Der Journalist Jürgen Vielmeier wollte sich beim lokalen Hagebaumarkt telefonisch erkundigen, landete über dessen Filialketten-Website hagebau.de beim Callcenter des Website-Betreibers Baumarkt Direkt und wurde bei seinem Anruf mit seinem Namen begrüßt. Was ihn stutzig machte, denn er hatte nie zuvor Kontakt mit denen. Aber offensichtlich kannte man im Callcenter zu seiner Telefonnummer seinen Namen, Wohnort und sogar auch sein Geburtsdatum.

In seinem langen Blogeintrag schildert Vielmeier seine umfangreiche und beschwerliche Recherche, wie das Callcenter an seine Daten gekommen ist: Es stellte sich heraus, daß Baumarkt Direkt Tochterunternehmen der weitverzweigten Otto-Gruppe ist. Und bei otto.de hat Vielmeier ein Nutzerkonto mit entsprechenden Daten.

Offensichtlich kann jedes irgendwie im riesigen Otto-Konzern befindliche Unternehmen und dessen Mitarbeiter auf diese Daten zugreifen – man muß dafür nicht Kunde beim jeweiligen Unternehmen sein. In den Allgemeinen Geschäftsbedingungen und Datenschutzhinweisen wird nur unzureichend darauf hingewiesen. Möglicherweise werden die Daten auch noch an ganz andere Unternehmen verkauft (Adreßhandel). Ein Nutzerkonto registrieren oder einen Kauf vornehmen kann man in der Regel nur, wenn man den viele Seiten langen und dennoch wenig aussagekräftigen Geschäfts- und Datenschutzbedingungen zustimmt – ohne eine Möglichkeit, Datenweitergaben sofort zu unterbinden; das ist meistens nur später umständlich möglich.

Das alles gibt es ausführlich in Jürgen Vielmeiers Blogeintrag »Woher haben Sie meinen Namen?« zu lesen. Man erfährt dort auch, wie schwierig es ist, passende Ansprechpartner und korrekte und zeitnahe Auskünfte zu erhalten. Für einen »Normalmenschen« scheint so ein Unterfangen nahezu unmöglich.

Unklar bleibt, ob dieser Datenaustausch zwischen Tochterunternehmen in einem Konzern überhaupt erlaubt ist. Und das beim deutschen Bundesdatenschutzgesetz, welches als eines der besseren der Welt gilt …

Klar wird einmal mehr:

  • Es fehlt an Bewußtsein für Datensparsamkeit und Datenschutz bei Verbrauchern und in Unternehmen;

  • Es fehlt an scharfen Datenschutzgesetzen (die leider von der Politik immer weiter aufgeweicht werden – »Daten sind das neue Öl«, »Big Data«, »Datenreichtum«) und einfachen Informations- und Durchsetzungsmöglichkeiten;

  • Es mangelt an Datenschutzaufsicht (zum Beispiel durch personell und finanziell zu schlecht ausgestattete Landes- und Bundesdatenschutzbeauftragte sowie Datenschutzbeauftragte der Unternehmen, die oft nur eine Alibifunktion darstellen und nichts zu sagen haben).

Ein erster Schritt zu einer besseren Information könnte der vom Chaos Computer Club im Jahr 2010 vorgeschlagene Datenbrief sein, in dem einmal jährlich jedes Unternehmen jedes Datensubjekt über die gespeicherten Daten und deren Verwendung informiert. Im von Vielmeier geschilderten Fall hätte Otto.de dann also auch darüber informieren müssen, welche weiteren Unternehmen auf diese Daten aus welchem Grund Zugriff haben.