Klammheimlich hat die Telekom ein neues Geschäftsfeld erschlossen: Dem Sammeln und Dealen mit Daten. Nicht irgendwelche, sondern die ihrer vielen Millionen Kunden. Also Name, Adresse, Telefonnummer und Bankdaten. Abrufbar ist alles über das Internet.
Spion Foto: Flickr/lintmachine
Zuständig ist eine Tochter mit dem Namen SAF Unternehmensverbund, die ihren Sitz in einem alten Telekomgebäude in Heidelberg hat. Was man bei dem Laden alles für Daten abrufen kann, kann man auf der Internetseite: www.saf-portal.de sehen. Die Daten stammen aus dem Bestand der Telekom (Festnetz und Handy), den Gerichten und anderen Quellen. Lieferant und Partner ist unter anderem die Deutsche Post. Dazu kann man über das Portal auf alle Melderegister zugreifen und auch einen Ermittler losschicken, der 35 Euro netto pro Einsatz kostet. Der fragt dann bei den Nachbarn, wo denn die gesuchte Person abgeblieben ist. Mit 32 Millionen Bankverbindungen und 47 Millionen Adressen ist das Unternehmen einer der größten Datendealer Deutschlands.
Kaum zu glauben, aber das ist legal, wie mir mehrere Datenschützer versicherten. Gedeckt ist die Speicherung durch das Kleingedruckte in den Telefonverträgen. Und die Abfrage der Melderegister ist auch vom Gesetz gedeckt, auch wenn die Telekom pro Monat alleine 30.000 bis 40.000 Datensätze in Berlin abfragt.
Ganz sauber läuft es bei der Telekom-Tochter aber trotzdem nicht: Ich habe über das SAF-Portal die Bonität einiger Privatpersonen abgefragt, die natürlich im Vorfeld zugestimmt hatten. Nachdem ich die Antworten hatte, habe ich gewartet. Denn die Telekom muss dem Gesetz nach die Betroffenen informieren – und zwar zeitnah. SAF-Chef Peter Bürker rühmte sich im Interview noch, dass alles automatisch geht. Spätestens nach einer Woche hätten die Betroffenen die Mitteilung, wer welche Daten abgefragt hat, behauptete er. Tja, was soll ich sagen? Ich und die Betroffenen warten immer noch; seit über zwei Monaten.
Konfrontiert mit dem Ergebnis meiner Stichproben reagierte Bürker betroffen. Dann schickte er seine Juristen ins Rennen und mit denen wurde es krude. Erst behaupteten das Unternehmen, nur bei einer negativen Bonität müssten sie die Betroffenen informieren. "Das ist völliger Blödsinn“, sagte mir ein Datenschützer. Im Gesetz steht davon auch kein Wort. Am vergangenen Montag bekräftigte das Unternehmen in einer schriftlichen Stellungnahme: "Eine Benachrichtigung erfolgt nur dann, wenn das erste Mal Negativmerkmale bei der Accumio (eine SAF-Tochter) gespeichert oder von der Accumio erstmals "ohne Kenntnis" des Betroffenen übermittelt werden." Am Mittwoch rudert die Telekom zurück und räumt ein: „Selbstverständlich erfolgt im Falle der erstmaligen Übermittlung eine Benachrichtigung des Betroffenen.“ Auf eine Erklärung für den Sinneswandel warte ich noch heute.
Die Telekom versucht das Ding nun nach dem Motto „Wer ist schon diese kleine Tochter“ runterzuspielen. Das ist billig, denn ich finde es sehr bedenklich, wenn die Telekom-Juristen offenbar schon elementarste Grundsätze des Datenschutzgesetzes nicht verstehen. Die Mitteilung an die Betroffenen ist wichtig. Wie soll ich sonst erfahren, wo welche Daten über mich liegen? Ein Datenschützer sagte mir, dass das Ausbleiben der Mitteilung branchenüberlich ist. Denn ein Bürger könnte ja darauf bestehen, dass bestimmte Daten gelöscht werden. Der Firmen gehen dann die für viel Geld gesammelten Rohstoff verloren, das kann denen nicht schmecken.
Die Nachlässigkeit in Sache SAF wirft ein trübes Licht auf den Gesamtkonzern. Die Tochter unterliegt nach Bürkers Angaben den schärfsten Datenschutzbestimmungen. Wenn aber solche Pannen möglich sind, dann scheint es bei der Telekom mit dem Schutz unserer persönlichsten Daten nicht weit her zu sein. Man darf nicht vergessen, wir reden hier über das Unternehmen, dass Journalisten und Aufsichtsräte bespitzelt hat.
Welchen Sprengstoff die Telekom da in ihrem Konzern hat, wird den Verantwortlichen allmählich klar. Die haben SAF mit ihren 500 Mitarbeitern auf den Prüfstand gestellt. Bedenken gibt es zwar noch, da eine Menge Telekom-Daten auf den Rechnern der SAF-Gruppe lagern. Aber über kurz oder lang wird der Laden verkauft. Als möglicher Käufer wird der Bertelsmann-Konzern mit seiner Tochter Arvato genannt.
Wow. Was ein Hammer.
Dieser Einzelfall lässt auf eine recht hohe Dunkelziffer schließen, natürlich auch bei anderen Konzernen. Mal gucken was Schäuble dazu Neues einfällt.
Interessant finde ich auch den Hinweis auf die Post. Ich habe mal nachgeschaut:
https://www.deutschepost.de/dpag?tab=1&skin=hi&check=yes&lang=de_DE&xmlFile=link1015302_1008016
Interessant, welche Geschäfte die Post Direkt GmbH mit Adressdaten betreibt.
Und welche Ironie, dass ausgerechnet der ertappte Postchef Zumwinkel sich über mangelnden Datenschutz der Ermittlungsbehörden beklagte (und mit ihm etliche Kommentatoren der FAZ Leserschaft).