Spam-Reklame ist EU-weit verboten. Eigentlich. Doch wie sich zeigt, schrecken auch deutsche Unternehmen nicht davor zurück, mit zwielichtigen Methoden die Datenschutz-Grundverordnung (DSGVO) zu umgehen. Vor einigen Monaten hat mich die WattFox GmbH aus Freiburg („ich-investiere-gruen“) angeschrieben, um mir dubiose Geldanlagen zu vermitteln. Ich habe mir die Mühe gemacht, den Weg dieser Werbemail zurückzuverfolgen und bin auf ein Adresshändler-Netzwerk gestoßen, das um die halbe Welt reicht.

Lasst uns über ein Virus reden, das sich ungeachtet aller Vorsichtsmaßnahmen ungehindert weiter ausbreitet und die ganze Welt befallen hat. Ein Virus, das so heimtückisch ist, dass es immer neue Wege findet, uns zu tyrannisieren. Ein Virus, das keine Landesgrenzen kennt und das täglich Millionen von Menschen in den Wahnsinn treibt. 

Die Rede ist natürlich von SPAM

Nervtötende Reklame-Mails, unaufgeforderte Lockvogel-Angebote, als Newsletter getarnter PR-Trash. Seit Inkrafttreten der Datenschutzgrundverordnung sollte damit eigentlich schluss sein. Doch wenn ich heute in meinen E-Mail-Eingangskorb  schaue, kommt es mir vor, als hätte es die DSGVO nie gegeben. 

Spam ist nicht nur nervig. Spam breitet sich aus wie ein Virus und verlangsamt weltweit den Datenverkehr. Ziel Nummer eins für die meisten Spam-Attacken weltweit ist Deutschland. Kein anderes Land, wenn man den Zahlen des Sichehreitsunternehmens Kaspersky vertrauen will, wird digital so zugemüllt wie wir. 

Nach einer Statistik von 2019 empfangen allein die Nutzer von web.de und GMX in Deutschland rund 150 Millionen Spam-Mails am Tag, ein Anstieg um 34 Prozent – und das ausgerechnet in dem Jahr, in dem die EU-Datenschutzgrundverordnung in Kraft getreten ist. 

Vor ein paar Jahren habe ich in meinem Blog die illegalen Praktiken von PR-Marketingagenturen wie Cision beschrieben. 

Ihr wisst schon, Cision, das Unternehmen, das Eure persönlichen Daten, Eure Post-Adresse, E-Mail und Telefonnummern ungefragt aus dem Internet zusammengoogelt, zusammenführt, ein Profil über Euch anlegt und weltweit an PR-Agenturen verhökert, um Euch hinterher eine getarnte Einwilligung per Mail unterzujubeln, die Cision als rechtliche Zustimmung wertet, wenn Ihr nicht innerhalb von wenigen Tagen Einspruch einlegt. Genau DIESES Cision meine ich. Nicht etwa irgendeine zwielichtige Halsabschneider-Butze, die weltweit Hunderte von Millionen Dollar mit geklauten Adressen erwirtschaftet und sich nach außen hin als seriöses Unternehmen darstellt.

Spam-Reklame von deutschen Unternehmen – wie ist das legal?

Diesmal wollte ich wissen, auf welche Art deutsche Firmen wie „WattFox“ an meine Privat-Mailadresse für ihre irreführende und darüber hinaus wie ich finde hochgradig menschenverachtende Kalt-Akquise kommen. 

Illegale Reklame der deutschen Wattfox GmbH aus Freiburg

Dafür habe ich den Weg der Wattfox-Reklame, die mich dieses Jahr gleich zweimal erreichte, samt meiner E-Mail-Adresse Station für Station zurückverfolgt. Die Recherche, hat mich einige Wochen gekostet und führt um die halbe Welt.

Zur WattFox GmbH mit Sitz in Freiburg muss man nicht viel sagen. Das Unternehmen und sein Finanz-Portal „ich-investiere-gruen.de“ steht seit Jahren auf der Warnliste der Stiftung Warentest für besonders unseriöse Geldanlagen.

Hier geht es zur Warnliste der Stiftung Warentest

Zum Ausbruch der Corona-Pandemie hat sich das Unternehmen aus dem Breisgau eine besonders fiese Methode ausgedacht, um mit der Angst der Menschen auch noch Profit zu machen indem man diese in u.a. zwielichtige Anlagen treibt: 

„Die Börsen taumeln, Zinsen sind am Boden. Auch und gerade in diesen Krisenzeiten bewähren sich nachhaltige, also sozial und ökologisch sinnvolle Investments“ heißt es da. In dem Reklametext werden vermeintlich sichere Anlagen mit Festzinsen in Höhe von 3,95%, 5% und sogar 7,5% versprochen.

Der Weg führt in die Niederlande

Um an neue potentielle Opfer zu gelangen, greift die WattFox GmbH auf ein Netzwerk von Adressbrokern und Briefkastenfirmen zurück. Martin Holzwarth, Geschäftsführer von WattFox, bestätigt auf Anfrage, dass er keine Erlaubnis zur Verwendung meiner Mailadresse hat. Stattdessen verweist er auf einen Dienstleister mit Sitz in den Niederlanden, der von ihm im März 2020 mit dem Massen-Mailing beauftragt worden war.

Die niederländische IDSG („Integrated Data Solutions Group“) wirbt auf ihrer Firmenseite unter Verwendung vieler Business-Stock-Fotos mit Hunderten Millionen Privatadressen in den Niederlanden, Belgien, Frankreich, Italien aber auch in Großbritannien, in den USA und Australien. Allein in Deutschland will die IDSG direkten Zugang zu 35 Millionen Personen haben. 

Als Köpfe hinter der IDSG werden ein gewisser „Lars“ und ein „Silver“ genannt (Stand: 1. September 2020). Lars Bril, der Geschäftsführer, hat eine Fachhochschule in den Niederlanden besucht. Nach ein paar kurzzeitigen Beschäftigungen in unterschiedlichen Agenturen hat er Anfang 2020 die IDS-Gruppe gegründet. Bei seinem Partner „Silver“ handelt es sich um Silver Karutoom, einem freiberuflichen Programmierer aus Estland, der nicht in den Niederlanden sondern im estländischen Tallin lebt. Fest angestellt ist er nicht.

Ein Einfamilienhaus in den Niederlanden. Sitz der internationalen „IDS-Gruppe“ IDSG

Die IDS-Group gibt auf LinkedIn an, ihr Büro in Amsterdam zu haben (die genaue Anschrift wird aber weder auf der Firmenseite noch auf LinkedIn genannt). Laut Handelsregister residiert die „IDS-Gruppe“ allerdings nicht in Amsterdam – sondern in einem Einfamilienhaus im niederländischen Nieuwstadt, unweit der deutschen Grenze. Unter der selben Adresse sind noch weitere Firmen, u.a. die „Brilliance Ads“ gemeldet. 

Auf Nachfrage schreibt Geschäftsführer Lars Bril, die IDSG selbst unterhalte keine Datenbank mit Personen-Adressen, seine Firma fungiere lediglich als Vermittler zu anderen Direktmarketing-Netzwerken – quasi ein Sub-Unternhemen, das seinerseits weitere Sub-Unternehmen beauftragt. Eines dieser Sub-Subunternehmen ist 1ClickWonder mit Sitz in London, an die der Auftrag von WattFox vermittelt worden sei. 

Das One-Klick-Wonder aus London

Die Firmenseite von 1ClickWonder in London erinnert mehr an ein Online-Casino, als an eine seriöse Agentur. Im Kampagnen-Portfolio werden Hunderte Kampagnen gelistet, darunter Lockvogelseiten für Kreditangebote, Glücksspiele und Frauen aus Russland. Als Firmensitz von 1 Click Wonder wird eine Londoner Postadresse angegeben, die sich Dutzende andere Firmen teilen, darunter mehrere Vermittler von Briefkasten-Büroadressenin der englischen Hauptstadt. 

Im Handelsregister ist 1-Click-Wonder nicht verzeichnet. Dafür aber die Mutterfirma, Ventures London Limited mit identischer Firmenadresse. Gründer und Eigentümer ist Ryan Ranaweera, ein 41jähriger indisch-stämmiger Brite, der zusammen mit seiner Schwester Dainee in Wallington, einem Vorort Londons, aufgewachsen ist und der sich nach seinem Studium auf Direktmarketing spezialisiert hat. 

Seinen Facebook-Postings zufolge verbringt er viel Zeit in Fitnessstudios und mit seiner Tochter, deren Mutter aus Mauritius stammt. Das erwähne ich nur deshalb, weil laut Handelsregister seine Firma für kurze Zeit von einer Person aus dem Inselstaat im Indischen Ozean geleitet wurde. Was es damit auf sich hat, will mir der Adresshändler auch auf mehrfache Nachfrage nicht erklären.

Zur Herkunft meiner E-Mail-Adresse befragt, verweist Ranaweera auf einen weiteren Dienstleister, die SMTP Mailers Private Limited mit Sitz in Indien. Wie schon die IDS aus den Niederlanden habe sein Unternehmen lediglich als Vermittler gedient, um den WattFox-Auftrag auszuführen. Auf die Frage, mit wievielen solcher Adressanbieter 1-Click-Wonder zusammenarbeitet, will der passionierte Kampfsport- und Arsenal-London-Fan nicht antworten. Firmengeheimnis.

35 Millionen Adressen allein für Deutschland – 40/60 männlich/weiblich… (Quelle: IDSG.eu)

Doch wie gelangen nun WattFox-Geschäftsführer Martin Holzwarth sowie die Zwischenhändler Lars Bril und Ryan Ranaweera letztlich an die Identitäten von arglosen Privatpersonen, darunter – so wirbt er jedenfalls – auch an die Mailadressen von Millionen deutscher Staatsbürger? 

Eat, Pray, Spam in Indien

Dazu müssen wir weiter östlich schauen, nach Indore in Zentral-Indien. Hier residiert die SMTP Mailers Private Limited, die sich auf weltweite Massenmailings spezialisiert hat. Schon für 200 US-Dollar im Monat lassen sich auf der SMTP-Webseite einfache Spam-Kampagnen aus vorgefertigten Templates bauen. Bei Nichtgefallen mit Geld-Zurück-Garantie.

Es ist Samstag Nachmittag, als ich am Ziel bin. Ich erreiche Shweta Sharma via Skype, eine Mitarbeiterin von Mindmagic Media, ein weiters Sub-Sub-Subunternehmen, das für SMTP die „ich-investiere-gruen“-Kampagne betreut hat. „Yes, we have promoted that campaign“, bestätigt sie. Wie groß die Kampagne gewesen und wie sie dazu an die deutschen Mail-Adressen (darunter meine) gekommen sei, will ich von ihr wissen. Sharma verweist auf ihren Supervisor.

Ihr Vorgesetzter, das ist Sandeep Singh Gaharwar aus dem nordindischen Rewa, auch bekannt als Stadt der Weißen Tiger. Fast auf den Tag genau vor 4 Jahren hat Sandeep die SMTP Mailers Private Limited gegründet und beschäftigt dort ein gutes Dutzend Mitarbeiter. Gaharwar lebt mit seiner Frau und seiner 10-Monate-alten Tochter in Indore, wo er neben der SMTP auch noch die Firmen Mindmagic Media sowie die DataParadise betreibt.

Die Adressen für ihre weltweiten Spam-Kampagnen beziehen sie über Fake-Gewinnspiel-Seiten, erfundende Newsletter- und andere Netz-Attrappen. Die Seiten sind äußerst primitiv zusammengeschustert. Ein Wunder, dass darauf jemand hereinfällt. 

Spam-Firmen-Geburtstagsfeier auf Facebook

Profi-Tipps vom Spam-Guru aus Indore

Und doch: Die Geschäfte scheinen gut zu laufen. Solange es so seriöse Unternehmen wie die deutsche WattFox GmbH gibt, kann Sandeep Singh Gaharwar viel Zeit mit seiner Familie verbringen, Will-Smith-Filme und Cricket-Spiele schauen. Das Internet arbeitet für ihn. 

Und das sage nicht ich – das sagt er selbst. Denn: Sandeep ist nicht nur ein großer Geschäftsmann, sondern auch ein weiser Guru, um nicht zu sagen: Internet-Guru – ein Unternehmer, der sein Glück und sein Wissen nicht für sich allein behalten, sondern mit uns teilen möchte. Auf Youtube weiht er uns in die Geheimnisse des Profi-Spammens ein und wie er durch Dreckskampagnen wie die von der WattFox GmbH Geld verdient.

Das sagt der zuständige Datenschutzbeauftragte

Ich habe alle Datenhändler und Zwischenhändler, die ich Euch gerade vorgestellt habe, um ein Interview gebeten. Keiner wollte vor die Web-Kamera gehen. Einer, der hat das dafür sehr gerne getan, das ist der Landesdatenschutzbeauftragte von Baden-Württemberg. Er war zuständig für meine Beschwerde über die Wattfox GmbH mit Sitz in Freiburg. 

„Reklamezusendungen per E-Mail ohne Zustimmung war auch schon vor der EU-Datenschutzgrundverordnung nicht erlaubt“ sagt Stefan Brink im Interview. „Der Auftraggeber haftet auch für seine Dienstleister.“ Grundsätzlich habe die DSGVO zu einer besseren Handhabe gegen Unternehmen geführt, bilanziert der Datenschützer die Entwicklung der letzten Jahre.

Lichtscheues Gewerbe

Wie gesagt, Interviews, ob schriftlich oder vor der Kamera haben die WattFox sowie alle Beteiligten abgelehnt. Stattdessen – und jetzt wird es richtig skurril – scheint der Wattfox GmbH und der IDSG die Sache selbst unangenehm zu sein – beide Geschäftsführer verweisen plötzlich selbst auf Datenschutz. 

So schreibt Martin Holzwarth von der WattFox GmbH: 

„in Bezug nehmend auf ihre letzte Mail möchte ich Sie noch bitten, die Vertraulichkeitshinweise in meinen E-Mails zu beachten.“ 

Und mit einem sanften, wie ich finde leicht drohendem Unterton heißt es dann weiter: 

„Sollten Sie eine Veröffentlichung beabsichtigen, bitte ich Sie, dies nicht unabgestimmt und nicht ohne meine Freigabe zu tun, sofern der Inhalt mit mir oder WattFox in Verbindung gebracht werden soll.“

Auch Lars Bril von der IDS Group verlangt, darüber informiert zu werden, ob ich mit der Geschichte an die Öffentlichkeit gehe und er will, dass ich mir von ihm eine „schriftliche Zustimmung“ hole, sollte ich IDSG oder die Wattfox „in any kind of form“ erwähnen.

Und die Bußgelder für die deutschen Auftraggeber?

Im Frühjahr hatte ich Dutzende Spam-Mail-Absender bei diversen Datenschutzbehörden gemeldet. Auf die meisten Beschwerden gab es keine Reaktion. In einem Fall, wurde mir auf Nachfrage mitgeteilt, sei tatsächlich ein Bußgeld erhoben worden, und zwar aufgrund „fehlender Rechtsgrundlage für die Verarbeitung Ihrer Mail-Adresse zu Zwecken der Direktwerbung.“

Auf erneute Nachfrage wurde mir dann schlussendlich auch die Summe genannt: 

„gem. Datenschutzgebührenordnung der Hansestadt Hamburg beträgt diese in der ersten Stufe 183 Euro“. 

183 Euro! Das reisst natürlich ein tiefes Loch in die Kassen der Spam-Gemeinde – und deshalb möchte ich mich revanchieren, bei der WattFox, bei Lars, bei Ryan und beim großen Internet-Guru in Indien höchst persönlich, mit einem kleinen Werbespot, den ich extra – und mit viel Liebe –  für meine neuen Brieffreunde gebastelt habe. Pay it forward, wie man so schön sagt. – Film ab:

Ich hoffe, Euch hat dieser Bericht gefallen – wenn Ihr ähnliche Erfahrungen mit Spam gemacht habt, schreibt mir. Aktuell arbeite ich schon am nächsten Beitrag. Dann geht es um das Thema Cookies

Bis dahin alles Gute und – Namasté! 

Hat Ihnen der Beitrag gefallen?
Bitte unterstützen Sie mein Blog mit einer Spende.

Hinterlassen Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Notwendige Felder sind mit * markiert.

4 Kommentare
  1. Dirk schreibt:

    Danke für den interessanten Beitrag. Ich bin beim Adresshandel-Zurückverfolgungsspiel erst in Level 3 und hatte bisher noch nicht die Muße, weiterzumachen. Was war geschehen: Ein Autohaus schrieb mir eine Werbemail für Geschäftsfahrzeugen an eine meiner privaten E-Mail-Adressen, die ich ausschließlich auf meiner Homepage und bei der DENIC (Stichwort whois) verwendete. Diese Adresse musste also von der Webseite abgegriffen worden sein, und niemals hätte ich für diese Adresse auch nur irgendwo bewusst oder unbewusst eine Einverständniserklärung abgegeben. Nach ein wenig drohen mit der DSGVO-Keule nannte mir der Datenschutzbeauftragte des Autohauses den Adresslieferanten. Dort dann auch angefragt, erst abgewimmelt worden, wiederum mit der DSGVO gedroht, dann plötzlich doch erstgenommen worden und den nächsten Adresslieferanten genannt bekommen. Ich werde demnächst weitermachen, in der Hoffnung, dass sich nicht irgendwann der Kreis schließt und ich wieder bei einem Adresshändler lande, den ich bereits abgearbeitet habe.

  2. Moritz schreibt:

    Danke für diese Recherche!

    Mich nervt SPAM auch immer sehr. Und komisch, dass es ein in Deutschland besonders schlimmes Problem zu sein scheint. Ich kann mir vorstellen, dass es an den wirklich unterirdischen SPAM-Filtern von Web und gmx liegt.

    Schade auch, dass das Bußgeld so gering ist. Wenn einmal 183 € verhängt werden, beeinflusst das den ROI der Kampagne vermutlich kaum. Es müssten mehr Leute machen. Aber das liest sich schon so mühsam. Gerade ist mir die Idee gekommen, dass vielleicht ein einfach zu programmierendes SPAM-Fighter-Tool hilft. Dort gibt man einfach die Email-Adresse des SPAM-versendenden Unternehmens ein und die zulässige Datenschutzbehörde und dann wir ein vorformuliertes Template an das Unternehmen abgeschickt. Wenn die innerhalb von einer Woche nicht reagieren, geht automatisiert eine Meldung an die Datenschutzbehörde raus.

    Das nur als spontane Idee.

    Bin auf deinen Cookie-Beitrag gespannt. Ich habe mich auch schon einmal etwas ausführlicher mit Thematik beschäftigt, da sich hier auch die Mehrheit der Unternehmen an der Grenze der Legalität aufhalten: https://moritzorendt.com/analytics-ohne-cookie-hinweis-datenschutz/

    Ist der meistgelesene Beitrag meines Blogs.

Willkommen!