Einmal meine Daten bitte – und die von 86 anderen Kunden – Seite 1

Die Polstergarnitur Argoon in Hellanthrazit für 1.799,99 Euro, der Couchtisch Smithers in Hochglanzweiß/Eiche für 219,99 Euro oder der Drehtürenschrank Finca Rustica in Kiefer massiv für 229,99 Euro: Unter anderem diese Artikel finden sich in einem Dokument, das nach einem Ersuchen um Datenauskunft nach der europäischen Datenschutzgrundverordnung von einem großen Onlinemöbelhändler eingeht. Nur: Die Empfängerin der Liste hat diese Ware nie bestellt. Und die Daten gehören auch nicht ihr. Die Empfängerin bin ich.

Was war passiert?

Als die DSGVO Ende Mai in der EU final in Kraft trat, wurde man überschwemmt von Mails von Onlineshops. Auch ich. Eine E-Mail fiel mir auf, weil ich mich nicht erinnern konnte, jemals bei dem Onlineshop eingekauft zu haben. Eine kurze Antwortmail mit der Bitte um Datenauskunft und anschließender Löschung ist schnell rausgeschickt – und geht bei der Gelegenheit gleich an alle Unternehmen, die sich wegen der DSGVO gemeldet hatten. Manche Firmen reagieren gar nicht, manche verlangen erst eine Passkopie – und wieder andere antworten tatsächlich inhaltlich. 

So auch der börsennotierte Berliner Onlinemöbelhändler Home24, an dem die Samwer-Brüder beteiligt sind und auch Holtzbrinck Ventures, die zur Holtzbrinck Publishing Group gehören, die auch die ZEIT herausgibt. Im ersten Dreivierteljahr 2018 machte Home24 einen Umsatz von 221 Millionen Euro. Etwa zwei Monate nach der Anfrage kommt eine freundliche Mail mit einem passwortgesicherten PDF. Darin: Daten, die das Unternehmen über mich gespeichert hat, eine – inzwischen nicht mehr gültige – Postadresse, Privatmailadresse, Telefonnummer und das Geschlecht. Doch nicht nur das.

Kreditkarteninformationen und Bonitätsindex

Das Dokument ist mehr als 200 Seiten lang und enthält die Daten von 86 anderen Kundinnen und Kunden. So kommt es, dass ich weiß, dass Frau B. aus Köln für 819,97 Euro Schlafzimmermöbel bestellt hat. Dass ein Herr K. aus meinem Berliner Nachbarkiez wohl keine gute Zahlungsmoral hat. Und dass Home24 meine Daten von einem ganz anderen Möbelhändler übernommen hat, als es diesen kaufte. Zumindest weiß ich nun, warum mich die Firma ursprünglich überhaupt angeschrieben hat, obwohl ich dort nie eingekauft habe.

Die gespeicherten Informationen der anderen Kunden gehen von Namen und Adresse über Mailadresse und Telefonnummer bis hin zu Zahlungsart und in einigen Fällen auch Kreditkartendaten mit Ablaufdatum und Karteninhaber sowie vier Stellen der Kreditkartennummer – und einem sogenannten Bonitätsindex.

Dazu heißt es in dem Dokument wolkig: "Der Bonitätsindex wird auf der Grundlage der uns vorliegenden Kundendaten von Ihnen erstellt und gibt einen Wert auf einer Skala von 0–1 an, wobei 0 bei der Risikoeinschätzung in Bezug auf die Erfüllung der beste Wert ist."

Abgesehen davon, dass all diese Informationen privat sind und keinen Dritten etwas angehen – ein schlechter und auf derart unklare Weise entstandener Bonitätsindex kann nicht nur dem Ruf schaden, sondern auch künftige Kredite, Vertragsabschlüsse und Einkäufe erschweren. Und mit der Kombination aus Kontaktdaten und den nur zum Teil verschlüsselten Kreditkartendaten könnten Betrüger durchaus etwas anfangen. Der einfachste Weg: ein Anruf, eine Phishing-Mail oder ein Brief mit der Bitte, die fehlenden Daten noch mal anzugeben. 

Sorge vor Identitätsdiebstahl

Was muss nun ein Unternehmen im Fall einer solchen Datenpanne machen? Nach Auskunft des Hamburger Datenschutzbeauftragten Johannes Caspar ist die versehentliche Übermittlung personenbezogener Daten an einen Dritten grundsätzlich ein meldepflichtiger Vorgang – wenn ein Risiko für die Rechte der Betroffenen besteht. "Das kann beispielsweise der Fall sein, wenn Bankdaten herausgegeben wurden oder die Daten sich für Identitätsbetrug eignen." Dann sei der Vorfall binnen 72 Stunden bei der zuständigen Datenschutzbehörde anzuzeigen.

Sollte Betroffenen ein nachweisbarer Schaden entstanden sein, seien auch Schadensersatzforderungen denkbar: "Das kann ein tatsächlicher finanzieller Schaden sein oder auch ein sogenannter immaterieller Schaden zum Ausgleich der abstrakten Verletzung des Rechts auf informationelle Selbstbestimmung." Allerdings: Die Betroffenen müssten den Schadenersatz selbst vor einem Zivilgericht einfordern; Präzedenzfälle gebe es bislang kaum.

Auch die hohen Bußgelder, die die DSGVO für Verstöße von Unternehmen vorsieht, hätten die Behörden bislang nicht verhängt, so der Hamburger Datenschutzbeauftragte weiter. Dabei kann im Extremfall ein Bußgeld von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernjahresumsatzes fällig werden. Die tatsächliche Strafe hänge aber von den konkreten Umständen des Falls ab.

"Ein einmaliger Fehler"

Home24 selbst ist nach eigenen Angaben überrascht von dem Fall – und versichert, dass es sich um ein Versehen handle, und die Daten auch niemand anderem zugänglich gemacht worden seien. In einem knappen Statement heißt es: "Der Schutz von Kundendaten hat für uns höchste Priorität. In dem manuellen Prozess der Auskunftserteilung ist einem Mitarbeiter trotz gesonderter Schulung ein einmaliger Fehler unterlaufen, den wir bedauern." Man arbeite "zur lückenlosen Aufklärung des Sachverhalts" eng mit dem externen Datenschutzbeauftragten zusammen und stehe auch im Austausch mit der Berliner Datenschutzbehörde.

Nach außen verläuft die "lückenlose Aufklärung" allerdings eher schleppend. Auf journalistische Anfrage teilt Home24 zunächst nicht mit, ob die betroffenen Kunden informiert wurden. Gar nicht beantwortet werden Fragen, wie das Unternehmen die Daten prüft, die herausgegeben werden oder wie der Bonitätsindex erstellt wird – und wie man sich gegen eine ungünstige Einstufung wehren kann.  

Die Berliner Datenschutzbehörde bestätigt, dass sich Home24 bei ihr gemeldet hat – und dass Home24 sich eine knappe Woche später auch dazu entschließt, die betroffenen Kundinnen und Kunden zu informieren. Das Unternehmen habe den Vorfall der Behörde auch melden müssen; Home24 sieht das anders. Man sei auch nicht gesetzlich dazu verpflichtet gewesen, die Kunden zu informieren, heißt es in einem Schreiben an betroffene Kunden. Für die Berliner Datenschutzbehörde ist der Fall erledigt, sie habe keine Anhaltspunkte, an den Darlegungen von Home24 zu zweifeln, teilt sie mit.

"Kein gutes Gefühl"

Doch fragt man stichprobenartig bei einigen Betroffenen nach, bestätigen das nicht alle. Ein Kunde, der anonym bleiben möchte, sagt, es sei "kein gutes Gefühl", dass seine Daten ausgerechnet bei einer Journalistin gelandet sind, der "schlechtestmöglichen Adressatin". Er habe auch kein Schreiben von Home24 erhalten, das ihn über die Panne informiert. Der Mann ist ohnehin nicht gut auf den Onlinehändler zu sprechen, schildert einen monatelangen Streit über eine fehlerhafte Rechnung. Zufall oder nicht, sein Bonitätsindex ist ziemlich schlecht. Doch anfechten will er seine Einstufung nicht: "Ich hätte ohnehin nie wieder bei Home24 bestellt, und diese Panne bestätigt mich darin nur erneut."

Etwas mehr Verständnis zeigt ein anderer Home24-Kunde, der seinen Namen ebenfalls nicht veröffentlicht sehen will. "Wo Menschen arbeiten, passieren Fehler." Das Entschuldigungsschreiben zeige, dass Home24 versuche, die Sache in die richtige Richtung zu lenken. Darin heißt es: "Insbesondere sind keine finanziellen Einbußen zu befürchten und es wurden keine sensiblen Sachverhalte offenbart." Doch sensibel findet er die weitergegebenen Daten schon. Die Panne sei "äußerst bedenklich". Er überlegt, ob er sich selbst an die Behörden wendet – auch, um zu prüfen, ob Home24 eine Strafe bekommt. 

Datenschutzbeschwerden fast vervierfacht

Verblüffend ist die Erklärung, die Home24 in dem Schreiben für den Bonitätsindex aufführt: Er stelle "keine objektive Aussage über die Wahrscheinlichkeit eines Zahlungsausfalls oder die Wahrscheinlichkeit eines zukünftigen Verhaltens dar, sondern dient nur zur Aussteuerung der verfügbaren Zahlarten bei laufenden Onlinebestellungen. Der Indexwert spiegelt daher nicht Ihre tatsächliche Bonität wider", versucht das Unternehmen seine Kunden zu beruhigen. Man fragt sich nur, warum er dann Bonitätsindex heißt und von Home24 in der Datenauskunft selbst als "Risikoeinschätzung" tituliert wird. Journalistische Anfragen dazu beantwortet die Firma nicht.

Home24 ist nicht das einzige Unternehmen, das wegen der DSGVO für Aufregung sorgt. Erst am Donnerstag war bekannt geworden, dass auch Amazon Daten eines Kunden versehentlich an einen Unbefugten weitergegeben hatte. Allein für Berlin berichtet die Sprecherin der Datenschutzbehörde, Dalia Kues, von einer starken Zunahme der Beschwerden seit Inkrafttreten der Verordnung auf fast das Vierfache: Fast 2.200 Beschwerden Betroffener seien zwischen Mai und September eingegangen – im Jahr zuvor seien es im gleichen Zeitraum knapp 600 gewesen. Hinzu kämen noch Hinweise auf Datenschutzverstöße von nicht persönlich Betroffenen, etwa Unternehmen, Behörden, betrieblichen Datenschutzbeauftragten, Betriebsräten, Journalisten oder auch anonyme Meldungen. Doch auch da gebe es einen hohen Anstieg im Vergleich zu den Vorjahren.

In Berlin, wo es kaum große Industrieunternehmen gibt, richteten sich die Beschwerden vor allem gegen Onlinehändler oder die Wohnungswirtschaft. "Typische Verstöße sind, dass Unternehmen die Auskunftsersuchen von Kunden nicht, unvollständig oder verspätet erfüllen oder dass Kundendaten nicht gelöscht werden, obwohl der Kunde beispielsweise nach einer Bestellung in einem Onlineshop um die Löschung seiner Daten gebeten hat. Dies erfährt er dann, wenn er Monate später plötzlich doch eine Werbemail bekommt."

Nicht der erste Datenverlust bei Home24

Für Home24 ist der Fall auch deshalb brisant, weil es nicht das erste Mal ist, dass Kundendaten in die falschen Hände gerieten. Denn nach einem Bericht von gruenderszene.de waren bereits 2012 Kundendaten verloren gegangen, die offenbar für Phishingattacken genutzt wurden: "Ein direkt Beteiligter gab gegenüber Gründerszene zu Protokoll, dass es sich dabei um einen ‘menschlichen Fehler gehandelt habe, was nun aber unter Kontrolle’ sei." Auf wiederholte Nachfrage äußert sich Home24 auch zu diesem Fall nicht.

So richtig im Griff scheint Home24 den Datenschutz auch sechs Jahre später noch nicht zu haben.