„E-Mail geht nicht, aus Datenschutzgründen“, sagt die professionell-freundlich gelangweilte Dame im Callcenter. „Also, Fax oder Post?“
Aber von Anfang an: Ich habe mehrere Konten und auch Kreditkarten bei der Hamburger Sparkasse. Im Gegensatz zu den meisten Sparkassen bietet die Haspa ihre Kreditkarten nicht direkt an, sondern vermittelt sie nur. Deshalb tauchen die Kreditkarten auch nicht Online-Banking auf und sind nicht per HBCI abrufbar, und wenn man die Abrechnungen einsehen will, muss man sich umständlich und langwierig (mit Briefen und so) bei First Data (Swisscom) anmelden.
Von denen bekommt man dann einen separaten Nutzernamen, der absolut nichts mit irgendwas zu tun hat und dann z.B. mit einem Unterstrich beginnt und die Zeichenfolge O01I enthalten kann. Ein Passwort darf man sich zwar selbst aussuchen, aber nur mit Einschränkungen. Nachdem man dann irgendwann seine Freischaltung per Post bekommen hat, kann man sich mit dem befremdlichen Nutzernamen und dem halbsicheren Passwort in ein unglaublich hässlichesfunktional gestaltetes Webinterface einloggen, wo man seine Kreditkartenstatements als PDF herunterladen kann. Also schonmal eine ziemlich schwache Leistung alles.
Jetzt wollte ich diesen Dienst seit längerem mal wieder nutzen. Die URL hatte ich gebookmarkt, aber sie ist immerhin auch im Online-Banking der Haspa verlinkt. Den Nutzernamen hatte ich mir aufgeschrieben, weil er tatsächlich zwei Unterstriche, einen Buchstaben, und eine Abfolge von ähnlich aussehenden Zeichen enthält. Auch das Passwort hatte ich in einem Passwort-Manager gespeichert.
Trotzdem funktionierte der Login nicht; mir wurde gedroht, dass nach drei Versuchen der Zugang gesperrt würde, und die Passwort-vergessen-Funktion bemängelte, ich habe keine Sicherheitsfrage (die eigentlich „Unsicherheitsfrage“ heißen sollte) definiert und könne daher kein neues Passwort beantragen. Statt dessen solle ich doch bitte eine Mail schreiben und mein Anliegen darlegen. Gute Karten (pun not intended) an einem Freitag Nachmittag. (Schon wenige Stunden nach der Mail kam die Antwort: Ein Autoreply, dass man meine Mail erhalten habe.)
Da ich aber trotzdem gerne zeitnah meine Kreditkartenabrechnung gesehen hätte, verfiel ich auf einen äußerst wagemutigen Plan: Ich rief bei meinem Bankberater an. Oder versuchte es zumindest. Eine freundliche, aber auch sehr leise und zurückhaltende Dame meldet sich bei der Haspa. Mein Bankberater ist im Urlaub, sein Vertreter telefoniert gerade, worum es denn ginge, fragt die Dame am Telefon. Ach, Kreditkarte, da könne sie in der Filiale sowieso nichts machen, sie würden die ja nur vermitteln. Auch Zugang zum Webinterface haben sie nicht, aber ich könne beim Kartenservice in Frankfurt anrufen, die könnten mir weiterhelfen. Sie gibt mir eine 01803-Nummer, und ich freue mich schon, diese von meinem Mobiltelefon anzurufen. Allerdings bekomme ich dort nur die Ansage, dass die Nummer sich „aus gesetzlichen Gründen“ geändert habe, und ich jetzt bitte eine Münchner(!) Festnetznummer anrufen solle.
Nach einer kurzen Wartezeit erreiche ich dort tatsächlich eine Mitarbeiterin. Ich beschreibe ihr mein Anliegen: Ich möchte ins Webinterface, alternativ zumindest irgendwie schnell meine aktuelle Abrechnung einsehen können. Für das Webinterface könnten sie nichts tun, da solle ich eine Mail schreiben, aber die Abrechnung sei „kein Problem“, sagt sie, und fragt mich erst nach meiner Kreditkartennummer und dann, „aus Sicherheitsgründen“, nach einigen persönlichen Daten. Schließlich fragt sie „Post oder Fax?“
Ich bin kurz verwirrt, bevor ich den Sinn der Frage erfasse und mit „E-Mail.“ antworte. Und dann kommt: „Das geht nicht.“ Ich gehe von einem Missverständnis aus und bitte nochmal darum, mir meine Abrechnung als PDF per E-Mail zu senden, aber bevor ich meine Mailadresse buchstabieren kann, sagt sie wieder: „Das geht nicht. E-Mail können wir nicht machen.“
Nun ist meine Neugier geweckt. „Warum nicht?“, frage ich zweimal, nachdem beim ersten Mal nur ein lapidares „Das geht nicht“ kommt. Auf die zweite Nachfrage antwortet sie dann leicht gereizt, „E-Mail dürfen wir nicht, aus Datenschutzgründen“.
Ungläubig frage ich nach. „Nachdem ich Ihnen über eine Telefonverbindung allerhand persönliche Daten genannt habe, können Sie mir meine Kreditkartenabrechnung, die ich sonst über das Web abrufe, nicht per Mail schicken, aber per Brief oder per Fax?“
Sie bejaht. Ich weise sie darauf hin, dass ich, wie wohl die meisten deutschen Privathaushalte, kein Faxgerät besitze, aber auch nicht mehrere Tage auf die Post warten will. Es nutzt nichts. Gut geschult wiederholt sie nur: „Es geht nur Post oder Fax.“
Ich erinnere mich, dass ich noch eine Voice-over-IP-Rufnummer habe, die auch Faxe unterstützt. Also suche ich die Nummer heraus und gebe sie ihr mit dem Hinweis, „da kann ich das Fax per E-Mail empfangen“. Das ist offenbar kein Problem. Wenige Minuten später habe ich eine E-Mail mit einem PDF eines Fax-gescannten Ausdrucks eines PDFs in der E-Mail-Inbox. Und meine Stirn hat einen deutlichen Handabdruck.
Ich wurde nach folgenden Daten gefragt: meiner Kreditkartennummer (nicht öffentlich, aber auch nicht schwer zu kriegen); meinem Namen (steht auf meiner Webseite); meiner Anschrift (steht auf meiner Webseite); meinem Geburtsdatum (steht bei diversen Social Networks); den ersten(!) drei Ziffern meiner Kontonummer (steht auf meiner Webseite, außerdem sind die ersten drei Ziffern bei den meisten Haspa-Konten der letzten Jahre gleich!). Schließlich konnte ich eine unverifizierte Faxnummer nennen, und schon habe ich mein Kreditkartenstatement. Womit ich dann meinen PayPal-Account, meine Amazon-Account und meinen Apple-Account übernehmen könnte. Aber E-Mail versenden?
Das geht nun wirklich nicht. Aus Sicherheitsgründen.
