Artikelformat

Spaß mit der DSGVO (Update)

Ich lese gern und ich lese viel. Da mein Haus nur einen limitierten „umbauten Raum“ darstellt und ich nicht alles mit Bücherregalen vollstellen kann bin ich schon vor vielen Jahren meinen ersten eBook-Reader besorgt und habe seit 2015 nun einen Kobo Aura. Und was hat diese Einleitung jetzt mit der DSGVO zu tun? Dazu müsst ihr wissen, dass eines der letzten Bücher welches ich gelesen habe „Die Daten die ich rief“ von Katharina Nocun war. Darin ging es unter anderem auch um die Datensammelwut der ganzen Geräte mit denen wir uns umgeben und es wird berichtet, dass z.B. eBook Reader wie der Amazon Kindle sehr viel über das Leseverhalten des Nutzers nach Hause „funken“.

Da entstand in meinem Kopf die Idee, doch mal anzufragen was Kobo über mich und mein Leseverhalten weiß. Also habe ich am 8. August mal ein Auskunftsersuchen nach Artikel 15 DSGVO an die Support-Mail-Adresse geschickt:

„Ich habe bei http://www.kobo.com ein Nutzerkonto unter meine
Email-Adresse rainer@koenig-haunstetten.de registriert und möchte sie
nun um Mitteilung der Daten bitten, die Sie unter diesem Nutzerkonto
gespeichert haben.“

Da könnte ja jeder kommen

Bereits einen Tag später hatte ich eine Antwortmail. Hier hieß es erst mal „Aufgrund der Art dieser Anfrage ist eine Identitätsüberprüfung erforderlich“ und ich wurde aufgefordert, bestimmte Daten wie z.B. die letzen 4 Ziffern meiner Kreditkartennummer, PlZ und Adresse anzugeben um mich als tatsächlichen Kontoinhaber auszuweisen. Schließlich sollte ich noch ein kostenloses eBook meinem Konto zufügen und dessen Titel nennen.

Das habe ich dann am PC im Webshop getan und wieder eine Mail geschickt.

Wie falsch kann man „Auskunft“ verstehen?

Am 12. August kam dann folgende Mail:

„Vielen Dank für Ihre Rückmeldung.
Wir haben Ihre Bestätigung Ihres Kundenkontos erhalten und werden die Löschung Ihrer Kundendaten nach einer Antwort von Ihnen einleiten.

Wir möchten Sie darauf hinweisen, dass alle Ihre Kundendaten und Kommunikationen von unseren Servern gelöscht werden.
Dies betrifft nicht nur die Server von Rakuten Kobo, sondern alle Server von Rakuten und deren Gesellschaften.

Sollten Sie Kundenkonten bei beispielsweise Rakuten.de oder Rakuten TV haben, werden auch diese gelöscht.
Bitte senden Sie uns eine Bestätigung, dass wir die Löschung Ihrer Kundendaten vornehmen können.

Vielen Dank im Voraus und wir wünschen Ihnen noch einen schönen Tag!“

Aber Hallo! Ich wollte eine Auskunft der über mich gespeicherten Daten und eben nicht eine Löschung meines Kundenkontos. Also am gleichen Tag noch geantwortet:

„Es ging mir nicht um die Löschung von irgendwelchen Kundendaten sondern
um die Auskunft, welche Daten sie über mich gespeichert haben.“

Oops, Fehler im System

Am 14. August kam dann folgende Mail vom Support:

„Es gab einen Fehler in unserem System, und Ihr Konto ist in unsere Recht zur Löschung Anfrage und nicht in unsere Rechte auf Zugangsermächtigung gefallen.
An dieser Stelle gibt es keine Ihrer persönlichen Daten in unserer Datenbank, außer der Liste der Bücher in Ihrer Bibliothek, die aus finanziellen Gründen zurückerstattet wurden. Sie sind in der Lage, ein Konto zu reproduzieren und ich kann Ihre gekaufte Bücher in das neu erstellte Konto hinzufügen.

Ich entschuldige mich aufrichtig für den Fehler und wir möchten Ihnen einen 50 EUR Shop Kredit als eine Geste des guten Willens anbieten.

Bitte lassen Sie mich wissen, wie Sie fortfahren möchten.“

Na immerhin, 50€ hört sich ja schon interessant an, aber ich wollte je eigentlich kein Geld sondern eine Auskunft. Und ich zweifle einfach an, dass es nix in der Datenbank gibt außer einer Liste der Bücher bei denen mir Geld zurückerstattet wurde.

Vielleicht hätte ich das mit dem Konto zu reproduzieren irgendwie anders interpretieren müssen. Auf jeden Fall habe ich mal schnell im Browser geschaut, ob mein Konto vielleicht weg ist, aber nein, wenn ich die Kobo-Webseite besuche, dann ist es noch da und ich sehe auch meine Bücher. Also habe ich versucht mein Anliegen mit dem Auskunftsersuchen zu detaillieren:

„Es ist ja bislang nichts schlimmes passiert. Mein Konto scheint noch zu
existieren und ich sehe alle Bücher, also nehme ich an, dass im Rahmen
meiner persönlichen Daten nicht nur die Bücher zu finden sind die aus
finanziellen Gründen zurückerstattet wurden sondern eben alle Bücher die
ich im Shop gekauft habe.

Meine Frage bezog sich mehr auf das User-Tracking im Shop. Ich habe
unlängst das Buch „Die Daten die ich rief“ von Katharina Nocun gelesen
und dort wurde beschrieben, dass z.B. Kindle-Ebook-Reader sehr genau
protokollieren auf welcher Seite man gerade in welche Ebook liest und
auch, welche Bücher man sich im Shop angesehen hat usw. Da war ich
einfach neugierig, wie das auf meinem Kobo-Reader aussieht, der ja dank
WLAN auch regelmäßig sich ins Netz verbindet und „synchronisiert“. Was
eben unter „Synchronisation“ auch immer zu verstehen ist.

Über den 50 Euro Shop-Kredit freue ich mich natürlich schon, was muss
ich denn tun um in den Genuss dessen zu kommen?“

Reden wir aneinander vorbei?

Am 19. August kam dann folgende Antwort vom Support:

„Ich kann auf jeden Fall die Geschäftsgutschrift auf Ihr Konto hinzufügen. Sie müssen jedoch das Konto Ihrerseits wiederherstellen, damit ich das Geld hinzufügen kann. Es gibt keine Informationen, die wir derzeit in unserem System in Bezug auf Ihr Konto haben, mit Ausnahme der gekauften Bücherinformationen.“

Also schaue ich nochmal in den Webbrowser, sehe meine Bücher und wundere mich von was die Dame vom Support redet. Und ich schreib ihr, dass ich eigentlich keine Notwendigkeit sehe das Konto wiederherstellen zu müssen, denn mein Browser zeigt mir ja mein Bücher an.

Netzwerkprobleme

Lustigerweise finde ich auf meinem Reader dann, als ich das gerade gelesene Buch fertig habe die „kostenlose Kurzgeschichte“ die ich zur Identifikation im Webbrowser zugefügt habe. Die muss also mit einer WLAN-Synchronisation irgendwie auf das Gerät gekommen sein, also liege ich mit meiner Vermutung dass der Reader sich intensiv mit dem Server beim Hersteller austauscht vielleicht doch nicht so verkehrt. Ok, lesen wir eben diese Story, war ja nur kurz und ganz unterhaltsam.

Da mir jetzt der elektronische Lesestoff ausgegangen ist will ich im Shop mal nach neuen Büchern stöbern. Empfehlungen zeigt er mir an, aber da ist nix dabei. Also mal nach Kategorein suchen. Doch das geht nicht, der Reader spricht von Netzwerkproblemen. Na ja, vielleicht zickt ja das WLAN, und es ist eh Schlafenszeit, also morgen wieder.

Dieses „morgen“ war gestern abend dann. Gleiches Verhalten: Beim Versuch bestimmte Dinge im Shop zu machen meldet das Gerät Netzwerkfehler. Ok. Also mal einen Sync manuell anstoßen, vielleicht hilft das was. Nein, auch Netzwerkfehler.

Um ein WLAN-Problem als Ursache ausschließen zu können mache ich den rudimentären Webbrowser des eBook-Readers auf und surfe im Netz, das funktioniert auch. Also vielleicht ein Schluckauf beim Konto.

Murphy schlägt zu

Was macht man, wenn man mit seinem Account Probleme hat? Logout und nochmal anmelden, was kann schon passieren?

Tja, diese Rechnung habe ich ohne Berücksichtigung von Murphy’s Law gemacht. Der Logout klappt, ich schaue irgendwelche rotierenden Striche an und dann legt der Reader einen Neustart hin und meint „Wiederherstellen“. Danach ist alles weg, alle Bücher, alle gespeicherten WLAN-Netze. Einfach alles. Ok, das WLAN ist ja schnell wieder eingerichtet und die Adobe-ID mache ich jetzt einfach mal nicht, ich wollte mich ja wieder an mein Konto anmelden. Doch hier erzählt mir das Ding, dass es kein Konto gibt oder das Passwort falsch ist.

Also nehme ich mein Smartphone, besuche da die Webseite und copy/paste meine Mailadresse und das Passwort in die Login-Maske, aber auch hier heißt es „gibt es nicht“.

Wow. Es ist spät, ich gehe trotzdem ins Bett, wissend, dass ich momentan einen sehr leeren Ebook-Reader in der Schublade liegen habe.

Desaster

Heute morgen probiere ich nochmal einen Login von einem anderen PC in mein Konto. Same procedure as yesterday, er will mich nicht kennen. Also, ok, vielleicht wurde ja durch die Irritationen das Passwort irgendwie zurückgesetzt. Ich klicke auf „Passwort vergessen“, trage meine Mail-Adresse ein und erhalte die Bestätigung, dass eine Mail mit Instruktionen zur Passwortwiederherstellung unterwegs ist. Eine Mail die nicht ankommen will, wahrscheinlich weil unter der verwendeten Mail-Adresse kein Account mehr existiert.

Aber ich habe doch mein Konto gesehen

Nach einem frühen Feierabend sitze ich wieder am heimischen Rechner und wundere mich. Offensichtlich ist mein Konto weg, aber ich habe es doch gesehen. Also Browser auf und Webshop ansurfen. Der begrüßt mich  und zeigt mir rechts oben ein Menü „Mein Konto“. Wenn ich da drauf klicke, dann gibt es ein Dropdown-Menü mit „Meine Bücher“ und da drauf geklickt sehe ich folgende Seite von der ich heute Nachmittag einen Screenshot angefertigt habe:

MyBooks_2019-08-21_12-35-56Also, alle Bücher noch da. Heute nachmittag als mich andere Geräte nicht mehr einloggen lassen wollten.

Nun denn, dann machen wir jetzt mal einen Logout. Und wieder einen Login. Und siehe da, jetzt lässt er mich auch hier nicht mehr rein. Da kann ich also nur vermuten, dass ich über 2 Wochen mich von Seiten aus dem Browsercache habe in die Irre führen lassen.

Aktueller Zustand

Also zusammengefasst bin ich jetzt, knapp 2 Wochen nach meinem Auskunftsersuchen hier angekommen:

  • Das Konto ist offensichtlich tatsächlich gelöscht worden, obwohl ich in meiner Antwortmail sofort darauf hingewiesen habe, dass ich keine Löschung wollte sondern eine Datenauskunft.
  • Diese Datenauskunft habe ich bislang noch nicht, nur diffuses Rumgeeiere mit teilweise sehr fragwürdigen Aussagen.
  • Mit dem Konto sind 81 gekaufte Bücher mit einem Gesamtpreis von 522,33 Euro ins Nirwhana entschwunden.
  • Die Firmware meines Readers hat ein Abmelden vom Konto gleich als Aufforderung für einen Factory-Reset verstanden, d.h. auch vom Reader sind alle Bücher inklusiver aller Bücher die ich in anderen Shops (O’Reilly, Packt Publishing) erworben habe futsch. Diese anderen Bücher habe ich zum Glück auf meinem PC und in den Kundenkonten bei den anderen Anbietern, aber es wird trotzdem einiges an Aufwand sein, diese wieder auf den Reader zu bringen.

Ich habe den Support heute nachmittag davon unterrichtet, dass hier wohl einiges schief gegangen ist und angefragt, wie wir nun weiter vorgehen wollen. Bücher für über 500€ will ich jetzt nicht unbedingt in den Wind schreiben und eigentlich hat der Hersteller es verbockt, also soll der Hersteller es auch reparieren.

Und die Zukunft?

Nach diesem Erlebnis hat sich mein Enthusiasmus für eBooks schon ein wenig gedämpft. Ok, der Reader ist ein nettes Teil und ich bin eigentlich auch zufrieden damit, vor allem nachdem ich eine Seite mit Hacks gefunden habe die erläutert, wie man z.B. Notizen zu Büchern auf den PC bringen kann. Aber irgendwie fällt dieses Erlebnis in die Kategorie „Einmal mit Profis arbeiten“ und „So was will ich mir nicht nochmal antun“.

Also Reader wechseln? Nur welche Plattform soll es denn sein? Tolino wurde von Rakuten (den Leuten hinter Kobo) geschluckt, da hätte ich also die gleichen „Profis“. Von einem Twitterer bekomme ich die Info, dass er auch schon diverse Plattformen durchprobiert hat und letztlich jetzt einen Kindle nutze, der funktioniert einfach, ist aber eben fest ins Amazon-Ecosystem eingebettet und kann z.B. kein ePub.

Na ja, da habe ich ja noch etwas Zeit zum Nachdenken. Amazon hat jedenfalls ganz nette Reader und als Prime-Kunde hätte ich auch Zugriff auf viele günstige Bücher. Aber es wäre halt wieder „Vendor-Lock-In“.

Jetzt will ich erst mal sehen, wie „professionell“ der Support reagiert. Ob ich meine Books wieder bekomme um sie dann in einer großen Download-Orgie alle erst mal auf meinen PC zu holen, was bei mir bedeuten wird, Windows in einer virtuellen Maschine zu starten, denn Adobe Digital Editions läuft ja nicht unter Linux.

Update 23.08.2019:

Es gibt Neuigkeiten zu meinem Problem. (tl;dr: alles gut).

Autor: Rainer

Diplom-Informatiker, Baujahr 1961, Vater von 2 Kindern, Hundehalter, Sportschütze und Vereinsvorstand, Hobbymusiker (mit zweifelhaftem Erfolg), politisch interessiert, Leseratte, Freizeit-Philosoph und letztlich Blogger.

1 Kommentar

  1. Carsten Kettner

    21/08/2019 @ 19:10

    Ich kann nur empfehlen, für das Auskunftsersuchen im Rahmen der DSGVO den Folterbrief der c’t zu verwenden. Hier geht klar hervor, was der Empfänger zu beantworten hat.
    Allerdings kann das auch ins Leere laufen. Ich habe personalisierte Werbung von einem großen Energieversorger bekommen. Auf meinen Folterbrief hin erhielt ich die Antwort, dass man keine Daten nicht habe, aber meine Absenderdaten nun in eine Blacklist eingepflegt sei. Irgendwer lügt….

    Antworten

Kommentar verfassen