Rechnungen, Kontoauszüge oder Betreibungen sind persönliche Dokumente und gehören nicht in fremde Hände. Umso verblüffter war Werner Haas, als er vom Inkassobüro Intrum Justitia kürzlich ein E-Mail mit sensiblen Daten einer ihm unbekannten Person erhielt.
Service:
Private Daten im Detail ersichtlich
Das Schreiben enthielt eine Zahlungsaufforderung an eine Schuldnerin aus der Westschweiz. Darin ersichtlich sind Name, Adresse sowie detaillierte Angaben über die Gläubiger und den geschuldeten Betrag. Fragwürdig: Werner Haas fand auf der Rechnung auch die Zugangsdaten zum Online-Benutzerkonto der Frau. Damit hätte er sich in ihr Benutzerkonto einloggen, sämtliche Daten einsehen und sogar verändern können.
«Dass Intrum Justitia einfach so persönliche Daten verschickt, ohne die E-Mail-Adresse zu prüfen, irritiert mich. Und dann geich auch noch die Logindaten!», sagt Werner Haas. Sein Vertrauen ins Inkassobüro Intrum Justitia ist dahin.
«Ein Einzelfall»
Intrum Justitia spricht von einem bedauerlichen Einzelfall und schreibt gegenüber dem Konsumentenmagazin «Espresso» auf Schweizer Radio SRF 1: «Es ist nicht mehr nachvollziehbar, wie dieser Fehler passiert ist. Wir distanzieren uns davon, in diesem Einzelfall von einer Datenpanne zu sprechen.» Und das Unternehmen schiebt die Schuld auf den Schuldner: «Es kommt leider vor, dass uns Schuldner in einzelnen Fällen absichtlich oder fälschlicherweise nicht existierende oder falsche Telefon-Nummern oder E-Mail-Adressen mitteilen.» Die Adresse der Schuldnerin war fälschlicherweise mit dem E-Mail von Werner Haas verknüpft.
Datenschützer kann nicht eingreifen
Ob dieser Fall tatsächlich ein Einzelfall ist, ist fraglich. In der Vergangenheit kam es bei Intrum Justitia immer wieder zu falschen Betreibungen und Namensverwechslungen (siehe Beispiele in der Box «Mehr zum Thema»). Hat das Unternehmen mit 3000 Mitarbeitenden und aktuell fast zwei Millionen Inkassofällen seine Prozesse nicht im Griff?
Für Francis Meier, Medienverantwortlicher des Eidgenössischen Datenschützers, ist klar: «Das geht nicht.» Einschreiten kann der Datenschützer aber erst, wenn eine grosse Anzahl Personen betroffen ist: «Sobald es Anzeichen dafür gibt, klären wir den Sachverhalt ab und verlangen von der Firma, dass sie die Datenschutzverletzungen einstellt.»