Sehr geehrte ************,

vielleicht nochmal deutlich: weder PGP noch Cisco Secure Email halte ich für ein gängiges elektronisches Format. Die Verbreitung von PGP bei Bürgern, also potentiellen Betroffenen, dürfte im Subpromillebereich liegen, welches wahrscheinlich unsichere Schlüsselmanagement Sie da verwenden will ich gar nicht erst von Ihnen wissen, aber wenn Sie sich informieren wollen finden Sie Artikel auf https://blog.lindenberg.one/TopicEmailSicherheit. Cisco Secure Email ist m.E. kein bisschen besser, denn die Authentifizierung wird auch dabei über die angeblich so unsichere Email erbracht – wo liegt denn da der Sicherheitsgewinn? Dass ich auch noch Nutzungsbedingungen zustimmen soll halte ich auch für rechtswidrig, eine Auskunft ist ein bedingungsfeindliches Recht. Als Auftragsverarbeiter haben Sie Cisco übrigens auch nicht in der Auskunft aufgeführt…

Ihrer Behauptung „ Obwohl wir der Ansicht sind – auch wegen fehlender entgegenstehender Anwendungshilfen der zuständigen Behörden – dass diese Form der Zurverfügungstellung den Anforderungen der DSGVO genügt“ muss ich wiedersprechen, es gibt die Orientierungshilfe „Maßnahmen zum Schutz personenbezogener Daten bei der Übermittlung per E-Mail“, aber weder ist die für Organisationen praktikabel noch setzen die Aufsichten die durch. Ausführlich auf https://blog.lindenberg.one/AufsichtEmail.

Ich habe inzwischen zwei Klagen gegen Aufsichten u.a. wegen PGP am laufen, eine davon gegen den LfDI. Dass ich eine dritte einlege müssen Sie erstmal nicht befürchten, aber für die Hall-of-Shame reicht es allemal. Lassen wir uns überraschen wie der LfDI entscheidet.

Viele Grüße

Joachim Lindenberg

Guten Tag Joachim Lindenberg,

wir kommen auf Ihre Nachricht vom 11.08.2025 zurück.

Ihre Ansicht zu unseren Verschlüsselungsmethoden haben wir zur Kenntnis genommen.

Da Ihnen die am 01.07.2025 auf dem Postweg übersendete Selbstauskunft bereits vorliegt, hatten wir Ihnen auf Ihre Nachfrage zunächst die PGP Verschlüsselung als Versand angeboten. Hiergegen hatten Sie Einwände geltend gemacht. Obwohl wir der Ansicht sind – auch wegen fehlender entgegenstehender Anwendungshilfen der zuständigen Behörden – dass diese Form der Zurverfügungstellung den Anforderungen der DSGVO genügt, haben wir Ihnen ein weiteres elektronisches Verfahren angeboten. Mit dieser Verschlüsselungsmethode von Cisco Secure E-Mail Encryption Service haben wir Ihnen Ihre Selbstauskunft schließlich übermittelt.

Wir sind mithin der Auffassung, dass wir Ihre Betroffenenrechte gemäß Art. 15 und Art. 12 DSGVO erfüllt haben.

Wie sich die Höhe des Warenkorbwertes auf die Berechnung der Scorewerte auswirkt, entscheiden unsere Vertragspartner im Rahmen ihres eigenen Risikomanagementprozesses.

Wie in Ihrer Selbstauskunft vom 01.07.2025 mitgeteilt, fließen auch das Alter und Anschriftendaten in die Berechnung der Scorewerte ein.  

Wir hoffen, dass wir die Angelegenheit nun abschließend bearbeiten konnten.

Mit freundlichen Grüßen

****************

Head of Compliance

Datenschutzbeauftragte

AI - Privacy - Expert (GDDcert.EU)

T: +49 17********

F: +49 721 255 *****

M: *********@crif.com

CRIF GmbH | Ndl. Karlsruhe

Victor-Gollancz-Straße 5

76137 Karlsruhe

Geschäftsführer: Dr. Frank Schlein, Carlo Gherardi, Marco Preti, Loretta Chiusoli

Registergericht AG Mannheim HRB 751738 | Sitz der Gesellschaft Karlsruhe

www.crif.de

Diese E-Mail (und alle Anhänge) sind streng vertraulich und nur für den Gebrauch durch den/die vorgesehenen Empfänger bestimmt. Die darin zum Ausdruck gebrachten Meinungen sind ausschließlich die des Absenders. Ihr Inhalt stellt daher keine Verpflichtung zwischen dem Unternehmen und dem/den Empfänger(n) dar, und das Unternehmen übernimmt keinerlei Haftung oder Verantwortung für den oben genannten Inhalt. Es handelt sich nicht um einen privaten E-Mail-Account, sondern um einen Firmen-Account, der ausschließlich für geschäftliche Zwecke genutzt wird. Daher werden diese E-Mail und der damit verbundene
E-Mail-Thread mit den Tools des Unternehmens stichprobenartig und anonym überwacht und können (falls erforderlich) einer detaillierteren Überwachung unterzogen werden, um Anomalien/rechtswidriges Verhalten aufzudecken, die sich negativ auf die Sicherheit des Absenders, des Empfängers und des Unternehmens, des Unternehmensvermögens und des Unternehmens auswirken. Wenn Sie nicht der beabsichtigte Empfänger sind, benachrichtigen Sie bitte umgehend den Absender und löschen Sie diese Nachricht. In diesem Fall werden Ihre E-Mail-Adresse und alle in der E-Mail-Nachricht enthaltenen personenbezogenen Daten schnellstmöglich gelöscht.

P  please consider the environment before printing this email

Sehr geehrte ***************,

nachrichtlich an den LfDI – ein Aktenzeichen liegt mir noch nicht vor.

Cisco Secure E-Mail ist m.E. kein gängiges Format im Sinne von Art. 15 Abs. 3 Satz 3 DSGVO. Es bietet aber auch keine bessere Sicherheit als normale Email, denn

1. jeder Angreifer mit Zugriff auf das Postfach könnte die Zugangsdaten abgreifen (dagegen hilft sowieso nichts, außer dass ich Ihnen versichern kann, dass ich geeignete Passwörter verwende und meine Zugangsdaten geheim halte)
2. genauso könnte vermutlich jeder Angreifer der möglicherweise die Nachricht auf dem Transportweg abfangen oder manipulieren kann die Nachricht abgreifen. Dagegen hilft SMTP-DANE, und tatsächlich kann Microsoft (im Header zumindest der normalen Emails von Ihnen zu finden) SMTP-DANE sendeseitig.

Im Ergebnis reicht SMTP-DANE m.E. immer, und wenn es nicht reicht hilft Cisco Secure E-Mail (oder vergleichbare Produkte) auch nicht. Auch das BSI verlangt den Schlüssel auf einem unabhängigen Kanal. Es gibt für mich also keinen Grund mich auf den Unsinn einzulassen. Wenn Sie Microsoft nicht vertrauen, dann schicken Sie bitte ein verschlüsseltes Zip und das Passwort per Post – das ist der übliche Weg.

In den Anfragedaten war der einzige Unterschied der Wert des Warenkorbs und ggfs. die Uhrzeit. Sie wollen damit sagen, dass

15,94 538 "Score deutlich über dem Durchschnitt"

35,95 522 "Score über dem Durchschnitt"

129,00 512 "Score über dem Durchschnitt"

bedeutet, richtig? Also genaugenommen nicht meine Bonität relevant ist, sondern die Höhe des Warenkorbwerts? Ich darf kaufen, aber nur wenn es wenig kostet? Oder verschweigen Sie, dass mein Alter oder meine Adresse eingeht?

Ich halte Ihre Angaben zu Einflussgrößen immer noch nicht für transparent genug um Art. 12 Abs. 1, Art. 15 Abs. 1 lit. h DSGVO zu erfüllen.

Vielen Dank und viele Grüße

Joachim Lindenberg

Guten Tag Joachim Lindenberg,

vielen Dank für Ihre Zuschrift vom 04.08.2025.

Um Ihre Daten ausreichend zu schützen und somit den Zugriff für unbefugte Dritte zu verhindern, werden wir die von Ihnen erbetene Selbstauskunft mit dem Cisco Secure E-Mail Encryption Service verschlüsselt versenden. Dieser Service derzeit zurzeit nur auf Englisch verfügbar. Anbei haben wir eine Anleitung in deutscher Sprache beigefügt, damit Sie einfacher zur Anmeldung des Cisco Secure E-Mail Encryption Service gelangen. Die Registrierung ist einmalig und erlaubt es Ihnen, fortan auf verschlüsselte E-Mails zuzugreifen.

Wir bitten um Verständnis, dass eine sichere Mailverschlüsselung nur auf diesem Wege möglich ist.

Die postalische Versendung an Sie erfolgte am 01. Juli 2025.

Wir sind der Meinung, dass wir unsere Auskunftsverpflichtung erfüllt haben.

Bezüglich des von uns ermittelten Scorewerts möchten wir wie folgt Stellung nehmen.

Die von Vanderstorm Ventures GmbH & Co. KG übermittelten Daten wurden Ihnen in der Selbstauskunft vom 01. Juli 2025 ausgewiesen.

Folgende Parameter sind in den Wert, den wir an Vanderstorm übermittelt haben eingeflossen:

• Personenbezogene Negativmerkmale aus öffentlichen Verzeichnissen wie Nichtabgabe der Vermögensauskunft, Gläubigerbefriedigung ausgeschlossen, Gläubigerbefriedigung nicht nachgewiesen (jeweils nach ZPO und AO) sowie Privatinsolvenzen - Gewichtung: hoch;
• Inkassoüberwachungsverfahren bzw. gerichtlich titulierte Forderungen – Gewichtung: hoch;
• Inkassoverfahren, die uns auf Basis der einschlägigen gesetzlichen Bestimmungen eingemeldet werden – Gewichtung: hoch;
• Vorhandene Daten und Zahlungserfahrungen aus gewerblichen und/oder geschäftlichen Aktivitäten – Gewichtung: mittel;
• Von unserem Kunden vorgegebene Datenkategorien: internes (kundenindividuelles) Kreditlimit, Warenkorbwert, sowie Zahlungsdaten unseres Kunden – Gewichtung: mittel.

Wir hoffen, dass wir Ihr Anliegen abschließend klären konnten und verbleiben

mit freundlichen Grüßen

******************

Senior Specialist Compliance

F: +49 40 89803-***               

E: germancompliance@crif.com              

CRIF GmbH | Ndl. Hamburg

Friesenweg 22

22763 Hamburg                        

Geschäftsführer: Dr. Frank Schlein, Carlo Gherardi, Marco Preti, Loretta Chiusoli

Registergericht: AG Mannheim HRB 751738 | Sitz der Gesellschaft: Karlsruhe

www.crif.de

Diese E-Mail (und alle Anhänge) sind streng vertraulich und nur für den Gebrauch durch den/die vorgesehenen Empfänger bestimmt. Die darin zum Ausdruck gebrachten Meinungen sind ausschließlich die des Absenders. Ihr Inhalt stellt daher keine Verpflichtung zwischen dem Unternehmen und dem/den Empfänger(n) dar, und das Unternehmen übernimmt keinerlei Haftung oder Verantwortung für den oben genannten Inhalt. Es handelt sich nicht um einen privaten E-Mail-Account, sondern um einen Firmen-Account, der ausschließlich für geschäftliche Zwecke genutzt wird. Daher werden diese E-Mail und der damit verbundene
E-Mail-Thread mit den Tools des Unternehmens stichprobenartig und anonym überwacht und können (falls erforderlich) einer detaillierteren Überwachung unterzogen werden, um Anomalien/rechtswidriges Verhalten aufzudecken, die sich negativ auf die Sicherheit des Absenders, des Empfängers, des Unternehmensvermögens und des Unternehmens auswirken. Wenn Sie nicht der beabsichtigte Empfänger sind, benachrichtigen Sie bitte umgehend den Absender und löschen Sie diese Nachricht. In diesem Fall werden Ihre E-Mail-Adresse und alle in der E-Mail-Nachricht enthaltenen personenbezogenen Daten schnellstmöglich gelöscht.

P  please consider the environment before printing this email

Sehr geehrte ***************,

mein Auskunftsersuchen war von vorneherein elektronisch, Sie sind daher verpflichtet die Auskunft oder zumindest die Datenkopie elektronisch zur Verfügung zu stellen, und das nicht erst auf Nachfrage sondern a priori. Außerdem ist PGP weder ein gängiges elektronisches Format im Sinne von Art. 15 Abs. 3 Satz 3 noch haben Sie dargelegt, wie Sie dadurch eine geeignete Identifikation oder Authentifizierung erreichen. Es gibt außerdem genügend weitere Möglichkeiten Art. 15 Abs. 3 Satz 3 zu erfüllen, Ausreden lasse ich nicht gelten.

Mit Ihren Ausführungen zum Algorithmus deuten Sie an, dass Sie erst Daten von Vanderstorm erhalten haben, um dann einen Score zu berechnen? Das geht aus Ihrer Auskunft nicht hervor. Dass Ihr damit oder wie auch immer berechneter Score nicht für die Entscheidung von Vanderstorm relevant war, mir keinen Kauf auf Rechnung oder Zahlung per Kreditkarte anzubieten, halte ich für sehr unglaubwürdig.

Im Übrigen habe ich bereits Beschwerde eingereicht, aber erfahrungsgemäß wird konstruktives Verhalten von den Aufsichten mit unverständlicher Milde belohnt.

Vielen Dank und viele Grüße

Joachim Lindenberg

Guten Tag Joachim Lindenberg,

wir kommen auf Ihre Nachricht vom 14.07.2025 zurück und nehmen dazu wie folgt Stellung.

Um Missbrauchsfälle durch Anforderungen von unberechtigten Dritten zu vermeiden, stellen wir Selbstauskünfte in der Regel über den Postweg zur Verfügung. Sofern ein Betroffener sodann die elektronische Zurverfügungstellung wünscht, übermitteln wir bei ausreichender Identifizierung, auch auf elektronischem Weg. Hierfür wählen wir das Verschlüsselungsverfahren Pretty Good Privacy (PGP), das wegen der hohen Sicherheit bei E-Mail-Verschlüsselungen durch symmetrische und asymmetrische Verschlüsselung ein angemessenes Schutzniveau im Sinne der DSGVO bietet. Wir sind der Meinung, damit die Verpflichtung aus Art. 15 DSGVO zu erfüllen.

Die an unsere Vertragspartnerin Vanderstorm Ventures GmbH & Co. KG, Andreasstr. 72, 10243 Berlin übermittelten Scorewerte sind nicht maßgeblich für die Entscheidung über das Zustandekommen, die Durchführung oder Beendigung des Vertrags zwischen diesem Vertragspartner (Vanderstorm) und seinen Endkunden. Grundsätzlich stellt unsere Handlungsempfehlung nur einen Baustein im kundenindividuellen Gesamt-Risikomanagementprozesses dar.  Die Informationen, die durch die CRIF GmbH in die Scorewerte eingeflossen sind, hatten wir Ihnen am 14.07.2025 übermittelt. Die weitergehende Bewertung ist auf die Daten und Entscheidungsregeln der Vanderstorm Ventures GmbH & Co. KG zurückzuführen. Hierin enthalten sind von unseren Kunden definierte Parameter wie z.B. Warenkorbwert, kundenindividuelles Kreditlimit, historische Zahlungserfahrungen oder Zahlungsdaten. Daraus ergeben sich auch die Differenzen in den übermittelten Scorewerten.

Gegen diese Entscheidung können Sie Beschwerde bei der für uns zuständigen Aufsichtsbehörde, dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Postfach 10 29 32, 70025 Stuttgart einlegen.

Wir hoffen, dass wir Ihr Anliegen abschließend klären konnten und verbleiben

mit freundlichen Grüßen

******************

Senior Specialist Compliance

F: +49 40 89803-***               

E: germancompliance@crif.com              

CRIF GmbH | Ndl. Hamburg

Friesenweg 22

22763 Hamburg                        

Geschäftsführer: Dr. Frank Schlein, Carlo Gherardi, Marco Preti, Loretta Chiusoli

Registergericht: AG Mannheim HRB 751738 | Sitz der Gesellschaft: Karlsruhe

www.crif.de

Diese E-Mail (und alle Anhänge) sind streng vertraulich und nur für den Gebrauch durch den/die vorgesehenen Empfänger bestimmt. Die darin zum Ausdruck gebrachten Meinungen sind ausschließlich die des Absenders. Ihr Inhalt stellt daher keine Verpflichtung zwischen dem Unternehmen und dem/den Empfänger(n) dar, und das Unternehmen übernimmt keinerlei Haftung oder Verantwortung für den oben genannten Inhalt. Es handelt sich nicht um einen privaten E-Mail-Account, sondern um einen Firmen-Account, der ausschließlich für geschäftliche Zwecke genutzt wird. Daher werden diese E-Mail und der damit verbundene
E-Mail-Thread mit den Tools des Unternehmens stichprobenartig und anonym überwacht und können (falls erforderlich) einer detaillierteren Überwachung unterzogen werden, um Anomalien/rechtswidriges Verhalten aufzudecken, die sich negativ auf die Sicherheit des Absenders, des Empfängers, des Unternehmensvermögens und des Unternehmens auswirken. Wenn Sie nicht der beabsichtigte Empfänger sind, benachrichtigen Sie bitte umgehend den Absender und löschen Sie diese Nachricht. In diesem Fall werden Ihre E-Mail-Adresse und alle in der E-Mail-Nachricht enthaltenen personenbezogenen Daten schnellstmöglich gelöscht.

P  please consider the environment before printing this email

Sehr geehrte Damen und Herren,

nach meiner Auffassung ist PGP kein gängiges elektronisches Format im Sinne von Artikel 15 Abs. 3 Satz 3, und es gibt hinreichend viele andere Möglichkeiten, die Formvorschrift zu erfüllen.

Dass Sie durch EuGH Urteil vom 27. Februar 2025 – C-203/22 verpflichtet sind, die Scoreberechnung verständlich darzustellen, dürfte unstreitig sein, und anhand Ihrer vagen Andeutungen unten kann ich insbesondere nicht nachvollziehen, wie Sie am 22.02 und 28.02.2024 zu unterschiedlichen Scores kommen konnten. Bitte erläutern Sie das nachvollziehbar.

Vielen Dank und viele Grüße

Joachim Lindenberg

Vorgangsnummer: 2518942794

Sehr geehrter Herr Lindenberg,

Sie baten um Erläuterung Ihres bei uns gespeicherten Wahrscheinlichkeitswertes, den die CRIF GmbH an ihre Vertragspartner bei Vorliegen eines berechtigten Interesse am Erhalt dieser Information übermittelt.

Ergänzend zu der Ihnen bereits übermittelten Selbstauskunft nach Art. 15 DSGVO, die alle Ihnen hiernach zustehenden Informationen enthält, teilen wir Ihnen mit, dass folgende Datenarten, sofern bei der CRIF GmbH vorhanden, in die Ermittlung des Scorewertes einfließen können:

personenbezogene, öffentliche Negativmerkmale wie Nichtabgabe der Vermögensauskunft, Gläubigerbefriedigung ausgeschlossen, Gläubigerbefriedigung nicht nachgewiesen (jeweils nach ZPO und AO) sowie Privatinsolvenzen;

Inkassoüberwachungsverfahren bzw. gerichtlich titulierte Forderungen;

Inkassoverfahren, die uns auf Basis der einschlägigen gesetzlichen Bestimmungen gemeldet werden;

Persönliche Daten wie vorhandene Daten und Zahlungserfahrungen aus gewerblichen und/oder geschäftlichen Aktivitäten

Sofern wir bezüglich Ihrer Person über die vorbeschriebenen Datenarten teilweise nicht verfügen, werden diese für die Scoreermittlung also nicht herangezogen. Die zu Ihrer Person gespeicherten Daten haben wir Ihnen mit der Selbstauskunft bereits mitgeteilt. Daraus ergibt sich, welche Daten für die Ermittlung Ihres Scorewertes herangezogen wurden.

Hierbei ist allerdings zu berücksichtigen, dass die Nichtexistenz von Negativmerkmalen (Insolvenzen, Inkassoverfahren etc.) sich selbstverständlich positiv auf Ihren Wahrscheinlichkeitswert auswirkt.

Die Consumer Scores der CRIF GmbH geben eine Einschätzung des Zahlungsausfallrisikos auf einer Skala von 250 bis 600 Punkten. Hohe Punktwerte entsprechen einem niedrigen Zahlungsausfallrisiko unter Heranziehung der Vergleichsgruppe  und guter Bonität, niedrige Punktwerte entsprechen einem hohen Zahlungsausfallrisiko und geringer Bonität.

Da derzeit keine Negativmerkmale zu Ihrer Person bei uns gespeichert sind, beurteilen wir Ihre Kreditwürdigkeit grundsätzlich positiv.

Weitergehende Informationen, insbesondere mit welcher Gewichtung welches Datum konkret in den Score einfließt, können wir zur Wahrung unserer Betriebsgeheimnisse nicht erteilen. Eine Offenlegung der Scoreformel, an deren Geheimhaltung die Unternehmen ein überwiegendes schutzwürdiges Interesse haben, ist nicht erforderlich. Wir bitten daher um Verständnis, dass wir Ihnen weiterführende Informationen zur Ermittlung Ihres Scorewertes nicht liefern können.

Um Missbrauchsfälle durch Anforderungen von unberechtigten Dritten zu vermeiden, stellen wir die Selbstauskunft nur über den Postweg zur Verfügung.

In Einzelfällen kann ein verschlüsselter Versand der Unterlagen über PGP (Pretty Good Privacy) erfolgen. Da diese Möglichkeit jedoch in Zusammenhang mit geeigneten technischen Voraussetzungen und Verständnis steht, ist ein pauschaler Versand nicht vorgesehen.

Bitte teilen Sie uns mit, ob Sie die besagte Verschlüsselungsmethode verarbeiten können, damit wir Ihnen die Selbstauskunft nach abschließender Bearbeitung elektronisch übermitteln können.

Sehr geehrte Damen und Herren,

Ich habe mein Auskunftsersuchen (unten) elektronisch gestellt, aber rechtswidrig Papier erhalten. Ich fordere Sie auf, mir eine Datenkopie entsprechend Art. 15 Abs. 3 Satz 3 DSGVO zuzusenden.

Ich vermisse außerdem verständliche Angaben nach Art. 15 Abs. 1 lit. h zur Scoreberechnung die das EuGH Urteil vom 27. Februar 2025 – C-203/22 erfüllen. Ich fordere Sie auf, diese nachzuliefern.

Vielen Dank und viele Grüße

Joachim Lindenberg

Sehr geehrte Damen und Herren,

bitte erteilen Sie mir eine vollständige Auskunft nach Artikel 15 DSGVO.

Vielen Dank und viele Grüße

Joachim Lindenberg