Ist JUNE der beste Drag-&-Drop-E-Mail-Editor?
27. Januar 2023Salesforce Summer ’23 Release – Account Engagement Updates
17. Mai 2023Mit Fake-PDFs E-Mail-Opt-In-Adressen waschen
20. Mai 2023
Deutsche E-Mail-Listbroker und das schmutzige Geschäft ihrer ausländischen Helfer
Als E-Mail-Marketing-Agentur bieten wir eine Vielzahl von Dienstleistungen an – nicht aber den Ankauf von E-Mail-Adressen (Listbroking). Wir glauben an die Kraft selbst gewonnener E-Mail-Abonnenten und misstrauen der Qualität von E-Mail-Adressen, die über meist durchsichtige Gewinnspiele, inhaltlich dünne Ratgeber-Websites oder ähnliches gesammelt und mit multiplen Werbe-Opt-Ins für mehrere Werbedienstleister oder Werbetreibende ausgestattet wurden. Nicht alle, aber viele Listbroker bedienen sich solch fragwürdiger Quellen.
Wer stimmt dem Erhalt unzähliger Werbemails freiwillig zu?
Unser Misstrauen speist sich zunächst aus unserem gesunden Menschenverstand. Wir fragen uns: Wie viele Verbraucherinnen und Verbraucher gibt es wirklich, die für die vage Aussicht auf einen materiellen oder informativen Gewinn ihre E-Mail-Adresse mit einer Werbeeinwilligung herausgeben, mit der die anschließende „Zumüllung“ mit E-Mail-Werbung praktisch vorprogrammiert ist? Wie kommerziell ausgereizt müssen diese Multi-Opt-In-Verteiler schon nach kurzer Nutzungszeit sein? Und wie viel Kaufkraft und Kundenpotenzial steckt tatsächlich in dem speziellen Milieu der Webnutzer, das für solche Adressgewinnungsaktionen dauerhaft affin ist?
Unsere Skepsis steht allerdings im Kontrast zu einigen anderen Befunden: So macht die Branche der Listbroker nach wie vor Millionenumsätze mit der Vermietung von E-Mail-Adressen. Es muss also – trotz des Risikos „verbrauchter“ Listen – immer wieder Nachfrager geben, die es als lohnend erachten, die erheblichen Kosten für die Anmietung von Adressen und den Versand von Blindwerbung zu tragen. Und in der Tat hören wir – neben vielen Stimmen, die diesen Weg der Leadgenerierung irgendwann ad acta gelegt haben – vereinzelt von Werbetreibenden, die weiterhin auf klassisches Listbroking setzen (Co-Registrierungsformate oder Voucher Networks wie das von Sovendus, die quasi peer-to-peer zwischen Werbetreibenden funktionieren, lassen wir hier außer Acht – mehr dazu hier in einem separaten Blogpost). Insbesondere für Unternehmen mit einem hohen Customer Lifetime Value, z.B. Anbieter von Subscription-Geschäften wie Mobilfunk- oder Streaming-Verträgen, scheint sich diese Art der Lead-Generierung trotz Akquisitionskosten von meist deutlich über 100 Euro pro gewonnenem Lead zu rechnen.
Hinzu kommt: Die Adressanbieter protzen mit Masse und DSGVO-Konformität. So bietet TPNG „ein Portfolio von ca. 16 Mio. Konsumenten E-Mail-Adressen mit Werbeeinverständnis“, die BurdaDirect-Tochter LEADDirect wirbt mit „Zugriff auf über 32 Millionen Consumer-E-Mail-Adressen und 4,5 Millionen Business-E-Mail-Adressen“. sg media + marketing lockt mit „über 25 Millionen Double-Opt-In Adressen“. Selbst wenn man davon ausgeht, dass die Anbieter einen Großteil des insgesamt verfügbaren Adresspotenzials gemeinsam akquirieren bzw. vermarkten: Die schiere Menge der E-Mail-Adressen widerspricht unserer Annahme, dass nur spezielle Konsumentenmilieus bereit sind, den Preis des „Zumüllens“ zu zahlen.
Wie passt das alles zusammen? Ein Zufallsfund hat uns nun einer möglichen Erklärung näher gebracht, die zumindest einige Anbieter in einem speziellen Licht erscheinen lässt:
Ein scheinbar sauberer Nachweis der Werbeeinwilligung
Im Herbst 2022 erhielt ein Mitarbeiter von Publicare an seine Geschäftsadresse ein gutes Dutzend Werbemails für die unterschiedlichsten Produkte, von einer Kreditkarte und Druckerpatronen über „Organic Skincare“ von Satin Naturel bis hin zu einem Finanzierungsangebot von Smava. Auch eine E-Mail mit dem Absender „Media Markt“ war darunter, die im Betreff etwas holprig versprach: „GRATIS: [Mitarbeitername*], bekomme jetzt Ihre Samsung Galaxy S21 und Galaxy Watch!“ Alle Werbe-E-Mails hatten zwei Dinge gemeinsam: Das Impressum wies den Düsseldorfer Listbroker Enviando UG als formalrechtlich verantwortlichen Versender aus, und jede E-Mail enthielt den Hinweis: „Sie erhalten diese Nachricht, da Sie sich mit Ihrer E-Mail-Adresse [Adresse des Mitarbeiters*] bei einem Portal oder einem sonstigen Dienst von uns oder einem unserer Partnerunternehmen angemeldet haben.“
Da unser Mitarbeiter sich einer solchen Anmeldung nicht bewusst war, richtete er am 12. Oktober 2022 ein Auskunftsersuchen nach Art. 15 Abs. 1 Datenschutz-Grundverordnung (DSGVO) an die Enviando UG. Enviando reagierte prompt: Nur 3 ½ Stunden später ging eine Auskunft per E-Mail ein. Darin erfuhr unser Mitarbeiter: „Ihre Daten haben wir als Co-Sponsor von einem Datenlieferanten erhalten (Details und alle gespeicherten Daten siehe Anhang). Alle zu ihrer Person gespeicherten Daten senden wir Ihnen im Anhang dieser E-Mail.“ In dem angehängten ZIP-Archiv befand sich eine 13-seitige PDF-Datei mit überraschenden Erkenntnissen (siehe Screenshots). Demnach soll unser Mitarbeiter am 18.12.2021 mit seiner dienstlichen E-Mail-Adresse an einem „Supermarkt-Gewinnspielmonat“ teilgenommen und die Werbeeinwilligung für seine E-Mail-Adresse acht Minuten nach Absenden des Formulars per Klick in einem erhaltenen Double-Opt-In bestätigt haben. Enviando listet zudem – formal durchaus vorbildlich – die vollständige IP-Einwahladresse unseres Mitarbeiters für Teilnahme und Bestätigung sowie den minutengenauen Zeitpunkt beider Aktionen auf.
Um es vorweg zu nehmen: Die von Enviando bereitgestellte Datenauskunft ist frei erfunden – mit anderen Worten: Die Gewinnspielteilnahme ist glatt gelogen. Das können wir beweisen. Unser Mitarbeiter befand sich am besagten 18.12.2021 nach einer schweren Operation am 15.12.2021 stationär in einem Krankenhaus in Frankfurt. Nichts hätte ihm im Allgemeinen und besonders in dieser körperlich und mental belasteten Situation ferner gelegen, als an einem solchen Gewinnspiel teilzunehmen – noch dazu mit seiner dienstlichen E-Mail-Adresse. Und Zugang zum Internet hatte unser Mitarbeiter an diesem Tag nachweislich nicht über die in der Datenauskunft genannte IP-Adresse 92.216.199.65, die zum dynamischen IP-Adresspool von Vodafone Deutschland gehört. Außerdem haben wir die Logfiles unseres firmeneigenen Mailservers überprüft, mit dem wenig überraschenden Ergebnis, dass die in der Datenauskunft behauptete Double-Opt-In-Validierungs-E-Mail an dem fraglichen Tag nicht eingegangen ist. Schlussendlich passt es ins Bild, was sich uns bei einem Blick in die Dokumenteneigenschaften der Auskunfts-PDF eröffnet: Das PDF-Dokument wurde am 26.04.2018 generiert, also mehr als drei Jahre vor der angeblichen Gewinnspielteilnahme. Wir vermuten, dass dies automatisiert und „auf Vorrat“ geschehen ist – für den Fall möglicher Auskunftsersuchen.
Ist Enviando hier also der „Übeltäter“ (und könnte entsprechend zur Verantwortung gezogen werden)? Ja und nein – denn es kommt leider noch schlimmer. Das eigentliche Gewinnspiel und damit die Gewinnung der E-Mail-Adressen wurde nicht von Enviando veranstaltet, sondern von der britischen Firma Digital Marketing Group ltd. mit Sitz in London. Enviando tritt ausweislich der Geschäftsbedingungen, die in dem Auskunfts-PDF abgedruckt sind, lediglich als „Sponsor“ des Gewinnspiels auf. Sprich: Enviando ist „nur“ Empfänger der (vermeintlichen) Einwilligungserklärungen, holt diese aber nicht selbst ein. Zum Kreis der Sponsoren gehören insgesamt 10 Listbroker, darunter aus Deutschland neben Enviando die Firmen Audience Serv, mailcommerce, Media Publisher und evania.
Angebliche Werbeeinwilligungen werden von deutschen „Sponsoren“ nicht hinterfragt
Dabei offenbart sich eine aufschlussreiche „Arbeitsteilung“: Das wirklich schmutzige Geschäft betreibt mit der Digital Marketing Group Ltd. ein Unternehmen, das sich dem Zugriff deutscher Datenschutzbehörden entzieht und das für „Otto Normalverbraucher“ aufgrund seines britischen Firmensitzes nur mit unverhältnismäßig hohem juristischen Aufwand und entsprechenden Kosten zu belangen wäre. Es sammelt illegal E-Mail-Adressen aus dunklen Quellen (z.B. durch E-Mail-Harvesting) und „wäscht“ diese durch die Erstellung von Fake-PDFs, die erfundene Gewinnspielteilnahmen „dokumentieren“. Die deutschen „Sponsoren“ agieren als gutgläubige Abnehmer von vermeintlich rechtskonform gewonnenen, opt-in-validierten E-Mail-Adressen, ohne die Vorgänge zu hinterfragen oder vielleicht sogar wider besseres Wissen – wer weiß. Und vor diesem Hintergrund lässt sich auch die Dissonanz zwischen dem gesunden Menschenverstand, der die Gewinnung von Multi-Opt-In-E-Mail-Adressen als Nischenphänomen verortet, und der Tatsache, dass Abermillionen von E-Mail-Kontakten auf dem Markt verfügbar sind, schlüssig auflösen.
Die britische Firma Digital Marketing Group ltd. mit Sitz in London tritt als Betreiber von Gewinnspielen auf, über die angeblich E-Mail-Adressen gesammelt und Werbeeinwilligungen „dokumentiert“ werden.
In seiner E-Mail zur Datenauskunft an unseren Mitarbeiter schreibt „das Service Team von ENVIANDO“ abschließend: „Ihre Daten haben wir bereits unwiderruflich gelöscht und Ihre E-Mail-Adresse (MD5 codiert) auf unsere Sperrliste gesetzt. Dadurch sind wir nicht mehr in der Lage Ihnen Mails zu schicken, unabhängig davon ob erlaubt oder nicht.“ Ein Schelm, wer angesichts dieser plötzlichen Hasenfüßigkeit Böses denkt!
* Aus Gründen des Persönlichkeitsschutzes und weil es nichts zur Sache tut, nennen wir den Namen und die E-Mail-Adresse unseres Mitarbeiters nicht und haben sie in den Screenshots des Datenauskunfts-PDFs verpixelt.