Wer fragt, bekommt Antworten.
Als langjährige Kundin der Hamburger Sparkasse und Datenschützerin, die ich bin, habe ich die Diskussion um die Zuordnung der Kunden der Hamburger Sparkasse (Haspa) zu verschiedenen psychologischen Profilen mit Interesse verfolgt. Mittels der Software „Sensus“ teilte die Haspa ihre Kundinnen und Kunden, so die Presseberichterstattung Ende Oktober/Anfang November, in insgesamt sechs verschiedene Charakterprofile ein, die dann im Beratungsgespräch unterschiedlich angesprochen werden sollten. Verbraucherschützer waren empört, Datenschützer fragten sich, wie die Haspa an die Daten gelangt ist, die die Grundlage für diese Profileinordnung bilden müssen. Von der Kontoführung vielleicht? Das wäre eine nicht erlaubte Nutzung der Kundendaten gewesen.
Auskunftsersuchen …
Am 8. November bat ich die Haspa auf der Grundlage von § 34 BDSG um Auskunft, welche meiner persönlichen Daten bei ihr gespeichert seien, zu welchem Zweck und wohin sie gehen. Ungefähr vier Tage danach hatte ich schon eine vorläufige Antwort. Man dankte für mein Schreiben und bat um etwas Geduld, da die Auskunft einige Recherchen erfordern würde. Recherchen? Man sollte doch meinen, dass eine große Institution wie die Haspa ihre Kundendaten auf Knopfdruck verfügbar hat.
… und die Antwort?
Mit Datum vom 22. November antwortete dann der Datenschutzbeauftragte, Thies Petersen.
„Als unser Kunde wissen Sie, dass bei der Haspa stets das persönliche Gespräch der Beratung im Vordergrund steht“.
Ich bin zwar Ihre Kundin, aber macht nix, ich weiß trotzdem.
„Gemeinsam suchen wir für Sie und Ihre individuellen Bedürfnisse die passenden Lösungen. <Sensus> hat uns darin unterstützt, Sie und Ihre Bedürfnisse im Rahmen des persönlichen Gesprächs besser verstehen zu können“.
Interessante Einsichten
Aha. Braucht man eine Software mit fragwürdigen Psychoprofilen, um Bedürfnisse von Kundinnen zu verstehen? Mir reichen dafür präzise Fragen und ein wenig Einfühlungsvermögen. Aber weiter in der Antwort:
„Leider ist in der öffentlichen Berichtserstattung der falsche Eindruck entstanden, die Haspa hätte dazu einzelne Kontobewegungen, z.B. bei Überweisungen den Betrag, Empfänger und Verwendungszweck ausgewertet. Das stimmt nicht. Im Zuge des <Sensus> – Verfahrens wurden seinerzeit Informationen über Ihre Produkte bei der Haspa betrachtet. Darauf aufbauend kamen wir zu einer Einschätzung Ihres <Sensus> – Typs. Es wurde angenommen, dass es Ihnen u.a. besonders wichtig ist, dass Ihr Berater Sie flexibel betreut – was in diesem Verfahren als <Hedonist> bezeichnet wird. Wir bedauern, dass es in der öffentlichen Wahrnehmung zu Missverständnissen gekommen ist und haben deshalb die Nutzung von <Sensus> seit dem 04.11.2010 eingestellt“.
Das Wesentliche wird nicht gesagt
Dieser Grundsatzrede war eine Auflistung der Daten angehängt, über die die Haspa zu meiner Person verfügt. Darunter die Adresse meiner früheren Wohnung, in der ich schon seit über 10 Jahren nicht mehr lebe, und eine „Rating- Scoringnote des Deutschen Sparkassen- und Giroverbandes, von der ich nur vermuten kann, dass sie (hoffentlich) etwas Gutes über die Einschätzung meiner Kreditwürdigkeit besagt („AA+“). Darunter auch ein Ausdruck einer „Kontaktnotiz“, die einen Besuch bei der für mich zuständigen Beraterin dokumentiert.
Zu dem eigentlich Interessanten, dem Zweck der Speicherung und Übermittlung meiner Daten, aber schweigt das Schreiben, bzw. es nimmt Bezug auf Allgemeinheiten.
Statt dessen: Binsenweisheiten
„Die gespeicherten personenbezogenen Daten werden zur ordnungsgemäßen Erfüllung unserer vertraglichen Verpflichtungen aus den zwischen Ihnen und uns geschlossenen Verträgen benötigt“.
Eine Binsenweisheit. Aber warum gehört eine Anschrift von historischem Wert dazu? Und wieso ist die Einordnung als „Hedonist“ für die Erfüllung der vertraglichen Verpflichtungen erforderlich?
Anderes Beispiel:
„Daten an die Schufa werden lediglich anlassbezogen übermittelt und zwar bei: … Daten über nicht vertragskonformes Verhalten“.
Jede Menge offene Fragen
Ob und wenn ja welche Informationen auf dieser Grundlage jemals übermittelt wurden, muss ich dann wohl bei der Schufa erfragen. Hinzu kommt, dass die Auskunft schlicht unvollständig ist. Die Speicherung der Namen und Geburtsdaten meiner Töchter werden eben so wenig erwähnt wie ein Streit, den ich vor rund zwei Jahren mit einem Berater hatte, der sich nämlich gar keine Mühe gegeben hatte, mich und meine Bedürfnisse im Rahmen des persönlichen Gesprächs zu verstehen und im Anschluss noch wichtige Unterlagen verschlampte, die ich nie wieder sah. Oder sieht die Haspa für solche Informationen einen Löschungsfrist von ein bis zwei Jahren vor? Das sollte mich sehr wundern. Was schließlich „Sensus“ betrifft, fragte ich mich nach der Lektüre des Schreibens: Die Nutzung der Daten ist seit dem 4.11.2010 eingestellt, aber ganz offensichtlich sind sie ja – entgegen der Bekundung der Haspa in einer Pressemitteilung vom 4.11.2010 – nicht gelöscht worden. Ansonsten wäre eine Auskunftserteilung am 8.11., dass ich der Spezies der Hedonisten zugeordnet wurde, nicht mehr möglich gewesen. Wann also wurden diese Zuordnungen tatsächlich gelöscht und warum erwähnt das Schreiben nur die Einstellung der Nutzung, aber nicht die Löschung?
Da hat sich die Haspa nicht mit Ruhm bekleckert
Fazit, mit dieser dilettantisch anmutenden Antwort hat sich die Haspa nicht gerade mit Ruhm bekleckert. Wäre ich nicht ohnehin ziemlich misstrauisch gegenüber großen Organisationen und ihrem Umgang mit unseren persönlichen Daten – dieses Schreiben wäre nicht geeignet, verlorenes Vertrauen wieder aufzubauen. Sehr bedenklich ist es, dass Unternehmen immer noch mit solchem Dilettantismus in Sachen Datenschutz davon kommen. Es gibt nach meiner Einschätzung zwei Möglichkeiten dies zu ändern. Entweder, wir raffen sich auf und stellen massenhaft Anfragen nach § 34 BDSB. Gleichzeitig organisieren Verbraucherinnen und Verbraucher ein öffentliches (Internet-) Portal, in dem die Antworten veröffentlicht und bewertet werden. Vielleicht führt das längerfristig dazu, dass Schlampereien mit personenbezogenen Daten nicht mehr so locker genommen werden, wie im Moment immer noch und immer wieder. Zweite Möglichkeit: Der Gesetzgeber kehrt den bis jetzt bestehenden Grundsatz, dass wir nach dem Umgang mit unseren Daten fragen müssen, um, und alle Unternehmen müssen uns routinemäßig, alle ein bis zwei Jahre, von sich aus Auskunft erteilen, über welche Daten sie von uns verfügen und was sie damit machen. Eine Auskunft, die so aufbereitet ist, dass wir auch etwas daraus erkennen können. Falls jemand bessere Ideen hat – ich nehme sie dankend entgegen.
Read More