o2-Vertrag. Dabei staunt sie nicht schlecht: Unter den zehn Häkchen steht ihre Unterschrift. Obwohl sie sich eigentlich für Datenschutz interessiert, hat sie bei dem Vertrag wohl nicht so genau hingeschaut.

Dass ihre Unterschriften unter den Dokumenten stehen, macht es für Anna und die anderen Kund:innen im Nachhinein schwer, möglicherweise illegales Verhalten anzuzeigen. „Der Kunde ist hier strukturell in einer schwierigen Situation“, erklärt Rechtsanwalt Matthias Lachenmann. „Sofern der Shop-Betreiber eine gültige Unterschrift unter den Einwilligungen vorweisen kann, ist ihm ein Fehlverhalten so nur schwer nachzuweisen.“ Erst wenn sich die Beschwerden häufen, gebe es Hoffnung, dass die Datenschutzbehörden aktiv würden.

Dieser Punkt scheint inzwischen erreicht. Eine Anfrage beim Bundesdatenschutzbeauftragten Ulrich Kelber ergibt, dass die Behörde bereits Ermittlungen aufgenommen hat: „Wir kennen die Vorwürfe gegen den Mobilfunkanbieter und prüfen den Fall derzeit“, heißt es von einem Sprecher. Er bitte jedoch um Verständnis, dass er sich zu Details zum aktuellen Zeitpunkt noch nicht äußern könne.

Einwilligungen als Grundlage für aggressives Vertriebsgebaren

Ein solcher Einwilligungsschwindel höhlt nicht nur das Grundrecht auf Datenschutz aus: Für die Verantwortlichen könnte das Vorgehen zu erheblichen Sanktionen führen, erklärt Jurist Lachenmann. „Die Datenverarbeitung würde dann ohne gültige Rechtsgrundlage erfolgen, sodass wir uns im Bußgeldbereich von bis zu 20 Millionen Euro oder vier Prozent des unternehmensweiten Jahresumsatzes bewegen. Darüber hinaus kann das Verhalten wettbewerbswidrig sein und damit unter anderem von Wettbewerbern abgemahnt werden.“ Auch Schadenersatzforderungen betroffener Kund:innen seien möglich.

Denn auch wenn es vordergründig nur um Werbung geht: Für die Betroffenen können die ungewollten Einwilligungen neben dem Eingriff in die Privatsphäre und nervigen Werbenachrichten aufs Handy noch andere Folgen haben. Verbraucherschützer:innen prangern immer wieder allzu aggressives Vertriebsverhalten in der Telekommunikationsbranche an. Seit Jahren beobachten sie, dass immer mehr Menschen Verträge abschließen, die sie eigentlich gar nicht haben wollten, etwa weil sie Werbeanrufe nicht gut abwimmeln können.

„Untergeschobene Verträge gehören zu den häufigsten Beschwerdegründen im Telekommunikationsbereich“, berichtet Kathrin Steinbach vom Bundesverband der Verbraucherzentralen. Bei einer Befragung des Verbands gaben im Jahr 2020 sieben Prozent der Teilnehmenden an, in den vergangenen 24 Monaten einen Telefonvertrag abgeschlossen zu haben, den sie in dieser Form gar nicht wollten. „Marketing-Einwilligungen, gerade solche für Werbeanrufe, können die Grundlage für aggressives Vertriebsgebaren und ungewollte Verträge darstellen“, so Steinbach.


Ihr wollt die Datenschutzeinstellungen bei eurem Mobilfunkanbieter überprüfen? Hier geht’s zur Anleitung für Kund:innen von o2, Telekom und Vodafone


Der Mobilfunkmarkt in Deutschland ist hart umkämpft. Eigentlich ist er längst gesättigt, die meisten Menschen haben bereits mindestens einen Handy-Vertrag. Trotzdem konnten Telekom, Vodafone und o2 in den letzten drei Jahren 20 Millionen neue Mobilfunkkund:innen gewinnen: Laut Bundesnetzagentur ist die Zahl der „Mobilfunkteilnehmer“ im Land von knapp 132 Millionen im ersten Quartal 2018 auf 152 Millionen im ersten Quartal 2021 gestiegen. Eine Vertrieblerin des Telefónica-Wettbewerbers Vodafone hatte sogar einer Katze einen Handy-Vertrag angedreht.

o2 war aufgrund seiner niedrigen Preise einstmals der Mobilfunkanbieter mit den meisten Kund:innen in Deutschland, fällt aber im Rennen seit einiger Zeit zurück. Persönliche Daten können hier einen entscheidenden Vorteil bringen. Wer das Verhalten seiner Kund:innen analysieren kann, Informationen zu ihren genutzten Geräten und ihrem Aufenthaltsort ergänzt, kann ihnen auf sie zugeschnittene Produkte anbieten. Wer sich dann noch das Recht einräumen lässt, sie auf möglichst vielen Kanälen zu kontaktieren, kann auf mehr Vertragsabschlüsse hoffen.

Wer trägt die Verantwortung?

Was die Betreiber:innen der Partnershops dabei besonders ärgert: Die Einwilligungen nutzen ihnen nach eigener Aussage nichts. Sie selbst dürften die Daten der Kund:innen nämlich nicht für Werbemaßnahmen nutzen, sondern nur o2. Weil der Konzern das Filialnetz ausdünnen wolle, nutze er die telefonische Werbung, um sie mittelfristig aus dem Geschäft zu drängen, so die Sorge der Partner:innen. Unterdessen müssten sie das Risiko tragen, denn sie seien diejenigen, die die Einwilligungen einholen.

o2 selbst weist auf Anfrage jede Verantwortung für mögliche Einwilligungsverstöße von sich. Die Partnershop-Betreiber würden als Auftragsdatenverarbeiter fungieren und seien deshalb für den Datenschutz in den Ladengeschäften verantwortlich, heißt es von einem Unternehmenssprecher. Für zu Unrecht eingeholte Einwilligungen würden sie deshalb auch die Haftung tragen. „Ein Verstoß dieser Art würde daher nach Bekanntwerden eines derartigen Falls entsprechend geprüft, aufgearbeitet und sanktioniert werden. Telefónica Deutschland / o2 duldet kein unrechtmäßiges Verhalten ihrer Vertriebspartner.“

Rainer Hartmann kann darüber nur bitter lachen. Er meint: Auch wenn formal die Shop-Betreiber:innen für das Einholen der Einwilligung zuständig sind, sei der ökonomische Druck durch o2 so groß, dass die tatsächliche Verantwortung bei dem Konzern liege.

Bei Abschluss eines kleinen Mobilfunkvertrages „o2 Free S Kombi“, der etwa die Hälfte seiner Umsätze ausmache, käme er bislang auf gut 100 Euro Zahlungen von o2, so Hartmann. Der Qualitätsbonus mache hiervon etwa ein Fünftel aus, gut 20 Euro. Wenn sie wegfielen, würde das noch weitere finanzielle Einbußen zur Folge haben. Mit dem Qualitätsbonus finanziere er Vertriebsmaßnahmen, die ihm helfen würden, eine weitere Quote zu erfüllen, an die o2 einen Werbekostenzuschuss koppele. „Am Ende fehlt mir nicht nur der Qualitätsbonus, sondern ein Viertel der Einnahmen“, bilanziert Hartmann. Auch die anderen Partnershop-Betreiber:innen klagen, dass sie kaum eine Wahl hätten, als die Vorgaben von o2 zu erfüllen.

Wie groß die finanzielle Abhängigkeit der Shop-Betreiber:innen von den Bonus-Zahlungen tatsächlich ist, lässt sich für netzpolitik.org nur schwer überprüfen. Das Geld, das sie von o2 erhalten, errechnet sich nach einem komplexen System. Neben dem Qualitätsbonus gibt es auch Festzahlungen und Provisionen, die von der Einwilligungsquote nicht betroffen sind. Fest steht zudem, dass die Partner:innen eigenständige Geschäftsleute sind, die selbst die Entscheidung treffen, ihren Kund:innen Einwilligungen unterzuschieben.

Datenschutzexperte Matthias Lachenmann hegt nach den Schilderungen des Anreizsystems jedoch Zweifel, dass o2 die Verantwortung gänzlich von sich schieben kann. „Dass eine Quote vorgegeben wird, spricht nicht für das Kriterium der Freiwilligkeit.“ Ob die offensichtliche moralische Verantwortung jedoch auch mit juristischen Konsequenzen für den Konzern einhergehen könne, müsse geprüft werden.

Eine Erfolgsquote von 100 Prozent

Am Ende dieser Recherche bleibt das Geständnis mehrerer Geschäftsleute, dass sie ihren Kund:innen Datenschutz-Einwilligungen unterschieben. Und es bleibt der Vorwurf, dass sie dies nicht freiwillig tun würden, sondern durch finanziellen Druck von o2 zu dem Verhalten getrieben werden. Wer auch immer welchen Teil der Verantwortung trägt: Die durchgeführte Stichprobenprüfung erhärtet den Eindruck, dass etwas im Argen liegt mit dem Datenschutz bei o2. Eine Ahnung, dass es sich wohl nur um die Spitze des Eisberges handeln könnte, vermittelt Telefónica unterdessen selbst. Erst vor wenigen Wochen traf sich o2-Vizepräsident Rüdiger Baumann mit Partnershop-Betreiber:innen zu einer Austausch-Session auf YouTube. Bis zur Presseanfrage von netzpolitik.org war die Aufzeichnung von dem digitalen Frage-Antwort-Format als nicht-gelistetes Video auf YouTube abrufbar. Inzwischen ist es von der Plattform verschwunden, doch eine Sicherungskopie liegt der Redaktion vor. In der Sitzung verkündete Baumann nicht nur, dass die 75-prozentige Permission-Quote auch für das dritte Quartal 2021 gilt, sondern wurde von einigen Händler:innen auch auf ihre rechtlichen Bedenken angesprochen. Er sehe in der Vorgabe jedoch überhaupt kein Problem, teilte der für Vertrieb zuständige o2-Manager mit. Schließlich sei die Quote abgeleitet von bisherigen Erfolgsstatistiken im Einwilligungsbereich: „Super viele Shops liefern Quoten von 100 Prozent ab.“ Das wiederum bestreiten auch die Shop-Betreiber:innen nicht, mit denen wir gesprochen haben: „Natürlich ist es ganz leicht, eine Quote von 100 Prozent zu erreichen“, erklärt einer von ihnen trocken. „Wir müssen dafür nichts weiter tun, als unsere Kunden nicht nach den Einwilligungen zu fragen.“


Lest hier auch die nächsten Texte zum DSGVO-Skandal bei o2: Weitere Händler packen aus (29. Juli) Kommentar: Die Einwilligung ist das Problem (3. August) o2 ergreift neue Datenschutzmaßnahmen (10. August)


Wir freuen uns über Erfahrungsberichte in den Kommentaren oder per Mail an ingo@netzpolitik.org!


Korrekturhinweis: In der ursprünglichen Fassung dieses Textes hieß es unter Berufung auf einen o2-Sprecher, dass die Betreiber:innen von Partnershops als Auftragsdatenverarbeiter:innen fungieren und „deshalb datenschutzrechtlich verantwortlich“ seien. Dieser letzte Part gibt die Aussage des Sprechers ungenau wieder, denn er sagte nur, dass die Händler als Auftragsverabreiter für den Datenschutz verantwortlich seien. Die datenschutzrechtliche Verantwortung im juristischen Sinne aber trägt bei einer Auftragsdatenverarbeitung die Auftraggeberin. Im Original antwortete der Pressesprecher: „Unsere Partner sind als Auftragsverarbeiter für den Datenschutz in den Ladengeschäften verantwortlich und haften bei Verstößen.“ Wir bitten, die Ungenauigkeit zu entschuldigen.

18 Ergänzungen

  1. Auch wenn es nicht direkt mit dem hier berichteten Problem zu tun hat, finde ich noch einen Hinweis auf die standardmäßige Verwendung anonymisierter Bewegungsdaten angebracht, der man wie hier beschrieben widersprechen muss: https://www.telefonica.de/dap/selbst-entscheiden.html

    „Sofern Sie Ihrer Teilnahme an statistischen Auswertungen nicht widersprechen möchten, müssen Sie nichts tun.

    Möchten Sie sich hingegen hiervon abmelden, oder später wieder anmelden, gehen Sie bitte wie folgt vor:

    1. Senden Sie eine SMS mit dem Text Anmelden oder Abmelden an die SMS Kurzwahl* 66866.
    2. Anmelden steht dabei für „Ich nehme teil“. Abmelden steht dabei für „Ich möchte nicht teilnehmen“.
    3. Sie erhalten nach Eingang Ihrer SMS eine Bestätigung.“

  2. Das rabiate Datensammeln wird bei Telefónica seit Jahren systematisch betrieben:

    Geld verdienen mit dem „Rohstoff der Zukunft“. Telefónica Deutschland gründet Start-up Next – Neue Wege zur Datenmonetarisierung. In: Börsen-Zeitung, 10. November 2016.

    Ein Teilbereich davon wäre etwa Advanced Data Analytics, also das Sammeln und Verkaufen von Nutzerdaten. Der Markt für solche Datenanalysen soll allein in Deutschland zwischen 2016 und 2022 jährlich um 30 Prozent wachsen.

    Über „Geeny.io“ sollen Geschäftskunden fertige Service-Bausteine wie intelligente GPS-Algorithmen bekommen, um diese in eigenen Produkten für den B2C-Markt einzusetzen. Darüber hinaus erhalten sie in Echtzeit Einblick in die Nutzung der Produkte, wie der Netzbetreiber erklärt.

    Telefónica Deutschland war in der Vergangenheit schon einmal beim Thema Datenschutz beim Verkauf von Nutzerdaten seiner Kunden in die Kritik geraten. Damals hatte man die Nutzerdaten nicht ausreichend anonymisiert. Inzwischen sammelt Telefónica wieder ganz offiziell Nutzerdaten.

  3. Wenn’s nur O2 wäre. Ich hatte unlängst bei meiner Bank eine Unterschriftenorgie und wie durch Zufall waren da auch Werbeeinwilligungen einsortiert.

  4. Bei mir waren alle Hacken gesetz, Danke für euren Artikel 10 € Spende ist euch sicher !!!

  5. Ich bin Angestellter Shopleiter in einem o2- Partnershop…und ich möchte mal noch eine weitere Vorgabe bei der Telefonica, die mir Kopfzerbrechen bereitet: die Zielvorgabe, dass der Kunde sich die o2- App runterladen und registrieren muss (weitere Bedingung für den Qualitätsbonus!)

    Problematik: Es zählt nicht das einloggen über die Weboberfläche am PC, sondern zur Erfüllung muss der Kunde mindestens eine seiner Rufnummern direkt über die Handyapp anmelden.

    Was bedeutet das für mich als Verkäufer: Ich muss um das Ziel zu schaffen selbst Oma Edith das Smartphone aus der Hand nehmen, unnütze Floskeln ausdenken, WARUM ich das tue, ihr die App aufs Handy laden und Sie inklusive Passwortgenerierung in die App einloggen.
    NOCH fragwürdiger: Oma Edith hat kein Smartphone, sondern nur ein Klapphandy….also nehme ich die SIM aus ihrem Handy, packe sie in ein Demogerät meines Shops und registriere Sie darüber…in beiden Fällen habe ich theoretisch so lange Zugriff auf Ihren kompletten Kundenaccount inkl. aller persönlicher Daten, bis der Kunde sein Passwort selbst wieder ändert…

    Worauf ich hinaus möchte: ich kann aus meiner Erfahrung als Verkäufer absolut unterschreiben, das es im Moment von o2 Zielvorgaben gibt, die ich nicht erreichen KANN, ohne Wege zu beschreiten, die dem Shopbetreiber im Zweifelsfall um die „Ohren fliegen können“- und statt Unterstützung von o2 würde es nur Sanktionen hageln.

      1. Hallo Ingo-
        mehr mag ich dazu so oder so ungerne sagen, ich mag meinen Job eigendlich;) (Verschwiegenheitserklärung und so;)) Aber ich bin mir sicher, der ursprünglichen „Whistleblower“ dieses Artikels wird dir das so bestätigen können und hat als Betreiber mit Sicherheit genauere Zahlen, wie ich als Angestellter…

        Übrigens geht es mir nicht darum, Telefonica an „die Wand“ zu stellen, nur darum, den Verantwortlichen mal den Gedanken mitzugeben, das mit der Firmenpolitik aktuell weniger Menschen einverstanden sind als gedacht;)

        1. Wir könnten uns auch einfach erstmal als Hintergrundgespräch austauschen, ohne dass ich daraus zitiere. Aber wenn du nicht mehr sagen möchtest, ist das auch kein Problem. Danke für den Hinweis auf jeden Fall!

  6. Zitat: „Weil diese Einnahmen für ihre Betriebe enorm wichtig seien, bleibe ihnen kaum etwas anderes übrig, als die Einwilligungen um jeden Preis einzuholen, klagt Rainer Hartmann.“

    Natürlich ist dieses System perfide, wenn der Bonus so einen entscheidenen Anteil am Geschäftserfolg hat. Die Entscheidung für oder gegen Betrug am Kunden liegt aber allein beim Händler. Allerdings ist der Betrug kein tragfähiges Geschäftsmodell. Aufgrund des DSGVO-Bussgeldkatalogs kann es auch schnell die eigene Existenz kosten.
    O2 nutzt die Abhängigkeit des Händlers brutal aus. Man wird aber wohl keine interne Unterlage finden, die zu Betrug aufruft.
    Ich selbst habe in einer anderen Branche viele Jahre mit jährlichen Zielvorgaben gearbeitet, deren Erreichen am Jahresende mit einem entsprechenden Bonus honoriert worden ist. Betrug am Kunden und mithin auch Betrug am eigenen Arbeitgeber war für mich kein Masstab.
    Im übrigen. Ihr solltet Eure Erkenntnisse an reichweitestarken Medien weitergeben. Nur so ist über eine genügende Öffentlichkeit ein Druck auf die Geschäftsleitung von O2 möglich. Öffentlichkeit im solchen Umgang mit ihren Kunden schätzen diese Herren garnicht.

  7. Ein klasse Artikel und erkennbar gut recherchiert, mit Aufklärungscharakter für die Leserinnen und Leser. Leider aber miserabel zu lesen, wegen dieses hirnrissigen Genderismus. Noch bekloppter wird es, wenn auch dort gegendert wird, wo es selbst unter „Gender konformer“ Schreibweise nicht nötig wäre, die Sprache zusätzlich zu verunstalten. In der Regel ein Beweis dafür, dass zunehmend das Sprachverständnis verkommt, weil man sich nicht mehr ausreichend um die Beherrschung einer verständlichen Sprache bemüht, sondern vordergründig darum, völlig nutzlose Trends zu bedienen, mit denen nicht betroffene Minderheiten die Mehrheit mit sogenannter politischer Korrektheit vor sich hertreiben. Und ein Zeichen dafür, dass die Politik zunehmend versagt, weil sie solchen Trends hinterher rennt, statt sich mit größter Anstrengung damit zu befassen, pragmatische und wirkungsvolle Lösungen für unsere drängendsten Probleme zu finden.

  8. Hallo erstmal….Ich bin kein „Professor“ aber ein lernfähiger,engagierter Laie. Habe zum Thema etwas beizutragen…Allerdings bezieht sich das auf Android…

    Habe bei meinem Android Smartphone nach und nach die Standarddienste entweder deaktiviert oder die Rechte entzogen…Besonders den Google Diensten. Ich meine damit nicht zusätzlich Installierte Apps sondern das Androidbetriebssystem…Es endete immer damit, dass das Telefon bei einem Werksreset „landete“. Dann habe ich immer und immerwieder das Teil Neu aufgesetzt….
    So ziemlich das Erste was mich Android fragt: Sind Sie damit einverstanden dass Android ALLE Nutzerdaten (incl. eindeutiger Werbe ID) und die Standortdaten an Google übermittelt. Damit soll der Service verbessert werden im Sinne des Kunden… sic !

    Wer noch nie einen Werksreset ausführte weiss nicht, dass diese Frage selbstverständlich mit JA beantwortet wurde…
    Ich will nun nicht weiter beschreiben welche Standard Android Apps Vollzugriff auf Funktionen haben wie das verd. Schreibprogramm Gboard das ALLES was man eintippt, aufruft und an: deeplink.com.google.andorid.inputmethod.latin sendet…Wer will ,kann ja mal diesen Link im Browser aufrufen…

    Und es geht weiter und weiter und weiter…Mein Fazit ist, das ALLES was man mit einem Android Smartphone „macht“, an Google weitergeleitet wird (auf Kosten des Users) . Es werden eindeutige Userprofile erzeugt und vermtl. Weiterverkauft…..Wer dann noch so naiv ist und „Gesundheitsapps“ „Digitale Dokumente wie Impfnachweise“ und „Bankingapps“ etc etc etc auf einem Android Smartphone hat, kann sicher sein das soetwas bei Google landet…..

    Dagegen scheint mir das Vorgehen in den O² Shops eher nicht so schlimm….

  9. Unter „Nutzung Ihrer Daten“ sehe ich nur „Einwilligungen und Erlaubnisse“ und dann „Datenportabilitätsanfrage“ und „Datenabzug“ . Unter „Einwilligungen und Erlaubnisse“ steht gar nichts. Hat O2 die Seite geändert?

  10. Die Telefonica bewegt sich seit Jahren , um nicht zu sagen seit der Übernahme von Alice, im mehr oder weniger rechtsfreien Raum.
    Da wurden beispielsweise Altverträge einfach nach Bedarf
    und ohne jede Einverständniserklärung des Kunden geändert.
    Und so wie bisher wird auch dieser „Skandal“ irgendwann lautlos „versickern“.

  11. habt ihr schon mal einen neuwagen gekauft? habt ihr da mal geschaut, was ihr da so unterschreibt? warum ich das hier erwähne? weil ein neuwagen ein handy ist. naja, jedenfalls ist eins drin. mit sim. und immer an. da entstehen bewegungsprofile. und das muss so sein, sagen die hersteller, weil es ein gesetz gibt, dass ein auto einen notruf absetzen können muss. dazu packen die hersteller dann noch funktionen wie einen werkstattnotruf, wenn das auto nicht mehr fährt. da kann man sich dann auch für den fall hilfe holen. das ist ziemlich wenig betrachtet, habe ich das gefühl, oder irre ich mich?

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.