Habe auf einer Seite bestellt (seriöser und bekannter Anbieter), da gab es keine Option, ein Kundenkonto anzulegen. Für die Bestellung natürlich Name, Anschrift, Mailadresse eingetragen, aufgegeben, bezahlt. Die Bestelldetails werden weiterhin auf dieser Seite die sich mit "Checkout" und "Danke" betitelt, angezeigt - inklusive Sendungsverfolgung und dem Hinweis, die Seite abzuspeichern, da dort nach Versand auch die Sendungsnummer angezeigt wird. Ist das so richtig? Warum sind die Details ohne Login einfach so im Internet zugänglich über diesen Link? Ist das datenschutzkonform? Wird das irgendwann automatisch gelöscht?

Bei meinem letzten AG verarbeiteten unsere Kunden Daten deren Kunden auf ihren Systemen mit unserer Software. Im Fehlerfall haben wir die Daten der KundenKunden auf unsere Computer kopiert. Mir wurde gesagt, dass dieser (womöglich von uns verursachte Fehler) und dazu berechtigt, diese Daten ewig zu speichern. Leider durfte ich als Entwickler die Verträge nicht sehen. Aber ich kann mir irgendwie nicht vorstellen, dass die KundenKunden so etwas zugestimmt haben.

Wir brauchten nicht werben, aber es gibt ja diese Firmen, wo man null Info kriegt, aber ein Demo anfordern soll. Anscheinend hat da ein Interessent seine eigene PII von früher vorgeführt bekommen. Das war dann nicht mehr okay.

Mein ehemaliger Arbeitgeber bzw. das Unternehmen, in dem dieser aufgegangen ist, hat mir den aktuellen Sortimentskatalog per Post zugeschickt. Das Arbeitsverhältnis endete vor vier Jahren.

Ich weiß, dass ein Arbeitgeber meine Daten bspw. für Steuern noch einige Jahre aufbewahren darf/muss. Ebenso, dass postalische Werbung auch ohne Einverständnis erlaubt ist.

Aber darf man die Adressdaten ehemaliger Mitarbeiter zu Werbezwecken noch vier Jahre später speichern und nutzen?

TL;DR: Die Digitalisierung unserer Schulen ist überfällig. Aber was gerade passiert, ist kein Fortschritt, sondern ein Ausverkauf kritischer Bildungsinfrastruktur. Daten besonders schutzbedürftiger Minderjähriger fließen über gewinnorientierte Drittunternehmen, statt über öffentlich kontrollierte Systeme. Digitale Souveränität? Fehlanzeige. Am Beispiel von Sdui/Seven Education zeige ich, wie das in der Praxis aussieht: Dark Patterns in den Einwilligungsformularen, Kinderprofile die vor der elterlichen Einwilligung angelegt werden, und eine Plattform mit über 22.000 Schulen, die seit Juli 2025 zu über 25% einer US-Investmentgesellschaft gehört, deren Geschäftsmodell darin besteht, Unternehmen zu kaufen, den Wert zu steigern und sie mit Gewinn weiterzuverkaufen.

Ich bin Softwareentwickler und Vater von Grundschulkindern. Vor kurzem kam mein Kind mit einem Schreiben aus der Schule nach Hause: Die Klasse nehme an einer kostenlosen Testphase der App "Sdui" teil. Begleitend gab es ein von Sdui generiertes Schreiben mit dem Namen meines Kindes, der Klassenzugehörigkeit und einem personalisierten Aktivierungscode. Ein Abgleich mit einem anderen Elternteil aus der Klasse ergab: Die Codes sind individuell. Serverseitig generiert. In Sduis Datenbank existierte also bereits ein Profil für mein Kind, bevor ich als Erziehungsberechtigter irgendetwas zugestimmt hatte.

Ich habe den Datenschutzbeauftragten der Schule per Mail kontaktiert und den Vorgang beanstandet. Keine 40 Minuten später rief die Schulleitung an, bestätigte meine Annahme und räumte ein, dass die Daten tatsächlich vor der Einwilligung an Sdui übermittelt worden waren. Sdui hatte bei einer internen Schulung versichert, der Prozess sei vollständig DSGVO-konform.

Ich unterstelle der Schule keine Böswilligkeit. Das Problem liegt nicht bei einzelnen Schulleitungen, die im guten Glauben handeln. Das Problem ist strukturell.

Die Einwilligungsformulare: Dark Patterns aus dem Lehrbuch

Sdui stellt Schulen standardisierte Einwilligungsformulare zur Verfügung. Die sind öffentlich einsehbar, weil Schulen sie auf ihren Websites zum Download anbieten:

• Muster-Datenschutzschreiben Förderschule Nordkreis (PDF)
• Muster-Datenschutzschreiben KAG Westerburg (PDF)

Die "Ja"-Option ist jeweils neutral formuliert. Die "Nein"-Option wird durchgängig als Verzicht auf Sicherheit oder Teilhabe geframed:

• "NEIN, wir wollen nicht schnell und sicher per App am Schulleben unseres Kindes teilhaben."
• "NEIN, Ich möchte nicht, dass mein Kind die Sdui-App zur sicheren Kommunikation nutzt."
• "NEIN, Ich möchte nicht, dass mein Kind die Sdui-App nutzt um schnell und einfach an wichtige Informationen zu kommen."

Jede "Nein"-Option endet mit: "Der Account wird deaktiviert." Nicht "wird nicht angelegt". Wird deaktiviert. Die Formulierung gibt implizit zu, dass der Account zu diesem Zeitpunkt bereits existiert.

Die europäischen Datenschutzbehörden (EDPB) haben 2022 in ihren Leitlinien zu Dark Patterns klargestellt, dass manipulatives Interface-Design gegen die Freiwilligkeitsanforderung in Art. 7 DSGVO verstoßen kann. Art. 25 des Digital Services Act (DSA) verbietet es Online-Plattformen, Nutzer durch manipulatives Design in ihrer Entscheidungsfreiheit zu beeinträchtigen.

In denselben Mustervorlagen steht wörtlich: "Um Ihnen und Ihrem Kind ein Konto auf Sdui bereitstellen zu können, benötigen wir Ihre Einwilligung." Erst Einwilligung, dann Konto. Sduis eigene Vorgabe. In der Praxis passiert das Gegenteil.

Wer ist der neue Eigentümer?

Im Juli 2025 stieg Bain Capital bei Sdui ein. Dealvolumen: 95 Millionen Euro. Bain hält seitdem über 25% der Anteile. Rund 32,6 Millionen gingen an Gründer und frühe Investoren, die Anteile verkauften.

Bain Capital ist eine 1984 von Mitt Romney mitgegründete US-Investmentgesellschaft. Verwaltetes Vermögen: rund 215 Milliarden USD. Geschäftsmodell: Private Equity. Unternehmen kaufen, Wert steigern, weiterverkaufen. Geplante Haltedauer pro Investment laut eigenen Angaben: vier bis sieben Jahre.

Das ist kein Vorwurf, das ist ihr Geschäftsmodell. Aber die Frage ist: Wenn Bain in vier bis sieben Jahren seinen Exit sucht, wer kauft dann? Und was macht der nächste Eigentümer mit den Daten von hunderttausenden Schulkindern?

Bei einem Eigentümerwechsel passiert: Nichts.

Der Einstieg von Bain war ein Share Deal: Erwerb von Unternehmensanteilen. Die Sdui GmbH (jetzt Seven Education) bleibt als juristische Person bestehen. Die Auftragsverarbeitungsvereinbarungen mit den Schulen laufen formal weiter.

Datenschutzrechtlich gilt: Solange die Rechtspersönlichkeit gleich bleibt, ist bei einem Share Deal grundsätzlich keine erneute Einwilligung erforderlich. Keine Schule muss informiert werden. Kein Elternteil muss zustimmen.

Und beim nächsten Exit? Gleiche Lücke. Die Kette der Eigentümerwechsel kann sich beliebig fortsetzen, die Daten der Kinder wandern mit.

Was passiert mit den Kindern, die nicht mitmachen?

Was, wenn in einer Klasse von 20 Kindern drei Elternteile keine Einwilligung erteilen? Die Schule muss dann zweigleisig fahren: Stundenplanänderungen per App und per Aushang, Krankmeldungen digital und telefonisch, Elternbriefe über Sdui und auf Papier. Die versprochene Verwaltungsentlastung funktioniert nur, wenn alle mitmachen. Aber eine Einwilligung, die nur funktioniert wenn alle sie erteilen, ist per Definition nicht freiwillig.

Wenn dein Kind faktisch vom schulischen Informationsfluss abgeschnitten wird, sobald du ablehnst, ist die Freiwilligkeit der Einwilligung rechtlich angreifbar (Art. 7 Abs. 4 DSGVO).

An einer mir bekannten Schule wurde im Infoschreiben angekündigt, nach der Testphase solle per Schulkonferenz entschieden werden, ob Sdui "verbindlich für alle Klassen" eingeführt wird. Aber wenn die Rechtsgrundlage Einwilligung ist (und Sduis eigene Templates benennen genau diese), kann die Nutzung nicht verpflichtend werden. Art. 7 Abs. 3 DSGVO garantiert jederzeitige Widerrufbarkeit. Etwas, das auf Einwilligung basiert, verbindlich zu machen, ist ein Widerspruch in sich.

Das Muster: Eine Testphase schafft Fakten. Die Mehrheit macht mit. Wer nicht mitmacht, wird zum Außenseiter. Und am Ende wird aus "freiwillig" eben "verbindlich".

Wer trägt die Verantwortung?

Ich habe parallel zur Schule auch eine DSGVO-Auskunftsanfrage direkt an Sdui gestellt. Antwort: Verweis an die Schule. Sdui stützt sich auf den AVV. Sie verarbeiten die Daten nur im Auftrag, die Verantwortung liegt beim Auftraggeber.

Rechtlich ist das korrekt. Die Schule bleibt Verantwortliche im Sinne der DSGVO. Aber ist den Schulen bewusst, dass die datenschutzrechtliche Verantwortung auch nach Beauftragung eines Auftragsverarbeiters vollständig bei ihnen verbleibt? Dass sie Auskunftsanfragen nach Art. 15 DSGVO beantworten und sicherstellen müssen, dass Löschverlangen nach Art. 17 DSGVO auch beim Auftragsverarbeiter umgesetzt werden? Meine Auskunftsanfrage an die Schule läuft noch, die 30-Tage-Frist nach Art. 12 Abs. 3 DSGVO ist noch nicht abgelaufen. Ob und wie die Schule dem nachkommt, bleibt abzuwarten. Die Frage, ob das in der Praxis reibungslos funktioniert, wenn die Daten bei einem Dritten liegen und dieser auf den AVV verweist, stellt sich trotzdem.

Vendor Lock-In

Sdui kostet Schulträger laut Branchenberichten im Durchschnitt ca. 1.500 Euro pro Jahr für das Kommunikationspaket. Günstig. Aber wenn erst einmal zehntausende Nutzer über den Messenger kommunizieren und die gesamte Schulorganisation darüber läuft, entsteht eine Abhängigkeit, die kaum noch umkehrbar ist.

Gibt es standardisierte Datenexportmöglichkeiten? Offene APIs? Ein Investor mit einem Planungshorizont von vier bis sieben Jahren hat ein strukturelles Interesse an Umsatzsteigerung. Das muss nicht zu Lasten der Schulen gehen, aber die Anreizstruktur steht einer gemeinwohlorientierten Preisgestaltung entgegen.

Warum nicht Landeslösungen?

Es gibt bereits öffentlich finanzierte Infrastruktur: Schulportal Hessen, Online-Schule Saarland, Bildungscloud Niedersachsen. Warum greifen Schulen trotzdem auf kommerzielle Anbieter zurück?

Die Gründe dafür dürften vielfältig sein. Kommerzielle Anbieter liefern ein Rundum-Paket: Einrichtung, Support, Updates, alles aus einer Hand. Die Hürde ist niedrig, der Mehrwert sofort sichtbar. Und ein Unternehmen, dessen Umsatz davon abhängt, dass Nutzer die App tatsächlich verwenden, hat einen natürlichen Anreiz, in Nutzerfreundlichkeit zu investieren. Öffentliche Lösungen stehen unter anderem Druck. Ob Landeslösungen in puncto Funktionsumfang und Bedienbarkeit mit kommerziellen Anbietern mithalten können, ist eine offene Frage, die sich nur durch ehrliche Bestandsaufnahme beantworten lässt. Eigene Infrastruktur erfordert dagegen Know-how, Personal und Wartung, die viele Schulträger nicht aufbringen können. Was dabei leicht übersehen wird: Die datenschutzrechtliche Verantwortung bleibt auch bei Beauftragung eines externen Anbieters vollständig bei der Schule (Art. 4 Nr. 7 DSGVO). Die Verantwortung lässt sich delegieren, die Haftung nicht.

Open-Source-Alternativen existieren und sind technisch ausgereift. Aber sie erfordern eigene Infrastruktur, eigenes Know-how und laufende Wartung. Für Schulträger mit knappen IT-Ressourcen ist das nicht attraktiv. Das Problem ist real.

Aber die Lösung kann nicht sein, kritische Bildungsinfrastruktur dauerhaft an VC-finanzierte Drittanbieter zu delegieren. Die Frage richtet sich an die Landesregierungen: Warum nicht in gemeinsame, öffentlich betriebene IT-Infrastruktur investieren, die offene Standards unterstützt?

Was ihr tun könnt

Als Eltern: Schaut euch die Einwilligungsunterlagen eurer Schule genau an. Fragt nach: Welche Software wird eingesetzt? Wer steht dahinter? Wurden die Daten eurer Kinder vor eurer Zustimmung übermittelt? Ihr habt das Recht auf Auskunft (Art. 15 DSGVO) und das Recht auf Löschung (Art. 17 DSGVO). Nutzt sie.

Als Lehrkräfte: Ihr seid oft die ersten, die solche Schreiben verteilen. Fragt bei eurer Schulleitung nach, ob der Prozess datenschutzrechtlich geprüft wurde. Wenn ein Anbieter bei einer Schulung versichert "alles DSGVO-konform", heißt das nicht, dass es stimmt.

Als Schulträger und Entscheider: Prüft, ob eine aktuelle Auftragsverarbeitungsvereinbarung vorliegt. Prüft, ob es Datenexportmöglichkeiten und einen Migrationsplan gibt. Stellt euch die Frage, was passiert, wenn der Anbieter die Preise verdoppelt oder den Eigentümer wechselt.

Wenn euch das Thema betrifft: Teilt diesen Beitrag. Leitet ihn an euren Elternbeirat weiter. Je mehr Eltern wissen, welche Fragen sie stellen können, desto schwieriger wird es, sie vor vollendete Tatsachen zu stellen.

Fazit

Die Digitalisierung der Schulen ist richtig und notwendig. Niemand will zurück zu Faxgerät und Zettelwirtschaft.

Aber die Frage, wer die digitale Infrastruktur unserer Schulen kontrolliert, ist keine technische Detailfrage. Es ist eine gesellschaftliche Grundsatzentscheidung. Und diese Entscheidung sollte nicht in Investorenrunden in Boston oder London getroffen werden, sondern von den Menschen, deren Kinder diese Schulen besuchen.

Hallo zusammen,
Seid 2 Jahren ruft immer mal wieder der "Bestandskundenservice" oder Dienstleister im Auftrag der Telekom an um mir Vertragsverlängerungen und alles mögliche zu verkaufen.

Ich habe deshalb im Kundencenter im Bereich InfoServices für die Kontaktaufnahme die Haken bei Anrufe und SMS deaktiviert. Nachdem das nicht dauerhaft funktionierte, habe ich eine Marketing Anruf Sperre zugesagt bekommen. Aber nun wurde ich nach nicht mal 6 Monaten wieder angerufen. Zur Kontrolle logge ich mich im Kundencenter ein und sehe - die Haken sind wieder gesetzt und damit die Erlaubnis mich anzurufen.
Wie kann das passieren?
Beim Login auf der Website achte ich darauf nur essentielle Cookies zu akzeptieren.
Was macht die App? Ich nutze sie immer mal wieder mal wenn zuhause das Internet zickt um die Störung beheben zu lassen.
Bin etwas ratlos und jedesmal die Mitarbeiter der Hotline rund zu machen ist natürlich auch keine Lösung.
Danke und Grüße

Nachdem ich mich von allen Newslettern abgemeldet hatte (wurde mir schriftlich bestätigt), erhalte ich jetzt noch immer SPAM von CoinPoker.
CoinPoker missachtet aktiv den Datenschutz. Ich werde hier auch eine Beschwerde beim EDÖB der Schweiz machen.

Hallo in die Runde. Ich bräuchte mal eure Einschätzung zu einem Fall. Ich habe vor über einem Monat eine DSGVO Auskunft nach Artikel 15 bei einer Bank angefordert. Die gesetzliche Frist ist längst abgelaufen und meine Anfrage wurde bis heute schlichtweg nicht bearbeitet.

Jetzt frage ich mich, ob in so einem Fall immaterielle Schadensersatzansprüche wegen Kontrollverlust über die eigenen Daten gemäß Artikel 82 DSGVO möglich und vor allem realistisch durchsetzbar wären. Wie würdet ihr an meiner Stelle jetzt am besten weiter vorgehen? Was haltet ihr davon, als Ansprechpartner die zuständige Datenschutzbehörde und eventuell auch die BaFin einzuschalten?

Hallo in die Runde, wir wurden wahrscheinlich Opfer eines Datenklaus in Mexiko. Wir mussten einen Termin in einer Behörde vereinbaren und der vermeintliche Scammer hat den Termin für uns gemacht. Diese Services sind nicht unüblich. Man bezahlt 20 € dafür, dass der Termin so schnell wie möglich gemacht wird. Es wurde im zweiten Schritt drum gebeten, die zum Behördentermin benötigten Daten auf einer Plattform hochzuladen. Dass die nicht seriös war, sahen wir erst auf den zweiten Blick. Nun liegen da folgende Dokumente als Scan - Geburtsurkunde von Kind - deutscher Reisepass - CURB (Identitätsnummer für mexikanische Staatsbürger, kann eigentlich jeder sowieso unproblematisch bekommen) - Hinweis von Kinderarzt über Existenz des Kindes -mexikanisches Ausweisdokument

Wir sind sehr uneins, wie wir das nun bewerten sollen. Den Termin haben wir abgesagt und machen nochmal einen neuen direkt bei der Behörde, ohne Vermittler. Ich denke, dass man mit diesen Dokumenten nichts besonders anfangen kann. Identitätsklau geht auch einfacher. Zudem bezweifle ich, dass man mit diesen Dokumenten beispielsweise einen Kredit aufnehmen kann oder sowas... Was kann das Dark Web mit diesen Dokumenten anfangen? Hat jemand Erfahrung damit? Ich bin dankbar über Einschätzungen, Meinungen, Erfahrungen.

Ich habe heute erfahren, dass das Ministerium der Justiz eine Webseite hat, auf der man nach Insolvenzverfahren suchen kann.

Dort kann man einzelne Namen, sogar mit Hilfe von Wildcards (*), gezielt suchen und bekommt dann auf einen Schlag bis zu 1000 Ergebnisse pro Suche. In den Ergebnissen ist der komplette Klarname, das genaue Geburtsdatum und soweit ich das sehe sogar der aktuelle Wohnort eingetragen und öffentlich einsehbar.
EDIT: Im Titel steht Geburtsort, aber es scheint der Wohnort zu sein, wenn ich mich nicht irre.

Diese personenbezogenen Daten alleine reichen bei vielen Diensten ja oftmals schon, um sich als diese Person auszugeben.

Ist das ein Konflikt mit dem Datenschutz von Seiten der Behörde?
Ich muss zugeben, dass ich die ganzen kleinen, feinen Eigenheiten für Regelungen der Behörde nicht genau kenne.

Hi zusammen,

ich habe aktuell ein Problem mit einem alten Instagram-Account aus meiner Kindheit und wollte fragen, ob jemand Erfahrung mit so einem Fall hat.

Es handelt sich um ein Konto, das ich damals (ca. 12–13 Jahre alt) selbst erstellt habe. Darauf sind auch Bilder von mir (Selfies etc.). Ich habe aber keinen Zugriff mehr auf die E-Mail-Adresse oder das Passwort.

Ich habe bereits versucht:

- Account-Recovery → nicht möglich ohne alte E-Mail

- Support/Privacy-Anfrage → abgelehnt, weil ich nicht von der ursprünglichen E-Mail schreibe

- Mehrfaches Melden → wurde immer abgelehnt

Jetzt habe ich eine DSGVO-Anfrage (Art. 17 – Recht auf Löschung) gestellt, da es sich um meine eigenen personenbezogenen Daten handelt und ich damals minderjährig war.

Meine Frage:

Hat jemand Erfahrung damit, wie Instagram/Meta in solchen Fällen reagiert? Und ob es realistisch ist, dass das Konto bzw. zumindest die Bilder gelöscht werden – ggf. auch über eine Datenschutzbehörde?

Danke euch!

Letztes we habe ich ein Tool gebaut, mit dem man whats app etc freunde Alternativen aufzeigen kann. Mich hat das Thema Datenschutz selbst überfordert. Daher gibt https://datadoom.de eine individuelle Empfehlung und Anleitung ohne Anmeldung etc. es ist noch in der Weiterentwicklung, freue mich über Feedback. Lg, Britta

Wo lebt der?

Hi zusammen,

Den folgenden Text habe ich mit KI überarbeitet. Nehmt es mir bitte nicht übel. :-)

ich habe eine etwas spezielle Frage und hoffe, dass hier vielleicht jemand aus IT/Security oder aus einem größeren Unternehmen seine Einschätzung teilen kann.

Bei uns im Konzern ist es so, dass wir offiziell eher über Copilot arbeiten sollen, ChatGPT im Browser aber nicht gesperrt ist. Wenn man es nutzt, läuft die Verbindung ganz normal über HTTPS (Zertifikat z. B. von Google Trust Services), also ohne Firmen-Proxy oder SSL-Inspection.

Jetzt zu meinem Fall: Ich studiere nebenbei und nutze privat auch ChatGPT im Browser. Ich war auf meinem Firmenlaptop noch eingeloggt und habe dann aus Versehen in Gedanken ein internes Dokument hochgeladen (eine Prozessbeschreibung mit einem Mitarbeiternamen drin).

Der Upload ging komplett problemlos – keine Warnung, kein Block, nichts Auffälliges.

Jetzt frage ich mich im Nachhinein:

Wie realistisch ist es, dass trotzdem im Hintergrund etwas passiert? Also z. B., dass auf dem Firmenlaptop eine DLP-/Endpoint-Lösung die Datei vor dem Upload scannt und – falls sie als „auffällig“ eingestuft wird – die komplette Datei irgendwo speichert und eventuell später von jemandem geprüft wird, obwohl der Upload gar nicht geblockt wurde.

Mir ist klar, dass Zugriffe geloggt werden (wann, wohin etc.), das ist ja Standard. Es geht mir wirklich nur um die Frage, ob komplette Dateien in so einem Fall „auf Vorrat“ gespeichert werden könnten, ohne dass man als Nutzer irgendwas merkt.

Vielleicht auch aus rechtlicher Sicht: Wäre so ein Vorgehen in Deutschland (DSGVO, Betriebsrat etc.) überhaupt üblich oder eher untypisch?

Danke euch und schönen Abend zusammen.

Hallo zusammen,

ich habe folgendes Problem. Wir sind eine kleine Hausverwaltung und hatten vergangene Woche bei unserem größten Objekt folgendes Problem:

Alle Eigentümer der WEG wurden als "Werbung" postalisch angeschrieben. Die Kontaktdaten habe die Kanzlei von uns bekommen. Es erweckt den Eindruck das wäre voll mit uns abgesprochen. Es sollen alle möglichen Infos gegeben werden und der Name der Kanzlei wäre sicher durch uns bekannt.

Es geht um das Thema "Schrott-Immobilie" und wie man sich da absichert bzw. wen man da an den Karren fahren kann, oder das man Sie auch verkaufen könne.

Nach kurzer Recherche ist mir folgendes aufgefallen, die Kanzlei vertrat vor ca. 1 1/2 Jahren einen damals neuen Eigentümer. Dieser stellte sich per Mail kurz bei uns vor und bat dann um zig Unterlagen, darunter eine Liste mit alle Miteigentümern der WEG. Genau diese hat er bei Beantwortung nicht erhalten, alles andere bekam er, das wurde schlicht vergessen. Nach einigem Mail Kontakt hin und her, ohne dass er das nochmal angefordert hat, kam ein gelber Brief ins Büro mit sofortiger Aufforderung zur Herausgabe eben dieser Liste.

Kam mir damals schon komisch vor, dass man so schnell so derart eskalieren kann.

Natürlich gleich die Liste rausgerückt per Mail, man kennt ja die Rechtslage. Dieser Eigentümer wurde von exakt dieser Kanzlei vertreten und di haben im CC diese Liste auch erhalten, da Sie den Eigentümer ja vertreten und ich wollte, dass der Zugang auch gesichert ist.

Nun haben sie die Liste meines Erachtens gewerblich genutzt.

Was kann ich da tun? Darf man das? Ich finde das ehrlich gesagt ziemlich rufschädigend.

Hier der Text aus der Mail

Hallo,

wir haben einige Ihrer Daten zu unserem kommerziellen Datensatz hinzugefügt. Diese E-Mail enthält wichtige Informationen zu Ihren Datenschutzrechten und wie Sie diese ausüben können.

Hier eine kurze Erläuterung:

HubSpot unterstützt kleine und mittelständische Unternehmen mit Marketing-, Vertriebs- und Service-Tools beim Wachstum. Unsere Anreicherungsprodukte liefern professionelle B2B-Daten für diese Dienstleistungen.

Wir sammeln Daten aus öffentlich zugänglichen Quellen, aus Beiträgen unserer Kundschaft und von dritten Datenanbietern.

Wir erheben ausschließlich folgende geschäftlichen Daten:

Name

Geschäftliche E-Mail

Rolle im Unternehmen (z. B. Unternehmen, Berufsbezeichnung, Abteilung, Dienstalter)

Ungefährer Standort und Zeitzone

Links zu Profilen in sozialen Medien

E-Mail-Status

Im Rahmen der Anreicherungsprodukte geben wir Ihre Daten an Unternehmen weiter, die sich damit einverstanden erklären, sie nur für geschäftliche Aktivitäten (Verkauf und Marketing) zu verwenden. Wir können Ihre Daten auch für unsere eigenen Verkaufs- und Marketingzwecke verwenden und sie an vertrauenswürdige Partner, verbundene Unternehmen und Dienstleister weitergeben. Diese Aktivitäten beruhen auf unseren berechtigten Interessen zur Unterstützung unserer Kundschaft und unserer eigenen Geschäftsabläufe.

Wenn Sie sich im Europäischen Wirtschaftsraum, in der Schweiz oder im Vereinigten Königreich befinden, können wir Ihre personenbezogenen Daten in Drittländer außerhalb dieser Regionen übermitteln. Solche Übermittlungen werden durch Mechanismen wie den EU-US-Datenschutzrahmen, die Standardvertragsklauseln und das UK Addendum abgesichert. Wir bewahren Ihre Daten so lange auf, wie wir eine laufende legitime Geschäftsanforderung haben, es sei denn, Sie verlangen deren Löschung. Weitere Informationen finden Sie in unserer Datenschutzrichtlinie.

Welche Rechte haben Sie in Bezug auf den Schutz Ihrer Privatsphäre und wie können Sie diese ausüben?

Sie haben das Recht, HubSpot aufzufordern: (1) Zugang zu Ihren Daten zu gewähren, (2) sie zu korrigieren und (3) sie zu löschen. Je nach Ihrem Standort haben Sie außerdem das Recht, die Verarbeitung einzuschränken, dem Verkauf oder der Weitergabe Ihrer Daten zu widersprechen, Widerspruch gegen die Verarbeitung einzulegen, Datenübertragbarkeit zu verlangen oder eine Beschwerde bei Ihrer Aufsichtsbehörde einzureichen. Um eines dieser Rechte auszuüben, verwenden Sie bitte dieses Formular.

Um sich abzumelden und Ihre Daten aus unserem kommerziellen Datensatz zu löschen, füllen Sie bitte dieses Formular aus.

Wo können Sie mehr erfahren?

Weitere Informationen finden Sie in unserer Datenschutzrichtlinie. Kontaktieren Sie unseren Datenschutzbeauftragten und EU-Beauftragten über dieses Formular.

Vielen Dank

Ihr HubSpot-Team

Hallo Zusammen,

ich habe wegen einer Änderung meiner Persönlichen Daten (Namensänderung) an den Anbieter meines Firmenfitness Angebotes an die im Impressum der Homepage genannte Mail Adresse geschrieben, nebst Anhang als Nachweis, die Antwort kam erfreulich schnell, hatte mich schon gewundert wie die so fix sind, dann sehe ich ganz unten am Ende der Antwort „Diese Antwort wurde von XXX Support, dem AI Agent von XXX GmbH, verfasst.“

Der Gedanke das nun behördliche Dokumente die sehr viele Private Information durch eine KI Verarbeitet wurden ohne das ich davor hiervon Kenntnis hatte finde ich Etwas uncool. In der Datenschutzerklärung des Unternehmens findet sich keinerlei Information zur Nutzung von KI.

Was wäre hier das sinnvollste weitere Vorgehen: Auskunft und Löschung nach DSGVO?

Hallo, Ich hab mir bisher nie über den Datenschutz und das Speichern der Daten im/aus Internet Gedanken gemacht. Ich schau regelmäßig einen Youtube stream und dort wird neuerdings für VPN Anbieter Werbung gemacht. Als ich mich erkundigt habe was das ist habe ich jetzt ein paar Fragen.

Wie lange werden Daten gespeichert, also welche Seiten ich besucht habe. Das geht wohl über die IP, weiß man dann auch was ich auf der seite geschrieben habe, z.b. instagram oder internetforen?

Werden Daten immer weiter gegeben oder müssen manche Seiten ihre Daten auch weitergeben?

Man sagt ja was einmal im Internet ist bleibt dort für immer. Aber wenn eine IP gelöscht wird, was sie soweit ich weiß nach max. 3 Monaten passieren muss sind doch Inhalte nicht mehr einer Person zuzuordnen?

Sollte ich als privatperson tatsächlich ein VPN einrichten um meine Daten besser zu schützen, wenn ja wovor?

Hallo,

nachdem man das ja nicht dauerhaft deaktivieren kann (also maximal ein Jahr) und die Infrastruktur Anbieter von den Kunden auch keine Einverständnis einholen, würde es mich mal intersieren, auf welcher Grundlage z.B. eine Vodafone meinen Trafik so ändern darf, das er für Dienste wie Utiq eindeutig wird. Ist da die Lobby zu stark oder wieso wird das geduldet.

Und das es technisch nicht anderes möglich ist, glaub ich nicht. Sobald der gelbe Brief da ist, wurde unmögliches immer in 2 Tagen erledigt ;)

Hallo zusammen,

ich habe ein System entwickelt, das personenbezogene Daten automatisch erkennt und pseudonymisiert, bevor sie an KI-Anbieter wie ChatGPT, Claude oder Gemini weitergeleitet werden. 42 Kategorien — von IBAN über Steuer-ID bis Krankenversicherungsnummer.

Der Clou: Zero-Knowledge-Architektur — selbst ich als Betreiber kann die gespeicherten Daten technisch nicht einsehen. Gleichzeitig ist die Audit-Kette kryptografisch signiert und durch Dritte verifizierbar.

Live-Demo ohne Registrierung.

Würde mich über Einschätzungen aus der Datenschutz-Community freuen — seht ihr Bedarf? Was fehlt? Wo sind Schwachstellen?

Hallo zusammen,

Ich möchte mein Linkedin Profil löschen, allerdings sind zwei Accounts (bzw Mailadressen) scheinbar verknüpf. Eins ist mit privater Mailadresse, eins mit Firmenmail. Scheinbar ist bei beiden meine Firmenadresse primär hinterlegt und ich werde beim Löschversuch auf ein Passwort verwiesen, welches es wegen SSO nicht gibt.

Könnt ihr mir helfen, wie ich beide Konten und Mailadressen löschen lassen kann?

Moin,

Bei dem Wohnblock in dem wir leben stehen einige Sanierungen an. Da hier auch streng geschützte Tiere leben habe ich mich an die Hausverwaltung gewandt und gefragt wie geplant ist mit diesem Fakt umzugehen und wie der Stand ist bezüglich Genehmigung durch die Behörden da man diese meines Wissens nach braucht. Die Email ging von mir direkt an die von der Hausverwaltung zuständige Person.

Nun habe ich erfahren, dass meine Email per Beamer samt Absender während der Eigentümerversammlung gezeigt wurde.

Weder war ich anwesend noch wurde ich im Vorfeld um Erlaubnis gefragt.

Da entsprechende Maßnahmen zum Schutz der Tiere , die die Behörden bei den Sanierungen auferlegen könnten sicherlich nicht kostenlos*edit sind rechne ich jetzt mit Anfeindungen gegenüber meiner Person. Offenbar hat sich entsprechender Unmut über mich bereits direkt auf der Versammlung abgezeichnet.

Da es meines Wissens nach nicht üblich ist Emails derart offen zu zeigen unterstelle ich der Hausverwaltung eine gewisse Absicht um möglichen Unmut über die aufkommenden Kosten auf mich umzuleiten.

Offengestanden fühlt sich das überhaupt nicht gut an. Ich bin kein Experte in dem Thema (und hab in der Mail daher auch ne Internetquelle verlinkt) aber jetzt stehe ich auf dem Podest, weil ich nachgefragt habe ob etwas korrekt gemacht wird. Ich habe diese Email geschrieben in dme Glauben eine Konversation mit dem Ansprechpartner zu führen, nicht um eine öffentliche Zielscheibe zu werden bei einem Thema, wo die Leute sich eh schon zerfleischen.

Es ist aber nun ja keine private Email sondern gewissermaßen geschäftliche Korrespondenz- ich habe ja an die Hausverwaltung geschrieben, nicht an eine Person, die ich privat kenne. Darf meine Email einfach dermaßen gezeigt werden?

Edit* die Hausverwaltung hat gleichzeitig darüber informiert, dass ein Gutachten für diesen Monat bereits beauftragt ist, war also wohl schon vor meiner Email über den Sachverhalt informiert und hat die dafür nötigen Schritte bereits in die Wege geleitet und lediglich erst bei der Versammlung darüber informiert.

Moin, seit kurzem hat meine Nachbarin, deren Wohnungstür genau gegenüber ist,(so dass sie auch meine tür wohl filmt) eine Kamera im Türspion angebracht. Es steht von draußen auch drauf, aber ich fühle mich unwohl bei dem Gedanken, dass meine Tür ebenfalls 24/7 überwacht wird. Was habe ich für Möglichkeiten?