Datenhandel: Verraten und verkauft

Doch nicht die Fälle von Datenklau und Betrug sind der Kern des Problems. Es ist erstaunlich, was legal alles möglich ist: Die Bundesbürger sind einer ständigen Rasterfahndung ausgesetzt, wie sie der legendäre BKA-Chef Horst Herold zu Zeiten der RAF in den 70er Jahren nicht besser hätte organisieren können. Nur dass diesmal nicht Terroristen gejagt werden, sondern Konsumenten.

Arvato Services vergibt Bonitätsnoten

Regelmäßig wird dabei auch die Zahlungsfähigkeit der Kunden bewertet. Die Bertelsmann-Tochter Arvato Services etwa, die pro Jahr für Versandhändler 67 Millionen Bonitätsprüfungen durchführt, aktualisiert ihre Adressen ständig mit den neuesten Schuldnerlisten der Amtsgerichte, wo zahlungsunfähige Personen mit Namen und Geburtsdatum aufgenommen sind. Auskunft über die Bonität liefert auch die Schutzgemeinschaft für allgemeine Kreditsicherung (Schufa). Das Privatunternehmen mit Sitz in Wiesbaden hat von 65 Millionen Personen 433 Millionen Informationen gesammelt, Stammdaten, Bankverbindungen, Kreditkarten, laufende Kredite, Zahlungsausfälle. Jede eingetragene Person wird mit einer Bonitätsnote bewertet, dem Score. Wie die Note zustande kommt? "Betriebsgeheimnis", heißt es bei der Schufa.

Ob Unternehmen die Gesetze zum Datenschutz auch einhalten, kann niemand mehr kontrollieren. Zu zahlreich sind die Großen Brüder, die über die Schulter blicken, zu mächtig ihre Computersysteme. Der Missbrauch liegt so nah.

Zuständig für die Überwachung der Unternehmen, die mit Daten handeln, wären in Deutschland die Datenschutzbehörden der Länder. Aber die sind notorisch unterbesetzt. In Hamburg nehmen gerade drei Mitarbeiter die Kontrolle wahr. "Das ist eine absolute Katastrophe", sagt der Hamburgische Datenschutzbeauftragte Hartmut Lubomierski. Fragt man Mitarbeiter großer Datensammler nach Kontrollen, schütteln sie häufig den Kopf: "Die haben wir noch nicht erlebt." Und schlimmer: "80 bis 90 Prozent der Firmen werten im Internet Dinge aus, die nicht erlaubt sind", sagt ein zuständiger Manager eines Medienkonzerns. "Es ist wie beim Missachten der Geschwindigkeitsbegrenzung. Man tut es und riskiert eine Strafe."

Datensätze gegen Bares

Natürlich beteuern alle Datenhändler ihre Ehrlichkeit. Der Inhaber einer Düsseldorfer Marketingagentur, der für große Konzerne arbeitet und daher anonym bleiben möchte, lacht darüber nur: "Binnen weniger Stunden kann man selbst sensible Daten zupfen." Vor allem das mittlere Management und IT-Verantwortliche seien oft bereit, Datensätze gegen Bares herauszurücken: "Ein Klick mit der Maus - einfacher lassen sich doch keine Umsätze erzielen!" Regelmäßig werden in der Branche von windigen Händlern CDs mit Adressenlisten angeboten.

Gelegenheit macht Diebe - dieser Umstand sorgt die Datenschützer zunehmend. Denn je mehr die Wirtschaft nach persönlichen Profilen giert, desto leichter fallen auch die Tabus. "Der Geist ist aus der Flasche", sagt Edda Costello, Expertin der Verbraucherzentrale Hamburg. "Die illegale Weitergabe von Daten findet statt, weil es Auftraggeber gibt, die sie nutzen."

Gerade Konzerne tun sich mit der Kontrolle schwer: Allein bei der Deutschen Telekom haben in Callcentern und den rund 800 T-Shops bis zu 25.000 Mitarbeiter Zugang zu den Daten von gut 30 Millionen Festnetz- und 38 Millionen Mobilfunkkunden. Manche können nur allgemeine Dinge abfragen, andere die letzten Rechnungen samt Kontoverbindung. Erwin Recktenwald, Sicherheitschef bei der Telekom, sagt, es werde intern protokolliert und überwacht, wer aus dem Service wann auf welche Daten zugreife. Mitarbeiter in T-Shops könnten keine Kundendaten ausdrucken oder speichern. Außerdem verhindere eine Sperrfunktion, dass Mitarbeiter Daten gezielt zusammenstellen können - zum Beispiel die Verbindungsdaten eines Straßenzuges. Was allerdings auf dem Bildschirm an Informationen erscheint, reicht Betrügern in vielen Fällen aus.

Passworte und Usernamen sollte man variieren

Auch Online-Bezahldienste wie Click and Buy sind nach stern-Informationen in großem Ausmaß Opfer von Betrügern geworden. So wurden tausendfach Kundendaten verschiedener Zahldienste ausgespäht und die Kundenkonten für Käufe im Internet missbraucht. Die Staatsanwaltschaft ermittelt. Click and Buy bestätigt dem stern, "einige Hundert" Zugangsdaten zu Kundenkonten seien ausgespäht worden. "Der Datenklau war möglich", sagt Verkaufschef Eberhard Dollinger, "weil die Betroffenen auf anderen Internetseiten dieselben Usernamen und Passwort-Kombinationen benutzen wie bei Bezahlsystemen. Dort wurden die Daten dann abgefischt." Mittlerweile seien die Schutzsysteme verschärft worden.

Auch auf altmodische Art floriert der Datenhandel: Vor drei Jahren tauchten im Adressmarkt stapelweise Postkarten auf - Antworten auf Gewinnspiele der Springer-Zeitschriften "Hörzu" und "Funkuhr" sowie weiterer Magazine. Ein Hamburger Adresshändler erinnert sich: "Die wurden in Bananenkartons angeliefert. Wir haben nach Gewicht bezahlt." Die Karten waren damals auf dunklen Wegen abhandengekommen, Springer schaltete die Staatsanwaltschaft ein. Insider berichten aber auch, dass mancher Verlag inzwischen fast so viel mit den Daten seiner Abonnenten umsetzt wie mit den Abos selbst. Besonders die Leser günstiger TV- und Frauenzeitschriften werden so ungewollt zu Zielobjekten für Direktwerbung.

Wie es bei windigen Geschäftemachern zugeht, hat Sven Granert erfahren. Er war 29 und arbeitslos, als ihn das Kölner Arbeitsamt an ein Callcenter im Stadtteil Niehl vermittelte. Seine neuen Chefs händigten ihm eine angeblich "schweineteure" Adressliste aus, die offenbar von einem Preisausschreiben stammte. Damit sollte Granert Abonnenten für Zeitschriften werben. Vor allem aber musste er Kontonummern herauslocken, "10 bis 15 am Tag, das war sauschwer". Was mit den Daten geschah, erfuhr Granert nie: Als er nach einem Wochenende wieder zur Arbeit kam, war das Callcenter leer geräumt. Lohn hat er bis heute nicht gesehen.

Verhöhnung und Demütigung alter Menschen

Immer häufiger melden sich bei den Verbraucherzentralen Menschen, von deren Konten illegal abgebucht wurde. Menschen wie die Rentnerin Herta H., die am Telefon nie eine Kontonummer herausgegeben hatte, wenn Werbeanrufe kamen. Eines Tages jedoch entdeckte ihre Tochter, dass 25 verschiedene Glücksspielgesellschaften regelmäßig Geld abbuchten: der Lotto Plus Service 29,95 Euro, Wincompact 97,80 Euro, die Firma G-Winnjagd 89,97 Euro. Die alte Dame hatte die Auszüge nicht kontrolliert, und so waren in knapp zwei Jahren 6264,81 Euro verschwunden. Da man unberechtigte Abbuchungen nur sechs Wochen lang rückgängig machen darf, konnte die Tochter lediglich noch rund 1000 Euro retten. "Das ist eine Verhöhnung und Demütigung alter Menschen", sagt sie.

Die Täter zielen nicht nur auf Betagte. Auch Studenten und Arbeitnehmer zählen zu den Opfern. Oder gar Spitzenpolitiker wie Wolfgang Bosbach, Fraktionsvize der Union im Bundestag. Vor gut fünf Monaten fiel Bosbach auf dem Kontoauszug ein krummer Betrag auf, 1451 Euro. "Ich habe sofort bei meiner Bank Widerspruch eingelegt und Anzeige erstattet." Das Geld bekam er zurück. Schon einmal, zwölf Jahre zuvor, nachdem er dem Rotary Club beigetreten war, war er ins Visier von Adresshändlern geraten: Schlagartig bekam Bosbach Post von Anlageberatern. Rotary-Club-Mitglieder gelten als vermögende Zielgruppe.

Wer wissen will, wo und wie seine Daten gespeichert sind, scheitert häufig - trotz gesetzlichen Anspruchs (siehe Kasten). Wie Katarina Rathert, die eine Happy-Digits-Kundenkarte von Karstadt besitzt. Verunsichert durch Meldungen über Datenklau wollte sie wissen, was das Kaufhaus über sie weiß. Adresse, Name und Geburtsdatum seien hinterlegt, erfuhr sie, und in welcher Abteilung sie für welchen Punktewert eingekauft habe. Auch, was sie gekauft habe? Das konnte oder wollte der Mitarbeiter im Kundencenter nicht verraten. Frau Rathert hätte die Auskunft auf dem Rechtsweg erzwingen können - aber wer traut sich den schon zu?

Marktbeobachter befürchten, dass die Datenlage noch undurchsichtiger wird. Denn die persönlichen Profile, die gehandelt werden, erfüllen die Ansprüche der Marketingabteilungen oft immer noch nicht.

Die Response erhöhen

In den Labors wird hart gearbeitet, um die sogenannte Response-Quote beim Direktmarketing zu verbessern. Wer den Rücklauf bei 100 Reklameschreiben von eins auf zwei erhöhen kann, ist der König. So versuchen sich Softwareentwickler an Gesichtserkennungsprogrammen, um die potenzielle Kundschaft noch besser in Internetcommunitys verfolgen zu können. Google hat begonnen, flächendeckend Straßenzüge deutscher Städte zu fotografieren und als Zusatzservice in Google Maps einzubinden. Derzeit fährt der Kamerawagen durch München. Und übermorgen ist es dann vielleicht möglich, dass der Verkäufer, bevor er anruft, auf seinem Schirm das Gesicht des Kunden sieht, das Haus, in dem er wohnt, und seine Vorlieben bis ins Detail kennt.

"Wir müssen umlernen", sagt Gerd Billen, Vorstand des Verbraucherzentrale Bundesverbandes. "Wir müssen nicht nur mit Energie sparsam sein, sondern auch mit unseren Daten."

Bei Schober in Ditzingen ist diese Botschaft bereits angekommen. Unter dem Stichwort Datenschutz versichert der Adresshändler: "Wir nutzen Ihre Daten ausschließlich zur Abwicklung Ihrer Bestellung, bzw. den Geschäftskontakt mit Ihnen. Entsprechend geben wir keinerlei Daten an Dritte weiter. Ausnahmen sind lediglich im Rahmen gesetzlicher Ermittlungsverfahren, zur Erfüllung gerichtlicher Auflagen oder zur Verteidigung unserer Urheber- oder sonstiger Rechte möglich." Das bezieht sich allerdings nur auf die Daten der eigenen Kunden, die Adressen bei Schober kaufen. Nicht auf die der 50 Millionen Menschen in der Schober-Datei.

Sie werden weiter verraten und verkauft.

Mitarbeit: Claudia Bahnsen, Massimo Bognanni, Tilman Gerwien, Roman Heflik, Axel Hildebrand, Ingrid Lorbach, Joachim Reuter, Johannes Röhrig, Kirstin Ruge, Doris Schneyink, Sven Stillich