Bayern 2 - Zündfunk


5

Stuttgart – München – London – Buxtehude Wie ich die DSGVO durchgespielt habe

Warum bekomme ich Post von einer Bank, mit der ich noch nie zu tun hatte? Dank der Datenschutzgrundverordnung frage ich einfach mal nach. Vielleicht komme ich am Ende bei der einen Newsletteranmeldung oder Online-Bestellung raus, in der ich "Ja, ich will Werbung haben" angeklickt habe.

Von: Eva Deinert

Stand: 24.05.2019

Wo kreisen meine Daten - Symbolbild | Bild: colourbox.com/Montage: BR

Per Post, auf echtem Papier: Eine Bank schlägt mir einen Kredit vor „für kleine Freiheiten und große Anschaffungen“. Ganz flexibel „was auch immer in meinem Leben passiert“. Ich hatte mit dieser Bank noch nie zu tun.  Aber: Ich bin auch in einem Alter, in dem das durchaus interessant sein könnte für mich. junge Mutter, Mitte/Ende 30. Mit dem Kind und Kinderwagen kam dann auch das größere Auto, ein Pampersbomber. Ich fühle mich ertappt. Und gestalkt. Und ich frage mich sofort: Woher haben die meine Adresse? Und woher wissen die mein Alter? Und wer sind „die“ überhaupt.

Ich beschließe nachzufragen - dank DSGVO geht das ja ganz leicht. Die DSGVO ist die Datenschutzgrundverordnung, die vor einem Jahr in Kraft getreten ist. Eingeführt von der EU soll sie uns helfen, mehr Macht über unsere eigenen Daten zu haben. Ich möchte mal sehen, ob ich am Ende herausbekomme, auf welcher Seite, bei welcher Online-Bestellung ich aus Versehen den Haken bei "Ich möchte Werbung erhalten" gesetzt habe.

Ums vorwegzunehmen: Ich habe zu dem Zeitpunkt noch nicht geahnt, dass ich mich mit meiner ersten E-Mail auf eine unlösbare Suche begebe – wie Asterix nach dem Passierschein A38 in „Asterix erobert Rom“.

Die Suche nach den Daten beginnt

Im Kleingedruckten auf dem Brief der Targo Bank gibt’s den ersten Hinweis. Die Bank hat meine Daten von einer Agentur, an die ich mich wenden soll:

„Datenschutzinformationen – Ihre Adressdaten stammen von Schober Direct Media GmbH & Co. KG, Stuttgart als verantwortliche Stelle“

Ich formuliere eine nette E-Mail an die Datenschutzbeauftragte.

„Sehr geehrte Frau Datenschutzbeauftragte,

Gemäß Datenschutzgrundverordnung Paragraf 15 möchte ich Auskunft darüber erhalten:
-Welche Daten haben Sie von mir gespeichert
-Wie sind Sie an diese Daten gekommen, da ich nie im persönlichen Kontakt mit Ihrer Firma war.
-Wem haben Sie diese Daten weitergereicht.
Danke für die Auskunft.
Eva Deinert“

Ein paar Tage später kommt die Antwort. Per Post.

„Sehr geehrte Frau Deinert,
[…] Die Daten wurden uns von der Firma panadress marketing intelligence GmbH, München übermittelt und in unserem Datenbestand übernommen“

Angefügt ist ein Blatt mit der Überschrift „Personeninformation“. Darauf: Mein Name, meine komplette Adresse, mein Geburtsjahr.
Ich lag also richtig mit meiner Vermutung. Sie kennen mein Alter – und das fühlt sich etwas gruselig an. Viele Firmen kommen da noch und was wissen sie über mich?

Von Stuttgart, nach München, nach London, nach Buxtehude

Ich will ja zum Ursprung kommen, also mache ich weiter: Ich schreibe eine E-Mail an die Datenschutzbeauftrage des Münchner Unternehmens. Gleiches Spiel: Welche Daten haben sie von mir gespeichert, woher kommen sie und an wen wurden sie weitergegeben. Ein paar Wochen später die Antwort:

Gemäß Ihres Auskunftsbegehren Artikel 15 DSGVO teilen wir Ihnen mit, Ihre Daten von der Global Consumer Database Service Limited, London angemietet haben.

Kaum zu fassen: Wie kommt ein Unternehmen aus London bitte an meine Daten? Und: man kann Daten anmieten? Außerdem: Wieso fehlt auf dem Datenblatt im Anhang mein Geburtsjahr? Das hatte doch die erste Firma auf ihrem Blatt. Ich schreibe also den nächsten Kontakt an und der Brief muss gar nicht bis nach London gehen:

Für die Erteilung der Datenauskunft gemäß Artikel 15 DSGVO wenden Sie sich bitte an das von der Firma Global Consumer Database Service Limited mit der Auskunft beauftragen Unternehmen in Deutschland b2c performance GmbH, Buxtehude.

Gut, dann per Post nach Buxtehude. Es dauert einen ganzen Monat, bis die Antwort kommt.

„Sehr geehrte Frau Deinert,
Wir haben für Sie nachgeforscht, welches Unternehmen Ihre Daten erhoben und an uns weitergeleitet hat. Wir können Ihnen bestätigen, dass es sich um die Firma Schober Direct Media GmbH & Co. KG handelt“

Schober Direct Media GmbH in Stuttgart. Das Unternehmen, das ich zuerst angeschrieben habe. Ich komme also nirgendwo raus. Meine Daten sind einem ewigen Kreislauf gefangen. Zumindest das weiß ich jetzt dank DSGVO - und zweieinhalb Monaten Recherche mit etlichen Mails und Briefen. Trotz Beharrlichkeit komm ich nicht weiter und das fühlt sich nicht gut an.

Und jetzt?

"Wir haben aufgrund der DSGVO das Recht, die Speicherung zu widerrufen, die Vermittlung zu widerrufen, die Verwendung zu widerrufen. Das liegt bei uns, da braucht es mehr Aktionismus der einzelnen Bürgerinnen und Bürger."

Sebastian Himstedt, Stiftung Datenschutz

Und er rät mir auch dran zu bleiben:

"Irgendwo muss es die Stelle geben, an der die Daten in den Verkehr gekommen sind. Wenn nicht auf eine Stelle verwiesen werden kann, die plausibel erscheint, dann muss man da nachforschen, dann ist das auch ein Verstoß gegen Datenschutzrichtlinien. Dann ist es etwas für den zuständigen Landesdatenschützer."

Sebastian Himstedt, Stiftung Datenschutz

Einen Versuch mach ich noch, dann klopfe ich aber beim Landesdatenschützer an. Vielleicht siegt am Ende doch die Beharrlichkeit und jemand zieht den Asterixschen Passierschein A38 aus der Tasche - in Form von dem einen Häkchen, das ich online oder offline unabsichtlich gesetzt habe, dass ich mehr Werbung erhalten möchte. Bis dahin rate ich: Vorsicht vor dem Häkchen – wenn ihr nicht wollt, dass eure Daten um die halbe Welt kreisen.

Stiftung Datenschutz

Die Stiftung Datenschutz wurde 2013 von der Bundesregierung gegründet als Plattform für Datenschutzfragen von Bürgerinnen und Bürgern. Im Beirat dieser Stiftung sitzen Bundestagsabgeordnete aller Fraktionen sowie Wirtschaftsverbände und Anwälte.


5