Die Polstergarnitur Argoon in Hellanthrazit für 1.799,99 Euro, der Couchtisch Smithers in Hochglanzweiß/Eiche für 219,99 Euro oder der Drehtürenschrank Finca Rustica in Kiefer massiv für 229,99 Euro: Unter anderem diese Artikel finden sich in einem Dokument, das nach einem Ersuchen um Datenauskunft nach der europäischen Datenschutzgrundverordnung von einem großen Onlinemöbelhändler eingeht. Nur: Die Empfängerin der Liste hat diese Ware nie bestellt. Und die Daten gehören auch nicht ihr. Die Empfängerin bin ich.

Was war passiert?

Als die DSGVO Ende Mai in der EU final in Kraft trat, wurde man überschwemmt von Mails von Onlineshops. Auch ich. Eine E-Mail fiel mir auf, weil ich mich nicht erinnern konnte, jemals bei dem Onlineshop eingekauft zu haben. Eine kurze Antwortmail mit der Bitte um Datenauskunft und anschließender Löschung ist schnell rausgeschickt – und geht bei der Gelegenheit gleich an alle Unternehmen, die sich wegen der DSGVO gemeldet hatten. Manche Firmen reagieren gar nicht, manche verlangen erst eine Passkopie – und wieder andere antworten tatsächlich inhaltlich. 

So auch der börsennotierte Berliner Onlinemöbelhändler Home24, an dem die Samwer-Brüder beteiligt sind und auch Holtzbrinck Ventures, die zur Holtzbrinck Publishing Group gehören, die auch die ZEIT herausgibt. Im ersten Dreivierteljahr 2018 machte Home24 einen Umsatz von 221 Millionen Euro. Etwa zwei Monate nach der Anfrage kommt eine freundliche Mail mit einem passwortgesicherten PDF. Darin: Daten, die das Unternehmen über mich gespeichert hat, eine – inzwischen nicht mehr gültige – Postadresse, Privatmailadresse, Telefonnummer und das Geschlecht. Doch nicht nur das.

Kreditkarteninformationen und Bonitätsindex

Das Dokument ist mehr als 200 Seiten lang und enthält die Daten von 86 anderen Kundinnen und Kunden. So kommt es, dass ich weiß, dass Frau B. aus Köln für 819,97 Euro Schlafzimmermöbel bestellt hat. Dass ein Herr K. aus meinem Berliner Nachbarkiez wohl keine gute Zahlungsmoral hat. Und dass Home24 meine Daten von einem ganz anderen Möbelhändler übernommen hat, als es diesen kaufte. Zumindest weiß ich nun, warum mich die Firma ursprünglich überhaupt angeschrieben hat, obwohl ich dort nie eingekauft habe.

Die gespeicherten Informationen der anderen Kunden gehen von Namen und Adresse über Mailadresse und Telefonnummer bis hin zu Zahlungsart und in einigen Fällen auch Kreditkartendaten mit Ablaufdatum und Karteninhaber sowie vier Stellen der Kreditkartennummer – und einem sogenannten Bonitätsindex.

Dazu heißt es in dem Dokument wolkig: "Der Bonitätsindex wird auf der Grundlage der uns vorliegenden Kundendaten von Ihnen erstellt und gibt einen Wert auf einer Skala von 0–1 an, wobei 0 bei der Risikoeinschätzung in Bezug auf die Erfüllung der beste Wert ist."

Abgesehen davon, dass all diese Informationen privat sind und keinen Dritten etwas angehen – ein schlechter und auf derart unklare Weise entstandener Bonitätsindex kann nicht nur dem Ruf schaden, sondern auch künftige Kredite, Vertragsabschlüsse und Einkäufe erschweren. Und mit der Kombination aus Kontaktdaten und den nur zum Teil verschlüsselten Kreditkartendaten könnten Betrüger durchaus etwas anfangen. Der einfachste Weg: ein Anruf, eine Phishing-Mail oder ein Brief mit der Bitte, die fehlenden Daten noch mal anzugeben.