Wien – Heidelinde M. wusste erst nicht, ob es sich um einen Scherzanruf handelte. Eine Frau, die sich am Telefon ebenfalls als Heidelinde vorstellte, fragte sie, ob sie einen Account beim Onlineshop der Supermarktkette Billa habe. Ja, antwortete die Steyrerin, und bald stellte sich heraus, dass sich die Namensvetterin aufgrund einer Datenlücke mit dem eigenen Passwort ungewollt in das persönliche Konto von M. eingeloggt hatte.

Heidelinde L. hatte Zugriff auf alle persönlichen Angaben, die Heidelinde M. in ihrem Billa-Account hinterlegt hatte. Die Kreditkartennummer war zwar verschlüsselt, es wäre aber möglich gewesen, Bestellungen zu tätigen und über den Billa-Service "Click & Collect" in einer Filiale abzuholen, schreibt M.s Anwalt Hubert Niedermayr in einer Unterlassungsaufforderung an das Unternehmen. Den Rechtsvertreter hatte M. eingeschaltet, nachdem der Billa-Kundenservice auf Nachfrage mutmaßte, sie habe die Datenschutzverletzung "erfunden".

Verwechslung nicht nachvollziehbar

"Das Regime des Datenschutzes sieht vor, dass derartige geheime Daten der Kunden nur mit deren Zustimmung für interne Bearbeitungszwecke verwendet werden dürfen", erklärt Niedermayr. Eine Öffentlichmachung welcher Art auch immer sei jedenfalls unzulässig und der vermutlich dahinterliegende gravierende Programmierfehler auf grobe Fahrlässigkeit zurückzuführen. Das Unternehmen habe damit gegen die Datenschutzgrundverordnung verstoßen, wonach personenbezogene Daten vor der Einsichtnahme Dritter verwahrt werden müssen.

Die Billa-Mutter Rewe sieht sich in dieser Sache nicht in der Verantwortung. In einer Stellungnahme beteuert ein Konzernsprecher, dass "die Verwechslung trotz akribischer Recherche und intensiver Bemühungen für uns nicht nachvollziehbar ist". In einer Art Rechtfertigung erklärt das Unternehmen: "Die Kundinnen haben den gleichen Vornamen, ähnliche E-Mail-Adressen und wohnen in der gleichen Region."

Keine Entschädigung

Einen systematischen Programmierfehler könne man seitens der IT jedenfalls ausschließen, heißt es weiter, es handle sich "seit Start des Online-Shops 1999" um den ersten derartigen Fall. Eine Entschädigung lehnte das Unternehmen ab, schließlich sei niemandem monetärer Schaden entstanden. Zudem könne ein Betrugspotenzial bei Click & Collect ausgeschlossen werden, "da dabei nicht auf Rechnung eingekauft werden kann".

Rewe war in der Vergangenheit bereits mehrfach wegen Kritik an unzureichendem Datenschutz in den Schlagzeilen. Im Vorjahr führte Rewe das Kundenbindungsprogramm Jö ein. Der Verein für Konsumenteninformation (VKI) warnte schon damals, dass die gesammelten Daten "bei einer übergeordneten Stelle zusammenlaufen und man nicht genau weiß, was mit ihnen passiert". Später riet der VKI zur Kündigung der Mitgliedschaft, und weil durch das Datensammeln Profiling Tür und Tor geöffnet würde, vergab die Jury des Big Brother Award den Negativpreis 2019 in der Kategorie Kommunikation und Marketing an Rewe. (mcmt, 19.8.2020)