Kundenbindungssysteme und Datenschutz

Transcription

Berlin, 19. Dezember 2003
Anlagen
Zum Gutachten des
Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein (ULD)
im Auftrag des Verbraucherzentrale Bundesverbandes e.V.
Kundenbindungssysteme und Datenschutz
Kontakt:
Verbraucherzentrale Bundesverband e.V.
Markgrafenstraße 66, 10969 Berlin
Fachbereich Wirtschaftsfragen
wirtschaft@vzbv.de
Für den Inhalt des Textes ist ausschließlich
der Auftragnehmer verantwortlich.
-2-
Anhang 1:
Checkliste für Einwilligungserklärungen
1
3
3
Anhang 2:
Datenschutzrechtliche Aspekte einzelner Systeme
4
4
Teil 1: Unternehmensübergreifende Kundenbindungssysteme 5
1. Payback
5
2. Happy Digits
19
3. Lufthansa Miles & More
29
4. webmiles
37
5. Vodafone-Stars
41
6. Sparda Bank Hamburg Bonusprogramm
48
7. S-Points
52
8. Eutin City Card
60
9. Pforzheim Card
67
10. Dürens große Kundenkarte
73
11. evivoCard (Dortmund)
79
12. SÜCard (Coburg)
84
13. GiessenCard
88
Teil 2: Kundenkarten im Zwei-Parteien-Verhältnis
1. Shell CLUBSMART
2. Bahn Comfort
3. Apothekenkarten
4. Übrige Kundenkarten
Teil 3:
Zusammenfassung der Einzeldarstellungen
93
93
96
98
103
110
-3-
Anhang 1:
Checkliste für Einwilligungserklärungen
Welche Voraussetzungen muss eine wirksame Einwilligung gemäß § 4a BDSG erfüllen?
1.
Freiwillige Erklärung
a)
b)
c)
Keine Kopplung der Einwilligung zu Werbezwecken und Marktforschung mit
der vertraglichen Leistung
Hinweis auf die Freiwilligkeit
Hinweis auf Folgen der Verweigerung
2.
Schriftform
3.
Ausdrückliche, bewusste Erklärung durch aktives Tun
Opt-In, entweder durch gesonderte Unterschrift oder Ankreuzen
4.
5.
Information über folgende Fragen:
a)
Wer ist verantwortliche Stelle, d.h. wer erhebt, verarbeitet oder nutzt die
Kundendaten für eigene Zwecke?
b)
Wer erhebt welche Datenkategorien zu welchem Zweck?
c)
Wer speichert welche Datenkategorien zu welchem Zweck?
d)
An wen werden ggf. welche Datenkategorien zu welchem Zweck übermittelt?
e)
Hinweis auf die Widerrufbarkeit der Einwilligung. Mit Angabe eines
Ansprechpartners.
f)
Welche Folgen hat ein Widerruf, zum einen für die Teilnahme am
Bonusprogramm, zum anderen für die Verwendung der Kundendaten?
g)
Hinweis auf die Rechte des Kunden, insbesondere Auskunftsrecht. Mit Angabe
eines Ansprechpartners.
Drucktechnische Hervorhebung der Erklärung, wenn diese zusammen mit
anderen Erklärungen abgegeben wird.
-4-
Anhang 2:
Datenschutzrechtliche Aspekte einzelner Systeme
Im Folgenden werden Einschätzungen derzeit auf dem Markt befindlicher
Kundenbindungssysteme unter datenschutzrechtlichen Gesichtspunkten wiedergegeben. Es
handelt sich dabei um Erkenntnisse, die im Rahmen der Erstellung dieses Gutachtens
angefallen sind. Sie beruhen zu einem großen Teil auf einer Auswertung der von den
betreffenden Unternehmen veröffentlichten Unterlagen (Teilnahmebedingungen, Hinweise
zum Datenschutz), teilweise auf ergänzenden Anmerkungen der Unternehmen selbst.
Die datenschutzrechtliche Einschätzung wird auf der Grundlage des Anforderungsprofils
vorgenommen, das das ULD als wesentlichen Bestandteil des Gutachtens entwickelt hat.
Dieser Anhang des Gutachtens stellt keine aufsichtsbehördliche Prüfung dar. Für
aufsichtsbehördliche Maßnahmen gegenüber den Anbietern von Kundenbindungssystemen ist
das ULD nur in Teilen zuständig. Die zuständigen Aufsichtsbehörden wie auch die
betroffenen Unternehmen teilen nicht in allen Punkten die Auffassung des ULD. Deshalb gibt
die datenschutzrechtliche Einschätzung nur die Rechtsmeinung des ULD, nicht aber eine
aufsichtsbehördliche Beurteilung wieder.
Der vorliegende Anhang zu dem Gutachten des ULD war zunächst nicht zur Veröffentlichung
vorgesehen. Auf Grund einer Vielzahl von Anfragen hat sich der vzbv jedoch entschieden,
auch diesen Text zu veröffentlichen. Die betroffenen Firmen wurden vorab über die
Ergebnisse der Untersuchung informiert. Den Unternehmen steht es frei, ja sie sind herzlich
dazu eingeladen, die Einschätzungen zur Verbesserung ihres Systems im Hinblick auf
Datenschutz und Kundenorientierung zu verwenden.
-5-
Teil 1: Unternehmensübergreifende Kundenbindungssysteme
1.
Payback
Das Kundenbindungssystem Payback, das im Jahr 2000 an den Markt ging, ist mit nach
eigenen Angaben mittlerweile 22,5 Millionen ausgegebener Kundenkarten das größte
Kundenbindungssystem in Deutschland. Zu den derzeit insgesamt 12 beteiligten
Partnerunternehmen zählen Branchenriesen wie AOL, OBI, DEA, Galeria Kaufhof, Europcar
und Real. Verantwortlich hinter diesem Programm steht das Münchener Unternehmen
Loyalty Partner GmbH, an dem u.a. eine Tochtergesellschaft der Deutschen Lufthansa AG zu
mehr als 50% sowie die Unternehmen Metro AG und Roland Berger und der Geschäftsführer
Alexander Rittweger beteiligt sind.
Im Wesentlichen funktioniert dieses Bonussystem wie folgt: Der Kunde meldet sich direkt bei
„Payback“ oder bei einem der Partnerunternehmen für die Teilnahme am Payback-Programm
an. Ihm wird anschließend von der Firma Loyalty Partner eine Payback Karte im jeweiligen
Design des Partnerunternehmens, über das er sich angemeldet hat, ausgestellt. Unter Vorlage
dieser Karte bei einem der Partnerunternehmen erhält der Kunde beim Bezug von Waren oder
Dienstleistungen einen Rabatt. Der Rabatt wird in Form von Payback Punkten gewährt. Über
die Höhe der zu gewährenden Payback Punkte entscheidet das Partnerunternehmen nach
eigenem Ermessen. In den meisten Fällen wird dem Kunden 1 Payback Punkt pro Euro
Umsatz gewährt. Ein Payback Punkt hat einen festen Gegenwert von 0,01 Euro. Somit erhält
der Kunde bei einem gewöhnlichen Einkauf (Sonderaktionen ausgenommen) einen Rabatt
von einem Prozent. Die so gesammelten Payback Punkte werden durch den Payback
Rabattverein e.V. und die Firma Loyalty Partner GmbH verwaltet und auf Wunsch des
Kunden an diesen ausgezahlt. Die Auszahlung erfolgt mittels Überweisung an ein vom
Kunden angegebenes Bankkonto. Den Auszahlungsauftrag kann der Teilnehmer nur mittels
Angabe seiner Geheimnummer (PIN) erteilen. Möglich ist es auch, das Punkteguthaben in
eine Prämie einzulösen, an UNICEF zu spenden oder aber das Payback-Guthaben im
Verhältnis 1:1 in Meilen des Lufthansa Programms Miles & More umzuwandeln.
Payback Punkte können für ein Konto auch durch eine zweite Person gesammelt werden.
Diese wird ebenfalls für das Payback Programm als so genannter Zweitsammler registriert
und erhält eine Zweitkarte, mit der allerdings keine Auskunfts- oder Auszahlungsrechte
verbunden sind. Die Payback Karte ist außerdem seit dem Jahr 2002 auch mit
Kreditkartenfunktion als Payback Visa Karte erhältlich.
1.1
Datenverwendung zum Zweck der Abwicklung des Rabattprogramms
- Erhebung von Stammdaten durch das Partnerunternehmen
Die Erhebung der Stammdaten erfolgt über das Anmeldeformular. Wird dieses bei einem
Partnerunternehmen abgegeben, werden die Daten durch dieses erhoben. In den Allgemeinen
Teilnahmebedingungen zum Payback-Programm wird zwar beschrieben, dass die über das
Anmeldeformular mitgeteilten Daten durch die Firma Loyalty Partner GmbH erhoben
werden. Betrachtet man den Vorgang jedoch genau, dann wird deutlich, dass eine Erhebung
der Daten bereits durch das Partnerunternehmen mit der Entgegennahme des
Antragsformulars erfolgt.
-6-
Als Stammdaten werden unter der Rubrik „Persönliche Angaben“ folgende Daten erhoben:
Name
Vorname
Titel
Geburtsdatum
Anschrift
Telefonnummer
Auch wenn die Telefonnummer in der Aufzählung der Pflichtangaben in den Hinweisen zum
Datenschutz nicht erwähnt wird, handelt es sich nach Auskunft der Loyalty Partner GmbH um
eine solche. Diese wird, wie im Antragsformular auch zum Ausdruck gebracht wird, nach
Angaben der Loyalty Partner GmbH ausschließlich für Rückfragen bezüglich der
Vertragsabwicklung verwendet. Im Hinblick auf diesen Verwendungszweck ist die Erhebung
der Telefonnummer zulässig.
Die Erhebung des Geburtsdatums ist wie oben dargestellt weder auf der Grundlage des § 28
Abs. 1 Nr. 1 BDSG noch auf der des § 28 Abs. 1 Nr. 2 BDSG zulässig. Payback begründet
die Erforderlichkeit der Kenntnis damit, dass nur Personen, die das 16. Lebensjahr vollendet
haben, an dem Programm teilnehmen dürfen und mit der Abfrage des Geburtsdatums
Personen ausgeschlossen werden sollen, die diese Voraussetzung nicht erfüllen. Hierfür sind
aber andere, datensparsamere Lösungen ausreichend.
Die Erhebung des Geburtsdatums wird weiterhin damit begründet, dass diese Angabe zur
eindeutigen Identifizierung der Kunden erforderlich sei. Bei Namens- und Adressgleichheit
von Teilnehmern wird jedoch regelmäßig eine Unterscheidung der Teilnehmer anhand des
Geburtsjahres möglich sein. Somit ist auch für diesen Zweck keine Erforderlichkeit im Sinne
des § 28 Abs. 1 Nr. 1 BDSG gegeben.
Für die Erhebung des Geburtsdatums bedürfte es daher einer Einwilligung des Kunden, die
hier nicht angenommen werden kann, da der Kunde nicht über die Freiwilligkeit dieser
Angabe informiert wurde. Somit ist die Erhebung dieses Datums unzulässig.
- Übermittlung der Stammdaten an Loyalty Partner GmbH
Soweit die Erhebung der Stammdaten zulässig ist, ist auch deren Übermittlung an die Loyalty
Partner GmbH zulässig.
- Speicherung durch Loyalty Partner GmbH
Gleiches gilt auch für die Speicherung der zulässig erhobenen Stammdaten durch die Loyalty
Partner GmbH.
- Erhebung der Programmdaten durch das Partnerunternehmen.
Folgende Daten werden beim Einsatz der Karte erhoben:
-
Waren / Dienstleistungen (nach Auskunft von Loyalty Partner GmbH nach
Warengruppen)
Preis
-7-
-
Rabattbetrag
Ort und Datum des Vorgangs
Die Erhebung der Waren- oder Dienstleistungsgruppen ist nicht zum Zweck der
Abwicklung des Rabattvertrages erforderlich. Hierfür bedarf es einer Einwilligung des
Kunden. Die hier vom Kunden erklärte Einwilligung bezieht sich nur auf die Verwendung
seiner Daten zum Zweck der Werbung und Marktforschung, nicht aber auf den Zweck der
Rabattabwicklung. Erteilt er insofern keine Einwilligung, so werden die Programmdaten zur
Waren- bzw. Dienstleistungsgruppe trotzdem erhoben und auch an die Loyalty Partner GmbH
übermittelt und dort gespeichert, sie werden nur nicht zu Werbezwecken verwendet. Dem
Kunden wird somit keine Möglichkeit gegeben, eine Erhebung zu verhindern. Hat der Kunde
die auf dem Anmeldeformular enthaltene Einwilligungserklärung nicht erteilt, so liegt auch
keine Einwilligung des Kunden in die Nutzung der zur Rabattabwicklung nicht erforderlichen
Daten vor. Eine Erhebung der Waren- und Dienstleistungsgruppe ist dann unzulässig.
Liegt eine Einwilligung des Kunden vor, so bezieht sie sich nach dem Wortlaut des
Erklärungstextes nur auf die Verwendung seiner Daten zum Zweck der Werbung und
Marktforschung, nicht aber auf den Zweck der Rabattabwicklung. Sie kann daher auch nicht
für eine Erhebung und Verarbeitung der Waren- und Dienstleistungsgruppen zum Zweck der
Rabattabwicklung herangezogen werden. Zwar könnte angenommen werden, dass der Kunde,
wenn er schon der Verwendung dieser Daten zu Werbezwecken zustimmt, erst recht auch mit
der Verwendung zur Vertragsabwicklung einverstanden sein wird. Hierbei handelt es sich
aber um eine mutmaßliche, keine ausdrückliche Erklärung im Sinne des § 4a BDSG. § 4a
BDSG verlangt jedoch, abgesehen von begründeten Ausnahmefällen, eine ausdrückliche
Einwilligung des Betroffenen.
- Übermittlung an die Loyalty Partner GmbH
Die Übermittlung der zulässig erhobenen Programmdaten an die Loyalty Partner GmbH ist
ebenfalls gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.
- Speicherung der Programmdaten durch Loyalty Partner GmbH
Gleiches gilt auch für die Speicherung der zulässig erhobenen Programmdaten durch die
Loyalty Partner GmbH.
- Auszahlung von Rabattguthaben durch Partnerunternehmen
Seit dem Frühjahr / Sommer 2003 ist es Payback Teilnehmern möglich, sich ihr
Bonusguthaben nicht nur von dem Betreiber, sondern auch bei dem Partnerunternehmen
OBI auszahlen zu lassen. Die Auszahlung betrifft das gesamte auf dem Payback Konto
angesammelte Guthaben, nicht nur das bei OBI erworbene Guthaben.
Dem liegt nach Auskunft des betrieblichen Datenschutzbeauftragten der Lufthansa folgendes
Verfahren zu Grunde: In jedem teilnehmenden OBI Markt ist ein Terminal von Payback
installiert. Hier kann der Kunde nach Authentifizierung mittels seiner Karte und PIN auf sein
Punktekonto direkt bei Payback zugreifen. In Höhe des gewünschten Auszahlungsbetrags
kann sich der Kunde am Terminal einen Warengutschein ausdrucken lassen. Auf dem
Warengutschein wird der Name des Kunden und seine Payback-Mitgliedsnummer
ausgedruckt.
-8-
Auf diese Weise erhält OBI Kenntnis auch von solchen Kunden, die sich nicht über OBI für
die Payback-Teilnahme angemeldet haben, sofern diese sich bei OBI ihr Payback-Guthaben
auszahlen lassen. Nach dem gewöhnlichen Verfahren bei Payback wäre eine Kenntnisnahme
durch OBI über die Identität fremder Kunden ausgeschlossen.
Gespeichert wird der Name des Teilnehmers durch OBI jedoch nicht. OBI speichert nach
Angabe der Lufthansa die Payback-Mitgliedsnummer, Datum, Uhrzeit, OBI-Markt, Wert und
Code eines OBI-Payback Warengutscheins für die Zwecke der Abrechnung mit dem Payback
Rabattverein. Anhand dieser Daten kann OBI lediglich seine eigenen Kunden identifizieren,
die eine OBI Payback Karte haben. Bezüglich dieser Kunden enthalten diese Angaben für
OBI eine neue Information. Durch den Wert des Warengutscheins ergibt sich u.U. Aufschluss
über die Höhe des Gesamtguthabens im Verhältnis zu dem Anteil des Payback Guthabens, der
auf die Umsätze bei OBI entfällt. Zu berücksichtigen ist dabei jedoch, dass der
Warengutschein keine sichere Auskunft über das Gesamtguthaben des Kunden gibt. Da
jedoch die Kenntnis und Übermittlung dieser Daten an Payback für die Abrechnung der
Rabattauszahlung erforderlich ist, ist die Erhebung und Speicherung dieser Daten gemäß § 28
Abs. 1 Nr. 1 BDSG zulässig.
Die zwingende Erhebung des Namens durch OBI ist dagegen nicht zulässig. Für die Kenntnis
des Namens besteht keine Erforderlichkeit im Sinne des § 28 Abs. 1 Nr. 1 BDSG. Für die
Identifizierung des Kunden ist, wie die oben beschriebene Datenübermittlung an Payback zu
Abrechnungszwecken belegt, die Erfassung der Payback-Mitgliedsnummer ausreichend.
Auch ein berechtigtes Interesse von OBI an der Kenntnis über die Namen der Kunden im
Sinne des § 28 Abs. 1 Nr. 2 BDSG ist nicht zu erkennen.
- Datenerhebung über Zweitsammler
Soll die Payback Karte auch durch eine zweite Person genutzt werden, werden zusätzlich über
diesen Zweitsammler Stammdaten erhoben. Dies sind vollständiger Name, Anschrift und
Geburtsdatum. Die Daten werden mittels des Antragsformulars für die Hauptkarte erhoben.
Die gemäß § 4 Abs. 2 BDSG erforderliche Erhebung von Daten beim Betroffenen ist hier
gewährleistet, da auch der Zweitsammler das Antragsformular unterschreiben muss. Somit ist
sichergestellt, dass die Stammdaten nicht ohne seine Mitwirkung erhoben werden.
Die Erhebung des Geburtsdatums ist allerdings auch hier nicht zulässig.
- Gewährleistung der Rechte der Betroffenen
Die Erlangung von Auskünften über die zur Person gespeicherten Daten ist den Kunden
gemäß der Hinweise zum Datenschutz jederzeit auf Anfrage möglich. Nach Angaben der
Deutschen Lufthansa AG erhält der Kunde auf seine Anfrage Auskunft über seine
Bestandsdaten, freiwilligen Angaben und Kontodaten bzw. -bewegungen. Auf Nachfrage
würden dem Kunden alle Einzelbuchungen sowie sonstige Kontaktdaten listenmäßig
zusammengestellt, hierbei entstünden u.U. seitenlange Listen.
Gemäß den Allgemeinen Teilnahmebedingungen, Ziff. 8, steht das Auskunftsrecht jedoch nur
dem Hauptinhaber der Payback-Karte, nicht jedoch dem Inhaber der Zweitkarte zu. Da aber
auch über diesen personenbezogene Daten erhoben und gespeichert werden, ist er ebenfalls
Betroffener im Sinne des § 34 BDSG und hat damit einen eigenen Auskunftsanspruch, der
nicht vertraglich abbedungen werden kann (§ 6 Abs. 1 BDSG). Dieser bezieht sich zumindest
auf die zur Person des Zweitsammlers gespeicherten Daten. Da der Hauptkarteninhaber
-9-
Kenntnis über die Einbeziehung des Zweitkarteninhabers hat, dürften allerdings auch einer
Auskunft über Daten des Hauptkarteninhabers schutzwürdige Interessen desselben nicht
entgegenstehen. Gleiches gilt umgekehrt für eine Auskunft über personenbezogene Daten des
Zweitkarteninhabers an den Hauptkarteninhaber.
Über die Löschung der Kundendaten geben die Hinweise zum Datenschutz keine Auskunft.
Nach Angaben der Deutschen Lufthansa AG werden die Rabattdaten, d.h. die
Punktegutschriften und damit zusammenhängende Informationen als Buchungsbelege im
Sinne des § 257 HGB für einen Zeitraum von 10 Jahren aufbewahrt. Kündigt der Kunde seine
Teilnahme am Programm, werden nach Angabe der Deutschen Lufthansa AG sämtliche
Kundendaten gesperrt und nach Ablauf von 10 Jahren - aufgrund der handelsrechtlichen
Aufbewahrungsfrist - endgültig gelöscht. Dieses Verfahren ist zwar grundsätzlich
datenschutzgerecht. Es ist aber bei der Entscheidung für eine Aufbewahrung von
Kundendaten zu unterscheiden zwischen Daten, die als Buchungsbelege unter die
handelsrechtliche Aufbewahrungsfrist fallen, und solchen Daten, die weder handels- noch
steuerrechtliche Relevanz haben. Für letztgenannte Daten ist eine Aufbewahrung nicht
vorgeschrieben, so dass diese umgehend zu löschen sind. Unter diese Kategorie fallen
zumindest die freiwilligen Angaben des Kunden sowie sämtliche Daten, deren Erhebung
nicht zur Vertragsabwicklung gemäß § 28 Abs. 1 Nr. 1 BDSG erforderlich ist.
- Payback Visa Karte
Beantragt ein Kunde eine Payback Visa Karte, so werden dafür zusätzliche Daten des Kunden
erhoben, etwa Angaben zur beruflichen Tätigkeit, zum Familienstand, zur Staatsangehörigkeit
und zum monatlichen Haushaltsnettoeinkommen. Im Gegensatz zur Payback-Karte ohne
Zahlungsfunktion werden diese Daten nicht auf freiwilliger Basis erhoben. Ein Hinweis auf
die Freiwilligkeit der Angaben fehlt im Antragsformular. In der Erläuterung über dem
Angabenfeld wird ausgeführt:
„Wenn Sie die Payback Visa Karte beantragen, benötigt die Landesbank Baden-Württemberg
nachfolgende Angaben.“
Daraus ist zu schließen, dass es sich bei den nachfolgend erfragten Informationen um
Pflichtangaben des Kunden handelt.
Erhoben und werden diese Daten laut Angaben auf dem Antragsformular ausschließlich von
der Landesbank Baden-Württemberg (LBBW). Zu beachten ist jedoch, dass nach den obigen
Ausführungen eine Erhebung auch dann stattfindet, wenn das Antragsformular
unverschlossen bei einem der Partnerunternehmen abgegeben wird oder unverschlossen bei
der Loyalty Partner GmbH vorhanden ist. Da sich der Antrag für die Payback-Karte ohne
Zahlungsfunktion und der Antrag für die Payback Visa Karte auf dem selben Blatt befinden,
liegt die Vermutung nahe, dass der gesamte Antrag zunächst bei der Loyalty Partner GmbH
eingeht, diese die Angaben für den Payback-Kartenantrag speichert und anschließend den
gesamten Antrag an die Landesbank Baden-Württemberg weiterleitet. Diese Verfahrensweise
ist auch den Hinweisen zum Datenschutz, Ziffer 3, zu entnehmen. Datenschutzrechtlich findet
dann eine Erhebung der gesamten Daten, auch der des Visa-Antrags, sowohl bei Loyalty
Partner als auch bei der Landesbank statt. Die Formulierung „Die Angaben [Anm. die
Angaben für den Visa-Antrag] werden ausschließlich von der LBBW erhoben“, die auf dem
Visa-Kartenantrag sowie in Ziffer 3 der Hinweise zum Datenschutz verwendet wird, ist
datenschutzrechtlich so zu verstehen, dass eine Speicherung dieser Daten ausschließlich bei
der LBBW stattfindet. Zumindest wenn das Antragsformular unverschlossen bei einem
- 10 -
Partnerunternehmen oder der Loylaty Partner GmbH eingeht, findet dort bereits eine
Datenerhebung statt. Die Angaben des Antragsformular und der Hinweise zum Datenschutz
sind damit für den Kunden missverständlich.
Gespeichert werden die Daten für die Payback Visa-Karte nach den Hinweisen zum
Datenschutz ausschließlich von der LBBW. Es findet danach keine Übermittlung der für den
Visa-Antrag mitgeteilten Daten des Kunden an Loyalty Partner oder den Payback
Rabattverein statt. Umgekehrt findet eine Übermittlung der Stammdaten des Kunden, die im
Antragsformular für die Payback-Karte enthalten sind, von der Loyalty Partner GmbH an die
LBBW statt. Diese Übermittlung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig, da zur
Abwicklung des Kreditkartenvertrags die LBBW die Stammdaten des Kunden benötigt.
1.2
Datenverwendung zu Zwecken der Werbung und Marktforschung
1.2.1
Vorgänge, deren Zulässigkeit sich nach gesetzlichen Vorschriften beurteilt
Nach dem oben dargestellten Anforderungsprofil ist die Verwendung von Daten zu Zwecken
der Werbung und Marktforschung im Rahmen des § 28 Abs. 1 Nr. 2 BDSG zum einen nur
durch ein vom Kunden selbst kontaktiertes Partnerunternehmen zulässig. Zum anderen
beschränkt sich die zulässige Verwendung auf bestimmte Daten. Im Rahmen der Verwendung
zum Zweck der Werbung und Marktforschung ist die Erhebung der Telefonnummer sowie
weiterer Kontaktdaten nicht gemäß § 28 Abs. 1 Nr. 2 zulässig (siehe Gutachten,
Anforderungsprofil, Pkt. 1.2.2.2.1).
- Datenerhebung über Dritte (Geburtsjahr der Kinder)
Mittels des Antragsformulars wird als freiwillige Angabe nach dem Geburtsdatum der Kinder
gefragt. Hierbei handelt es sich um eine Erhebung über Daten Dritter, die gemäß § 4 Abs. 2
BDSG grundsätzlich bei dem Dritten selbst vorzunehmen ist. Die Erhebung bei dem
Hauptantragsteller ist nur dann zulässig, wenn es sich um minderjährige Kinder handelt, für
die der Hauptantragsteller gesetzlicher Vertreter, d.h. sorgeberechtigt ist.
- Weitergabe von Daten an Partnerunternehmen, über das die Anmeldung erfolgt ist
Meldet sich ein Kunde über ein Partnerunternehmen für das Payback Programm an, so
übermittelt Loyalty Partner die Basisdaten sowie die freiwilligen Angaben und ggf. deren
Änderungen an das Partnerunternehmen, über welches der Kunde seine Payback Karte
erhalten hat1. Dieser Vorgang ist aufgrund gesetzlicher Übermittlungsbefugnis zulässig (siehe
Gutachten, Anforderungsprofil, Pkt. 1.2.2.3.4).
1.2.2
Vorgänge, die auf der Einwilligung des Kunden beruhen
Für die meisten Datenverarbeitungsvorgänge, d.h. für sämtliche Verarbeitungen durch den
Systembetreiber und für die Verwendungen von über Pflichtdaten hinausgehenden Daten
durch das Partnerunternehmen zum Zweck der Werbung und Marktforschung ist dagegen
eine Einwilligung des Kunden erforderlich. Die Einwilligung muss den Anforderungen des §
4a BDSG genügen. Im Folgenden wird zunächst untersucht, ob die Einwilligungserklärung
den allgemeinen Anforderungen des § 4a BDSG genügt. Im Anschluss werden die einzelnen
Datenverarbeitungsvorgänge daraufhin überprüft, ob diese von der Einwilligung hinreichend
1
Vgl. Ziff. 1 der Hinweise zum Datenschutz bei Payback.
- 11 -
umfasst sind.
1.2.2.1
Allgemeine Beurteilung der Einwilligungserklärung (Papierform)
Die im Rahmen des Payback-Programms verwendete Einwilligungserklärung lautet wie folgt:
„Mit meiner Unterschrift erkläre ich mich damit einverstanden, dass meine
Daten zur Erstellung von Informationen per Post (z.B. Rabattaktionen) und für
die ggf. von mir bezogenen Services (SMS oder E-Mail Newsletter) sowie zu
Zwecken der Marktforschung von Payback, den Partnerunternehmen und
Loyalty Partner gemäß Ziffer 2 der beiliegenden Hinweise zum Datenschutz
genutzt werden.
Mein Einverständnis kann ich jederzeit gegenüber dem Payback Service
Center, Postfach ..., 85330 München-Flughafen oder der Loyalty Partner
GmbH widerrufen.
❑
1.2.2.1.1
-
Hier ankreuzen, falls nicht.“
Form der Einwilligungserklärung
Schriftform
Da hier eine schriftlich fixierte Erklärung vorliegt, ist die Schriftform eingehalten.
-
Bewusste Erklärung durch aktives Tun
Das Antragsformular erfordert eine Unterschrift des Kunden. Diese erfolgt zwar direkt
unterhalb der Einwilligungserklärung, bezieht sich jedoch auf das gesamte Antragsformular.
Damit ist die Unterschrift Wirksamkeitsvoraussetzung für den Antrag und nicht auf die
Erklärung der Einwilligung beschränkt. In der Unterschrift kann somit keine im Sinne eines
Opt-In erforderliche Handlung des Kunden gesehen werden.
Auch das neben dem Text der Einwilligungserklärung befindliche Feld „Hier ankreuzen, falls
nicht“ vermag eine bewusste Erklärung des Kunden nicht herbeizuführen. Gegenüber einer
reinen Streichlösung, durch die der Kunde aufgefordert wird, vorformulierte Passagen, denen
er nicht zustimmt, durchzustreichen, stellt die hier gewählte Lösung zwar eine wesentliche
Verbesserung dar. Die Streichung einer Klausel erfordert immer eine gewisse Überwindung
des Kunden, der gewöhnlich die vorformulierten Bedingungen als geradezu bindend ansieht.
Eine solche Überwindung wird dagegen dem Kunden bei der hier gewählten
„Auskreuzvariante“ nicht aufgebürdet. Die Möglichkeit, der Klausel zu widersprechen, wird
dem Kunden deutlich aufgezeigt.
Dennoch besteht die Gefahr, dass der Kunde diese Möglichkeit übersieht bzw., was häufiger
der Fall sein wird, falsch interpretiert. Da den Kunden gewöhnlich aus anderen Anträgen auch
echte „Opt-In-Lösungen“ geläufig sind, die sich optisch auf den ersten Blick nicht von der
vorliegenden Variante unterscheiden, kann leicht der Eindruck beim Kunden entstehen, das
Ankreuzen des nebenstehenden Kästchens bedeute seine Zustimmung und nicht seinen
Widerspruch.
Eine eindeutige und ausdrückliche Erklärung des Kunden kann nur dann mit Sicherheit
angenommen werden, wenn er seine Zustimmung erklärt hat, nicht dagegen wenn er seinen
- 12 -
Widerspruch nicht erklärt hat.
Die hier verwendete Lösung genügt somit nicht den Anforderungen, die an eine Einwilligung
für ein unternehmensübergreifendes Kundenbindungssystem zu stellen sind.
Gerichtlich bestätigt ist diese Auffassung jedoch nur im Hinblick auf die so genannte
Streichlösung (vgl. dazu die oben genannten Entscheidungen). Die vorliegende Variante war
bislang nicht zentraler Punkt einer Gerichtsentscheidung2. Aufgrund der Vergleichbarkeit zur
Streichlösung ist aber zu vermuten, dass die Gerichte auch die vorliegende Lösung nicht als
ausreichend anerkennen werden. Davon geht offensichtlich auch der Arbeitskreis Datenschutz
Kundenbindungssysteme und CRM aus, der unter Berücksichtigung der Tendenzen in der
Verbraucherrechtsprechung annimmt, dass nur die „echte Opt-In-Lösung“ als zukunftssichere
Möglichkeit angesehen werden kann3.
1.2.2.1.2
Freie Entscheidung
Die Erklärung des Einverständnisses zur Verwendung der personenbezogenen Daten zu
Zwecken der Werbung und Marktforschung stellt keine Voraussetzung für die Teilnahme am
Payback Programm dar. Insofern ist dem Kopplungsverbot Genüge getan.
Dem Text der Einwilligungserklärung lässt sich jedoch nicht direkt entnehmen, dass dem
Kunden die Abgabe dieser Erklärung freigestellt ist. Indirekt ergibt sich dies nur aus der
Ankreuzmöglichkeit für den Fall, dass kein Einverständnis mit der angegebenen
Datennutzung besteht sowie aus dem Hinweis auf die Möglichkeit des Widerrufs der
Einwilligung. Eine Aufklärung darüber, welche Folgen die Verweigerung der Einwilligung
hat, findet in der Einwilligungserklärung nicht statt. Diese ist lediglich in den Hinweisen zum
Datenschutz enthalten. Dort heißt es: „Haben Sie Ihre Einwilligung nicht erklärt oder
widerrufen Sie diese, findet eine Datennutzung nach vorstehendem Absatz nicht statt.
Selbstverständlich können Sie aber am Payback Programm teilnehmen bzw. weiterhin
teilnehmen. Sie erhalten dann lediglich die zur Abwicklung des Programms notwendigen
Informationen (z.B. Punktestandsmitteilungen).“
Ein solcher Hinweis ist für die Aufklärung des Kunden über die Freiwilligkeit seiner
Einwilligung nicht ausreichend. Die Legitimation der gesamten Datenverarbeitung soll nach
dem Wesen der Einwilligungslösung auf der freien Entscheidung des Betroffenen beruhen.
Hierfür ist es zwingend erforderlich, dass sich der Betroffene zweifelsfrei über die
Freiwilligkeit seiner Entscheidung im Klaren ist. Dies erfordert einen ausdrücklichen Hinweis
im unmittelbaren Zusammenhang mit der Abgabe der Einwilligungserklärung, also hier im
optischen Zusammenhang mit dem Text der Einwilligungserklärung, auf die Freiwilligkeit
der Erklärung.
Da es der im Rahmen des Payback Programms verwendeten Einwilligungserklärung hieran
fehlt und der Kunde auch nicht aus dem Gesamtzusammenhang mit hinreichender
Deutlichkeit auf die Freiwilligkeit seiner Angaben schließen kann, entspricht diese nicht den
Anforderungen des § 4a BDSG.
1.2.2.1.3
2
Information des Kunden
In der Entscheidung LG München I vom 1. Februar 2001 (Payback) deutet sich an, dass die Möglichkeit einer
Erklärung des Ausschlusses des Einverständnis nicht ausreichend ist.
3
Weber/Jacob/Rieß/Ullmann, DuD 2003, 614 (618 f.).
- 13 -
Bereits aus den Angaben im Anmeldeformular entsteht eine erste Verwirrung darüber, wer
verantwortliche Stelle für die Datenverarbeitung im Rahmen des Payback Programms ist.
Oben links im ersten Feld findet sich der Satz „Die Verwaltung Ihrer Daten (Basisdaten,
freiwillige Angaben und Rabattdaten) erfolgt durch die Loyalty Partner GmbH, Anschrift,
gemäß Ziffer 1 der beiliegenden Hinweise zum Datenschutz“. Im Weiteren, insbesondere in
der Einwilligungserklärung, wird jedoch zusätzlich auch von „Payback“ und den
Partnerunternehmen als Stellen, die die Kundendaten nutzen, gesprochen. Als
Ansprechpartner wird neben Loyalty Partner auch das Payback Service Center genannt.
Aus den Allgemeinen Teilnahmebedingungen erfährt der Kunde zunächst, wer sich hinter der
Bezeichnung „Payback“ verbirgt. Laut Ziff. 1 der Allgemeinen Teilnahmebedingungen ist
dies der Payback Rabattverein e.V.. Dieser verwaltet nach Ziff. 1 die Rabatte, die dem
Kunden gutgeschrieben werden. Die Hinweise zum Datenschutz informieren jedoch darüber,
dass - hier wieder im Einklang mit dem Hinweis oben auf dem Antragsformular - die im
Rahmen des Programms benötigten Daten durch die Firma Loyalty Partner erhoben,
gespeichert und genutzt werden. Diese Firma wird auch als Ansprechpartner für Auskunft und
Widerruf benannt. Daneben wird über eine Datenverarbeitung durch die Partnerunternehmen
informiert. „Payback“ wird in den Hinweisen zum Datenschutz als Daten verarbeitende Stelle
nicht mehr erwähnt.
Tatsächlich ist das Verhältnis zwischen dem Rabattverein und Loyalty Partner GmbH so
gestaltet, dass zunächst der Payback Rabattverein als Daten speichernde Stelle anzusehen ist.
Dieser ist Vertragspartner des Kunden im Payback Programm. Die Firma Loyalty Partner hat
die tatsächliche Verfügungsbefugnis über die Daten. Sie ist aufgrund ihrer zentralen Funktion
nicht lediglich Auftragnehmer des Payback Rabattvereins, sondern in eigener Verantwortung
speichernde Stelle4.
Die Informationen, die sich hierüber aus dem Antragsformular, aus den Allgemeinen
Teilnahmebedingungen und den Hinweisen zum Datenschutz ergeben, benennen zwar
sämtliche Stellen, die in die Abwicklung des Payback Programms eingebunden sind, das
Verhältnis von Loyalty Partner GmbH und dem Payback Rabattverein e.V. wird jedoch nicht
deutlich. Aus dieser Darstellung lässt sich nicht entnehmen, wer verantwortlich für die
Datenverarbeitung im Sinne des § 3 Abs. 7 BDSG ist. Dem Informationsanspruch des § 4a
BDSG genügt die Beschreibung daher nicht.
Mit dem Anmeldeformular enthält der Kunde eine Broschüre, aus der die aktuell
teilnehmenden Partnerunternehmen zu entnehmen sind. Hinsichtlich der zum Zeitpunkt der
Antragstellung teilnehmenden Partnerunternehmen ist dem Informationsbedürfnis damit
Genüge getan. Es fehlt jedoch im Antragsformular und in den Hinweisen zum Datenschutz
ein Hinweis auf eine Einsichtsmöglichkeit für den Teilnehmer, um sich auch in Zukunft über
den aktuellen Bestand der Partnerunternehmen informieren zu können. Da aber
Partnerunternehmen im Rahmen des Payback Programms keine Daten über Teilnehmer
erhalten, die sich nicht über das jeweilige Partnerunternehmen angemeldet haben, ist dieser
Informationshinweis nicht zwingend erforderlich, aus Gründen der Transparenz aber
zumindest empfehlenswert.
Welche Datenkategorien im Rahmen des Payback-Verfahrens verarbeitet werden, wird erst
aus den Hinweisen zum Datenschutz deutlich. Die Einwilligungserklärung beschränkt sich
4
Vgl. hierzu Weichert, DANA 2001, 5 (8).
- 14 -
auf die Formulierung „meine Daten“, während der Hinweis in der oberen Zeile des
Antragsformulars diese mit „Basisdaten, freiwillige Angaben und Rabattdaten“ schon etwas
genauer benennt. Eine Erläuterung des Begriffs der Basisdaten findet sich in den Hinweisen
zum Datenschutz, aus denen sich auch die Zusammensetzung der Rabattdaten ergibt. Diese
Darstellung genügt den Anforderungen des § 4a BDSG nicht. Erforderlich ist eine
Aufzählung der Datenkategorien in der Einwilligungserklärung.
Hinsichtlich der Vorgänge der Datenverarbeitung enthalten nur die Hinweise zum
Datenschutz konkrete Informationen. Aus dem Text der Einwilligungserklärung ergibt sich,
dass die nicht näher spezifizierten Daten des Kunden von Payback, den Partnerunternehmen
und Loyalty Partner genutzt werden. Über welche Daten hierbei die einzelnen Beteiligten
verfügen, auf welche Weise sie die Daten erlangen und bei wem diese gespeichert werden,
erfährt der Kunde nicht. Diese Angaben sind jedoch erforderlich, um in der
Einwilligungserklärung den Informationsanforderungen des § 4a BDSG zu genügen.
Im Hinblick auf den Payback Rabattverein, der hier unter der Bezeichnung Payback auch als
Nutzer der Kundendaten auftritt, geben auch die Hinweise zum Datenschutz keinerlei
Aufschluss. Hier wird der Rabattverein nicht mehr erwähnt, d.h. es bleibt unklar, ob dieser
über einen eigenen Kundendatenbestand verfügt, auf welchem Weg er ggf. Kundendaten
erhält und um welche Daten es sich dabei handelt.
Bezüglich der weiteren Datenverarbeitungsvorgänge enthalten die Hinweise zum Datenschutz
hinreichend genaue Angaben, die jedoch den Mangel an Information in der
Einwilligungserklärung nicht heilen können.
Über die Zwecke der Datenverarbeitung wird der Kunde hinreichend informiert.
Ein Hinweis auf die Widerrufsmöglichkeit erfolgt in der Einwilligungserklärung unter
Hinweis auf zwei Ansprechpartner, die mit Kontaktmöglichkeit angegeben sind. Die
Aufklärung über die Folgen des Widerrufs erfolgt in den Hinweisen zum Datenschutz, was als
ausreichend anzusehen ist.
In den Hinweisen zum Datenschutz erfolgt ebenfalls ein Hinweis auf das Auskunftsrecht des
Kunden.
Ein Hinweis auf die Löschung der Daten erfolgt nicht, ist jedoch auch nicht zwingend
erforderlich (siehe Gutachten, Anforderungsprofil, Pkt. 1.2.3.3).
1.2.2.1.4
Hervorhebung im Schriftbild
Da die Erklärung der Einwilligung im Anmeldeformular als vorformulierte Erklärung
gemeinsam mit anderen Erklärungen abgegeben wird, ist gemäß § 4a Abs. 1 Satz 4 BDSG
eine besondere Hervorhebung im Schriftbild erforderlich. Die hier abgedruckte Erklärung
entspricht im Schriftbild der übrigen Beschriftung des Formulars. Die Hervorhebung besteht
in einer Umrandung mit einer schwarzen Linie. Auch die Ankreuzmöglichkeit für das
fehlende Einverständnis ist durch ein auffallendes neben der Erklärung angebrachtes
Kästchen hervorgehoben, so dass dem Gebot des § 4 Abs. 1 Satz 3 BDSG Genüge getan ist,
wenngleich wegen des relativ sparsamen Einsatzes optischer Gestaltungsmittel und des
fehlenden Aussagegehalts der Überschrift mit dem Titel „Ihre Unterschrift“ deutliche
inhaltliche und gestalterische Verbesserungen möglich sind.
- 15 -
1.2.2.2
Allgemeine Beurteilung der Online-Anmeldung
Die Anmeldung zur Teilnahme am Payback Programm ist auch über ein Anmeldeformular im
Internet unter www.payback.de möglich.
Die Teilnahmebedingungen für das Payback Programm sowie die Hinweise zum
Datenschutz und die Nutzungsbedingungen für den E-Mail-Newsletter und Payback SMS
sind für den Kunden einfach einzusehen. Links auf diese Dokumente sind gut sichtbar auf den
Anmeldeseiten angebracht.
Neben der Teilnahme am Payback Programm kann der Kunde drei weitere Leistungen
wählen. Dies sind der Payback E-Mail-Newsletter, Payback SMS sowie exklusive Angebote
per Post. Diese Angebote kann der Kunde durch Ankreuzen eines entsprechenden Feldes
auswählen. In der Voreinstellung der Webseite sind allerdings die Leistungen Payback EMail Newsletter und exklusive Angebote per Post bereits angekreuzt. An dieser Stelle wird
wiederum das Prinzip der Einwilligung umgekehrt. Der Kunde, der diese Angebote nutzen
möchte, muss hierfür keine Aktivität entwickeln. Dagegen muss der Kunde, der diese
Angebote nicht in Anspruch nehmen möchte und mit der dafür erforderlichen Nutzung seiner
Daten nicht einverstanden ist, dem ausdrücklich widersprechen. Aufgrund der diesem Prinzip
innewohnenden Gefahr, dass der Kunde die Voreinstellungen übersieht und somit eine
Erklärung abgibt, die seinem Willen nicht entspricht, ist diese Voreinstellung unzulässig.
Der Wortlaut der Einwilligungserklärung ist im Online-Formular anders gefasst als in dem
schriftlichen Anmeldeformular. Dieser lautet:
Ich bin damit einverstanden, dass meine Daten gemäß Ziffer 2 der Hinweise
zum Datenschutz (Link) zur Erstellung der ggf. von mir bezogenen Services
(E-Mail-Newsletter, Informationen per Post oder Payback SMS) und zu
Zwecken der Marktforschung von Payback, den Partnerunternehmen und
Loyalty Partner genutzt werden. Eine solche Nutzung erfolgt nur bei Bezug der
Services. Ihr Einverständnis können Sie jederzeit gegenüber dem Payback
Kundenservice, Anschrift, oder der Loyalty Partner GmbH widerrufen.
Die Möglichkeit eines Opt-In liegt in dieser Konstruktion grundsätzlich darin, dass der Kunde
die von ihm gewünschten Services selbst auswählen und dadurch den Umfang der
Einwilligungserklärung bestimmen kann. Diese Lösung ist im Grundsatz datenschutzgerecht;
wegen der oben beschriebenen Voreinstellungen genügt die Einwilligungserklärung im
Hinblick auf den E-Mail-Newsletter sowie auf die Informationen per Post jedoch nicht den
oben festgestellten Anforderungen.
Im Übrigen ergeben sich keine Unterschiede zu der Bewertung des schriftlichen
Anmeldeformulars.
1.2.2.3
Einzelne Vorgänge der Datenverarbeitung
Die im Folgenden aufgeführten Vorgänge der Datenverarbeitung sind nach dem oben
beschriebenen Anforderungsprofil nur mit einer Einwilligung des Teilnehmers zulässig. Diese
muss die jeweiligen Vorgänge hinreichend verständlich und bestimmt beschreiben.
1.2.2.3.1.
Erhebung der Freiwilligen Angaben sowie bestimmter Stammdaten und
Programmdaten zu Werbezwecken
- 16 -
Mit dem Anmeldeformular werden auch freiwillige Angaben des Kunden abgefragt. Diese
sind:
Familienstand (Single, Paar, Verheiratet)
Monatliches Haushaltsnettoeinkommen
PC-Besitz
Anzahl und Geburtsjahr der Kinder
Die freiwilligen Angaben sowie ein Teil der Stammdaten (Geburtsdatum, E-Mail-Adresse
und Telefonnummer) und ein Teil der Programmdaten (Waren- und Dienstleistungsgruppen)
können nur mit Einwilligung des Kunden erhoben werden.
Für die Erhebung der Stamm- und Programmdaten wurde oben bereits festgestellt, dass
hierfür eine ausreichende Einwilligung nicht vorliegt.
Die Angabe der freiwilligen Daten ist dagegen als solche gekennzeichnet; durch die
Überschrift „Freiwillige Angaben“ wird der Kunde in ausreichender Weise auf die
Freiwilligkeit hingewiesen. Die Freiwilligkeit dieser Angaben wird nicht bereits dadurch
beeinträchtigt, dass dem Kunden für das Ausfüllen der Felder der Gewinn einer Urlaubsreise
oder anderer Anreize in Aussicht gestellt wird. Die bloße Möglichkeit eines Gewinns ist noch
kein Anreiz von einem Gewicht, das die Freiwilligkeit des Kunden erheblich beeinflusst.
An dieser Stelle wirkt sich allerdings die bereits oben erwähnte Unbestimmtheit der
Einwilligungserklärung im Hinblick auf die Vorgänge der Datenverarbeitung aus. Der Kunde
wird zwar auf die Freiwilligkeit seiner Angaben hingewiesen, erfährt aber nicht ausdrücklich,
auf welche Weise diese Daten durch wen verarbeitet werden.
1.2.2.3.2
Übermittlung von Kundendaten an Systembetreiber zu Werbezwecken
Im Rahmen des Payback Programms werden die von dem Partnerunternehmen bei einer
dortigen Anmeldung erhobenen Stammdaten sowie die Programmdaten, die beim Einsatz der
Payback Karte in einem der Partnerunternehmen erhoben werden, von diesem an den
Systembetreiber übermittelt.
Dieser Vorgang ist dem Wortlaut der Einwilligungserklärung nicht zu entnehmen. Aus der
Erklärung wird lediglich deutlich, dass u.a. auch die Loyalty Partner GmbH
personenbezogene Daten des Teilnehmers zu Werbe- und Marktforschungszwecken nutzt.
Aus den Hinweisen zum Datenschutz ist dann zu entnehmen, dass das vom Teilnehmer
kontaktierte Partnerunternehmen genau bezeichnete Rabattdaten an Loyalty Partner
übermittelt. Als Zwecke für diese Übermittlung werden zunächst nur Gutschrift, Abrechnung
gegenüber dem Partnerunternehmen, Verwaltung und Auszahlung der Rabatte angegeben.
Dass diese Daten von Loyalty Partner auch zu Werbezwecken und zur Marktforschung
verwendet werden, ergibt sich aus Ziff. 2 der Hinweise zum Datenschutz. Dies betrifft
gleichfalls die Stammdaten und freiwilligen Angaben des Teilnehmers. Die Darstellung in
den Hinweisen zum Datenschutz ist hinreichend verständlich und präzise und genügt somit
den Anforderungen des § 4a BDSG. Dies kann jedoch die Informationsmängel der
Einwilligungserklärung nicht heilen. Auch hier müssen die wesentlichen Punkte, wenn auch
nicht in der gleichen Ausführlichkeit wie in den Hinweisen zum Datenschutz, beschrieben
werden. Die im Rahmen des Payback Programms verwandte Erklärung gibt jedoch keinen
Aufschluss darüber, um welche Daten des Teilnehmers es sich handelt und bei wem diese
- 17 -
Daten erhoben und gespeichert werden.
Auf Grund dieser Unbestimmtheit kann die Einwilligung diese Datenverarbeitungsvorgänge
nicht legitimieren.
1.2.2.3.3
Speicherung und
Werbezwecken
Verarbeitung
durch
den
Systembetreiber
zu
Gleiches gilt auch für die Speicherung und Verarbeitung durch Loyalty Partner. Hier fehlt
ebenfalls in der Einwilligungserklärung die Erwähnung des Umstands, dass und welche Daten
des Kunden Loyalty Partner speichert.
1.2.2.3.4
Erstellung von Kundenprofilen / Data Mining
Für die Erstellung und Auswertung von Kundenprofilen wäre die Einwilligungserklärung
nicht ausreichend. Der bloße Hinweis auf den Zweck der Werbung und Marktforschung, der
in der Einwilligung für das Payback-Programm erfolgt, würde nicht zur Erfüllung des
Informationsbedürfnisses des Kunden genügen (zu den Anforderungen siehe Gutachten,
Anforderungsprofil, Pkte. 1.2.2.3.3 und 1.2.3.3).
1.2.2.3.5
Speicherung und Verarbeitung durch das Partnerunternehmen für
Werbezwecke
Ausweislich der Hinweise zum Datenschutz verfügen die Partnerunternehmen regelmäßig
auch über einen eigenen Bestand an Kundendaten. Dies sind gemäß Ziff. 1 der Hinweise die
Stammdaten und freiwilligen Angaben derjenigen Kunden, die über das Partnerunternehmen
ihre Payback Karte bekommen haben. Aus Ziff. 2 ergibt sich, dass Partnerunternehmen auch
die bei ihnen anfallenden Rabattdaten speichern. Eine Nutzung dieser Daten durch das
Partnerunternehmen für eigene Werbe- und Marktforschungszwecke ist gemäß Ziff. 2 der
Hinweise vorgesehen.
Soweit die Nutzung von Kundendaten über die Verwendung der rechtmäßig erhobenen
Stammdaten hinausgeht, ist hierfür eine Einwilligungserklärung des Kunden erforderlich. Die
im Rahmen des Payback Programms verwendete Einwilligungserklärung genügt für diesen
Vorgang nicht. Denn aus der Erklärung ergibt sich weder, dass die Partnerunternehmen selbst
auch Kundendaten speichern noch erfährt der Kunde, welche seiner personenbezogenen
Daten die jeweiligen Partnerunternehmen speichern und nutzen. Beide Informationen müssen
sich aber bereits aus der Einwilligungserklärung ergeben.
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Kundenbindungssystems
Payback sind folgende datenschutzrechtliche Verstöße festzustellen:
-
Erhebung des vollständigen Geburtsdatums des Kunden im Antragsformular
Erhebung der Waren- und Dienstleistungsgruppe beim Einsatz der Payback-Karte
Die Einwilligungserklärung, die der Kunde bei Anmeldung erklärt, ist mit folgenden Mängeln
behaftet, die zur Unwirksamkeit der Einwilligung führen:
- 18 -
-
Erklärung durch „Opt-Out“ (hier in der „Auskreuzvariante“)
Es fehlt eine ausreichende Aufklärung über die Freiwilligkeit der Einwilligung
Die Information über die verantwortliche Stelle und undeutlich und für den Kunden
verwirrend.
Es fehlt eine hinreichende Aufklärung über die zu verarbeitenden Datenkategorien im
Text der Einwilligungserklärung.
Es fehlt eine hinreichende Aufklärung über die Vorgänge der Datenverarbeitung im Text
der Einwilligungserklärung.
Die optische Hervorhebung der Einwilligung ist zwar ausreichend, aber
verbesserungsfähig.
Die Online-Anmeldung enthält Voreinstellungen innerhalb der Einwilligungserklärung,
die das grundsätzlich angewandte Opt-In faktisch in ein Opt-Out umkehren.
- 19 -
2.
Happy Digits
Ende des Jahres 2001 haben die Deutsche Telekom und KarstadtQuelle gemeinsam die
Kundenkarte Happy Digits auf den deutschen Markt gebracht. Seither wurden nach Angaben
der Zeitschrift „Card-Forum“ mehr als 10 Millionen Hauptkarten an Kunden ausgegeben5.
Herausgeber der Karte ist die CAP Customer Advantage Program GmbH, an der zu 51% die
Deutsche Telekom AG und zu 49 % die KarstadtQuelle AG beteiligt sind. Zu den
Partnerunternehmen zählen u.a. Karstadt, Quelle, die Deutsche Telekom, Neckermann,
Kaiser´s und Tengelmann.
Die Funktionsweise des Programms ist ähnlich wie die von Payback. Eine Happy Digits
Karte erhält der Kunde bei einem der Partnerunternehmen oder über die Internetadresse
www.happydigits.de. Das Partnerunternehmen Karstadt hatte vor der Einführung des Happy
Digits Programms die Karstadt Kundenkarte herausgegeben, die nach dem Start von Happy
Digits in eine Happy Digits Karte umgewandelt wurde.
Die Höhe des auf Waren oder Dienstleistungen gewährten Rabattes beträgt gewöhnlich einen
Digit pro Euro Umsatz. Ein Digit hat einen festen Gegenwert von 0,01 Euro, so dass sich ein
Rabatt von 1% ergibt. Die Gutschrift der Digits erfolgt durch die CAP, ebenso die Einlösung,
die entweder in Form einer Auszahlung, einer Sachprämie oder eines Gutscheins möglich ist.
Die Happy Digits Karte ist als so genannte Karstadt Master Card, die in Kooperation mit der
KarstadtQuelle Bank herausgegeben wird, auch mit Kreditkartenfunktion erhältlich.
2.1
- Erhebung von Stammdaten
Die Erhebung der Stammdaten erfolgt wie im Payback Programm durch das
Partnerunternehmen, wenn der Antrag dort abgegeben wird, oder bei einer Direktanmeldung
durch den Systembetreiber, in diesem Fall CAP. Als Stammdatum wird auch hier neben dem
Namen und der Anschrift das vollständige Geburtsdatum des Kunden erfragt. Wie oben
bereits beschrieben (Pkt. 1.1, S. 8), ist diese Erhebung auf gesetzlicher Grundlage nicht
zulässig und auch in diesem Fall nicht durch eine Einwilligung des Kunden gedeckt. Für
Letzteres fehlt es an einem entsprechenden Hinweis auf die Freiwilligkeit der Angabe.
- Übermittlung der Stammdaten an CAP
Soweit die Erhebung zulässig ist, ist auch die Übermittlung der Daten an die CAP zulässig.
- Speicherung durch CAP
Gleiches gilt für die Speicherung und Nutzung der Daten durch die CAP zur Abwicklung des
Rabattprogramms.
- Erhebung der Programmdaten durch das Partnerunternehmen
5
Angaben aus Card-Forum 04/2003, S. 28/29.
- 20 -
Nach der Beschreibung in den Hinweisen zum Datenschutz werden die Programmdaten über
den Einsatz der Karte bei dem jeweils kontaktierten Partnerunternehmen erhoben. Dabei
handelt es sich um folgende Datenkategorien:
Happy Digits Teilnehmernummer
Datum des Einkaufs
Kennung des Partnerunternehmens
Summe der gesammelten Digits
Informationen über die Höhe des Einkaufs und die gekauften Waren (nach
Warengruppen)
Die Erhebung dieser Daten ist in gleicher Weise wie im Payback Programm (vgl. Pkt. 1.1,
S. 9) zu beurteilen. Für die Kenntnis der Warengruppe besteht im Hinblick auf den Zweck der
Rabattabwicklung kein zwingendes Erfordernis. Deren Erhebung ist somit gesetzlich nicht
zulässig und wie bereits oben für Payback erläutert auch nicht aufgrund einer Einwilligung
gerechtfertigt.
- Übermittlung an CAP
Die Übermittlung der übrigen zulässig erhobenen Programmdaten
Partnerunternehmen an die CAP als Systembetreiber ist ebenfalls zulässig.
durch
das
- Speicherung der Programmdaten durch CAP
Die Speicherung und Nutzung dieser Programmdaten zum Zweck der Rabattabwicklung ist
ebenfalls zulässig.
Laut der Hinweise zum Datenschutz kann der Teilnehmer des Happy Digits Programms
jederzeit formlos Auskunft über die bei der CAP über den Teilnehmer gespeicherten Daten
verlangen. Er erhält die begehrte Auskunft unverzüglich per Post.
In den Hinweisen zum Datenschutz ist beschrieben, dass der Teilnehmer die CAP jederzeit
auffordern kann, seine personenbezogenen Daten zu löschen. Nach Angaben der CAP werden
Kundendaten bei Kündigung durch den Teilnehmer nach entsprechender Vertragsabwicklung
oder Einzeldaten auf Wunsch des Teilnehmers unverzüglich gelöscht.
- Karstadt Master Card
Der Antrag für die Karstadt Master Card ist von dem Antrag für die Happy Digits Karte
getrennt. Es werden zwei unterschiedliche Antragsformulare verwendet. Während das
Antragsformular für die Happy Digits Karte über das Partnerunternehmen bzw. das Happy
Digits Service Center an die CAP geleitet wird, wird das Antragsformular entweder direkt
oder über das Karstadt Service Center der Karstadt Quelle Bank übergeben. Eine Erhebung
der Daten des Master Card Antrags findet daher nur bei der Karstadt Quelle Bank bzw. ggf.
zusätzlich bei dem Karstadt Service Center statt.
Aus der Einwilligungserklärung für die Karstadt Master Card ergibt sich jedoch, dass die
Angaben für diese Karte auch von der CAP sowie der am Happy Digits Programm
- 21 -
teilnehmenden Partnerunternehmen gespeichert, verarbeitet und genutzt werden.
Wörtlich lautet die Einwilligungserklärung:
„Ich bin damit einverstanden, dass meine links stehenden persönlichen Daten
und die Programmdaten des Bonusprogramms (Anzahl der gesammelten
Punkte und deren Verwendung, Art der gekauften Waren/Dienstleistungen und
meine freiwilligen Angaben) unter der Wahrung des Bankgeheimnisses von
der Karstadt Quelle Bank sowie der CAP Customer Advantage Program GmbH
als Betreiberin des Happy Digits Programms und ihren Partnerunternehmen zu
schriftlichen Beratungs- und Informationszwecken (Werbung) über Produkte
und Dienstleistungen der jeweiligen Partnerunternehmen sowie zur
Marktforschung gespeichert, verarbeitet und genutzt werden.“
Grundsätzlich ist die Speicherung und Verarbeitung der Daten durch die genannten
Unternehmen mit einer Einwilligung des Kunden zulässig. Die vorliegende
Einwilligungserklärung entspricht jedoch nicht den im Anforderungsprofil dargelegten
Anforderungen.
Zum einen ist die hier gewählte Streichlösung nicht ausreichend. Es fehlt weiterhin an einer
hinreichenden Hervorhebung der Erklärung im Sinne des § 4a Abs. 1 Satz 4 BDSG. Die
Erklärung ist im Fließtext zusammen mit anderen Erklärungen abgedruckt und im Fettdruck
überschrieben mit „Einwilligung in Beratung, Information (Werbung) und Marketing“. Dies
reicht nicht aus, um eine ausreichende optische Hervorhebung der Erklärung zu den übrigen
Erklärungen zu erzielen.
Da die CAP somit neben den im Rahmen des Happy Digits Programms anfallenden Daten
auch über die Kundendaten aus dem Kreditantrag verfügt, besteht die Gefahr, dass diese
Datenbestände zusammengeführt und gemeinsam ausgewertet werden. Ein solches Verfahren
ist von den Betreibern des Happy Digits Programms nicht bestätigt worden. Für eine
gemeinsame Auswertung der Datenbestände reicht die vorliegende Einwilligungserklärung
nicht aus. Es fehlt hier an einem Hinweis auf die erfolgende Auswertung der Daten (siehe
dazu Anforderungsprofil Pkt. 1.2.3.3).
2.2
Die im Rahmen des Happy Digits Programms bei der schriftlichen Anmeldung verwandte
Einwilligungserklärung hat den folgenden Wortlaut:
„Einwilligung in Beratung, Information (Werbung) und Marketing
Ich bin damit einverstanden, dass meine obigen Daten und meine
Programmdaten (Anzahl gesammelte Digits und deren Verwendung; gekaufte
Waren und Dienstleistungen; freiwillige Angaben) von der Customer
Advantage Program GmbH (CAP), Anschrift, als Betreiberin des Happy Digits
Programms und ihren Partnerunternehmen zu Marktforschungs- und
Werbezwecken gespeichert, verarbeitet und genutzt werden. Näheres hierzu in
der Datenschutzerklärung, die Sie mit Ihrer Karte erhalten. Sind Sie nicht
einverstanden, streichen Sie die Klausel. Eine Streichung hat keinen Einfluss
- 22 -
auf Ihre Teilnahme. Ihre Einwilligung können Sie jederzeit gegenüber der CAP
widerrufen. Daten von Minderjährigen werden automatisch von der
Datennutzung ausgeschlossen.“
2.2.1
Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)
Zu beachten ist an dieser Stelle, dass für die Beurteilung der Einwilligungserklärung des
Happy Digits Programms nur auf die Angaben im Anmeldeformular und der darauf
abgedruckten Einwilligungserklärung abgestellt werden kann. Daneben gibt es zwar
Allgemeine Teilnahmebedingungen und Hinweise zum Datenschutz (teilweise auch als
Datenschutzerklärung bezeichnet), die das Verfahren der Datenverarbeitung ausführlicher
beschreiben. Diese Dokumente sind dem Kunden bei der Abgabe seines Antrags i.d.R. jedoch
nicht bekannt. Die vorformulierten Erklärungen des Kunden verweisen zwar auf diese
Bedingungen, aber gleichzeitig verweisen sie auch darauf, dass diese zusammen mit der
Happy Digits Karte an den Kunden versandt werden oder per Faxabruf angefordert werden
können. Eine weitere Möglichkeit zur Einsichtnahme in die Bedingungen wird im
Antragsformular nicht angegeben.
Im Hinblick auf die Allgemeinen Teilnahmebedingungen stellt sich hier die Frage, ob diese
gemäß § 305 Abs. 2 BGB wirksam in den Vertrag einbezogen wurden.
In datenschutzrechtlicher Hinsicht müssen für die Beurteilung der Einwilligungserklärung die
zusätzlichen Angaben in den Hinweisen zum Datenschutz ausgeklammert werden.
Maßgeblich ist der Kenntnisstand des Betroffenen im Zeitpunkt der Abgabe der
Einwilligungserklärung, der vorliegend nur die aus dem Antragsformular ersichtlichen
Angaben umfasst.
2.2.1.1 Form der Einwilligungserklärung
-
Schriftform
Die Einhaltung der Schriftform ist durch Unterschrift des Kunden gewahrt.
-
Bewusste Erklärung durch aktives Tun
Die Unterschrift des Kunden wird auf dem Formular gemeinsam mit anderen Erklärungen der Bestätigung der Richtigkeit der Angaben und Anerkennung der Allgemeinen
Teilnahmebedingungen - erteilt. Somit kann hierin eine ausdrückliche Erklärung der
Einwilligung nicht gesehen werden.
Die Aufforderung zur Streichung der Klausel im Falle fehlenden Einverständnisses reicht für
eine wirksame Einwilligung nicht aus.
2.2.1.2 Freie Entscheidung
Die Erklärung der Einwilligung in die Verwendung der Daten zu Werbe- und
Marktforschungszwecken ist keine Voraussetzung für die Teilnahme am Happy Digits
Programm. Dies wird auch aus der Einwilligungserklärung deutlich.
Hinsichtlich der weiteren Angaben zu E-Mail-Adresse, Telefon- oder Mobilfunknummer
- 23 -
fehlt zwar ein förmlicher Hinweis darauf, dass die Angabe dieser Daten freiwillig und ohne
Auswirkung auf die Teilnahme am Programm ist. Die Gestaltung des Antragsformulars in
verschiedene Abschnitte, die mit einzelnen Überschriften versehen sind, macht jedoch
deutlich, dass für eine Teilnahme nur die Abschnitte 1 und 4 auszufüllen sind. Nur diese
Überschriften beziehen sich auf das Happy Digits Programm, während aus den Überschriften
der Absätze 2 und 3 hervorgeht, dass es sich dort um zusätzliche Angebote handelt.
2.2.1.3 Information des Kunden
Auf dem Anmeldeformular sind verschiedene Beteiligte des Happy Digits Programms
aufgeführt. Zum einen ist der Name des Partnerunternehmens, welches das Antragsformular
bereitstellt, z.B. Karstadt, auf dem Anmeldebogen abgedruckt. Als Adressat des
Anmeldeformulars wird neben dem kontaktierten Partnerunternehmen das Happy Digits
Service Center angegeben. Die Einwilligungserklärung stellt aber, wenn auch vergleichsweise
kleingedruckt und somit optisch unauffällig, klar, dass Betreiberin des Programms und damit
verantwortliche Stelle für die Datenverarbeitung die CAP ist. Offen bleibt jedoch in der
Einwilligungserklärung, ob daneben auch die Partnerunternehmen selbst die im Happy Digits
Programm anfallenden Kundendaten speichern, verarbeiten und nutzen. Nach dem Wortlaut
der Einwilligungserklärung wäre dies eventuell zu bejahen, zumindest aber nicht
auszuschließen.
Über die bei Antragstellung aktuell teilnehmenden Partnerunternehmen wird der Kunde
zwar nicht im Anmeldebogen informiert, jedoch ergibt sich aus der Broschüre, in die dieser
Bogen integriert ist, und aus dem Aufdruck auf der beiliegenden vorläufigen Happy Digits
Karte eine Auflistung der teilnehmenden Partnerunternehmen. Für den Zeitpunkt der
Antragstellung ist diese Form der Information ausreichend. Für zukünftige
Informationswünsche des Teilnehmers enthalten die Hinweise zum Datenschutz, die mit
Zugang beim Teilnehmer diesem bekannt werden, Verweise auf Informationsquellen.
Die im Rahmen des Programms zu Werbezwecken verarbeiteten Datenkategorien werden in
der Einwilligungserklärung im Wesentlichen aufgeführt. Etwas verwirrend sind die hierfür
gewählten Formulierungen. So wird nicht deutlich, was bei der Aufzählung der
Programmdaten unter der „Verwendung“ der gesammelten Digits zu verstehen ist und
welches innerhalb der Programmdaten die „freiwilligen Angaben“ im Gegensatz zu den zuvor
genannten „obigen Daten“ sind. Die Formulierung „nach Warengruppen“ ist ebenfalls für den
Kunden nicht transparent.
Hinsichtlich der Vorgänge der Datenverarbeitung ist die Einwilligungserklärung
unzureichend informativ. Hier werden lediglich die Speicherung, Verarbeitung und Nutzung
sowohl durch die CAP als auch durch die Partnerunternehmen genannt. Wer die Kundendaten
erhebt und ob bzw. über welchen Datenbestand die einzelnen Beteiligten verfügen, wird
daraus nicht deutlich.
Über die Zwecke der Datenverarbeitung wird der Kunde hinreichend informiert. In der
Überschrift wird der Zweck der Werbung zwar beschönigend als Beratung und Information
beschrieben, aus der ausdrücklichen Benennung der Werbung (im Klammerzusatz und im
Text der Erklärung) ergibt sich dieser Zweck aber zweifelsfrei.
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung unter Benennung
eines Ansprechpartners.
- 24 -
Hinweise auf das Auskunftsrecht und die Löschung der Daten enthält die
Einwilligungserklärung nicht; diese sind jedoch auch nicht zwingend erforderlich. Eine
solche Aufklärung sowohl über das Auskunftsrecht als auch über die Löschung der Daten und
die Möglichkeit des Teilnehmers, die CAP oder Partnerunternehmen zur Löschung der Daten
aufzufordern, erfolgt jedoch in den Hinweisen zum Datenschutz.
2.2.1.4 Hervorhebung im Schriftbild
Die Einwilligungserklärung wird gemeinsam mit der Erklärung über die Richtigkeit der
Angaben und die Anerkennung der Allgemeinen Teilnahmebedingungen abgegeben. Die
datenschutzrechtliche Einwilligung ist somit gemäß § 4a Abs. 1 Satz 4 BDSG im Schriftbild
hervorzuheben. Beide Erklärungen sind ohne optische Trennung in gleicher Schrift direkt
hintereinander auf dem Antragsformular abgedruckt. Die datenschutzrechtliche Einwilligung
ist dabei mit einer gesonderten Überschrift versehen, die jedoch in der gleichen Schrift und
Größe wie der übrige Text gedruckt und von dem nachfolgenden Text auch nicht durch eine
Leerzeile abgesetzt ist. Die Überschrift des gesamten Abschnitts ist zwar drucktechnisch
hervorgehoben, enthält aber keinen Hinweis auf den Inhalt der nachfolgenden Erklärungen.
Die erforderliche Hervorhebung ist somit nicht erfolgt.
2.2.2
Bei der Beurteilung der Anmeldung über das Internet ergeben sich an einigen Stellen
Abweichungen gegenüber der schriftlichen Anmeldung.
Die hier verwandte Einwilligungserklärung lautet wie folgt:
„Ich bin damit einverstanden, dass meine bei Happy Digits erhobenen
persönlichen Daten (Namen, Anschrift, Geburtsdatum) und Programmdaten
(Anzahl der gesammelten Digits, Art der gekauften Waren / Dienstleistungen
und Ihre freiwilligen Angaben) von der CAP Customer Advantage Program
GmbH („CAP“) als Betreiberin des Happy Digits Programms und den
jeweiligen
Partnerunternehmen
zu
schriftlichen
Beratungsund
Informationszwecken (Werbung) über Produkte und Dienstleistungen der
jeweiligen Partnerunternehmen sowie zur Marktforschung gespeichert,
verarbeitet und über die von mir unten ausgewählten Informationskanäle
genutzt werden.
Ihre Einwilligung ist freiwillig und hat keine Auswirkungen auf Ihre
Teilnahme am Programm.
Ihr Einverständnis können Sie jederzeit unter der Servicerufnummer ... (0,12
Euro pro Minute aus dem Festnetz der Deutschen Telekom) oder schriftlich an
das Happy Digits Service Team, 53248 Spich widerrufen.
Personenbezogene Daten von Teilnehmern unter 18 Jahren werden
automatisch nicht in Werbung und Marktforschung einbezogen.
❏
Ich konnte vom Inhalt der Datenschutzhinweise (Link) Kenntnis
nehmen und bin mit der o.g. Nutzung der Daten einverstanden.“
Der erste wesentliche Unterschied zu der schriftlichen Einwilligung besteht darin, dass die
Einwilligungserklärung im Internet als Opt-In gestaltet ist und in diesem Punkt anders als die
- 25 -
schriftliche Einwilligung den Anforderungen genügt.
Der zweite Unterschied ist ebenso grundlegend wie der erste: Anders als in der schriftlichen
Einwilligung sind hier die Hinweise zum Datenschutz Bestandteil der Anmeldung
geworden, so dass deren Inhalte ergänzend zur Einwilligungserklärung zur Beurteilung des
Informationsgehaltes herangezogen werden können.
Was sich im Hinblick auf die verantwortliche Stelle für die Datenverarbeitung in der
Einwilligungserklärung bereits andeutet, nämlich dass sowohl die CAP als auch die
Partnerunternehmen diese Funktion übernehmen, bestätigt sich in den Hinweisen zum
Datenschutz. Dort heißt es im ersten Abschnitt unter der Überschrift „Datenschutzrechtliche
Verantwortung“: „Wir, die CAP und die an Happy Digits beteiligten Partnerunternehmen,
sind Ihnen gegenüber verantwortlich für die Einhaltung der gesetzlichen Bestimmungen,
insbesondere nach dem Bundesdatenschutzgesetz.“
Im Hinblick auf die erfolgenden Vorgänge der Datenverarbeitung und die daran jeweils
beteiligten Stellen sind jedoch auch die Hinweise zum Datenschutz zumindest im Hinblick
auf die Verwendung zu Werbezwecken nicht wesentlich aufschlussreicher. Der entsprechende
Abschnitt über die Verwendung zu Werbezwecken lautet wie folgt:
„Wenn Sie in die Nutzung der persönlichen Daten und Programmdaten zu
Beratung, Information (Werbung) und Marketing eingewilligt haben, werden
diese bei den Partnerunternehmen erhobenen Daten von CAP treuhänderisch
für diese gespeichert und auch von den Partnerunternehmen in den Grenzen der
Einwilligung zu den genannten Zwecken ausgewertet und genutzt.“
Die Verwendung der Kundendaten durch die Partnerunternehmen wird in diesem
Abschnitt nur unzulänglich beschrieben. So erfährt der Kunde nicht, ob die
Partnerunternehmen selbst auch speichernde Stellen sind. Vor allem aber bleibt unklar,
welche Daten die jeweiligen Partnerunternehmen zu Werbezwecken verwenden, d.h. ob sie zu
diesem Zweck nur Daten ihrer eigenen Kunden verwenden oder ob sie auch auf die bei der
CAP zu fremden Kunden gespeicherten Daten zugreifen können. Hierin liegt aber ein so
wesentlicher Unterschied, dass sich diese Information auch bereits aus dem Text der
Einwilligungserklärung selbst ergeben sollte.
2.2.3
2.2.3.1
Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten und
Programmdaten
Auch im Rahmen des Happy Digits Programms ist die Erhebung und Verarbeitung einiger
Stammdaten (hier Geburtsdatum) und Programmdaten (Waren- und Dienstleistungsgruppen)
nur mit einer Einwilligung zulässig. Eine wirksame Einwilligung hierfür liegt jedoch aus den
oben geschilderten Gründen nicht vor (siehe Pkt. 2.1).
Hinsichtlich der Erhebung der freiwilligen Angaben (z.B. E-Mail-Adresse, Telefonnummer)
liegt jedoch eine ausreichende Einwilligung unter Hinweis auf die Freiwilligkeit der Angaben
vor (siehe Pkt. 2.2.1.2).
2.2.3.2
Übermittlung von Kundendaten an den Systembetreiber
- 26 -
Das kontaktierte Partnerunternehmen erhebt bei einer Anmeldung des Kunden dessen
Stammdaten und freiwillige Angaben sowie bei einem späteren Einsatz der Karte die
Programmdaten. Sämtliche Daten werden durch das Partnerunternehmen an den
Systembetreiber übermittelt.
Dieser Vorgang wird nicht in der Einwilligungserklärung beschrieben. Eine ausreichende
Beschreibung findet sich nur in den Hinweisen zum Datenschutz, die aber für die schriftliche
Anmeldung nicht ergänzend herangezogen werden können. Gleichwohl ist die vorliegende
Beschreibung in der Einwilligungserklärung als ausreichend anzusehen. Denn der Kunde
erfährt den Empfänger der Daten (CAP) und er erfährt auch aus dem Einwilligungstext,
welche seiner Daten von der CAP verarbeitet werden. Es fehlt in der Einwilligung des Happy
Digits Programms lediglich die Beschreibung, auf welche Weise die CAP diese Kundendaten
erlangt, ob sie also die Daten entweder selbst erhebt oder diese über ein Partnerunternehmen
erhält. Dieser Unterschied ist für den Kunden ohne wesentliche Bedeutung. Ist an der
Datenbeschaffung der CAP ein Partnerunternehmen beteiligt, dann ist dieses dem Kunden
stets - auch in seiner Funktion als Partner des Happy Digits Programms - bekannt. Die
Datenerhebung durch das Partnerunternehmen findet auf Grund eigener Initiative des Kunden
statt, der entweder das Anmeldeformular dort abgibt oder seine Kundenkarte vorlegt.
Dieser Vorgang ist daher auf Grund der Einwilligung des Kunden zulässig.
2.2.3.3
Speicherung und Verarbeitung durch den Systembetreiber
Bereits der Einwilligungserklärung lässt sich entnehmen, dass die CAP die ebenfalls
benannten Kundendaten zu Werbezwecken speichert, verarbeitet und nutzt. Diese
Beschreibung ist für sich genommen ausreichend.
In diesem Punkt entsteht erst dann Unklarheit, wenn ergänzend die Hinweise zum
Datenschutz betrachtet werden. Dort heißt es, die bei den Partnerunternehmen erhobenen
Daten würden „treuhänderisch“ für diese durch die CAP gespeichert. Dies deutet darauf hin,
dass die CAP als Auftragnehmerin für die Partnerunternehmen tätig wird. Ob tatsächlich eine
Datenverarbeitung im Auftrag vorliegt, ist jedoch zweifelhaft.
Eine Datenverarbeitung im Auftrag nach § 11 BDSG liegt vor, wenn der Auftraggeber zur
Erledigung einer ihm obliegenden Aufgabe einen Auftragnehmer mit der Verarbeitung der
dafür erforderlichen Daten beauftragt. Die Verantwortung für die Datenverarbeitung bleibt
bei dem Auftraggeber, § 11 Abs. 1 BDSG. Von einer Auftragsdatenverarbeitung kann nur
gesprochen werden, wenn eine Aufgabe an sich vom Auftraggeber wahrgenommen wird und
nur gewisse Hilfs- bzw. Unterstützungsfunktionen vom Auftragnehmer ausgeführt werden6.
Eine Auftragsverarbeitung ist ausgeschlossen, wenn der Auftragnehmer ein eigenes Interesse
an der Verarbeitung der Daten hat und so für eigene Zwecke tätig wird7.
Wenn überhaupt, dann kann vorliegend eine Datenverarbeitung im Auftrag nur für den Zweck
der Werbung und Marktforschung angenommen werden. Hierbei handelt es sich um eine
Aufgabe der Partnerunternehmen. Bei der Bestimmung des Interesses an der Verarbeitung der
Daten zu Werbezwecken treten jedoch Abgrenzungsschwierigkeiten auf. Das Interesse der
Partnerunternehmen liegt auf der Hand. Das Interesse der CAP an der Verarbeitung zu
Werbezwecken betrifft zunächst ihren Geschäftsbereich als „Unterstützer“ der
6
7
Bergmann/Möhrle/Herb, § 11 Rn 8; Walz in: Simitis, BDSG, § 11 Rn 18 f.
Weichert, DuD 2003, 161 (164).
- 27 -
Partnerunternehmen bei Werbe- und Marktforschungsmaßnahmen. Dieses Interesse entspricht
dem typischen Interesse des Auftragsdatenverarbeiters, dessen Geschäftsbereich die
Unterstützung anderer Unternehmen ist. Daneben ist aber auch zu beachten, dass die CAP
Betreiberin des gesamten Happy Digits Programms ist. Die Abwicklung des
Bonusprogramms ist ihr eigenes Geschäftsfeld, das sie eigenverantwortlich betreibt. Die
Datenverarbeitung für die Zwecke der Rabattabwicklung erfolgt unzweifelhaft in eigener
Verantwortung der CAP. Werbeaktionen im Rahmen des Happy Digits Programms werden
zwar primär für die Partnerunternehmen durchgeführt, sind aber vielfach auch Werbung in
eigener Sache für Happy Digits und haben damit auch Wirkung für die CAP. Aufgrund dieser
Aufgaben- und Interessenvermischung dürfte keine klare Trennung der Interessen in solche
der Partnerunternehmen und solche des Systembetreibers vorgenommen werden können.
Auch steht die Annahme einer Auftragsdatenverarbeitung im Widerspruch zu der Aussage in
den Hinweisen zum Datenschutz, die CAP sei gegenüber dem Kunden verantwortlich für die
Einhaltung der datenschutzrechtlichen Bestimmungen. Eine Einschränkung wird hier nicht
vorgenommen, wäre aber erforderlich, wenn für den Zweck der Werbung und
Marktforschung ausschließlich die Partnerunternehmen verantwortlich wären.
Zusammenfassend ist festzuhalten, dass die Einwilligungserklärung für diesen Vorgang der
Datenverarbeitung ausreichend ist. Die Hinweise zum Datenschutz enthalten zwar die
irreführende Formulierung der „treuhänderischen“ Datenverarbeitung. Da sich aus dem
Gesamtzusammenhang ergibt, dass die CAP auch für diesen Vorgang verantwortliche Stelle
ist, wird die Wirksamkeit der Einwilligung hierdurch nicht berührt.
2.2.3.4
Die Einwilligungserklärung des Kunden bezieht sich ausschließlich auf die Zwecke der
Werbung und Marktforschung. Ein Hinweis auf diesen Zweck wäre für eine Einwilligung in
die Bildung und Auswertung von Kundenprofilen für sich genommen nicht ausreichend. Im
Hinblick auf diese Zielrichtung werden die Hinweise zum Datenschutz deutlicher. Diese
werden aber nicht in allen Fällen wirksam in den Vertrag einbezogen und können somit als
Ergänzung der Einwilligungserklärung nur in bestimmten Fällen herangezogen werden (siehe
Pkte. 2.2.1 und 2.2.2).
In den Hinweisen zum Datenschutz wird unter der Überschrift „Transparenz und
Datennutzung“ ausgeführt, dass personenbezogene Daten des Kunden u.a. verarbeitet werden,
um den Kunden bei entsprechender Einwilligung maßgeschneiderte Angebote und gezielte
Tipps zum Sammeln von noch mehr Digits und Informationen geben zu können. Zweck sei es
auch, dem Kunden Informationen, an denen dieser nach eigenen Angaben nicht interessiert
ist, zu ersparen. Hieraus kann der Kunde schließen, dass die Werbeansprache durch die CAP
gezielt und auf der Grundlage von weiteren Informationen als Name und Adresse
vorgenommen wird. Er kann daraus ersehen, dass seine Daten zu dem Zweck verarbeitet
werden, seine Interessensschwerpunkte herauszufinden und diese Erkenntnisse für gezielte
Werbemaßnahmen nutzbar zu machen. Nicht übersehen kann der Kunde jedoch, welche
Daten in diesen Prozess einfließen und auf welche Weise diese ausgewertet werden.
Abgesehen davon, dass die Hinweise zum Datenschutz für viele Anmeldungen rechtlich nicht
von Bedeutung sind, wäre diese Beschreibung noch nicht hinreichend deutlich, um dem
Kunden die Tragweite seiner Einwilligung auf die Bildung von Profilen bewusst zu machen.
2.2.3.5
Speicherung und Verarbeitung durch das Partnerunternehmen
- 28 -
Nach der Beschreibung in der Einwilligungserklärung speichern, verarbeiten und nutzen auch
die Partnerunternehmen die Kundendaten zu Zwecken der Werbung und Marktforschung. Der
Umfang dieser Nutzung ergibt sich hieraus jedoch nicht, d.h. es bleibt unklar, ob
Partnerunternehmen auch andere Daten als die ihrer eigenen Kunden erhalten.
Nach Auskunft der CAP ist dies nicht der Fall; Partnerunternehmen haben danach immer nur
Zugriff auf den Datenbestand ihrer eigenen Kunden.
Hält sich die Datenverarbeitung durch die Partnerunternehmen in diesem Rahmen, ist sie
durch die Einwilligung des Kunden gedeckt. Dieser ist darüber aufgeklärt, dass die
Partnerunternehmen Kundendaten zu Werbe- und Marktforschungszwecken verwenden. Über
seinen Karteneinsatz kann er die Empfänger der Daten selbst auswählen.
Für die Übermittlung von weiteren Daten als die der eigenen Kunden bietet die
Einwilligungserklärung keine hinreichende Grundlage. Da dies Partnerunternehmen umfassen
würde, die dem Kunden u.U. nicht persönlich bekannt sind und er mit einer Übermittlung
seiner Daten an solche Unternehmen nicht rechnen würde, wäre hierfür ein ausdrücklicher
Hinweis erforderlich.
Zusammenfassung:
Happy Digits sind folgende datenschutzrechtliche Verstöße festzustellen:
-
Erhebung des vollständigen Geburtsdatums des Teilnehmers.
Erhebung der Waren- bzw. Dienstleistungsgruppe beim Einsatz der Kundenkarte.
Die Einwilligung ist aufgrund folgender Mängel unwirksam:
-
Verwendung der so genannten Streichlösung
Unzureichende Information des Kunden über die Vorgänge der Datenverarbeitung,
insbesondere darüber, welche Vorgänge bei den am Programm Beteiligten
(Systembetreiber und Partnerunternehmen) ablaufen.
Unzureichende optische Hervorhebung der Einwilligungserklärung.
- 29 -
3.
Lufthansa Miles & More
Mit inzwischen 10 Jahren ist Lufthansa Miles & More das älteste und erste
unternehmensübergreifende Kundenbindungssystem dieser Art auf dem deutschen Markt. Im
Januar 1993 wurde das Vielfliegerprogramm eingeführt und konnte seitdem mehr als 7
Millionen Teilnehmer gewinnen8.
Meldet sich ein Kunde für das Vielfliegerprogramm an, so richtet die Deutsche Lufthansa für
ihn ein so genanntes Meilenkonto ein und stellt dem Teilnehmer eine Miles & More Karte
aus. Unter Vorlage dieser Karte erhält der Teilnehmer bei einer Vielzahl von Unternehmen
für eine mindestens ebenso große Vielzahl von Leistungen „Meilengutschriften“. Dies gilt
nicht nur für die Buchung von Flügen bei der Lufthansa oder Partnerfluggesellschaften9,
sondern u.a. auch bei der Buchung von Hotelübernachtungen oder Mietwagen, beim
Telefonieren oder beim Abonnieren einer Zeitung. Möglich ist es außerdem, Bonusmeilen
durch den Einsatz der Payback Karte zu sammeln.
Die so gesammelten Meilen können die Teilnehmer für verschiedene Prämien einlösen. Die
Vielfalt der Prämien erschöpft sich nicht in Flügen oder Upgrades der Lufthansa oder
Partnerfluggesellschaften. Sie erstreckt sich auch auf Hotelübernachtungen, Mietwagen,
Finanzlösungen der Deutschen Bank, Sachprämien aus dem Lufthansa Sky Shop und vieles
mehr. Möchte der Kunde seine Meilen in eine Prämie einlösen, so fordert er diese bei der
Lufthansa an. Die Lufthansa stellt dem Teilnehmer daraufhin ein Prämiendokument, d.h.
einen Flugschein oder ein Zertifikat für eine andere Prämie, aus. Sachprämien werden über
den Lufthansa Sky Shop eingelöst und an den Teilnehmer versandt.
Neben diesen Prämienmeilen sammelt der Miles & More-Teilnehmer auch so genannte
Statusmeilen. Die Statusmeilen haben Auswirkungen auf die Einstufung des Kunden im Miles
& More Programm. Teilnehmer mit einer hohen Anzahl solcher Meilen erwerben automatisch
einen besonderen Status, je nach Anzahl entweder den Frequent Traveller- oder den
Senatorenstatus, die mit besonderen Vorzügen verbunden sind. Einer dieser Vorzüge besteht
darin, dass die Teilnehmer mit besonderem Status eine um 25% höhere Gutschrift sowohl von
Prämien- als auch von Statusmeilen erwerben.
Auch die Miles & More Karte ist mit einer Kreditkartenfunktion als Miles & More Visa Karte
erhältlich.
3.1
- Erhebung und Speicherung von Stammdaten durch das Partnerunternehmen
Eine Anmeldung der Kunden für das Miles & More Programm erfolgt stets bei der Lufthansa.
Über das Anmeldeformular werden folgende Stammdaten des Kunden abgefragt:
8
Angaben von der Deutschen Lufthansa AG.
Miles & More Partnerunternehmen sind derzeit die Fluggesellschaften Air Dolomiti, Air One, Austrian
Airlines Group, Eurowings und LOT Polish Airlines. Meilen können daneben auch bei sämtlichen Partnern der
Star Alliance gesammelt und eingelöst werden.
9
- 30 -
Name
Anschrift
Geburtsdatum
Telefon
Fax
Daneben ist jeweils anzugeben, ob es sich um eine private oder geschäftliche Anschrift bzw.
Telefon- / Faxnummer handelt. Welche der beiden Möglichkeiten er wählt, ist dem Kunden
freigestellt. Wählt er die Geschäftsadresse, so ist auch der Firmenname und die Abteilung
anzugeben.
Nach Angaben der Deutschen Lufthansa AG handelt es sich bei der Angabe des
Geburtsdatums um eine freiwillige Angabe. Diese ist jedoch im Antragsformular nicht als
freiwillig gekennzeichnet, so dass mangels Freiwilligkeit nicht von der erforderlichen
Einwilligung des Kunden ausgegangen werden kann.
Die Angabe der Telefon- und Faxnummer ist zur Vereinfachung der Vertragsabwicklung
sinnvoll und grundsätzlich zulässig, jedoch sollte dem Kunden bei der Angabe mehrerer
zusätzlicher Kommunikationsmöglichkeiten freigestellt werden, die Angabe auf ein weiteres
Datum zu beschränken.
Gibt der Kunde eine geschäftliche Adresse an, so geben die Angaben über Firmennamen und
Abteilung Aufschluss über die berufliche Tätigkeit des Teilnehmers. Um den Teilnehmer über
die von ihm angegebene Firmenadresse kontaktieren zu können, sind diese zusätzlichen
Angaben erforderlich, so dass deren Erhebung trotz des weiter gehenden Informationsgehalts
über den Kunden gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig ist.
Ebenfalls ist die Speicherung der zulässig erhobenen Daten rechtmäßig.
- Erhebung der Programmdaten
Anders als bei den bislang untersuchten Kundenbindungssystemen fungiert die Lufthansa im
Miles & More Programm nicht nur als Systembetreiber, sondern ist gleichzeitig auch ein
beteiligtes Partnerunternehmen, für dessen Leistungen Bonuspunkte erworben und eingelöst
werden können.
Die Programmdaten werden im Rahmen des Miles & More Programms also sowohl von der
Lufthansa als auch von den übrigen Partnerunternehmen erhoben.
Die teilnehmenden Fluggesellschaften erheben über den Einsatz der Miles & More Karte bei
Inanspruchnahme von Flugleistungen folgende Daten10:
Flugnummer
Reisedatum
Beförderungsklasse
Abflug- und Zielflughafen
Für eine ordnungsgemäße Verwaltung der Bonusmeilen sind diese Angaben erforderlich im
Sinne des § 28 Abs. 1 Nr. 1 BDSG. Ihre Erhebung ist damit zulässig. Auch die genaue
10
Angaben der Deutschen Lufthansa AG.
- 31 -
Kenntnis über den Flug (Flugnummer und Flugstrecke) ist erforderlich, um eine richtige
Berechnung der gutgeschriebenen Meilen nachprüfen zu können. Während bei einem
Wareneinkauf etwa im Rahmen von Payback oder Happy Digits zur Berechnung der
Punktegutschrift nur der Warenumsatz des Kunden bekannt sein muss, erfordert die
Berechnung der gutzuschreibenden Meilen die Kenntnis der Flugverbindung. Denn
Grundlage für die Berechnung der Bonusmeilen ist nicht der Preis des Flugtickets, sondern
die geflogene Strecke. Zusätzlich wird auch die Beförderungsklasse für die Berechnung der
Meilengutschrift herangezogen. So erhalten Passagiere in der Business Class die zweifache
und Passagiere der First Class die dreifache Anzahl von Prämien- und Statusmeilen.
Partner, die keine Flugleistungen anbieten, erheben folgende Daten11:
Aktivität (z.B. Autovermietung, Hotelbuchung)
Höhe der Meilengutschrift
Zusätzlich zu diesen Angaben dürfte regelmäßig auch das Datum der Leistung und die
Kennung des Partnerunternehmens erhoben werden, da diese Daten erforderlich sind, um die
ordnungsgemäße Gutschrift der Bonusmeilen nachvollziehen zu können. Analog zu den
bereits untersuchten Systemen stellt sich auch hier die Frage, ob die Erhebung der Aktivität
ähnlich der Waren- oder Dienstleistungsgruppe erforderlich ist. Ist Grundlage für die
Berechnung der Bonusgutschrift der Umsatz des Kunden, so ist die Kenntnis der Art der
Aktivität nicht erforderlich.
- Übermittlung an den Systembetreiber
Die Übermittlung der zulässig von den Partnerunternehmen erhobenen Daten an die
Lufthansa ist ebenfalls zulässig.
- Speicherung der Programmdaten durch den Systembetreiber
Gleiches gilt insoweit für die Speicherung der Daten durch die Lufthansa.
Die Erlangung einer Auskunft über die zur Person gespeicherten Daten ist im Rahmen von
Miles & More möglich. Nach Angaben der Deutschen Lufthansa AG werden solche Ersuchen
durch den betrieblichen Datenschutzbeauftragten und über das Miles & More Servicecenter
bearbeitet.
3.2
3.2.1
Die im Antragsformular für das Miles & More Programm verwendete Einwilligungserklärung
(im Folgenden bezeichnet als allgemeine Einwilligungserklärung) lautet wie folgt:
„Ich bin damit einverstanden, dass meine Daten mit Miles & More
11
Angaben der Deutschen Lufthansa AG.
- 32 -
Partnergesellschaften oder Dritten (nur Name, Titel, Anschrift) zu
Werbezwecken ausgetauscht und verarbeitet werden. (Falls nicht, Satz bitte
streichen).
Wenn Sie unsere Angebote künftig nicht mehr erhalten möchten, können Sie
der Verwendung Ihrer Daten für Werbezwecke widersprechen unter: Tel.“
Daneben enthält das Formular auch Möglichkeiten, jeweils in eine Information per SMS
oder E-Mail einzuwilligen. Diese Einwilligungen (im Folgenden bezeichnet als besondere
Einwilligungserklärungen) haben folgenden Wortlaut:
„Hiermit willige ich ein*, dass die nachfolgend aufgeführten und durch
Ankreuzen kenntlich gemachten Unternehmen mir ab sofort dringende
Informationen sowie während der Dauer meiner Reisen verfügbare aktuelle
Informationen zum Reiseverlauf per SMS senden
❑
Deutsche Lufthansa AG oder ein Unternehmen des Lufthansa Konzerns
❑ Miles & More Partnerunternehmen (derzeit: Air Dolomiti, Air One,
Austrian Airlines Group, Eurowings, LOT Polish Airlines).
Hiermit willige ich ein*, von den nachfolgend aufgeführten und durch
Ankreuzen kenntlich gemachten Unternehmen per E-Mail über Angebote,
Aktionen, neue Services und weitere interessante Themen von Lufthansa,
Lufthansa Konzern- sowie Partnerunternehmen informiert zu werden.
❑
Deutsche Lufthansa AG oder ein Unternehmen des Lufthansa Konzerns
❑ Miles & More Partnerunternehmen (derzeit: Air Dolomiti, Air One,
Austrian Airlines Group, Eurowings, LOT Polish Airlines).
*
Mir ist bekannt, dass ich diese Einwilligung jederzeit (insgesamt oder zum
Teil) bei der Deutschen Lufthansa AG als verantwortlicher Stelle widerrufen
kann.“
3.2.1.1
- Schriftform
Durch die Unterschrift des Kunden auf dem Anmeldeformular ist die Schriftform gewahrt.
- Bewusste Erklärung durch aktives Tun
Die allgemeine Einwilligungserklärung bezieht sich auf den Austausch und die Verarbeitung
von Name, Titel und Anschrift. Die Verarbeitung dieser Daten ist bereits auf der gesetzlichen
Grundlage der §§ 28 Abs. 1 Nr. 2, Abs. 3 Nr. 3 BDSG zulässig, so dass es einer Einwilligung
nicht zwingend bedarf. Da die Verarbeitung in diesem Fall nicht über das gesetzliche Maß
hinausgeht, sind an die Form der Erklärung nicht die im Anforderungsprofil für
- 33 -
Kundenbindungssysteme herausgearbeiteten Anforderungen zu stellen. Es bedarf hier damit
keiner ausdrücklichen Erklärung durch ein aktives Tun.
Die besonderen Einwilligungen werden nicht ohne ein Zutun des Kunden erklärt. Die
Erklärung erfordert zum einen die Angabe der Mobilfunknummer oder E-Mail-Adresse und
zum anderen die Auswahl der zu ermächtigenden Unternehmen. Hierin liegt eine den oben
dargestellten Anforderungen genügende Erklärung des Kunden.
Ein ausdrücklicher Hinweis auf die Freiwilligkeit sämtlicher abgedruckter
Einwilligungserklärungen fehlt. Hinsichtlich der allgemeinen Einwilligung ergibt sich die
Freiwilligkeit nur mittelbar aus der Streichoption. Diese Darstellung ist nicht ausreichend,
hier ist ein deutlicher Hinweis erforderlich. Hinsichtlich der anderen Einwilligungen ergibt
sich die Freiwilligkeit der Einwilligung mit hinreichender Deutlichkeit aus dem
Gesamtzusammenhang und den Auswahlmöglichkeiten bezüglich der werbenden
Unternehmen.
Dass die Lufthansa verantwortliche Stelle für die Datenverarbeitung ist, ist zwar im
Antragsformular erwähnt, doch kann dieser Hinweis nicht als ausreichend angesehen werden.
Er befindet sich am linken unteren Rand des Formulars in kleiner Schrift in einem mit *
gekennzeichneten Zusatz. Dieser Zusatz bezieht sich auf die Einwilligungserklärungen in den
SMS- bzw. E-Mail-Versand. Wer diese Einwilligungen jedoch nicht erklärt, hat keine
Veranlassung, den mit * gekennzeichneten Text überhaupt zu lesen, obwohl die Information
über die verantwortliche Stelle für alle Teilnehmer von Bedeutung ist.
Über die Identität der beteiligten Miles & More Partnerunternehmen, die auch nach der
allgemeinen Einwilligungserklärung Daten über die Teilnehmer erhalten sollen, wird
ebenfalls nur in den besonderen Einwilligungserklärungen aufgeklärt. Auch hier ist aber ein
allgemein gültiger Hinweis erforderlich.
Die zu Werbezwecken verarbeiteten Daten werden in der allgemeinen
Einwilligungserklärung genannt, so dass hier die Voraussetzungen des § 4a BDSG erfüllt
sind.
Hinsichtlich der Vorgänge der Datenverarbeitung sind die Angaben in der allgemeinen
Einwilligungserklärung ungenau. Es erfolgt kein Hinweis darauf, wer die genannten Daten
speichert und in welche Richtungen der dort genannte Austausch von Daten stattfindet.
Noch ungenauer ist diese Erklärung im Hinblick auf die Empfänger der dort genannten
Daten. Es ist zum einen nicht deutlich, ob Partnerunternehmen im Rahmen des Austausches
nur über eigene Kunden Daten erlangen. Zum anderen sind die empfangenden Dritten nicht
näher präzisiert, was jedoch erforderlich ist.
Auf die Möglichkeit des Widerrufs der Einwilligung bzw. auf das Widerspruchsrecht nach
§ 28 Abs. 4 BDSG wird der Kunde hingewiesen. Es fehlt jedoch eine Belehrung über die
Folgen des Widerrufs bzw. Widerspruchs für die Teilnahme am Miles & More Programm.
Dieser Mangel wiegt hier besonders schwer, da auch bezüglich der Erteilung der
Einwilligungserklärung schon nicht auf deren Freiwilligkeit und Verweigerungsfolgen
- 34 -
hingewiesen wurde.
Hinweise auf das Auskunftsrecht der Teilnehmer sowie auf die Löschung der erhobenen
Daten erfolgen in dem Anmeldeformular in Papierform nicht. Ein Hinweis auf das
Auskunftsrecht
findet
sich
aber
auf
der
Homepage
im
Dokument
„Datenschutzbestimmungen“.
3.2.1.4
Die allgemeine Einwilligung in die Verarbeitung zu Werbezwecken wird gemeinsam mit der
Anmeldung zur Teilnahme abgegeben und bedarf daher einer drucktechnischen
Hervorhebung. Diese erfolgt im Anmeldeformular nicht einmal ansatzweise. Die
datenschutzrechtliche Einwilligungserklärung befindet sich in kleiner Schrift gemeinsam mit
Hinweisen auf die Teilnahmebedingungen im linken unteren Bereich des Anmeldeformulars
und kann eher als versteckt denn als hervorgehoben beschrieben werden.
Die optische Hervorhebung der anderen Einwilligungserklärungen ist dagegen durch eine hier vollkommen ausreichende - schwarze Umrandung erfolgreich umgesetzt.
3.2.2
Hinsichtlich der Erhebung der Stammdaten unterscheidet sich die Online-Anmeldung dadurch
von dem schriftlichen Formular, dass in der ersteren die Angabe des Geburtsdatums freiwillig
ist.
Die Erhebung des Geburtsdatums ist somit auf Grund einer Einwilligung des Kunden
rechtmäßig.
Die allgemeine Einwilligung in den Austausch und die Verarbeitung von Name, Titel und
Anschrift zu Werbezwecken ist im Online-Formular durch eine Ankreuzmöglichkeit als OptIn gelöst.
3.2.3
3.2.3.1
Programmdaten
Aufgrund der Einwilligungserklärung ist nur die Erhebung der dort aufgeführten Daten
Name, Titel und Anschrift zu Werbezwecken zulässig. Die Erhebung von weiteren Daten dies betrifft insbesondere sämtliche Programmdaten - ist hierdurch nicht gedeckt.
3.2.3.2
Eine Übermittlung von Kundendaten an die Lufthansa durch Partnerunternehmen findet nur
bezüglich der Programmdaten statt. Stammdaten wie die in der Einwilligungserklärung
genannten werden durch die Lufthansa erhoben.
3.2.3.3
Speicherung und weitere Verarbeitung durch den Systembetreiber
Auch hier kommt die Einwilligung nur für die Nutzung von Name, Titel und Anschrift zu
Werbezwecken in Betracht.
- 35 -
Eine Verarbeitung von weiteren Daten zu Werbezwecken, insbesondere der Programmdaten,
wäre weder auf Grundlage der Einwilligung noch auf Grund einer gesetzlichen
Verarbeitungsbefugnis
zulässig.
Der
begrenzte
Umfang
der
vorliegenden
Einwilligungserklärung bezieht diese Daten nicht ein und gesetzliche Rechtsgrundlagen sind
nicht erfüllt. Als Rechtsgrundlage für die Verarbeitung der Programmdaten durch die
Lufthansa kommt vorliegend § 28 Abs. 1 Nr. 2 BDSG in Betracht. Dies setzt voraus, dass die
Nutzung für Werbezwecke bereits bei der Erhebung der Programmdaten als Zweck der
Datenverarbeitung festgelegt wurde. Ist dies nicht der Fall, ändert sich die rechtliche
Bewertung jedoch nicht. Die Verwendung zu Werbezwecken wäre dann eine Zweckänderung,
für die die Voraussetzungen des § 28 Abs. 2 BDSG gelten, der seinerseits wiederum auf § 28
Abs. 1 Nr. 2 BDSG verweist.
Die Voraussetzungen des § 28 Abs. 1 Nr. 2 BDSG sind vorliegend jedoch nicht erfüllt. Die
Verarbeitung von personenbezogenen Daten ist danach nur zulässig, soweit es zur Wahrung
berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der
Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der
Verarbeitung oder Nutzung überwiegt. Letzteres ist vorliegend der Fall. Die Lufthansa erhält
durch die Abwicklung des Miles & More Programms eine Vielzahl von Daten über die
Teilnehmer, deren Auswertung zu Marktforschungs- oder Werbezwecken einen
aussagekräftigen Aufschluss über die Person des Teilnehmers ergeben kann. Je nach
Einsatzhäufigkeit der Miles & More Karte können mehr oder weniger aufschlussreiche
Bewegungsprofile erstellt oder Vorlieben für bestimmte Reiseziele aufgedeckt werden.
Sowohl über die berufliche Tätigkeit des Teilnehmers als auch über dessen Privatleben
können so Erkenntnisse gewonnen werden. Einer Profilbildung können schutzwürdige
Interessen der betroffenen Teilnehmer entgegen stehen, die das Marketinginteresse der
Lufthansa überwiegen. Welche schädigenden Wirkungen mit solchen Daten verursacht
werden können, hat sich durch die Veröffentlichung der Angaben zu prominenten Politikern
im Rahmen der so genannten Miles & More-Affäre gezeigt12.
3.2.3.4
Die Einwilligungserklärung für das Lufthansa Miles & More Programm nennt als Zweck der
Datenverarbeitung den der Werbung. Die Erstellung von Kundenprofilen wäre auf Grundlage
dieser Zweckangabe nicht zulässig (siehe oben).
3.2.3.5
Speicherung und weitere Verarbeitung durch das Partnerunternehmen
Die Einwilligungserklärung sieht vor, dass die Miles & More Partnergesellschaften Name,
Titel und Anschrift zu Werbezwecken erlangen. Welches diese Partnerunternehmen sind,
ergibt sich aus der Einwilligungserklärung nicht, ist aber im Zusammenhang mit den
besonderen Einwilligungserklärungen zu erschließen.
Nach Auskunft der Deutschen Lufthansa AG werden jedoch auch weitere Daten an die
Kooperationspartner übermittelt. Die Partner-Fluggesellschaften (Austrian Airlines, LOT
Polish Airlines, Eurowings, Air One, Air Dolomiti) erhalten über Teilnehmer, die bereits
einmal mit dem Unternehmen geflogen sind oder die im Heimatmarkt der Gesellschaft
wohnen13, Stammdaten und die Flugdaten des jeweiligen Partners. Mit entsprechender
12
13
Dazu DANA 4/2002, S. 18.
Dieses sind folgende Einzugsgebiete: Austrian Airlines: Österreich und Schweiz; LOT: Polen; Air Dolomiti:
- 36 -
Einwilligung des Teilnehmers wird auch die E-Mail-Adresse übermittelt.
An sonstige Partnerunternehmen, etwa die Partnergesellschaften aus dem Star-AllianceVerbund oder weitere Partnerunternehmen, die nicht Fluggesellschaften sind, werden nach
Auskunft der Deutschen Lufthansa AG keine Kundendaten übermittelt. Diese
Partnerunternehmen haben keine Möglichkeit, Daten der Miles & More Teilnehmer zu
Werbezwecken zu nutzen.
3.2.3.6
Übermittlung an Dritte und Verwendung zu Werbezwecken
Die Einwilligungserklärung sieht auch eine Übermittlung von Name, Titel und Anschrift der
Teilnehmer an Dritte vor. Wegen ihrer Unbestimmtheit bezüglich der Empfänger der Daten
kann die Einwilligungserklärung eine solche Übermittlung nicht rechtfertigen.
Nach Auskunft der Deutschen Lufthansa AG findet eine Übermittlung von Teilnehmerdaten
an Dritte nicht statt. Diese Aussage findet sich auch auf der Homepage des Miles & More
Programms in dem Dokument „Datenschutzbestimmungen“.
Zusammenfassung:
Lufthansa Miles & More sind folgende datenschutzrechtliche Verstöße festzustellen:
-
Die Einwilligungserklärung ist aufgrund folgender Mängel unwirksam:
-
Unzureichender Hinweis auf die verantwortliche Stelle,
unzureichender Hinweis auf die beteiligten Partnerunternehmen bei der allgemeinen
Einwilligungserklärung,
unzureichender Hinweis auf die Vorgänge der Datenverarbeitung und Empfänger der
Daten,
fehlender Hinweis auf die Folgen des Widerrufs,
fehlende optische Hervorhebung der allgemeinen Einwilligungserklärung.
Italien.
- 37 -
4.
webmiles
Das Programm webmiles wird seit 1999 in Deutschland von der webmiles GmbH, an der u.a.
die Bertelsmann Services Group beteiligt ist, betrieben. Zur Teilnahme am Programm ist eine
Registrierung des Kunden erforderlich, die dieser direkt bei webmiles oder einem der
webmiles Partnerunternehmen vornehmen kann. Die webmiles GmbH richtet für jeden
Teilnehmer ein so genanntes webmiles Konto ein, auf dem die bei den Partnerunternehmen
gesammelten Bonuspunkte in Form von so genannten webmiles gutgeschrieben werden.
Solche webmiles können für verschiedene Leistungen der angeschlossenen
Partnerunternehmen erworben werden. Partnerunternehmen sind zum Beispiel der ADAC,
American Express, die Berliner Sparkasse, Deutsche BA, debitel, buecher.de oder Rossman
Online.
Außerdem können webmiles Teilnehmer auch für umsatzunabhängige Aktivitäten
Bonuspunkte erlangen. Die webmiles GmbH bietet über das Programm webmiles direkt den
webmiles Teilnehmern bestimmte Leistungen an, für die sie Bonuspunkte erwerben können.
Die Anmeldung zu dem Service webmiles direkt wird bereits mit 500 webmiles belohnt.
Dafür erklärt sich der Teilnehmer bereit, Werbung per E-Mail zu empfangen und an
Befragungen teilzunehmen, was jeweils mit Bonuspunkten belohnt wird. Gleichzeitig gibt der
Teilnehmer weitere Daten zu seiner Person und seinen Interessen preis.
4.1
Die Anmeldung für das webmiles Programm kann entweder bei webmiles oder bei einem der
am Programm beteiligten Partnerunternehmen erfolgen. Dabei werden folgende Stammdaten
des Antragstellers erhoben:
Name
Anschrift
Geburtsdatum
E-Mail-Adresse
Die Erhebung des Geburtsdatums ist zur Rabattabwicklung nicht erforderlich und somit
unzulässig.
Meldet sich ein Teilnehmer für das zusätzliche Programm webmiles direkt an, werden auf
freiwilliger Basis zusätzlich weitere Daten über den Teilnehmer erhoben, wie etwa Angaben
zur Ausbildung, zu Hobbies und zur Nutzung des Internets.
- Übermittlung der Stammdaten an den Systembetreiber
Werden die Daten bei einem der Partnerunternehmen erhoben, so übermittelt dieses die Daten
im Anschluss an die webmiles GmbH. Soweit die Datenerhebung zulässig ist, ist auch eine
solche Übermittlung zulässig.
- 38 -
- Speicherung durch den Systembetreiber
Gleiches gilt für die Speicherung der Daten bei der webmiles GmbH.
Daten über Geschäfte, für die webmiles-Punkte erworben werden können, werden entweder
durch das kontaktierte Partnerunternehmen erhoben oder durch die webmiles GmbH, wenn
die Bonuspunkte dort gesammelt werden.
Als Programmdaten werden nach Angaben von webmiles folgende Daten erhoben:
Username / Teilnehmerkennung
Kennzeichnung des Partnerunternehmens
Buchungsdatum
getätigter Umsatz
Anzahl der webmiles
Die Kenntnis dieser Daten ist für die Verwaltung des webmiles-Bonuskontos erforderlich, so
dass deren Erhebung zulässig ist.
Informationen über den Warenkorb werden nach Aussage von webmiles nicht erhoben
und an die webmiles GmbH übermittelt. Nur bei bestimmten Sonderaktionen lasse sich der
Grund für die Transaktion im Nachhinein feststellen.
Im Widerspruch zu dieser Aussage stehen die Ausführungen in Ziffer 12.2. Abs. 3 der
Teilnahmebedingungen. Dort heißt es wörtlich: „Transaktionsdaten, die Rückschlüsse auf das
konkrete Einkaufsverhalten der Teilnehmer bieten können, wie getätigte Umsätze, bestellte
Waren oder das verkaufende Unternehmen werden auf keinen Fall an Dritte weitergegeben.“
Die Kenntnis über die erworbenen Waren oder die Art der getätigten Transaktion ist i.d.R. auch nach eigenen Angaben von webmiles - für die Bonusabwicklung nicht erforderlich, so
dass eine Erhebung dieser Daten nicht zulässig wäre.
Die Übermittlung der zulässig erhobenen Programmdaten an den Systembetreiber webmiles
GmbH ist ebenfalls zulässig. Nach Auskunft der webmiles GmbH werden nur diejenigen
Daten an webmiles übermittelt, die zur Gutschrift auf dem webmiles Konto benötigt werden.
In diesem Umfang ist auch die Speicherung durch die webmiles GmbH zulässig.
- Gewährleistung der Betroffenenrechte
Über das Auskunftsrecht des Betroffenen enthalten die Teilnahmebedingungen für das
webmiles Programm keine Aussage. Die Auskunft wird den Teilnehmern nach Auskunft der
webmiles GmbH jedoch auf Anfrage gewährt. Die webmiles GmbH verweist darauf, dass der
Teilnehmer seine Daten jederzeit auf der Website von webmiles selbst einsehen kann. Eine
Auskunft durch die webmiles GmbH auf Anfrage des Kunden muss hierüber hinausgehen und
- 39 -
sämtliche personenbezogene Daten umfassen.
Die Löschung der Daten ist in Ziffer 12.1 der Teilnahmebedingungen beschrieben. Danach
werden die gespeicherten Stamm- und Transaktionsdaten gelöscht, wenn sie zur
Durchführung des Programms nicht mehr benötigt werden. Kündigt der Kunde seine
Teilnahme am Programm, so werden gemäß Ziffer 12.1 der Teilnahmebedingungen alle
persönlichen Daten drei Monate nach Beendigung der Teilnahme gelöscht. Die webmiles
werden nach Auskunft der webmiles GmbH auf ein Systemkonto gebucht und haben keinen
Bezug mehr zu den einzelnen Transaktionsdaten.
4.2
Im Rahmen des webmiles Programms werden die Daten der Teilnehmer auch zu Zwecken der
Werbung und Marktforschung verwendet.
4.2.1
Allgemeine Beurteilung der Einwilligungserklärung
Bei seiner Anmeldung für das webmiles Programm erklärt der Kunde Folgendes:
„Ja, ich habe die webmiles AGB und die dort gesondert hervorgehobenen Hinweise
zum Datenschutz gelesen und erkläre mich mit den Geschäftsbedingungen
einverstanden.“
- Schriftform
Die Anmeldung für das webmiles Programm ist sowohl schriftlich über ein Antragsformular
als auch elektronisch über das Internet möglich.
- Ausdrückliche Erklärung
In der Formulierung der Einwilligungserklärung fehlt ein eindeutiger Hinweis darauf, dass
der Kunde sich mit Ankreuzen des entsprechenden Feldes mit der Verarbeitung seiner
personenbezogenen Daten einverstanden erklärt. Mittelbar kann der Kunde dies nur daraus
schließen, dass die Erklärung u.a. auch auf die Hinweise zum Datenschutz verweist. Dieser
Hinweis ist nicht ausreichend, es fehlt ein Hinweis darauf, dass eine Verarbeitung von
Kundendaten stattfindet, die in den Hinweisen zum Datenschutz beschrieben ist.
Da das Ankreuzen dieser Erklärung nicht wie andere Felder als optionale Angabe
gekennzeichnet ist, ist davon auszugehen, dass das Ankreuzen und somit die Erklärung der
datenschutzrechtlichen Einwilligung Voraussetzung für die Teilnahme am webmiles
Programm ist.
Für den Kunden ist nicht erkennbar, dass ihm das Ankreuzen der Erklärung freigestellt ist.
- 40 -
Die im Antragsformular enthaltene, oben zitierte Erklärung, enthält keinerlei Information für
den Kunden.
Zwar ist eine ausführliche und ausreichende Information in den Teilnahmebedingungen und
den Hinweisen zur Datenverwendung bei webmiles enthalten. Diese Information kann jedoch
die Einwilligungserklärung nur ergänzen, nicht aber diese vollständig ersetzen. Die
Teilnahmebedingungen und Hinweise zur Datenverwendung können das Informationsdefizit
der Einwilligungserklärung nicht heilen.
Die Einwilligungserklärung in die Datenverwendung, die gemeinsam in einem Satz mit der
Anerkennung der AGB erfolgt, ist auf dem Anmeldeformular nicht hervorgehoben. Auch die
Hinweise zum Datenschutz, die den Inhalt der Einwilligung beschreiben, sind nicht
ausreichend hervorgehoben. Die Hervorhebung besteht hier einzig darin, dass die Überschrift
„Datenschutz, Nutzung der personenbezogenen Daten des Teilnehmers“ unterstrichen ist.
Aufgrund des Umfangs der Teilnahmebedingungen reicht diese Hervorhebung jedoch nicht
aus.
Zusammenfassung:
webmiles sind folgende datenschutzrechtliche Verstöße festzustellen:
-
-
Es fehlt eine ausdrückliche Erklärung der datenschutzrechtlichen Einwilligung.
Es fehlt an der Erkennbarkeit für den Kunden, dass die Erklärung freiwillig ist.
Der Erklärung fehlen Informationen über die Verarbeitung der Kundendaten.
Die Erklärung ist optisch nicht hervorgehoben.
- 41 -
5.
Vodafone-Stars
Für ihre Vertragskunden bietet die Vodafone D2 GmbH das Bonusprogramm Vodafone-Stars
an. Voraussetzung für die Teilnahme ist ein Vertrag mit der Vodafone D2 GmbH über die
Erbringung von Mobilfunkdienstleistungen, entweder als Vertrag mit Mindestlaufzeit oder als
D2 CallYa-Vertrag.
Für die Teilnahme am Programm ist eine Anmeldung bei der Vodafone D2 GmbH
erforderlich, die im Anschluss ein Punkte-Konto für den Teilnehmer eröffnet und dort
eingehende Punktegutschriften verwaltet. Bonuspunkte kann der Teilnehmer für verschiedene
umsatzunabhängige Leistungen erwerben. Hierzu gehört z.B. die Werbung von neuen
Mobilfunkkunden für die Vodafone D2 GmbH oder die Mitteilungen von Adressänderungen
über das Internet. Die Möglichkeiten zum Bonuspunkteerwerb variieren von Zeit zu Zeit.
Über das Internet oder einen kostenlosen Faxabruf kann sich der Kunde über die aktuellen
Erwerbsmöglichkeiten und die Anzahl der zu vergebenden Bonuspunkte informieren.
Ein Erwerb von Bonuspunkten ist darüber hinaus bei Kooperationspartnern möglich. Die
Bedingungen für die Bonusgewährung legen die Partner selbst fest. Zu den
Kooperationspartnern gehören unter anderem Sixt Autovermietung, Citibank, Online-Shops
wie Rossmann Online oder der Internet-Reiseveranstalter Travelchannel.
Die Einlösung des Bonusguthabens ist nur bei der Vodafone D2 GmbH zu einem Wert von
0,01 Euro je Bonuspunkt möglich. In der Regel erfolgt die Auszahlung des Guthabens durch
eine Gutschrift zur Inanspruchnahme von Mobilfunkdienstleistungen. Darüber hinaus ist aber
auch eine Einlösung in Sachprämien, in Prämien oder Dienstleistungen der
Kooperationspartner oder als Spende für ausgesuchte Hilfsorganisationen möglich. Möglich
ist außerdem eine Übertragung der bei Vodafone-Stars gesammelten Punkte auf ein Miles &
More Konto.
Teilnehmer, die einen Mobilfunkvertrag mit Mindestlaufzeit abgeschlossen haben, können im
Rahmen von Vodafone Stars zusätzlich zur Rabattgewährung in verschiedene Status-Stufen,
und zwar Silber, Gold oder Platin, eingestuft werden. Die Einstufung ist abhängig von der
Höhe des über die Mobilfunknummer getätigten Netto-Umsatzes. Als so genannter StatusTeilnehmer erhält der Kunde besondere Zusatzleistungen. Dazu gehört unter anderem auch
die Möglichkeit, für umsatzabhängige Leistungen Bonuspunkte zu erwerben, was den übrigen
Teilnehmern nicht möglich ist.
5.1
- Erhebung von Stammdaten durch Vodafone D2
Die Teilnahme am Vodafone-Stars Programm setzt einen Antrag des Kunden gegenüber der
Vodafone D2 GmbH voraus. Mittels des Formulars erhebt die Vodafone D2 GmbH von ihren
Vertragskunden nur die Vodafone-Rufnummer. Anhand der Rufnummer wird der Kunde
identifiziert und das Bonusprogramm dem zu Grunde liegenden Mobilfunkvertrag
zugeordnet.
Möglich ist es darüber hinaus auch, eine andere Person als den Vertragspartner als
- 42 -
Teilnehmer von Vodafone-Stars unter der Rufnummer des Vertragspartners zu registrieren.
Zusätzlich zur Rufnummer des Vertragspartners werden von dem Dritten, also dem Nutzer
der Vodafone-Stars-Karte, folgende Stammdaten erhoben:
Name
Anschrift
E-Mail-Adresse
Geburtsdatum
Bei der Erhebung dieser Daten handelt es sich nicht um eine unzulässige Erhebung bei einem
Dritten, da nach dem Formular eine Unterschrift des Nutzers erforderlich ist.
Die Erhebung des Geburtsdatums ist mangels Erforderlichkeit nicht zulässig.
In dem Umfang der zulässigen Erhebung ist auch die Speicherung und Verarbeitung der
Stammdaten durch die Vodafone D2 GmbH zulässig.
- Erhebung und Verarbeitung der Programmdaten durch die Vodafone D2 GmbH
Da die Vodafone D2 GmbH selbst auch Bonuspunkte für bestimmte Leistungen vergibt,
erhebt sie in diesem Rahmen so genannte Programmdaten über die der Punktegutschrift zu
Grunde liegenden Leistungen.
Hierbei wird es sich zumeist um bestimmte Realhandlungen der Teilnehmer handeln, die mit
einer Bonusgutschrift belohnt werden, wie etwa Mitteilungen über das Internet oder die
Werbung von Neukunden. Um die ordnungsgemäße Gewährung der Bonuspunkte
nachträglich nachvollziehen zu können, ist auch die Erhebung und Speicherung des
Gegenstands dieser Leistung erforderlich.
Zum Teil werden Bonusgutschriften auch für umsatzabhängige Leistungen gewährt. StatusTeilnehmer können so für ihren Nettoumsatz eine Treue-Gutschrift erhalten. In solchen Fällen
ist zum Zweck der Abwicklung des Bonussystems auch die Erhebung und Speicherung bzw.
die Nutzung der Umsatzdaten erforderlich und somit zulässig.
Erwirbt ein Teilnehmer Bonuspunkte bei einem der Kooperationspartner, so erhebt dieser
Daten über den zu Grunde liegenden Vorgang, um die Bonuspunkte mit der Vodafone D2
GmbH abrechnen zu können. Um welche Daten es sich dabei handelt, ist aus den Unterlagen
zum Vodafone-Stars Programm nicht zu erfahren. Auch eine diesbezügliche Anfrage bei der
Vodafone D2 GmbH ergab keinen näheren Aufschluss. Nach Angaben der Vodafone D2
GmbH findet ein Datenaustausch mit Partnerunternehmen lediglich insoweit statt, als dies für
Prämieneinlösungen oder Punkteeintragungen erforderlich sei.
Sollten darüber hinaus weitere Daten erhoben werden, die für die Abwicklung der
Bonuspunktegewährung nicht erforderlich sind, wie etwa Art und Gegenstand des zu Grunde
liegenden Geschäfts, wäre eine solche Erhebung nicht zulässig.
- 43 -
- Übermittlung an den Systembetreiber sowie Speicherung durch diesen
In dem gleichen Rahmen ist auch eine Übermittlung der Programmdaten an die Vodafone D2
GmbH sowie eine Speicherung der Daten durch diese zulässig.
Weder die Einwilligungserklärung noch die Teilnahmebedingungen enthalten Hinweise über
eine Löschung der Daten oder das Auskunftsrecht der Betroffenen. Nach Auskunft der
Vodafone D2 GmbH werden die Verbindungsdaten der Teilnehmer im Rahmen des Vodafone
Stars Programms nicht länger gespeichert, als dies gesetzlich zulässig ist.
5.2
Im Rahmen des Vodafone-Stars Programms werden Daten der Teilnehmer auch zu Zwecken
der Werbung und Marktforschung durch die Vodafone D2 GmbH genutzt.
5.2.1
Das Anmeldeformular enthält folgende Einwilligungserklärung:
„Einwilligung zur Nutzung meiner Bestands- und Verbindungsdaten
Die Vodafone D2 GmbH (VF D2) darf meine Verbindungsdaten
(personenbezogene Daten, die bei der Bereitstellung und Erbringung von
Telekommunikationsdienstleistungen erhoben werden) zur bedarfsgerechten
Gestaltung von Telekommunikationsdienstleistungen verarbeiten und nutzen.
VF D2 darf außerdem meine Bestandsdaten (personenbezogene Daten, die
erhoben werden, um das Vertragsverhältnis einschließlich seiner inhaltlichen
Ausgestaltung zu begründen oder zu ändern) verarbeiten und nutzen, soweit
dies zu meiner Beratung, Werbung und Marktforschung erforderlich ist. Die
Einwilligung gilt für alle meine Vodafone-Karten, die über mein Kundenkonto
(d.h. mit derselben Rechnung) abgerechnet werden, dem die o.g. Rufnummer
zugeordnet ist.“
- Schriftform
Die Schriftform ist gewahrt.
Eine bewusste, aktive Erklärung des Kunden liegt hier nicht vor. Die unterhalb der Erklärung
geforderte Unterschrift bezieht sich auf den gesamten Antrag und kann somit nicht als
Erklärung der Einwilligung angesehen werden. Eine Möglichkeit, die Unterschrift ohne die
Erklärung der Einwilligung zu leisten, wird dem Kunden nicht gegeben.
- 44 -
Die Erklärung für das Fehlen einer solchen Möglichkeit ergibt sich aus den
Teilnahmebedingungen. Dort heißt es in Ziff. 2.3:
„Voraussetzung für die Teilnahme an Vodafone-Stars ist, dass der
Vertragspartner des Vertrags, der der teilnehmenden VF D2-Rufnummer zu
Grunde liegt, in die Verarbeitung und Nutzung seiner Verbindungsdaten zur
bedarfsgerechten Gestaltung von Telekommunikationsdienstleistungen sowie
in die Verarbeitung und Nutzung seiner Bestandsdaten zur Beratung, Werbung
und Marktforschung eingewilligt hat.“
In Ziff. 8.2 der Teilnahmebedingungen wird deutlich, wie der Begriff „Voraussetzung“ im
vorangegangenen Zitat zu verstehen ist:
„VF D2 hat das Recht, den Teilnehmer aus dem Programm auszuschließen
oder die Gewährung einzelner Leistungen einzustellen, wenn ... oder wenn die
datenschutzrechtliche Einwilligung in die Verarbeitung und Nutzung von
Daten (siehe Ziff. 2.3) fehlt oder widerrufen wird.“
Nach Auskunft der Vodafone D2 GmbH führt jedoch ein Widerruf der Einwilligung nicht zur
Beendigung der Teilnahme am Vodafone Stars Programm.
Die Einwilligung des Kunden in die Nutzung der Bestands- und Verbindungsdaten zu
Werbezwecken beruht somit nicht auf der freien Entscheidung des Betroffenen. Wer an dem
Vodafone-Stars Programm teilnehmen möchte, hat keine andere Wahl als dieser
Datennutzung zuzustimmen.
Ein Verstoß gegen das Kopplungsverbot aus dem Telekommunikationsrecht ist hierin nicht
zu sehen. Der hier einschlägige § 89 Abs. 10 TKG (Telekommunikationsgesetz) besagt, dass
die geschäftsmäßige Erbringung von Telekommunikationsdiensten und deren
Entgeltfestlegung nicht von der Angabe personenbezogener Daten abhängig gemacht werden
darf, die für die Erbringung oder Entgeltfestlegung dieser Dienste nicht erforderlich sind. Die
Erbringung der Mobilfunkleistung durch die Vodafone D2 GmbH ist durch die hier
vorliegende Einwilligung in keiner Weise tangiert.
Bezüglich
der
vorliegenden
Einwilligungserklärung
ist
aber
neben
dem
telekommunikationsrechtlichen Kopplungsverbot auch § 4a BDSG zu beachten. Bei dem
Bonusprogramm handelt es sich nicht um Telekommunikationsleistungen, so dass hier das
BDSG anwendbar ist. Im Rahmen dieser Vorschrift gilt der Grundsatz des Kopplungsverbots
in allgemeiner Form, insbesondere bezüglich der Zwecke Werbung und Marktforschung
(vgl. §§ 28 Abs. 4, 29 Abs. 4 BDSG). Dies bedeutet, dass die begehrte Leistung nicht von der
Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die
Erbringung der Leistung nicht erforderlich ist (siehe oben, datenschutzrechtliches
Anforderungsprofil). Die begehrte Leistung, auf die im Rahmen des Bonusprogramms
abzustellen ist, ist nicht die Erbringung von Mobilfunkleistungen, sondern vielmehr die
Gewährung und Auszahlung von Bonuspunkten. Letzteres ist Gegenstand des Vertrages über
die Teilnahme an Vodafone Stars. Die Teilnahme an diesem Bonusprogramm darf somit nach
den Grundsätzen des § 4a BDSG nicht von der Einwilligung in eine Datenverarbeitung
abhängig gemacht werden, die für den Zweck des Bonusprogramms nicht erforderlich ist.
Für die Abwicklung des Bonusprogramms ist die Nutzung der Verbindungs- und
- 45 -
Bestandsdaten
zu
Zwecken
der
bedarfsgerechten
Gestaltung
von
Telekommunikationsdienstleistungen bzw. der Marktforschung und Werbung nicht
erforderlich. Die Kopplung der Teilnahme an eine entsprechende Einwilligung des Kunden ist
daher nicht zulässig, so dass die Einwilligung schon aus diesem Grund unwirksam ist.
Über die Vodafone D2 GmbH als verantwortliche Stelle wird der Kunde hinreichend
informiert.
Über die angeschlossenen Kooperationspartner wird der Kunde dagegen nicht ausreichend
informiert. In den Teilnahmebedingungen erfährt er zwar, dass auch Partnerunternehmen an
dem Programm beteiligt sind, die ihrerseits Bonuspunkte gewähren. Welche Unternehmen
hierzu gehören, ergibt sich hieraus jedoch nicht. Es wird auch keine Möglichkeit genannt,
eine Übersicht über die Partnerunternehmen zu erhalten.
Auch die Aufklärung über die Datenkategorien, die zu Werbezwecken genutzt werden
sollen, ist nicht ausreichend. Die Einwilligungserklärung gibt zur Erläuterung der
Verbindungsdaten und Bestandsdaten lediglich eine allgemeine Definition dieser Begriffe an.
Dies allein reicht jedoch zur Aufklärung des Kunden nicht aus. Erforderlich ist hier eine
präzise Aufzählung der genutzten Datenkategorien, damit der Kunde sich über den Umfang
der Datennutzung zweifelsfrei im Klaren ist.
Die Vorgänge der Datenverarbeitung sind in der Einwilligungserklärung hinreichend
deutlich beschrieben. Gleiches gilt für die Zwecke der Datenverarbeitung.
Ein Hinweis auf das Widerrufsrecht des Kunden und ebenso auf die - hier möglichen
negativen - Folgen eines Widerrufs für die Teilnahme an Vodafone-Stars fehlt in der
Einwilligungserklärung. Ebenso fehlt ein umfassender Hinweis auf das Auskunftsrecht des
Kunden. In den Teilnahmebedingungen wird lediglich die Möglichkeit genannt, Auskunft
über den Punktestand zu erlangen. Ein Hinweis auf die Löschung der Daten fehlt gänzlich.
Da hier auch Verbindungsdaten gespeichert und im Rahmen der Teilnahme am
Bonusprogramm genutzt werden sollen, die einer besonderen gesetzlichen Löschungspflicht
unterliegen, wäre aus Gründen der Transparenz für den Kunden ein ausdrücklicher Hinweis
auf die Löschungsfrist angezeigt. Nach Auskunft der Vodafone D2 GmbH führt die
Einwilligung im Rahmen des Vodafone-Stars Programms nicht dazu, dass die
Verbindungsdaten länger als gesetzlich vorgeschrieben gespeichert werden.
5.2.1.4
Die Einwilligungserklärung bedarf hier einer besonderen Hervorhebung, da sie zusammen mit
der Erklärung über den Antrag abgegeben wird. Die Hervorhebung ist im Antragsformular
durch eine fett gedruckte Überschrift und eine Plazierung des Einwilligungstextes an einer
auffälligen Stelle im Formular in der Nähe zur Unterschrift gewährleistet.
5.2.2
Die Online-Anmeldung für das Vodafone Stars Programm zeichnet sich gegenüber der
Anmeldung in Papierform dadurch aus, dass im Internet eine ausdrückliche Erklärung des
Kunden durch Ankreuzen der Einwilligungserklärung erforderlich ist, die den Anforderungen
- 46 -
an die Erklärung der Einwilligung genügt.
5.2.3
5.2.3.1
Erhebung bestimmter Stammdaten
Die Erhebung des Geburtsdatums des Nutzers der Vodafone-Karte, der nicht gleichzeitig
Vertragspartner ist, erfolgt nicht auf gesetzlicher Grundlage. Die Erhebung dieses Datums ist
nicht zulässig. Der Nutzer erklärt keine Einwilligung zur Nutzung seiner Daten, sondern
unterzeichnet lediglich eine Erklärung, dass ihm bekannt sei, dass seine Daten gemäß den
geltenden Datenschutzbestimmungen verarbeitet werden. Diese Erklärung stellt keine
Einwilligung in eine Datenverarbeitung dar, die über das gesetzliche Maß hinausgeht.
5.2.3.2
Nutzung der Bestands- und Verbindungsdaten durch den Systembetreiber
Als gesetzliche Grundlage für die Verarbeitung der Verbindungsdaten durch die Vodafone
D2 GmbH kommt § 89 Abs. 2 Nr. 2 TKG in Betracht. Die Erhebung, Verarbeitung oder
Nutzung ist danach zulässig, soweit dies für das bedarfsgerechte Gestalten von
geschäftsmäßigen Telekommunikationsdiensten erforderlich ist. Daten in Bezug auf den
Anschluss, von dem der Anruf ausgeht, dürfen nur mit Einwilligung des Anschlussinhabers
verwendet werden. Daten in Bezug auf den angerufenen Anschluss müssen unverzüglich
anonymisiert werden.
Erforderlich ist demnach zusätzlich eine Einwilligung des Kunden. Die Anforderungen an
diese Einwilligung richten sich gemäß der zu § 89 TKG erlassenen TelekommunikationsDatenschutzverordnung (§ 3 Abs. 1 TDSV) nach den Regelungen der TDSV und des
Bundesdatenschutzgesetzes. Da die TDSV jedoch über die Regelung von Formvorschriften
hinaus keine speziellen Anforderungen an die Einwilligung vorsieht, ist hauptsächlich auf die
Anforderungen des § 4a BDSG abzustellen. Die Einwilligung des Kunden genügt aus den
oben genannten Gründen den Anforderungen des § 4a BDSG nicht.
Die Speicherung dieser Daten wäre nach geltender Rechtslage aber nur für eine bestimmte
Dauer zulässig. Verbindungsdaten dürfen von dem Telekommunikationsunternehmen nur so
lange gespeichert werden, wie dies zu Abrechnungszwecken erforderlich ist.
Als Rechtsgrundlage für die Nutzung der Bestandsdaten durch die Vodafone D2 GmbH zu
Zwecken der Werbung und Marktforschung kommt § 89 Abs. 7 TKG in Betracht. Danach
dürfen Telekommunikationsunternehmen die personenbezogenen Daten, die sie für die
Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erhoben
haben, verarbeiten und nutzen, soweit dies für Zwecke der Werbung, Kundenberatung oder
Marktforschung erforderlich ist und der Kunde eingewilligt hat. Auch hier liegt eine
wirksame Einwilligung, die die Anforderungen des § 4a BDSG erfüllt, nicht vor.
5.2.3.3
Die Einwilligungserklärung nennt als Zwecke der Datenverarbeitung die bedarfsgerechte
Gestaltung
von
Telekommunikationsdienstleistungen,
Beratung,
Werbung
und
Marktforschung. Für die Bildung und Auswertung von Kundenprofilen wäre die Einwilligung
auf Grund dieser Zweckbeschreibung nicht ausreichend.
5.2.3.4
- 47 -
Eine Nutzung von Kundendaten durch Partnerunternehmen für die Zwecke der Werbung und
Marktforschung findet nach Angabe der Vodafone D2 GmbH nicht statt. Eine solche Nutzung
wäre auch nicht von einer Einwilligung des Kunden gedeckt, da ein solcher Vorgang in der
Erklärung des Anmeldeformulars nicht erwähnt ist.
Zusammenfassung:
Vodafone Stars sind folgende datenschutzrechtliche Verstöße festzustellen:
-
Erhebung des vollständigen Geburtsdatums des Drittnutzers im Antragsformular
-
-
Es fehlt an der Freiwilligkeit der Einwilligung, das die Leistung an die Einwilligung in
die Verarbeitung und Nutzung der Verbindungsdaten zur bedarfsgerechten Gestaltung
von Telekommunikationsdienstleistungen sowie in die Verarbeitung der Bestandsdaten
zur Beratung, Werbung und Marktforschung gekoppelt ist.
Es erfolgt keine Information über die angeschlossenen Kooperationspartner.
Die Aufklärung über die zu verarbeitenden Datenkategorien ist unzureichend.
- 48 -
6.
Sparda Bank Hamburg Bonusprogramm
Seit dem September 2001 bietet die Sparda Bank Hamburg eG ein Bonusprogramm für ihre
Kunden an. An diesem Programm nimmt automatisch jeder Kunde der Sparda Bank teil.
Nehmen die Kunden bestimmte Leistungen entweder der Sparda Bank (z.B. die Eröffnung
eines Girokontos) oder der beteiligten Partnerunternehmen in Anspruch, erhalten sie dafür
Bonuspunkte, die von der Sparda Bank gutgeschrieben und verwaltet werden. Die so
gesammelten Bonuspunkte können bei der Sparda Bank in bar oder in Form von Prämien
eingelöst werden.
Die Liste der teilnehmenden Partnerunternehmen ist lang. Bei vielen handelt es sich um
Internetpartner, die auf der Webseite der Sparda Bank Hamburg, www.spare-cent.de,
Leistungen anbieten, für die die Kunden eine bestimmte Anzahl Bonuspunkte erlangen
können. Diese Angebote sind regelmäßig auf die Webseiten der Partnerunternehmen verlinkt.
Daneben gibt es auch so genannte Offline Partner, bei denen der Sparda Bank Kunde unter
Einreichung von Coupons oder Formularen oder unter Hinweis auf seine SpardaKundennummer Bonuspunkte erwerben kann. Die Anzahl der zu gewährenden Bonuspunkte
bestimmen die Partnerunternehmen nach eigenem Ermessen, die Höhe eines Bonuspunkts
beträgt 0,01 Euro.
6.1
- Erhebung und Verarbeitung von Stammdaten durch die Sparda Bank
Die für die Abwicklung des Bonusprogramms benötigten Stammdaten werden durch die
Sparda Bank im Rahmen der normalen Kundenbeziehung erhoben.
Die Erhebung oder die spätere Verarbeitung dieser Daten auch für Zwecke der Abwicklung
des Bonusprogramms ist nur dann gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig, wenn dem ein
entsprechender Vertrag mit dem Kunden über die Teilnahme an einem Rabattprogramm zu
Grunde liegt. Nach Angabe der Sparda Bank nimmt jeder Kunde dieser Bank automatisch am
Bonusprogramm teil und wird hierauf bei der Eröffnung der Kundenverbindung per
Kontoauszugsdrucker hingewiesen. Eine Teilnahme kann er jederzeit schriftlich ablehnen.
Die über die Webseite der Sparda Bank Hamburg einzusehenden Formulare für
Kontoeröffnungen und ähnliche Finanzleistungen der Sparda Bank enthaltenen keinerlei
Hinweis auf das Bonusprogramm.
Ob hierdurch ein Rabattvertrag wirksam zustande kommt, ist äußerst fraglich. Eine hierfür
erforderliche Willenserklärung des Kunden ist nicht zu erkennen. Als Anknüpfungspunkt
käme hierfür nur die Unterlassung der angebotenen Ablehnung der Teilnahme in Betracht.
Eine Willenserklärung erfordert jedoch grundsätzlich eine ausdrückliche oder zumindest
konkludente Äußerung eines Willens. Das hier vorliegende bloße Schweigen kann im
Regelfall nicht als Willenserklärung angesehen werden. Auch einer der Ausnahmefälle, in
denen dem Schweigen Erklärungswirkung beigemessen wird, ist hier nicht gegeben. Diese
Ausnahmen betreffen in erster Linie entweder gesetzliche Fiktionen oder Fälle, in denen der
Schweigende nach Treu und Glauben verpflichtet wäre, seinen abweichenden Willen zu
äußern14. Eine Fiktion der Erklärungswirkung auf Grund einer gesetzlichen Vorschrift kommt
14
Vgl. hierzu Palandt-Heinrichs, Einführung vor § 116 Rn 7 ff..
- 49 -
vorliegend nicht in Betracht und auch eine Erklärungspflicht des Kunden nach Treu und
Glauben liegt nicht vor. Im Gegenteil sind hier die Formerfordernisse für die jeweiligen
Erklärungen so verteilt, dass der Kunde in besonderem Maße benachteiligt wird. Während die
Sparda Bank den Kunden lediglich mittels einer Information über den Kontoauszugsdrucker
auf seine Teilnahme hinweist, wird von dem Kunden eine schriftliche Erklärung seiner
Ablehnung verlangt.
Nimmt der Kunde jedoch bewusst Bonusleistungen in Anspruch, so erklärt er damit
konkludent seinen Willen zur Annahme des Rabattvertrages. Durch diese Handlung kommt
ein Rabattvertrag wirksam zustande, so dass ab diesem Zeitpunkt die Verarbeitung der
Kundendaten auch zur Abwicklung des Rabattvertrages gemäß § 28 Abs. 1 Nr. 1 BDSG
zulässig ist. Dies gilt ebenfalls nur in dem bereits bei der Untersuchung der anderen
Programme festgelegten Rahmen. Die Verarbeitung von Geburtsdatum, Telefonnummer, EMail-Adresse und dergleichen ist davon nicht umfasst.
Nimmt der Kunde Leistungen der Partnerunternehmen unter Gewährung von Bonuspunkten
in Anspruch, so erheben die Partnerunternehmen bei dieser Gelegenheit Daten über den
Kunden. Nach Auskunft der Sparda Bank sind dies diejenigen Daten, die für den Vertrag
zwischen Partnerunternehmen und Kunde notwendig sind. Zusätzlich werde teilweise auch
die Sparda-Kundennummer erfasst.
Im Rahmen des vertraglich Erforderlichen ist eine solche Datenerhebung zulässig.
Nach Auskunft der Sparda Bank übermittelt das Partnerunternehmen an die Sparda Bank die
Daten, die die Bank für die Buchung der Bonuspunkte benötigt. Dies seien die SpardaKundennummer oder Vergleichbares und der Bonusgrund. Welche Daten unter die zweite
Kategorie fallen, wurde von der Sparda Bank nicht präzisiert. Es ist davon auszugehen, dass
es sich dabei um die konkrete Leistung des Partnerunternehmens handelt, für die die
Bonuspunkte gewährt wurden. Aus dem Angebot auf der Webseite der Sparda Bank wird
deutlich, dass die Anzahl der Bonuspunkte nicht zwingend von dem Preis der zu Grunde
liegenden Leistung abhängt, sondern vielmehr für eine bestimmte Leistung (z.B. die Buchung
einer Reise über einen Reiseveranstalter) eine bestimmte Anzahl von Bonuspunkten vergeben
wird. Um die Richtigkeit der Bonusgutschrift nachvollziehen zu können, ist daher nicht die
Kenntnis über den Preis der Leistung, sondern vielmehr die Kenntnis über die konkret in
Anspruch genommene Leistung erforderlich.
Nach der Darstellung der Sparda Bank hält sich die Übermittlung der Daten somit im Rahmen
des Erforderlichen.
Die Speicherung der zulässig erhobenen und übermittelten Programmdaten durch die Sparda
Bank als Systembetreiber ist zulässig.
- Übermittlung von Daten an die Partnerunternehmen oder Dritte
- 50 -
Nach Auskunft der Sparda Bank werden die für die Bonusabwicklung bei der Sparda Bank
gespeicherten Daten weder an die teilnehmenden Partnerunternehmen noch an Dritte
weitergegeben.
- Information des Kunden
Werden bei dem Betroffenen Daten erhoben, so sind durch § 4 Abs. 3 BDSG der
verantwortlichen Stelle bestimmte Unterrichtungspflichten auferlegt. Die Unterrichtung muss
bereits im Zeitpunkt der Erhebung der Daten erfolgen - hier also grundsätzlich bei der
Kontoeröffnung oder einem ähnlichen Vertragsschluss -, damit der Kunde in Kenntnis aller
relevanten Umstände eine selbstbestimmte Entscheidung über die Preisgabe der Daten zur
eigenen Person treffen kann15. In diesem Zusammenhang ist der Betroffene neben der
Identität der verantwortlichen Stelle über die Zweckbestimmungen der Erhebung,
Verarbeitung und Nutzung seiner Daten zu unterrichten. Diese besteht vorliegend nicht nur in
der Abwicklung von Finanzdienstleistungen, sondern auch in der Verwaltung eines
Bonuspunktekontos. Die im Internet einsehbaren Formulare für Kontoeröffnungen und
ähnliche Leistungen enthalten keine Hinweise auf die Verarbeitung der Kundendaten für die
Zwecke des Bonusprogramms.
- Gewährleistung der Rechte des Betroffenen
Informationen über das Auskunftsrecht des Betroffenen sowie über die Löschung der
Kundendaten enthalten die Teilnahmebedingungen nicht. Es findet sich lediglich ein Hinweis
darauf, dass der Punktesaldo dem Kunden mindestens einmal pro Jahr mitgeteilt wird, was
jedoch nicht den vollständigen Auskunftsanspruch erfüllt. Auf Nachfrage, ob anfragende
Teilnehmer Auskunft über die zu ihrer Person gespeicherten Daten erhalten, bezog sich die
Sparda Bank wiederum ausschließlich auf den Bonuspunktestand und teilte mit, dass dieser
jederzeit über Internet, Telefon oder beim Kundenberater abgefragt werden könne.
Zur Frage der Löschungsfristen gab die Sparda Bank an, die gespeicherten Kundendaten in
Zukunft im Rahmen der Aufbewahrungsfristen zu löschen.
6.2
Eine Verwendung der im Rahmen des Bonusprogramms anfallenden Kundendaten für
Zwecke der Werbung und Marktforschung findet nach Angabe der Sparda Bank nicht statt.
Die Verwendung beschränke sich vielmehr auf die Abwicklung des Programms.
Eine Verwendung der Daten zu Werbezwecken wäre auch nur mit einer entsprechenden
Einwilligung des Kunden zulässig, soweit dafür Daten genutzt würden, die über die
Stammdaten des Kunden hinausgehen. Insbesondere davon betroffen wäre eine Verwendung
der Programmdaten, die die Partnerunternehmen an die Sparda Bank übermitteln. Die
Verwendung zu Werbezwecken wäre nicht nach § 28 BDSG zulässig und eine entsprechende
Einwilligungserklärung des Kunden liegt nicht vor.
Zusammenfassung:
15
Vgl. Sokol in: Simitis, BDSG, § 4 Rn 39.
- 51 -
Im Rahmen des Kundenbindungssystems der Sparda Bank Hamburg eG ist folgender
datenschutzrechtlicher Mangel festzustellen:
Die Formulare für Kontoeröffnungen und ähnliche Leistungen enthalten keine Hinweise auf
die Verarbeitung der Kundendaten für die Zwecke des Bonusprogramms, was nach § 4 Abs. 3
BDSG erforderlich wäre.
- 52 -
7.
S-Points
Für die Sparkasse Bonn, die Stadtsparkasse Wuppertal und die Sparkasse Essen bietet die SPoints Servicegesellschaft für Kundenbindung mbH das Bonusprogramm S-Points an. Jeder
Privatkunde einer der teilnehmenden Sparkassen, der das 12. Lebensjahr vollendet hat, kann
kostenfrei an diesem Bonussystem teilnehmen. Zur Teilnahme ist eine Anmeldung des
Kunden erforderlich, nach Anmeldung erhält der Teilnehmer seine persönliche S-PointsKarte.
Hat sich ein Kunde für dieses Programm angemeldet, so kann er Bonuspunkte bei den
teilnehmenden Sparkassen sammeln, indem er dort bestimmte bonusfähige Transaktionen
tätigt. Bereits die Anmeldung zum Bonussystem wird mit einer Gutschrift in Höhe von 500 SPoints belohnt. Daneben bietet sich ihm die Möglichkeit, die S-Points-Karte deutschlandweit
bei allen Kooperationspartnern einzusetzen und dadurch spezielle Angebote in Anspruch zu
nehmen. Zu den Kooperationspartnern gehören z.B. ein Reiseveranstalter, ein Weinhändler,
ein Varieté-Theater oder ein Teehändler. Inhaber der S-Points-Karte können beim Bezug von
Leistungen dieser Partner unter Vorlage ihrer S-Points-Karte zum Teil einen direkten Rabatt
in einer vom Kooperationspartner festgelegten Höhe oder eine Gutschrift in Form von
Bonuspunkten für das S-Points-Konto erhalten.
Die so gesammelten Bonuspunkte kann der Teilnehmer bei der S-Points GmbH in eine Sach-,
Finanz- oder Erlebnisprämie einlösen. Der Auftrag zur Einlösung erfolgt unter Angabe einer
PIN bei der Konto führenden Sparkasse, im Internet oder über die S-Points-Service-Hotline.
7.1
- Erhebung von Stammdaten
Die Stammdaten werden mittels eines Antragsformulars erhoben, welches der Kunde von
seiner kontoführenden Sparkasse erhält und an diese ausgefüllt zurückgibt. Die Erhebung der
Daten findet daher regelmäßig durch die teilnehmende Sparkasse statt.
Folgende Stammdaten des Kunden werden als Pflichtangaben erhoben:
Name
Anschrift
Kontonummer
Geburtsdatum
Die Erhebung des Geburtsdatums ist unzulässig, da nicht gemäß § 28 Abs. 1 Nr. 1 BDSG
erforderlich und nicht durch eine Einwilligung des Kunden legitimiert.
Der gleiche Datensatz wird auch über den Ehegatten des Kunden erhoben, sofern dieser auch
an dem S-Points-Programm teilnimmt. Ist dies der Fall, ist eine eigene Unterschrift des
Ehegatten auf dem Formular vorgesehen.
- Übermittlung der Stammdaten an den Systembetreiber
Die Übermittlung der zulässig erhobenen Stammdaten an die S-Points GmbH ist auf
- 53 -
Grundlage des § 28 Abs. 1 Nr. 1 BDSG zulässig. Über diese Übermittlung wird der Kunde
sogar in der Einwilligungserklärung informiert, was bei ähnlichen Kundenbindungssystemen
nicht der Fall ist.
Gleiches gilt für die Speicherung der Daten durch die S-Points GmbH.
Die in den Allgemeinen Teilnahmebedingungen enthaltene Einwilligungserklärung in die
Datenübermittlung führt beispielhaft einige Programmdaten auf, die über den Einsatz der SPoints-Karte bei einer der teilnehmenden Sparkassen oder Kooperationspartner erhoben
werden. Hierbei handelt es sich um folgende Daten:
Anzahl der gesammelten Bonuspunkte
Art und Anzahl der genutzten Finanzdienstleistungen
Informationen über Datum und Anzahl sonstiger bonifizierter Transaktionen
Die Erhebung der zu Grunde liegenden Finanzdienstleistung ist gemäß § 28 Abs. 1 Nr. 1
BDSG erforderlich, da nach der Art der Leistung die zu vergebenden Bonuspunkte berechnet
werden. Aus welchem Grund zusätzlich die Information über sonstige bonifizierte
Transaktionen erhoben wird, ist nicht nachvollziehbar. Aufgrund der Formulierung muss
davon ausgegangen werden, dass es sich bei dieser Angabe gerade nicht um solche
Transaktionen handelt, die der aktuellen Bonusgutschrift zu Grunde liegen, sondern dass
vielmehr Leistungen gemeint sind, die mit der aktuellen Gutschrift nicht in Zusammenhang
stehen. Ein Erfordernis im Sinne des § 28 Abs. 1 Nr. 1 BDSG für die Kenntnis dieser Daten,
was für die Zulässigkeit erforderlich wäre, ist nicht erkennbar.
Soweit die Programmdaten zulässig erhoben wurden, ist auch deren Übermittlung an die SPoints GmbH zulässig.
Gleiches gilt für die Speicherung der Programmdaten durch die S-Points GmbH.
Die Teilnahmebedingungen des Programms S-Points weisen den Kunden ausdrücklich darauf
hin, dass ihm ein Auskunftsrecht über alle personenbezogenen Daten zusteht, die die S-Points
GmbH über den Kunden gespeichert hat. Außerdem wird darauf hingewiesen, dass dem
Teilnehmer ein Anspruch auf Löschung der nicht mehr benötigten Daten zusteht, sofern diese
nicht einer gesetzlichen Aufbewahrungspflicht unterliegen.
7.2
Nach der Darstellung in den Teilnahmebedingungen werden die Kundendaten auch zum
Zweck der Werbung genutzt. In Abschnitt III., Abs. 3 heißt es dazu:
- 54 -
„Darüber hinaus werden wir Ihre Daten nutzen, um Sie über interessante
Angebote zu unseren Produkten oder Dienstleistungen sowie etwaige Sie ggf.
interessierende Zusatzleistungen zu informieren.“
Der Begriff der Werbung wird in den Teilnahmebedingungen nur an einer Stelle erwähnt, in
diesem Zusammenhang taucht auch einmalig der Begriff Marktforschung auf. Es ist somit
davon auszugehen, dass eine Verwendung sowohl zum Zweck der Werbung als auch zur
Marktforschung stattfindet.
7.2.1
Vorgänge, deren Zulässigkeit sich nach gesetzlichen Grundlagen beurteilt
Im Rahmen des S-Points-Programms ist vorgesehen, dass den Partnerunternehmen, d.h. den
beteiligten Sparkassen, von der S-Points GmbH die Stammdaten der über die jeweilige
Sparkasse angemeldeten Teilnehmer übermittelt werden. Dieser Vorgang ist zulässig (siehe
Gutachten Anforderungsprofil, Pkt. 1.2.2.3.4).
7.2.2
7.2.2.1 Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)
Das Anmeldeformular für das S-Points-Programm
Teilnahmebedingungen die folgende Erklärung:
enthält
in
den
Allgemeinen
„II. Einwilligung in die Datenübermittlung
Der Teilnehmer ist damit einverstanden, dass seine bei S-Points erhobenen
persönlichen Daten aus dem Teilnahmeantrag sowie die Programmdaten (z.B.
Anzahl der gesammelten Bonuspunkte, Art und Anzahl der genutzten
Finanzdienstleistungen, Informationen über Datum und Anzahl sonstiger
bonifizierter Transaktionen, freiwillige Angaben u.ä.) von der S-Points GmbH
als Betreiberin des S-Points-Programms und den jeweiligen teilnehmenden
Sparkassen und Kooperationspartnern (eine vollständige Aufstellung der
aktuellen Kooperationspartner kann im Internet unter www.s-points.de
eingesehen oder bei der S-Points-Service-Hotline erfragt werden) zu
schriftlichen Beratungs- und Informationskanäle genutzt werden [Anm.
Formulierungsfehler im Originaltext]. Näheres hierzu auch in der beigefügten
Datenschutzerklärung.
Ist der Teilnehmer damit nicht einverstanden, so ist eine Teilnahme am
Bonusprogramm nicht möglich.
Dieses Einverständnis kann jederzeit gegenüber der S-Points GmbH, der
jeweiligen kontoführenden Sparkasse oder gegenüber der S-Points-ServiceHotline widerrufen werden. Mit dem Widerruf endet automatisch die
Teilnahme am Bonusprogramm.
Mit seiner Unterschrift unter dem Kartenantrag ermächtigt der Teilnehmer die
kontoführende Sparkasse, die S-Points GmbH über diesen Teilnahmeantrag
zwecks Bearbeitung sowie zur weiteren Betreuung im Rahmen des
Bonusprogramms zu unterrichten. Die im Kartenantrag angegebenen Daten
und etwaige Änderungen sowie alle im Zusammenhang mit der Nutzung des
Bonusprogramms anfallenden Daten zur internen Verarbeitung, zum Zweck
der Werbung oder der Marktforschung werden zur Verfügung gestellt.“
- 55 -
Das Antragsformular sieht korrespondierend zu dieser Einwilligungserklärung die folgende
Wahlmöglichkeit vor:
„❏
Ja, ich/wir konnte/n vom Inhalt der umseitig abgedruckten
Datenschutzhinweise und der allgemeinen Teilnahmebedingungen
Kenntnis nehmen und bin/sind mit der o.g. Nutzung der Daten und der
Geltung einverstanden.
❏
Nein, ich/wir bin/sind mit der umseitig abgedruckten Klausel zur
Datenübermittlung, der aufgeführten Nutzung der Daten sowie der
Geltung der allgemeinen Teilnahmebedingungen nicht einverstanden.
Eine Teilnahme an S-Points ist dann leider nicht möglich.“
Die Teilnahmebedingungen sind in hellgrauer Schrift auf einem weißen Blatt gedruckt.
7.2.2.1.1
- Schriftform
Die Schriftform ist durch Unterschrift auf dem Antragsformular gewahrt.
Der Kunde erhält die Möglichkeit, seine Einwilligung ausdrücklich zu erklären. Die formalen
Anforderungen für die Erklärung der Einwilligung sind damit erfüllt.
7.2.2.1.2
Freie Entscheidung
Wegen Verstoßes gegen das Kopplungsverbot beruht die Einwilligung nicht auf der freien
Entscheidung des Kunden und ist somit unwirksam. In Betracht käme jedoch ein Vertrag auf
Überlassung von Daten zwischen Kunde und Systembetreiber.
7.2.2.1.3
Über die verantwortliche Stelle wird der Kunde hinreichend informiert. Die S-Points GmbH
wird in den Allgemeinen Teilnahmebedingungen und in der darin enthaltenen
Einwilligungserklärung als Betreiberin des Programms benannt. In dieser Hinsicht ist das
Formular zwar ausreichend, jedoch wenig verbraucherfreundlich gestaltet. Denn das
Antragsformular, das der Kunde ausfüllt, enthält neben der kontoführenden Sparkasse
keinerlei Angaben auf weitere beteiligte Unternehmen. Hier wird dem Kunden nicht deutlich,
dass nicht die kontoführende Sparkasse, sondern ein anderes Unternehmen Betreiberin des
Programms ist, an dem überdies auch andere Sparkassen und Kooperationspartner beteiligt
sind. Die Gefahr, hierdurch Fehlvorstellungen des Kunden hervorzurufen, ist nicht
unerheblich. Erschwerend kommt hinzu, dass die Teilnahmebedingungen zwar leicht
einsehbar auf der Rückseite des Formulars abgedruckt sind, hierfür jedoch eine hellgraue
Schrift gewählt wurde, die das Lesen der Bedingungen erheblich erschwert.
Hinsichtlich der teilnehmenden Sparkassen und Kooperationspartner gilt das Gleiche.
Auch hier erfolgt nur ein Hinweis auf die Einsehbarkeit einer Liste.
- 56 -
Unzureichend ist die Information über die im Rahmen des Bonusprogramms verarbeiteten
Datenkategorien. Zwar werden einzelne Kategorien von Daten ausdrücklich genannt, hierbei
handelt es sich aber nicht um eine vollständige, sondern nur um eine beispielhafte
Aufzählung. Der Kunde muss daher davon ausgehen, dass darüber hinaus noch weitere Daten
erhoben werden, hat aber keine Vorstellung darüber, welche dies sein können. Diese
Information ist als Entscheidungsgrundlage für den Kunden nicht ausreichend.
Hinsichtlich der Vorgänge der Datenverarbeitung ist die Beschreibung in den
Teilnahmebedingungen ungenau. Zweifelsfrei erfährt der Kunde, dass die Konto führende
Sparkasse die Stammdaten, freiwilligen Angaben und Programmdaten erhebt und an die SPoints GmbH übermittelt. Dass die S-Points diese Daten speichert, ist ebenfalls deutlich. Die
Formulierung in dem ersten Absatz der Einwilligungserklärung ist so zu verstehen, dass
sämtliche Daten von allen Beteiligten genutzt werden. Nicht deutlich wird jedoch, welche
Unternehmen neben der S-Points GmbH Daten über den Kunden erhalten und speichern.
Die Zwecke der Datenverarbeitung werden zwar hinreichend benannt, jedoch sind gerade
in dieser Hinsicht die Teilnahmebedingungen undeutlich und verwirrend formuliert. Dazu
tragen zum einen sprachliche Ungenauigkeiten oder Widersprüche bei. So enthält der erste
Absatz der Einwilligungserklärung den Formulierungsfehler „zu schriftlichen Beratungs- und
Informationskanäle genutzt“ und im dritten Absatz des Abschnitts III findet sich die
widersprüchliche und irreführende Formulierung „Die personenbezogenen Daten ... werden
ausschließlich für den Zweck verarbeitet, zu dem Sie uns die Daten zur Verfügung gestellt
haben (Teilnahme an S-Points, Korrespondenz). Darüber hinaus werden wir diese Daten
nutzen, um Sie über interessante Angebote ... zu informieren.“
Zum anderen werden Unklarheiten durch beschönigende Begriffe verursacht, wie etwa
„interessante Angebote“, „Sie interessierende Zusatzleistungen“, „informieren“, „schriftliche
Beratungs- und Informationskanäle“, die in den Erklärungen verwendet werden. Dagegen
erfolgt die genaue Bezeichnung „Werbung“ bzw. „Marktforschung“ nur an einer Stelle, noch
dazu wenig zentral am Ende des Einwilligungstextes, wo die Gefahr des Übersehens
besonders groß ist. Formal ist der Informationspflicht damit zwar Genüge getan, die
Gestaltung ist jedoch keinesfalls verbraucherfreundlich.
Über das Widerrufsrecht wird der Kunde belehrt, gleichzeitig wird er auch auf die Folgen
hingewiesen, die jedoch eine unzulässige Kopplung der Einwilligung mit der Teilnahme
bedeuten.
Eine Aufklärung über die Betroffenenrechte erfolgt umfangreich. Unklar bleiben dabei jedoch
die Folgen eines Widerspruchs des Kunden in die Datennutzung zu Werbezwecken, worauf
gesondert zum Widerrufsrecht hingewiesen wird. Wegen der Kopplung muss davon
ausgegangen werden, dass auch der Widerspruch eine Beendigung der Teilnahme zur Folge
hat, einen entsprechenden Hinweis enthalten die Teilnahmebedingungen jedoch nicht.
7.2.2.1.4
Da die Einwilligungserklärung in dem Allgemeinen Teilnahmebedingungen abgedruckt ist,
ist eine Hervorhebung der Erklärung im Schriftbild erforderlich. Das Anmeldeformular
enthält auf seiner Vorderseite einen deutlichen Hinweis auf die umseitig abgedruckten
Teilnahmebedingungen, deren Kenntnisnahme eigens bestätigt werden muss. Ein
ausdrücklicher Hinweis auf eine Einwilligung in Allgemeinen Geschäftsbedingungen kann
- 57 -
grundsätzlich als ausreichende Hervorhebung anerkannt werden16. Der vorliegend erfolgte
Hinweis ist dagegen nicht als ausreichend zu bezeichnen. Zunächst geben beide
Ankreuzvarianten keinen Hinweis darauf, dass die Allgemeinen Teilnahmebedingungen eine
Einwilligung des Kunden in eine Datenverarbeitung zu Zwecken der Werbung und
Marktforschung enthalten. An dieser Stelle wäre aber ein konkreter Hinweis auf den Inhalt
der AGB erforderlich. Des weiteren ist die betreffende Klausel in den Teilnahmebedingungen
in keiner Weise drucktechnisch hervorgehoben, so dass der Kunde, der allgemein auf die
Teilnahmebedingungen und die Datenschutzhinweise - die im Übrigen getrennt von der
Einwilligungserklärung in einem gesonderten Abschnitt abgedruckt sind - hingewiesen wird,
die entscheidende Klausel der Einwilligungserklärung leicht übersehen kann.
7.2.2.2. Allgemeine Beurteilung der Online-Anmeldung
Eine Anmeldung zum Bonusprogramm S-Points ist auch über die Webseiten der S-Points
GmbH im Internet möglich.
Gegenüber der Anmeldung mittels des Anmeldeformulars in Papierform weist die OnlineAnmeldung folgende Besonderheiten auf:
Dem Kunden wird die Möglichkeit angeboten, das Anmeldeformular auszudrucken und an
die S-Points GmbH zu senden. Hiermit kommt die S-Points GmbH der Informationspflicht
über die verantwortliche Stelle insofern besser nach als im Papierformular, als die relevanten
Informationen im Internet an zentraler Stelle benannt werden. Jedoch weicht die hier
genannte Adresse (Starnberg) von der in den Teilnahmebedingungen genannten (Bonn) ab, so
dass beim Kunden Unklarheiten entstehen.
Die Teilnahmebedingungen werden bei der Online-Anmeldung nicht wirksam in den
Vertrag einbezogen. Zwar sind die Teilnahmebedingungen auf den Webseiten einsehbar,
doch ist ein Hinweis darauf im Anmeldeteil des Formulars nicht enthalten. Zu den
Teilnahmebedingungen kommt der Kunde nur über die Rubrik „So funktioniert S-Points“, die
in der letzten von 10 Fragen zum Programm einen Link zu den Teilnahmebedingungen
enthält. Dieser Verweis ist nicht ausreichend.
Dem Kunden ist somit der Inhalt der Einwilligung nicht bekannt, was einen weiterer Grund
für deren Unwirksamkeit darstellt. Sein Einverständnis in eine unbekannte Datenverarbeitung
kann der Kunde erklären, indem er folgenden Text ankreuzt:
„❏
Vom Inhalt der Datenschutzhinweise und der allgemeinen
Teilnahmebedingungen werde/n ich/wir Kenntnis nehmen und mit der
Nutzung der Daten und der Geltung einverstanden sein.“
Weitere Angaben über die Datenverarbeitung im Rahmen des S-Points-Programms enthalten
die Anmeldeseiten nicht, so dass die Information des Kunden unzureichend ist.
7.2.2.3
16
So Schaffland/Wiltfang, § 4a Rn 30.
- 58 -
7.2.2.3.1
Programmdaten
Soweit ein Hinweis auf die Freiwilligkeit der Angaben erfolgt, werden diese auf Grundlage
einer freien Entscheidung des Kunden erhoben. Insoweit liegt eine Einwilligung des Kunden
vor, die jedoch mit den o.g. Mängeln behaftet ist.
Für die Erhebung nicht erforderlicher Stammdaten (Geburtsdatum) und Programmdaten liegt
keine Einwilligung des Kunden vor.
7.2.2.3.2
Gleiches gilt für die Übermittlung der Daten durch die Sparkasse an die S-Points GmbH.
Dieser Vorgang ist in der Einwilligungserklärung beschrieben, so dass in dieser Hinsicht die
Informationspflicht erfüllt ist.
7.2.2.3.3
Eine Speicherung und Verarbeitung der Kundendaten durch die S-Points GmbH ist ebenfalls
der Einwilligungserklärung zu entnehmen.
7.2.2.3.4
Die in der Einwilligungserklärung und in den besonderen Erläuterungen zur Sicherstellung
des Datenschutzes genannten Zwecke der Datenverarbeitung wären nicht ausreichend, um die
Bildung und Auswertung von Kundenprofilen zu legitimieren.
7.2.2.3.5
Ob dagegen auch die Sparkassen und die Kooperationspartner selbst Kundendaten speichern,
wird aus der Einwilligung nicht deutlich. Wegen der Unbestimmtheit der
Einwilligungserklärung ist diese Verarbeitung nicht durch eine Einwilligung des Kunden
legitimiert.
7.2.2.3.6
Weitergabe an Dritte
Die „Besonderen Erläuterungen zur Sicherstellung des Datenschutzes“ im Abschnitt III der
Teilnahmebedingungen treffen folgende Aussage zur Weitergabe der Kundendaten an Dritte:
„Wir versichern ferner, dass wir Ihre personenbezogenen Daten nicht an Dritte
weitergeben, es sei denn, dass wir dazu gesetzlich verpflichtet sind oder Sie
uns vorher Ihre Zustimmung gegeben haben.“
Darüber, wie diese Zustimmung erfolgen soll, schweigt sich die Erklärung aus. Da jedoch
die Teilnahmebedingungen ausdrücklich diesen Vorbehalt einer Zustimmung des Kunden
enthalten, kann auf keinen Fall bereits die Akzeptanz der Teilnahmebedingungen als eine
solche Zustimmung angesehen werden. Die Weitergabe an Dritte ist somit nicht durch die
Einwilligung des Kunden legitimiert, sondern bedarf, sofern eine gesetzliche Befugnis nicht
gegeben ist, einer gesonderten vorherigen Zustimmung des Teilnehmers.
- 59 -
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Kundenbindungssystems SPoints sind folgende datenschutzrechtliche Verstöße festzustellen:
-
-
Es fehlt an einer freien Entscheidung, da die Leistung mit der Erklärung der Einwilligung
gekoppelt ist.
Die Information über die zu verarbeitenden Datenkategorien ist unvollständig, da nur
eine beispielhafte Aufzählung erfolgt.
Die Information über die Vorgänge der Datenverarbeitung ist unzureichend.
Die Angabe der Zwecke der Datenverarbeitung ist ungenau.
Eine optische Hervorhebung der Einwilligungserklärung fehlt.
Die Online-Anmeldung erfordert eine Bestätigung der Teilnahmebedingungen und
Datenschutzhinweise, die die datenschutzrechtliche Einwilligungserklärung beinhalten.
Diese Dokumente sind auf der Homepage schwer zu finden, es erfolgt insbesondere auch
kein Link in der entsprechenden Erklärung.
- 60 -
8.
Eutin City Card
Die danova GmbH bietet in Eutin die Eutin City Card an, mit der Kunden bei verschiedenen
Eutiner Partnerunternehmen (bei der Eutin City Card bezeichnet als Akzeptanzstellen),
hauptsächlich lokale Einzelhändler, Bonuspunkte erwerben können. Ein Bonuspunkt
entspricht dabei einem Gegenwert von 0,25 Cent. Die Anzahl der zu vergebenden
Bonuspunkte bestimmen die Partnerunternehmen selbst. Die Verwaltung der Bonuspunkte
übernimmt der Systembetreiber, die danova GmbH.
Teilnehmer der Eutin City Card bekommen eine Karte ausgehändigt, die für die Sammlung
und die Einlösung von Bonuspunkten vorgelegt werden muss. Diese Karte ist als Chipkarte
konzipiert, erworbene Bonuspunkte werden also direkt auf diesem Chip registriert.
Eine Einlösung des Bonusguthabens ist in allen Partnerunternehmen möglich. Die
Partnerunternehmen sind verpflichtet, auch solche Bonusguthaben an den Kunden
auszuzahlen, die dieser bei einem anderen Partnerunternehmen erworben hat.
8.1
Die Beantragung der Eutin City Card erfolgt durch ein vom Kunden ausgewähltes
Partnerunternehmen über ein Antragsformular. D.h. die dort abgefragten Daten werden durch
das Partnerunternehmen erhoben.
Als Pflichtangaben werden lediglich Name und Anschrift des Kunden erhoben. In diesem
Umfang ist die Datenerhebung auf Grundlage des § 28 Abs. 1 Nr. 1 BDSG zulässig.
- Erhebung des Namens, Geschlechts und Geburtsdatums der Kinder
Als freiwillige Angabe erfragt das Antragsformular den Namen, das Geschlecht und das
Geburtsdatum der Kinder des Antragstellers. Auch wenn diese Angabe freiwillig ist, ändert
dies nichts daran, dass sie grundsätzlich bei dem Betroffenen selbst - der hier aufgrund der
Namensangabe sogar identifiziert und nicht nur wie bei Payback identifizierbar ist - zu
erheben ist. Die Erhebung bei dem Antragsteller ist daher nur zulässig, wenn dieser für das
Kind sorgeberechtigt ist.
- Übermittlung der Stammdaten an den Systembetreiber, Speicherung
Auch die Übermittlung dieser Daten an den Systembetreiber und die Speicherung durch
diesen ist zulässig.
Gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen registriert die Akzeptanzstelle bei der
Gewährung von Bonuspunkten die Daten des Antragstellers und die zu Grunde liegenden
Geschäfte.
Soweit sich die Erfassung des zu Grunde liegenden Geschäfts auf die für die
- 61 -
Rabattabwicklung erforderlichen Daten beschränkt, ist die Datenerhebung gemäß § 28 Abs. 1
Nr. 1 BDSG zulässig.
Gleiches gilt insoweit für die ebenfalls gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen
vorgesehene Übermittlung der Daten an den Systembetreiber und die Speicherung der Daten
bei diesem.
Die Allgemeinen Geschäftsbedingungen enthalten lediglich einen stichwortartigen Hinweis
auf die Rechte der Betroffenen (Auskunft, Berichtigung, Sperrung und Löschung).
8.2
Ausweislich der Ziff. 7 der Allgemeinen Geschäftsbedingungen findet auch eine Nutzung der
Daten für Zwecke der Werbung und Marktforschung, und zwar durch Systembetreiber und
Partnerunternehmen statt.
8.2.1
Allgemeine Beurteilung der Einwilligungserklärungen
Das Antragsformular für
Einwilligungserklärungen.
die
Eutin
City
Card
enthält
zwei
verschiedene
Eine der Erklärungen befindet sich in einem grau hinterlegten Kasten oberhalb der
Unterschrift und ist überschrieben mit Einverständnis-Erklärung. Dieser Text lautet wie folgt:
„Ich bestätige durch meine Unterschrift die Richtigkeit der obigen Angaben
und erkenne die beiliegenden Allgemeinen Geschäftsbedingungen an. Mit
meiner Unterschrift willige ich ein, dass meine Antragsdaten sowie Daten, die
sich aus der Verwaltung der Bonuspunkte ergeben, gemäß
Bundesdatenschutzgesetz von der danova GmbH gespeichert, verarbeitet und
genutzt werden.“
Die zweite im Antragsformular der Eutin City Card abgedruckte Einwilligungserkärung
befindet sich rechts unten in einem ebenfalls grau hinterlegten Kasten, jedoch ohne
Überschrift. Sie hat den folgenden Wortlaut:
„Damit ich aktuell informiert werden kann, willige ich ein, dass die danova
GmbH die oben angegebenen Daten sowie Daten, die sich aus der Verwaltung
der Bonuskarte ergeben, für Marktforschung und Marketingzwecke der
teilnehmenden Akzeptanzstellen nutzt. Die Liste der Akzeptanzstellen ist bei
der danova GmbH, Anschrift, erhältlich.
❑
Hier ankreuzen, falls nicht
Diese Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich der
Kundenkarte bestehende Vertragsverhältnis jederzeit für die Zukunft
widerrufen.“
- 62 -
- Schriftform
Die Schriftform ist durch die Unterschrift des Kunden auf dem Antragsformular gewahrt.
Die Möglichkeit, das fehlende Einverständnis durch Ankreuzen des entsprechenden
Kästchens zu erklären, ist nicht ausreichend.
Dass die Erteilung der Einwilligung dem Kunden freigestellt ist, ergibt sich nur mittelbar
daraus, dass dem Kunden eine Widerrufsmöglichkeit eingeräumt wird.
Es fehlt aber der erforderliche ausdrückliche Hinweis auf die Freiwilligkeit der Einwilligung
sowie auf die Folgen der Verweigerung einer solchen Erklärung.
Als freiwillig kann allerdings die Zustimmung in den Erhalt von Werbeinformationen über
Telefon oder SMS bezeichnet werden. Zusätzlich zur freien Angabe der Telefon- oder
Mobilfunknummer wird der Kunde gefragt, ober er per Telefon bzw. SMS besondere Infos
erhalten möchte. Zur Auswahl werden zwei jeweils mit „Ja“ bzw. „Nein“ gekennzeichnete
Felder angegeben. Aus der direkten Frage, der Möglichkeit, diese Frage zu verneinen und
dem Hinweis, dass es sich bei der Angabe der Telefon- oder Mobilfunknummer um eine
freiwillige handelt, kann der Kunde zweifelsfrei schließen, dass auch die Zustimmung zur
Nutzung dieser Daten zum Erhalt der gewünschten Informationen nicht für die Teilnahme
erforderlich ist.
Eine freie Entscheidung des Kunden erfolgt auch insgesamt bzgl. der Angabe der freiwilligen
Angaben, die als solche im Formular kenntlich gemacht sind. Über das Formular werden eine
Vielzahl freiwilliger Angaben erhoben, die auch die Lebenssituation und Interessen des
Kunden erfragen. Insgesamt sind dies folgende Daten:
Geburtsdatum
Telefon
Mobiltelefon
E-Mail
Name, Geschlecht und Geburtsdatum der Kinder
Wohnsituation (Wohnung, Haus, Eigentum, Miete, Garten, Wohnfläche)
Hobbies (mehrere Kategorien zur Auswahl)
„In diesen Bereichen würde ich gerne punkten“ (16 Branchen zur Auswahl)
Darüber, dass die danova GmbH verantwortliche Stelle für die Verarbeitung der
Kundendaten ist, wird der Kunde im Antragsformular hinreichend informiert. Dass daneben
aber auch die Partnerunternehmen Daten der Kunden speichern und auch für Werbezwecke
nutzen, ergibt sich nur aus Ziff. 7 der Allgemeinen Geschäftsbedingungen. Ein Hinweis
hierauf ist aber auch in der Einwilligungserklärung erforderlich.
- 63 -
Über die Identität der teilnehmenden Partnerunternehmen wird der Kunde hinreichend
informiert. Die aktuell teilnehmenden Unternehmen sind auf der Rückseite der
Antragsbroschüre abgedruckt und in der Einwilligungserklärung wird der Kunden auf die
Möglichkeit hingewiesen, eine aktuelle Teilnehmerliste bei der danova GmbH anzufordern.
Welche Datenkategorien im Rahmen des Bonusprogramms verarbeitet werden, erfährt der
Kunde dagegen nicht mit hinreichender Genauigkeit. Betroffen sind hier die Programmdaten,
die in der Einwilligungserklärung völlig unbestimmt als „Daten, die sich aus der Verwaltung
der Bonuskarte ergeben“ beschrieben werden und auch in den Allgemeinen
Geschäftsbedingungen nicht wesentlich genauer benannt sind (dort heißt es „die den
Bonuspunkten zu Grunde liegenden Geschäfte“). Welche Datenkategorien hiervon erfasst
sind, ist nicht verständlich. Insbesondere wird nicht klar, ob nur solche Daten verarbeitet
werden, die für die Rabattverwaltung zwingend erforderlich sind, oder darüber hinausgehend
auch weitere Daten wie etwa die Waren- oder Dienstleistungsgruppe.
Auch die Vorgänge der Datenverarbeitung sind, zumindest hinsichtlich der
Datenverarbeitung durch die Partnerunternehmen, nicht hinreichend bestimmt dargestellt.
Wie oben bereits festgestellt, muss die Tatsache, dass auch die Partnerunternehmen
Kundendaten speichern und nutzen, aus der Einwilligung ersichtlich sein.
Über die Zwecke der Datenverarbeitung wird der Kunde in der Einwilligungserklärung
hinreichend informiert.
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung und auch in den
Allgemeinen Geschäftsbedingungen, dort auch unter Angabe des Ansprechpartners.
Ein Hinweis auf die Betroffenenrechte erfolgt in den Allgemeinen Geschäftsbedingungen.
8.2.1.4 Irreführung des Kunden durch die Gestaltung der Einwilligungserklärungen
Die Gestaltung der Einwilligungserklärungen auf dem Anmeldeformular birgt die Gefahr der
Irreführung des Kunden. Dazu trägt Entscheidend dafür ist, dass hier zwei verschiedene
Einwilligungserklärungen verwendet werden und nur die weniger weit reichende
Einwilligungserklärung deutlich als solche gekennzeichnet wird. Dies kann dazu führen, dass
die zweite Einwilligungserklärung, aus der sich die Verarbeitung zu Werbezwecken ergibt,
und die nur mit einem „Opt-Out“ versehen ist, nicht als Einwilligungserklärung erkannt
werden kann.
Grundsätzlich ist die Verwendung mehrerer unterschiedlicher Erklärungen für
unterschiedliche Zwecke aus datenschutzrechtlicher Sicht zu begrüßen, da dies die
Transparenz für den Kunden und die Ausübung seiner Wahlfreiheit i.d.R. erhöht. Dies setzt
aber voraus, dass die Erklärung optisch als gleichbedeutend dargestellt werden und der Kunde
deutliche Möglichkeiten erhält, die unterschiedlichen Erklärungen gesondert abzugeben.
Im vorliegenden Fall ist die Verwendung zweier verschiedener Einwilligungserklärungen
jedoch nicht verständlich. Offensichtlich soll es sich bei der erstgenannten Erklärung um die
Einwilligung in die Verwendung der Daten zum Zweck der Programmabwicklung und bei der
zweitgenannten um die Einwilligung zu Werbe- und Marktforschungszwecken handeln.
Dieser Unterschied dürfte dem durchschnittlichen Kunden ohne besondere Kenntnisse des
Datenschutzrechts nicht bewusst und verständlich sein. Dessen Verwirrung wiederum ist
- 64 -
verständlich, da zum einen die erste Einwilligung keine Zweckangabe erhält und außerdem
im Fall ihrer Beschränkung auf den Zweck der Rabattabwicklung überflüssig ist. Die
unterschiedlichen Zwecke der Einwilligungserklärungen sollten daher deutlich herausgestellt
werden.
Neben dem reinen Unverständnis kann die Kombination beider Einwilligungserklärungen
ohne eine genaue Differenzierung ihrer beiden Anwendungsbereiche aber auch
Fehlvorstellungen des Kunden hervorrufen. Ursächlich hierfür ist der Hinweis in der ersten
Einwilligung, dass die Daten gemäß Bundesdatenschutzgesetz verarbeitet würden. Für die
Verarbeitung zum Zweck der Rabattabwicklung trifft dies auch zu; deshalb ist hierfür ja auch
keine Einwilligung des Kunden erforderlich. Ist dem Kunden jedoch der Geltungsbereich
dieser Einwilligung nicht klar, kann er diese Aussage auch auf die zweite Einwilligung
beziehen, denn es ist nach der Darstellung der Erklärungen durchaus möglich, dass die zweite
Einwilligung nur einen Unterfall der ersten, allgemeinen Einwilligung, darstellt und damit die
Aussagen der ersten auch für die zweite Einwilligung gelten. Geht der Kunde also davon aus,
dass auch die Verarbeitung für Werbezwecke gemäß Bundesdatenschutzgesetz erfolgt, so
befindet er sich in einem Irrtum. Denn Grundlage für diese Verarbeitung ist gerade nicht das
BDSG, sondern vielmehr seine Einwilligungserklärung, weshalb der Zusatz „die
Verarbeitung erfolgt gemäß Bundesdatenschutzgesetz“ für eine Einwilligung in eine
Verarbeitung über dessen Grenzen hinaus als unzulässig angesehen wird (vgl. hierzu oben).
Die Einwilligungserklärung in die Datenverarbeitung zu Werbezwecken ist außerdem nicht in
der erforderlichen Weise drucktechnisch hervorgehoben. Zwar ist der Text mit einem grauen
Kasten hinterlegt, aber diese Hervorhebung reicht allein nicht aus. Um diese weitergehende
Einwilligung gegenüber der anderen Einwilligung hervorzuheben, müsste die
Werbeeinwilligung deutlich auffälliger als die andere Einwilligung gestaltet werden. Genau
das Gegenteil ist hier jedoch der Fall. Während die Einwilligung in die Verarbeitung zu
Rabattzwecken mit einer deutlich herausgestellten Überschrift versehen ist, enthält die
Werbeeinwilligung keine Überschrift. Auf den ersten Blick muss der Betrachter somit
annehmen, das Formular enthalte nur eine Einwilligungserklärung, so dass die Gefahr des
Übersehens der zweiten Einwilligung besonders groß ist.
8.2.2
8.2.2.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten und
Programmdaten
Für die Erhebung der freiwilligen Angaben und Stammdaten durch das Partnerunternehmen
ist die Einwilligungserklärung, abgesehen von den allgemeinen Mängeln dieser Erklärung,
ausreichend. Der Vorgang der Erhebung des Partnerunternehmens wird zwar nur in den
Allgemeinen Geschäftsbedingungen beschrieben, aber da der Kunde das erhebende
Partnerunternehmen selbst aufsucht und dort seine Karte erhält, genügt dieser Hinweis.
Etwas anderes ergibt sich jedoch für die Erhebung der Programmdaten zu Werbezwecken. Da
über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser
Vorgang nicht auf die Einwilligung des Kunden gestützt werden.
8.2.2.2
- 65 -
Der Vorgang der Übermittlung ist zwar nicht in der Einwilligungserklärung beschrieben,
ergibt sich jedoch aus den Allgemeinen Geschäftsbedingungen, Ziff. 7. Da dem Kunden
bewusst ist, dass diese Daten beim Systembetreiber gespeichert werden, ist der Hinweis hier
ausreichend.
Etwas anderes gilt jedoch für die Übermittlung der Programmdaten zu Werbezwecken. Da
8.2.2.3
Gleiches gilt auch für die Speicherung der Kundendaten durch die danova GmbH.
Hinsichtlich der freiwilligen Angaben und der Stammdaten ist die Einwilligung ausreichend,
hinsichtlich der Programmdaten kann die Einwilligung diesen Vorgang nicht legitimieren.
8.2.2.2.4
Wegen der Zweckbeschreibung in der Einwilligungserklärung und in den Allgemeinen
Geschäftsbedingungen wäre eine Bildung von Kundenprofilen und deren Auswertung nicht
zulässig.
8.2.2.5
Eine Speicherung und Verarbeitung der Kundendaten wird nur in den Allgemeinen
Geschäftsbedingungen erwähnt, die Einwilligungserklärung erwähnt diesen Vorgang nicht.
Hinsichtlich der Programmdaten kommt die Einwilligungserklärung bereits aus oben
genannten Gründen nicht als Grundlage für die Verarbeitung in Betracht.
Eine wirksame Einwilligung liegt auch hinsichtlich der übrigen Kundendaten nicht vor, da der
Vorgang der Datenverarbeitung durch Partnerunternehmen nicht ausdrücklich in der
Einwilligungserklärung aufgeführt wird.
Als gesetzliche Grundlage für die Speicherung und Verarbeitung durch das
Partnerunternehmen kommt § 28 Abs. 1 Nr. 2 BDSG in Betracht. Diese Vorschrift legitimiert
die Verwendung solcher Kundendaten zu Werbezwecken, die zum Zweck der Erfüllung des
zu Grunde liegenden Vertrages zulässig erhoben werden. Außerdem sind die
Partnerunternehmen auf Grund gesetzlicher Grundlage nur befugt, die Daten ihrer eigenen
Kunden zu Werbezwecken zu verwenden, so dass eine Verwendung fremder Kundendaten
unzulässig ist.
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen der Eutin City Card sind
folgende datenschutzrechtliche Verstöße festzustellen:
-
Gestaltung der Einwilligung als Opt-Out,
fehlender Hinweis in der Einwilligungserklärung auf die Datenspeicherung und -nutzung
- 66 -
-
durch die Partnerunternehmen zu Werbezwecken,
unzureichende Beschreibung der Programmdaten,
Irreführung des Kunden durch die Gestaltung der Einwilligungserklärungen,
fehlende optische Hervorhebung der Einwilligung zu Werbezwecken.
- 67 -
9.
Pforzheim Card
Die danova GmbH bietet auch in Pforzheim eine ähnlich Kundenkarte wie die Eutin City
Card an, die Pforzheim Card. Die Funktionsweise ist dieselbe wie die der Eutin City Card.
Bonuspunkte können bei allen Partnerunternehmen gesammelt und auch eingelöst werden.
Die Verwaltung der Bonuspunkte erfolgt durch die danova GmbH.
9.1
Die Beantragung der Pforzheim Card erfolgt durch ein vom Kunden ausgewähltes
Partnerunternehmen über ein Antragsformular. D.h. die dort abgefragten Daten werden durch
das Partnerunternehmen erhoben.
Als Pflichtangaben werden lediglich Name und Anschrift des Kunden erhoben. In diesem
Umfang ist die Datenerhebung auf Grundlage des § 28 Abs. 1 Nr. 1 BDSG zulässig.
- Erhebung des Namens, Geschlechts und Geburtsdatums der Kinder
Auch für die Pforzheim Card werden auf freiwilliger Basis Name, Geschlecht und
Geburtsdatum der Kinder erhoben. Zur Bewertung siehe oben.
- Übermittlung der Stammdaten an den Systembetreiber, Speicherung
Auch die Übermittlung der Stammdaten an den Systembetreiber und die Speicherung durch
diesen ist zulässig.
Gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen registriert die Akzeptanzstelle bei der
Gewährung von Bonuspunkten die Daten des Antragstellers und die zu Grunde liegenden
Geschäfte.
Soweit sich die Erfassung des zu Grunde liegenden Geschäfts auf die für die
Rabattabwicklung erforderlichen Daten beschränkt, ist die Datenerhebung gemäß § 28 Abs. 1
Nr. 1 BDSG zulässig.
Gleiches gilt insoweit für die ebenfalls gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen
vorgesehene Übermittlung der Daten an den Systembetreiber und die Speicherung der Daten
bei diesem.
Die Geschäftsbedingungen sind in dieser Hinsicht mit denen der Eutin Card identisch.
- 68 -
9.2
Ausweislich der Ziff. 7 der Allgemeinen Geschäftsbedingungen findet auch eine Nutzung der
Daten für Zwecke der Werbung und Marktforschung, und zwar durch Systembetreiber und
Partnerunternehmen statt.
9.2.1
Auch das Antragsformular
Einwilligungserklärungen.
für
die
Pforzheim
Card
enthält
zwei
verschiedene
Der Text der ersten Einwilligungserklärung lautet:
„Ich bestätige durch meine Unterschrift die Richtigkeit der obigen Angaben
und erkenne die beiliegenden Allgemeinen Geschäftsbedingungen an. Mit
meiner Unterschrift willige ich frei widerruflich ein, dass die danova
GmbH die oben angegebenen Daten sowie Daten, die sich aus der
Verwaltung der Bonuspunkte ergeben, speichert und im Rahmen des
Bonuspunkte-Programms verarbeitet.“
Die zweite im Antragsformular der Pforzheim Card abgedruckte Einwilligungserklärung hat
den folgenden Wortlaut:
„Damit ich aktuell informiert werden kann, willige ich ein, dass die danova
der Bonuskarte ergeben, für Marktforschung und Marketingzwecke der
teilnehmenden Akzeptanzstellen nutzt. Die Liste der Akzeptanzstellen ist bei
der danova GmbH, Anschrift, erhältlich. ❑ Hier ankreuzen, falls nicht
Diese Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich
der Kundenkarte bestehende Vertragsverhältnis jederzeit für die Zukunft
widerrufen.“
- Schriftform
Die Schriftform ist durch die Unterschrift des Kunden auf dem Antragsformular gewahrt.
Die Möglichkeit, das fehlende Einverständnis durch Ankreuzen des entsprechenden
Kästchens zu erklären, ist nicht ausreichend.
Dass die Erteilung der Einwilligung dem Kunden freigestellt ist, ergibt sich nur mittelbar
daraus, dass dem Kunden eine Widerrufsmöglichkeit eingeräumt wird. Es fehlt aber der
erforderliche ausdrückliche Hinweis auf die Freiwilligkeit der Einwilligung sowie auf die
- 69 -
Folgen der Verweigerung einer solchen Erklärung.
Als freiwillig kann allerdings die Zustimmung in den Erhalt von Werbeinformationen über
Telefon oder SMS bezeichnet werden. Zusätzlich zur freien Angabe der Telefon- oder
Mobilfunknummer wird der Kunde gefragt, ober er per Telefon bzw. SMS besondere Infos
erhalten möchte. Zur Auswahl werden zwei jeweils mit „Ja“ bzw. „Nein“ gekennzeichnete
Felder angegeben. Aus der direkten Frage, der Möglichkeit, diese Frage zu verneinen und
dem Hinweis, dass es sich bei der Angabe der Telefon- oder Mobilfunknummer um eine
freiwillige handelt, kann der Kunde zweifelsfrei schließen, dass auch die Zustimmung zur
Nutzung dieser Daten zum Erhalt der gewünschten Informationen nicht für die Teilnahme
erforderlich ist.
Eine freie Entscheidung des Kunden liegt auch insgesamt in der Angabe der freiwilligen
Angaben, die als solche im Formular kenntlich gemacht sind. Über das Formular werden eine
Vielzahl freiwilliger Angaben erhoben, die auch die Lebenssituation und Interessen des
Kunden erfragen. Insgesamt sind dies folgende Daten:
Geburtsdatum
Telefon
Mobiltelefon
E-Mail
Name, Geschlecht und Geburtsdatum der Kinder
Wohnsituation (Wohnung, Haus, Eigentum, Miete, Garten, Wohnfläche)
Hobbies (mehrere Kategorien zur Auswahl)
„In diesen Bereichen würde ich gerne punkten“ (24 Branchen zur Auswahl)
Darüber, dass die danova GmbH verantwortliche Stelle für die Verarbeitung der
Kundendaten ist, wird der Kunde im Antragsformular hinreichend informiert. Dass daneben
aber auch die Partnerunternehmen Daten der Kunden speichern und auch für Werbezwecke
nutzen, ergibt sich nur aus Ziff. 7 der Allgemeinen Geschäftsbedingungen. Ein Hinweis
hierauf ist aber auch in der Einwilligungserklärung erforderlich.
Über die Identität der teilnehmenden Partnerunternehmen wird der Kunde hinreichend
informiert. Die aktuell teilnehmenden Unternehmen sind auf der Rückseite der
Antragsbroschüre abgedruckt und in der Einwilligungserklärung wird der Kunden auf die
Möglichkeit hingewiesen, eine aktuelle Teilnehmerliste bei der danova GmbH anzufordern.
Welche Datenkategorien im Rahmen des Bonusprogramms verarbeitet werden, erfährt der
Kunde dagegen nicht mit hinreichender Genauigkeit. Betroffen sind hier die Programmdaten,
die in der Einwilligungserklärung völlig unbestimmt als „Daten, die sich aus der Verwaltung
der Bonuskarte ergeben“ beschrieben werden und auch in den Allgemeinen
Geschäftsbedingungen nicht wesentlich genauer benannt sind (dort heißt es „die den
Bonuspunkten zu Grunde liegenden Geschäfte“). Welche Datenkategorien hiervon erfasst
sind, ist nicht verständlich. Insbesondere wird in nicht klar, ob nur solche Daten verarbeitet
werden, die für die Rabattverwaltung zwingend erforderlich sind, oder darüber hinausgehend
auch weitere Daten wie etwa die Waren- oder Dienstleistungsgruppe.
Auch
die
Vorgänge
der
Datenverarbeitung
sind,
zumindest
hinsichtlich
der
- 70 -
Datenverarbeitung durch die Partnerunternehmen, nicht hinreichend bestimmt dargestellt.
Wie oben bereits festgestellt, muss die Tatsache, dass auch die Partnerunternehmen
Kundendaten speichern und nutzen, aus der Einwilligung ersichtlich sein.
Über die Zwecke der Datenverarbeitung wird der Teilnehmer hinreichend informiert.
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung und auch in den
Allgemeinen Geschäftsbedingungen, dort auch unter Angabe des Ansprechpartners.
Ein Hinweis auf die Betroffenenrechte erfolgt in den Allgemeinen Geschäftsbedingungen.
9.2.1.4 Keine
Irreführung
des
Einwilligungserklärungen
Kunden
durch
die
Gestaltung
der
Durch die hier verwendeten Einwilligungserklärungen ist eine Irreführung des Kunden, wie
sie bei Lektüre des Anmeldeformulars der Eutin City Card entstehen kann, ausgeschlossen. In
zwei verschiedenen Punkten ist die Rabatteinwilligung der Pforzheim Card anders gestaltet
als die der Eutin City Card, und diese Unterschiede wirken sich auf die Verständlichkeit der
Einwilligungen in erheblicher Weise aus.
Zum einen enthält die erste Einwilligungserklärung der Pforzheim Card im Gegensatz zu der
bei der Eutin City Card verwendeten eine ausdrückliche Zweckangabe. Eine Verarbeitung
soll danach im Rahmen des Bonuspunkte-Programms stattfinden. Zum BonuspunkteProgramm im engeren Sinne gehört nur die Gutschrift, Verwaltung und Auszahlung der
Rabatte, nicht aber die Werbung und Marktforschung. Durch diese Zweckangabe ist eine
deutliche Abgrenzung zur Werbeeinwilligung erfolgt.
Zum zweiten fehlt in der Rabatteinwilligung der Pforzheim Card die irreführende
Formulierung „Daten werden gemäß Bundesdatenschutzgesetz verarbeitet“.
Auch die Hervorhebung der Werbeeinwilligung ist auf dem Formular der Pforzheim Card
wesentlich besser gelungen als bei der Eutin City Card.
Beide Erklärungen sind weiß hinterlegt und mit einem blauen Streifen umrandet. Da die
Werbeeinwilligung mehr Text beinhaltet als die Rabatteinwilligung, nimmt die
Werbeeinwilligung einen größeren Umfang ein. Beide Erklärungen befinden sich
nebeneinander in einem gesonderten Abschnitt unter der Überschrift „EinverständnisErklärung, die logisch zu beiden Erklärungen gehört, wenngleich optisch auf den ersten Blick
nur die direkt unter der Überschrift abgedruckte Rabatteinwilligung zu der Überschrift
zugeordnet wird.
9.2.2.
9.2.2.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten und
Programmdaten
Für die Erhebung der freiwilligen Angaben und Stammdaten durch das Partnerunternehmen
ist die Einwilligungserklärung, abgesehen von den allgemeinen Mängeln dieser Erklärung,
ausreichend. Der Vorgang der Erhebung des Partnerunternehmens wird zwar nur in den
- 71 -
Allgemeinen Geschäftsbedingungen beschrieben, aber da der Kunde das erhebende
Partnerunternehmen selbst aufsucht und dort seine Karte erhält, ist dieser Hinweis
ausreichend.
Etwas anderes ergibt sich jedoch für die Erhebung der Programmdaten zu Werbezwecken. Da
9.2.2.2 Übermittlung von Kundendaten an den Systembetreiber
Der Vorgang der Übermittlung ist zwar nicht in der Einwilligungserklärung beschrieben,
ergibt sich jedoch aus den Allgemeinen Geschäftsbedingungen, Ziff. 7. Da dem Kunden
bewusst ist, dass diese Daten beim Systembetreiber gespeichert werden, ist der Hinweis hier
ausreichend.
Etwas anderes ergibt sich jedoch für die Übermittlung der Programmdaten zu Werbezwecken.
Da über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser
9.2.2.3 Speicherung und Verarbeitung durch den Systembetreiber
Gleiches gilt auch für die Speicherung der Kundendaten durch die danova GmbH.
Hinsichtlich der freiwilligen Angaben und der Stammdaten ist die Einwilligung ausreichend,
hinsichtlich der Programmdaten kann die Einwilligung diesen Vorgang nicht legitimieren.
9.2.2.4 Erstellung von Kundenprofilen / Data Mining
Hier gelten die Ausführungen zur Eutin City Card.
9.2.2.5 Speicherung und Verarbeitung durch das Partnerunternehmen
Eine Speicherung und Verarbeitung der Kundendaten wird nur in den Allgemeinen
Geschäftsbedingungen erwähnt, die Einwilligungserklärung erwähnt diesen Vorgang nicht.
Hinsichtlich der Programmdaten kommt die Einwilligungserklärung bereits aus oben
genannten Gründen nicht als Grundlage für die Verarbeitung in Betracht.
Eine wirksame Einwilligung liegt auch hinsichtlich der übrigen Kundendaten nicht vor, da der
Vorgang der Datenverarbeitung durch Partnerunternehmen nicht ausdrücklich in der
Einwilligungserklärung aufgeführt wird.
Als gesetzliche Grundlage für die Speicherung und Verarbeitung durch das
Partnerunternehmen kommt § 28 Abs. 1 Nr. 2 BDSG in Betracht. Diese Vorschrift legitimiert
die Verwendung solcher Kundendaten zu Werbezwecken, die zum Zweck der Erfüllung des
zu Grunde liegenden Vertrages zulässig erhoben werden. Außerdem sind die
Partnerunternehmen auf Grund gesetzlicher Grundlage nur befugt, die Daten ihrer eigenen
Kunden zu Werbezwecken zu verwenden, so dass eine Verwendung fremder Kundendaten
unzulässig ist.
Zusammenfassung:
- 72 -
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen der Pforzheim Card sind
folgende datenschutzrechtliche Verstöße festzustellen:
-
Gestaltung der Einwilligung als Opt-Out,
fehlender Hinweis in der Einwilligungserklärung auf die Datenspeicherung und -nutzung
durch die Partnerunternehmen zu Werbezwecken,
unzureichende Beschreibung der Programmdaten,
- 73 -
10.
Dürens große Kundenkarte
Die Stadtwerke Düren GmbH gibt für ihre Kunden eine Kundenkarte, „Dürens große
Kundenkarte“ heraus. Bei den teilnehmenden Partnerunternehmen - hauptsächlich lokale
Einzelhändler - können unter Vorlage der Kundenkarte Rabatte in Form von so genannten
evivo Punkten gesammelt werden. Ein evivo Punkt hat einen festen Gegenwert von 0,01
Euro, die Anzahl der zu gewährenden Punkte legen die Partnerunternehmen in eigenem
Ermessen fest. Verwaltet werden die Rabattgutschriften durch den evivoCard Rabattverein
e.V., der auch in zahlreichen anderen Städten17 in Zusammenarbeit mit den lokalen
Energieversorgungsunternehmen Kundenkartensysteme betreibt. Zur Unterstützung bedient
sich der evivoCard Rabattverein eines technischen Systemdienstleisters, der die Kundendaten
zur technischen Abwicklung des Kundenkarten-Systems speichert und verarbeitet.
Inhaber der Kundenkarte können ihr erworbenes Rabattguthaben entweder zur Verrechnung
in allen teilnehmenden Partnerunternehmen einsetzen oder es sich bei der Stadtwerke Düren
GmbH in bar auszahlen lassen.
10.1
-
Erhebung von Stammdaten durch die Stadtwerke Düren GmbH
Die Anmeldung eines Kunden zur Teilnahme am Kundenbindungssystem erfolgt über ein
Anmeldeformular bei der Stadtwerke Düren GmbH. Die mittels des Formulars abgefragten
Informationen werden somit durch die Stadtwerke Düren erhoben.
Als Pflichtangaben werden neben der Kundennummer folgende Daten erhoben:
Name
Anschrift
Geburtsdatum
Die Erhebung des vollständigen Geburtsdatums ist aus den bereits genannten Gründen nicht
zulässig. Die Stadtwerke Düren GmbH kann sich nicht darauf berufen, dass die Kenntnis
erforderlich ist, um Teilnehmer eindeutig zu identifizieren bzw. um Teilnehmer eines
bestimmten (jugendlichen) Alters auszuschließen. Die Kunden sind über ihre Kundennummer
bereits hinreichend identifiziert. Zum anderen erfolgt durch die Beschränkung der Teilnahme
auf die Kunden der Stadtwerke gleichzeitig ein Ausschluss nicht geschäftsfähiger Personen.
-
Übermittlung der Stammdaten an den evivoCard Rabattverein e.V.
Da die Verwaltung des Bonuspunktekontos durch den evivoCard Rabattverein erfolgt, ist
davon auszugehen, dass auch die Stammdaten der Teilnehmer zum Zweck der
Kontoverwaltung an den Rabattverein übermittelt werden, auch wenn dieser Vorgang in den
Allgemeinen Teilnahmebedingungen und den Hinweisen zum Datenschutz nicht ausdrücklich
erwähnt wird. Eine solche Übermittlung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.
17
Z.B. in Brühl.
- 74 -
-
Speicherung und Verarbeitung durch den evivoCard Rabattverein e.V.
Gleiches gilt für die Speicherung und Verarbeitung der Stammdaten durch den evivoCard
Rabattverein.
-
Erhebung der Programmdaten durch das Partnerunternehmen
Beim Einsatz der Kundenkarte werden folgende Programmdaten durch das kontaktierte
Partnerunternehmen erhoben:
Preis
Rabattbetrag
Ort und Datum des Kaufs
Da diese Daten zur Abrechnung der Rabattpunkte und zur nachträglichen Überprüfung der
Richtigkeit der Abrechnung erforderlich sind, ist deren Erhebung gemäß § 28 Abs. 1 Nr. 1
BDSG zulässig.
-
Übermittlung an den evivoCard Rabattverein e.V.
Auch eine Übermittlung dieser Daten an den evivoCard Rabattverein ist zulässig.
-
Speicherung der Programmdaten durch den evivoCard Rabattverein e.V.
Gleiches gilt für eine Speicherung der Programmdaten durch den evivoCard Rabattverein.
-
Übermittlung
der
StammDienstleistungsunternehmen
und
Programmdaten
an
ein
externes
Laut Ziff. 4.1 der Allgemeinen Teilnahmebedingungen sowie Ziff. 2 der Hinweise zum
Datenschutz werden die Stamm- und Programmdaten zur technischen Abwicklung der
Rabattverwaltung an ein vom evivoCard Rabattverein und der Stadtwerke Düren GmbH
beauftragtes Dienstleistungsunternehmen weitergeleitet.
Die Tätigkeit des Dienstleistungsunternehmens kann in datenschutzrechtlicher Hinsicht auf
zweierlei Art und Weise ausgestaltet sein.
Zum einen kann es sich dabei um eine unselbständige Hilfsleistung handeln.
Datenschutzrechtlich wäre dies als eine Auftragsdatenverarbeitung gemäß § 11 BDSG zu
qualifizieren. Die Weitergabe der Daten an das Dienstleistungsunternehmen wäre dann keine
Übermittlung im Sinne des § 3 Abs. 4 BDSG, die einer Erlaubnis gemäß § 4 Abs. 1 BDSG
bedürfte.
Zum anderen käme aber auch eine selbständige von eigenen Interessen bestimmte Tätigkeit
des beauftragten Unternehmens in Betracht, die über die bloße Hilfsfunktion der
Datenverarbeitung im Auftrag hinausgeht. In diesem Fall wäre für die Übermittlung eine
Erlaubnis erforderlich, die hier aufgrund der Erforderlichkeit für die Rabattabwicklung in §
28 Abs. 1 Nr. 1 BDSG gesehen werden könnte. Das Dienstleistungsunternehmen wäre dann
aber selbst auch verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG, mit der Folge, dass
der Betroffene gemäß § 4 Abs. 3 Nr. 1 BDSG über dessen Identität zu unterrichten wäre. Eine
solche Unterrichtung ist hier nicht erfolgt.
- 75 -
Die Bezeichnung des beauftragten Unternehmens als technischen Systemdienstleisters sowie
die Beschreibung dessen Tätigkeit als technische Abwicklung des Kundenkartensystems
deutet darauf hin, dass es sich hierbei um eine Datenverarbeitung im Auftrag gemäß § 11
BDSG handelt.
10.2
Ausweislich der Hinweise zum Datenschutz werden die Kundendaten durch die Stadtwerke
Düren GmbH zu Zwecken der Marktforschung und zur Versendung von Informationen per
Post genutzt.
10.2.1
Vorgänge, die aufgrund gesetzlicher Grundlage zulässig sind
Weitergabe (Übermittlung) von Daten an das Partnerunternehmen, über das die
Anmeldung erfolgt ist
Stammdaten und freiwillige Angaben werden ausdrücklich nicht an die Partnerunternehmen
übermittelt.
Die Programmdaten werden den Partnerunternehmen in anonymisierter Form für
Abrechnungszwecke zur Verfügung gestellt. Wegen der Beschränkung auf den Zweck der
Abrechnung ist davon auszugehen, dass den Partnerunternehmen nur die Programmdaten über
ihre eigenen Geschäfte mit den Teilnehmern übermittelt werden. Dieser Vorgang ist zulässig.
10.2.2
10.2.2.1 Allgemeine Beurteilung der Einwilligungserklärung
Auf dem Anmeldeformular für Dürens große Kundenkarte ist die folgende Erklärung
abgedruckt:
„Ihre Zustimmung
Bitte beachten Sie die beiliegenden Teilnahmebedingungen und Hinweise zum
Datenschutz. Die Verwaltung Ihrer Daten (Basisdaten, freiwillige Angaben
und Rabattdaten) erfolgt durch einen von der SWD und dem evivoCard
Rabattverein e.V. beauftragten technischen Systemdienstleister. Mit Ihrer
Unterschrift erklären Sie sich mit der Übermittlung, Speicherung und Nutzung
Ihrer Daten gemäß den beiliegenden Datenschutzhinweisen und den
allgemeinen Teilnahmebedingungen einverstanden.
Werbung und Marktforschung (bitte durchstreichen, falls nicht einverstanden):
Ich möchte ausgewählte Informationen von der SWD und den
Partnerunternehmen per Post erhalten. Ich bin damit einverstanden, dass meine
Daten gemäß den beiliegenden Datenschutzhinweisen hierfür und zu Zwecken
der Marktforschung von der SWD genutzt werden. Mein Einverständnis kann
ich jederzeit gemäß § 28 Abs. 3 Bundesdatenschutzgesetz gegenüber der SWD,
Anschrift, widerrufen.
- 76 -
Datum, Unterschrift
Kundenkartensystem)“
10.2.2.1.1
(unbedingt
erforderlich
zur
Teilnahme
am
- Schriftform
Die Schriftform ist durch die Unterschrift erfüllt.
Die vorliegende Streichoption genügt den oben dargestellten Anforderungen nicht.
10.2.2.1.2
Freie Entscheidung
Eindeutig ergibt sich die Freiwilligkeit der Einwilligung in die Nutzung für Werbung und
Marktforschung nur aus den Hinweisen zum Datenschutz. Dort wird auch auf die Folgen der
Verweigerung und des Widerrufs hingewiesen.
Aus dem Text der Einwilligungserklärung kann der Kunde nur mittelbar auf die Freiwilligkeit
der Erklärung schließen, und zwar einmal durch die Möglichkeit zum Streichen des
Erklärungstextes und zum anderen durch den Hinweis auf die Widerrufsmöglichkeit. Dies
allein reicht jedoch noch nicht aus. Wegen der zentralen Bedeutung der Freiwilligkeit dürfen
in diesen Punkt keine Unklarheiten oder Ungenauigkeiten zu Lasten des Betroffenen
verbleiben. Ein ausdrücklicher Hinweis ist daher erforderlich. Gleiches gilt auch für den
Hinweis auf die Folgen der Verweigerung.
10.2.2.1.3
Die hier verwandte Einwilligungserklärung besteht wie bei den letzten zwei beschriebenen
Kundenkartensystemen ebenfalls aus zwei verschiedenen Bestandteilen. Hier ist ebenfalls
davon auszugehen, dass der erste Abschnitt sich lediglich auf die Verarbeitung von Daten
zum Zweck der Rabattabwicklung bezieht. Diese Einwilligung ist überflüssig, da wie oben
festgestellt die zu diesem Zweck durchzuführenden Verarbeitungsvorgänge aufgrund
gesetzlicher Befugnis zulässig sind. Es ist im Hinblick auf diese Erklärung lediglich zu
prüfen, ob damit der Informationspflicht des § 4 Abs. 3 BDSG Genüge getan ist.
Bei der zweiten Erklärung handelt es sich dagegen um eine „echte“, konstitutive
Einwilligungserklärung, deren Wirksamkeit Zulässigkeitsvoraussetzung für die Verarbeitung
von Daten zum Zweck der Werbung und Marktforschung ist.
Wer in datenschutzrechtlicher Hinsicht verantwortliche Stelle für die Datenverarbeitung im
Rahmen des Kundenkartensystems ist, wird aus der Einwilligungserklärung selbst nicht
deutlich. Genannt werden dort die Stadtwerke Düren GmbH, der evivoCard Rabattverein und
die Partnerunternehmen. Hinsichtlich der Programmabwicklung, für die sich eine
Informationspflicht aus § 4 Abs. 3 Nr. 1 BDSG ergibt, werden die Aufgaben der Stadtwerke
Düren GmbH und des Rabattvereins nicht dargestellt. Der Kunde erfährt nicht, ob eines dieser
Unternehmen seine personenbezogenen Daten erhebt und verarbeitet, ob diese Vorgänge
durch beide gleichermaßen oder nur durch eines der Unternehmen erfolgen. Eine solche
Information ist aber erforderlich und sollte, wenn wie hier eine gesonderte Erklärung für die
Vorgänge zur Rabattabwicklung vorgesehen ist, sich auch direkt aus dieser Erklärung
- 77 -
ergeben.
Aber auch die Allgemeinen Teilnahmebedingungen und die Hinweise zum Datenschutz sind
in dieser Hinsicht nicht wesentlich aufschlussreicher. Ziff. 1 der Hinweise zum Datenschutz
beschreibt die Vorgänge der Datenerhebung und -speicherung, erwähnt aber nicht, durch wen
diese Schritte durchgeführt werden. Ziff. 1.1 der Allgemeinen Teilnahmebedingungen
benennt den evivoCard Rabattverein als Verwalter der Rabattgutschriften und legt somit auch
eine verantwortliche Verarbeitung der dafür erforderlichen Kundendaten durch diesen nahe,
ohne dass dieser Umstand jedoch ausdrücklich erwähnt wird. Es fehlt überdies die präzise
Angabe der Identität des Rabattvereins, da weder eine Anschrift noch eine sonstige
Kontaktmöglichkeit des Rabattvereins angegeben ist.
Hinsichtlich der Verantwortlichkeit für die Werbenutzung ist die Einwilligungserklärung
deutlicher. Zweifelsfrei ergibt sich daraus zumindest, dass die Stadtwerke Düren zu diesen
Zwecken die Kundendaten nutzt.
Daneben wird aber die Funktion der Partnerunternehmen missverständlich dargestellt. Der
erste Satz der Einwilligung zu Werbe- und Marktforschungszwecken lässt vermuten, dass
dafür die Kundendaten auch durch die Partnerunternehmen verarbeitet werden, was jedoch
nach den Hinweisen zum Datenschutz nicht der Fall ist.
Offen bleibt nach der gesamten Darstellung in der Einwilligungserklärung, den Hinweisen
zum Datenschutz und den Allgemeinen Teilnahmebedingungen, ob die Partnerunternehmen
die beim Einsatz der Kundenkarte anfallenden Programmdaten selbst erheben.
Über die Identität der teilnehmenden Partnerunternehmen wird der Kunde durch eine
Aufzählung in der Antragsbroschüre sowie einen Hinweis in den Allgemeinen
Teilnahmebedingungen hinreichend aufgeklärt.
Über die zur Rabattabwicklung verarbeiteten Datenkategorien wird der Kunde nicht
vollständig aufgeklärt. Erforderlich wäre eine Aufzählung der Bestandteile der Rabattdaten
bereits in der Einwilligungserklärung. Die Auflistung in den Hinweisen zum Datenschutz ist
zwar hilfreich, jedoch nicht ausreichend.
Gravierender ist die Ungenauigkeit der Beschreibung in der Einwilligung zu Werbezwecken.
Hier werden die zu verarbeitenden Daten nur als „meine Daten“ bezeichnet. Es bleibt dabei
unklar, ob sich dies auf die oben genannten Kategorien bezieht. Da dem Kunden der Umfang
der Datenverarbeitung zu Werbe- und Marktforschungszwecken in der Regel weniger
bewusst ist als der Umfang der zur Abwicklung des Programms zwingend erforderlichen
Daten, wäre an dieser Stelle erst recht eine präzise Aufklärung erforderlich.
Über die Vorgänge der Datenverarbeitung informiert die Einwilligungserklärung für die
Rabattabwicklung insofern unzureichend, als die Stelle, die die dort aufgeführten Maßnahmen
durchführt, nicht genannt ist. Der Mangel liegt in dem fehlenden Hinweis auf die
verantwortliche Stelle.
Im Hinblick auf die Nutzung zum Zweck der Werbung und Marktforschung sind die
Vorgänge hinreichend dargestellt. Unzureichend ist allerdings die Beschreibung des
Werbezwecks als „Information“. Hierdurch wird der suggestive Charakter der Werbung
verschleiert und die geplante Maßnahme beschönigend mit dem positiv besetzten Begriff der
Information umschrieben.
- 78 -
Ein Hinweis auf das Widerrufsrecht ist in der Einwilligungserklärung enthalten, wenn auch
hier das Zitat des § 28 Abs. 3 BDSG irreführend ist. Es handelt sich dabei um einen Verweis
auf die alte Rechtslage, da das Widerspruchsrecht nach der Novellierung im Jahr 2001 in § 28
Abs. 4 und nicht mehr in Abs. 3 enthalten ist. Zudem handelt es sich hier nicht um einen
Widerspruch gegen die Nutzung zu Werbezwecken im engeren Sinne, sondern vielmehr um
einen Widerruf der erteilten Einwilligung.
10.2.2.1.4
Die Hervorhebung der Einwilligung in die Nutzung zu Werbezwecken im Schriftbild ist hier,
auch im Hinblick auf die erste Einwilligungserklärung, hinreichend erfolgt. Insgesamt
befinden sich die Einwilligungen in einem gesonderten umrahmten Feld unter der deutlich
hervorgehobenen Überschrift „Ihre Zustimmung“. Auch die optische Trennung der zweiten
von der ersten Einwilligung ist durch eine Leerzeile und die nachfolgende Überschrift
„Werbung und Marktforschung“ ausreichend realisiert.
10.2.2.2
10.2.2.2.1
Erhebung der freiwilligen Angaben sowie des Geburtsdatums
Die Erhebung des Geburtsdatums ist wegen des fehlenden Hinweises auf die Freiwilligkeit
der Angabe nicht durch die Einwilligung des Kunden gedeckt.
Darüber hinausgehend ist die Einwilligung des Kunden eine hinreichende Grundlage für die
Erhebung der freiwilligen Angaben. Ein Hinweis auf die Freiwilligkeit erfolgt.
Als freiwillige Angaben werden folgende Informationen erfragt:
- Haushaltsgröße
- Haus- oder Wohnungstyp (Mietwohnung, Eigentumswohnung, Einfamilienhaus,
Sonstiges)
- „Womit heizen Sie?“ (Mehrere Angaben zur Auswahl)
- „Welche besonderen Interessen haben Sie?“ (Spiel & Sport, Kino, Stadtfeste,
Konzerte etc, Ausstellungen)
- „Wofür geben Sie Ihr Geld am liebsten aus?“ (Mehrere Kategorien zur Auswahl)
10.2.2.2.2
Speicherung, Verarbeitung und Nutzung durch die Stadtwerke Düren
GmbH
Ausdrücklich beschrieben ist in der Einwilligungserklärung nur eine Nutzung von
Kundendaten durch die Stadtwerke Düren GmbH. Der Kunde erfährt dagegen nicht, ob und
vor allem welche Daten die Stadtwerke Düren GmbH erhebt und speichert. Hinsichtlich der
Stammdaten und freiwilligen Angaben, die mittels des Antragsformulars erhoben werden,
wird dem Kunden, der das Anmeldeformular gewöhnlich bei der Stadtwerke Düren GmbH
abgibt, bewusst sein, dass die mitgeteilten Daten von der Stadtwerke Düren GmbH erhoben
und gespeichert werden. In dieser Hinsicht ist die Beschreibung in der
Einwilligungserklärung ausreichend.
Nicht ausreichend ist die Beschreibung aber in Bezug auf die Programmdaten. Der Kunde
weiß in der Regel nicht, dass die Stadtwerke Düren GmbH auch die Programmdaten erhält
- 79 -
und für Werbezwecke nutzt. Ein entsprechender Hinweis erfolgt zwar in den Hinweisen zum
Datenschutz, aus Gründen der Transparenz muss dieser aber bereits in der
Einwilligungserklärung enthalten sein.
10.2.2.2.3
Weitergabe an ein externes Dienstleistungsunternehmen
Nach der Beschreibung in den Hinweisen zum Datenschutz werden die Kundendaten zum
Zweck der Übersendung von Werbeinformationen an externe Dienstleistungsunternehmen
übermittelt, wo sie nach Durchführung der Marketingaktion gelöscht werden. Soweit es sich
um eine Auftragsdatenverarbeitung gemäß § 11 BDSG handelt, ist die Weitergabe der Daten
zulässig.
10.2.2.2.4
Eine Bildung und Auswertung von Kundenprofilen wäre auf Grund der Zweckbeschreibung
der Einwilligungserklärung nicht zulässig.
10.2.2.2.5
Verarbeitung und Nutzung durch das Partnerunternehmen
Nach der Darstellung in den Hinweisen zum Datenschutz verfügen die Partnerunternehmen
nicht über einen eigenen Bestand von personenbezogenen Kundendaten. Stammdaten und
freiwillige Angaben werden demnach nicht an die Partnerunternehmen übermittelt. Die
Programmdaten werden diesen nur anonymisiert zum Zweck der Abrechnung zur Verfügung
gestellt.
Eine Verarbeitung und Nutzung von personenbezogenen Daten der Teilnehmer findet danach
durch die Partnerunternehmen nicht statt. Nach dieser Darstellung werden Werbemaßnahmen
für die Partnerunternehmen durch die Stadtwerke Düren GmbH durchgeführt.
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Bonussystems Dürens große
Kundenkarte sind folgende datenschutzrechtliche Mängel festzustellen:
-
Erhebung des Geburtsdatums
-
11.
Verwendung der so genannten Streichlösung,
Fehlender ausdrücklicher Hinweis in der Erklärung auf die Freiwilligkeit der
Einwilligung,
Fehlende Information über die verantwortliche Stelle für die Programmabwicklung,
Fehlende Information über die Datenverarbeitung für die Programmabwicklung,
Fehlende Information über die zu verarbeitenden Datenkategorien.
evivoCard (Dortmund)
Auch der Dortmunder Energieversorger Dortmunder Energie und Wasser (im Folgenden
- 80 -
DEW genannt) gibt für seine Kunden in Zusammenarbeit mit dem evivoCard Rabattverein
e.V. eine Kundenkarte, die evivoCard, heraus. Die Funktionsweise dieser Karte entspricht der
von Dürens großer Kundenkarte.
11.1
Im Hinblick auf die Verwendung personenbezogener Daten der Kunden zum Zweck der
Rabattgewährung kann hier vollständig auf die Ausführungen zu Dürens großer Kundenkarte
verwiesen werden.
Einziger Unterschied zu Dürens großer Kundenkarte ist, dass im Antragsformular für die
evivoCard Dortmund der DEW das Geburtsdatum des Antragstellers nicht als Pflichtangabe
verlangt wird. Dies untermauert die Annahme, dass die Kenntnis des vollständigen
Geburtsdatums nicht zur Abwicklung des Rabattprogramms erforderlich ist.
Ob die Erhebung der Programmdaten in vollem Umfang zulässig ist, kann an dieser Stelle
nicht beurteilt werden, da Anmeldeformular und Allgemeine Teilnahmebedingungen keinen
Aufschluss auf die Zusammensetzung dieser Daten geben.
Die Information des Kunden nach § 4 Abs. 3 Nr. 1 BDSG über die verantwortliche Stelle für
die Datenverarbeitung zum Zweck der Rabattabwicklung ist auch hier unzureichend, soweit
der evivoCard Rabattverein betroffen ist. Eine Einwilligungserklärung für diesen Zweck, wie
sie im Rahmen von Dürens großer Kundenkarte verwendet wird, liegt hier nicht vor. Aus den
Allgemeinen Teilnahmebedingungen erfährt der Kunde nicht, welche Daten der Rabattverein
verarbeitet; eine Adresse des Rabattvereins wird ebenfalls nicht angegeben.
11.2
Auch im Rahmen der evivoCard Dortmund findet eine Verwendung der erlangten
Kundendaten zu Zwecken der Werbung und Marktforschung statt.
11.2.1
Das Anmeldeformular
Einwilligungserklärung:
für
die
evivoCard
Dortmund
enthält
die
folgende
„Datenschutz
Durch meine Unterschrift bestätige ich die Richtigkeit der obigen Angaben. Ich bin daran
interessiert von DEW regelmäßig Informationen zu erhalten. Ich bin damit einverstanden,
dass meine Daten innerhalb von DEW sowie an Beauftragte übermittelt, gespeichert und
verarbeitet werden und in Zusammenarbeit mit den Partnerunternehmen für
Marketingaktionen, insbesondere zu Zwecken der Marktforschung, genutzt werden können.
Mein Einverständnis kann ich jederzeit durch eine schriftliche Widerrufung gegenüber DEW
zurückziehen. Darüber hinaus gelten die allgemeinen Teilnahmebedingungen evivoCard.“
Gegenüber Dürens großer Kundenkarte unterscheidet sich die hier vorliegende Einwilligung
hauptsächlich dadurch, dass es für die evivoCard Dortmund keine Hinweise zum Datenschutz
gibt. Es sind daher für den Kunden einzig die Informationen aus dem Antragsformular und
- 81 -
den Allgemeinen Teilnahmebedingungen verfügbar.
11.2.1.1
- Schriftform
Die Schriftform ist erfüllt.
Die Einwilligungserklärung ist auf dem Antragsformular gesondert zu unterzeichnen.
Hierdurch wird sichergestellt, dass es sich bei dieser Erklärung um eine bewusste Aktivität
des Betroffenen handelt.
11.2.1.2
Freie Entscheidung
Auf die Freiwilligkeit dieser Erklärung wird der Kunde jedoch nicht hingewiesen. Mittelbar
ergibt sich die Freiwilligkeit seiner Erklärung zum einen aus der Widerrufsbelehrung und
zum anderen daraus, dass die Unterschrift zur Erklärung des Antrags bereits erfolgt ist und es
sich bei dem zweiten Abschnitt des Formulars um zusätzliche Angaben handelt.
Zur Vermeidung von Missverständnissen ist jedoch auch hier ein ausdrücklicher Hinweis auf
die Freiwilligkeit bezüglich der Erklärung erforderlich.
11.2.1.3
DEW als verantwortliche Stelle ist in der Einwilligung hinreichend bezeichnet. Daneben
wird aber die Funktion der Partnerunternehmen nicht deutlich. Die Formulierung „in
Zusammenarbeit mit den Partnerunternehmen“ lässt vermuten, dass diese auch
personenbezogene Daten zum Zweck der Nutzung für Werbung und Marktforschung erhalten.
Ob dies tatsächlich der Fall ist, ist weder aus der Einwilligungserklärung noch aus den
Allgemeinen Teilnahmebedingungen zu erfahren. Auch der evivo Card Rabattverein wird
nicht in der Einwilligung genannt.
Die Information über die verwendeten Datenkategorien ist unzureichend. Aufschluss über
die Zusammensetzung der Programmdaten erhält der Kunde an keiner Stelle.
Die Vorgänge der Datenverarbeitung sind im Hinblick auf die Partnerunternehmen nicht
verständlich wiedergegeben. Wie oben ausgeführt, wird nicht deutlich, ob diese Kundendaten
erhalten und verarbeiten.
Auch die Zwecke der Datenverarbeitung sind hier nicht präzise benannt. Die Formulierung
„insbesondere zu Zwecken der Marktforschung“ impliziert eine Nutzung auch zu anderen
Zwecken, über die der Kunde im Ungewissen bleibt. Außerdem wird hier ebenso wie bei
Dürens großer Kundenkarte der Zweck der Werbung beschönigend als „Information“
dargestellt. Darüber hinaus wird nicht deutlich, ob der Kunde solche Informationen nur über
den Geschäftsbereich von DEW oder aber auch über Produkte und Dienstleistungen der
Partnerunternehmen erhalten soll.
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung, jedoch umfasst
dies nicht die Darstellung der Folgen des Widerrufs. Auf Grund des unterbliebenen Hinweises
- 82 -
auf die Freiwilligkeit der Einwilligung und die Verweigerungsfolgen, wiegt dieses
Versäumnis besonders schwer.
Eine Aufklärung über das Auskunftsrecht des Kunden erfolgt nicht. Gleiches gilt für einen
Hinweis auf die Löschung der Daten.
11.2.1.4
Die Erklärung ist hier nicht im Schriftbild hervorzuheben, da sie nicht zusammen mit anderen
Erklärungen abgegeben wird.
11.2.2
11.2.2.1
Erhebung der freiwilligen Angaben
Freiwillige Angaben des Kunden werden auf dem Formular an zwei verschiedenen Stellen
abgefragt. Auf dem „Antragsteil“ werden folgende Angaben erbeten:
Geburtsdatum
Telefon
Fax
E-Mail
Bereits bezogene Kundenkarten
Haushaltstyp (Einpersonenhaushalt, Mehrpersonenhaushalt incl. Anzahl der Personen)
Art der Wohnung (Miete, Hauseigentum, Eigentumswohnung, Baujahr)
Auf die Freiwilligkeit dieser Angaben wird der Kunde hinreichend hingewiesen, wenn auch
der Hinweis wenig verbraucherfreundlich gestaltet ist. Diejenigen Angaben, die als
Pflichtangaben erhoben werden, sind mit einem * gekennzeichnet. Unterhalb der
Angabenzeilen findet sich in kleinerem Schriftbild der Hinweis „Sämtliche Angaben, bis auf
die * gekennzeichneten Felder, sind freiwillig.“ Im Vergleich zu anderen Lösungen,
beispielsweise der häufig verwendeten Überschrift „Freiwillige Angaben“ ist dieser Hinweis
wenig auffällig und kann somit dazu führen, dass die Felder in Unkenntnis der Freiwilligkeit
ausgefüllt werden.
Im zweiten Teil des Formulars werden weitere Angaben des Kunden erfragt. Hier werden
bestimmte Themenfelder aus unterschiedlichen Bereichen vorgegeben, aus denen der Kunde
solche auswählen kann, zu denen er regelmäßig informiert werden möchte. Es ist hier zwar
nicht ersichtlich, ob sich die Kennzeichnung der Pflichtangaben, die im oberen farblich
besonders hinterlegten „Antragsteil“ vorgenommen wurde, auch auf diese Angaben bezieht.
Da hier dem Kunden aber eine Auswahlmöglichkeit eröffnet wird und die Überschrift die
Formulierung „Ich wünsche Informationen“ enthält, ist die Freiwilligkeit dieser Angaben für
den Kunden hinreichend deutlich zu erkennen.
11.2.2.2
Speicherung, Verarbeitung und Nutzung durch DEW
Die Einwilligung des Kunden ist für diese Verwendung unzureichend, da über die
Datenkategorien, die hier verwendet werden sollen, nicht aufgeklärt wurde. Insbesondere gilt
dies für die Programmdaten. Hier weiß der Kunde zum einen nicht, wie sich diese Daten
zusammensetzen, zum anderen weiß er nicht, ob DEW diese Daten überhaupt erlangt.
- 83 -
11.2.2.3
Weitergabe an ein externes Dienstleistungsunternehmen
Laut
der
Einwilligungserklärung
werden
die
Kundendaten
an
externe
Dienstleistungsunternehmen übermittelt. Hierbei handelt es sich um eine
Auftragsdatenverarbeitung gemäß § 11 BDSG, in deren Rahmen auch die Weitergabe der
Daten zulässig ist.
11.2.2.4
Aufgrund der Zweckbeschreibung in der Einwilligungserklärung wäre eine Bildung und
Auswertung von Kundenprofilen nicht zulässig.
11.2.2.5
Verarbeitung und Nutzung durch das Partnerunternehmen
Ob die Partnerunternehmen über einen eigenen Datenbestand verfügen, wird aus den
Unterlagen nicht deutlich. Wegen dieser Unbestimmtheit wäre eine Verwendung von
personenbezogenen Kundendaten durch die Partnerunternehmen zum Zweck der Werbung
und Marktforschung nicht zulässig.
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Bonussystems evivo Card
Dortmund sind folgende datenschutzrechtliche Mängel festzustellen:
-
Fehlender ausdrücklicher Hinweis in der Erklärung auf die Freiwilligkeit der
Einwilligung,
Fehlende Information über die zu verarbeitenden Datenkategorien,
Fehlende Information über die Vorgänge der Datenverarbeitung,
Unpräzise Beschreibung der Zwecke der Datenverarbeitung.
- 84 -
12.
SÜCard (Coburg)
In Coburg betreibt die SÜC Energie und H2O GmbH das Bonusprogramm SÜCard. Mittels
der SÜCard, die entweder als kontoungebundene Karte oder aber als EC-Karte oder sonstige
Bankkarte mit initialisierter SÜCard-Funktion erhältlich ist, kann der Teilnehmer bei den
angeschlossenen Akzeptanzstellen beim Erwerb von Waren oder Dienstleistungen einen
Rabatt in Form von Bonuspunkten erlangen. Ein Bonuspunkt entspricht einem festen
Gegenwert von 0,01 Euro.
Die angeschlossenen Partnerunternehmen erfüllen im Rahmen des Bonusprogramms
unterschiedliche Funktionen. Zum einen gewähren die Akzeptanzstellen den Teilnehmern
Rabatte, zum anderen können dort auch Rabattgutschriften eingelöst werden. An der SÜCard
sind sowohl Akzeptanzstellen beteiligt, die beide Funktionen erfüllen als auch solche, die
jeweils nur entweder Rabatte gewähren oder auszahlen. Eine Auszahlung der Rabattgutschrift
erfolgt bei der Akzeptanzstelle durch Verrechnung auf einen für einen Einkauf oder eine
andere Leistung zu zahlenden Preis.
Die SÜCard ist in jeder erhältlichen Form als Chipkarte gestaltet. Auf dem Chip werden die
gesammelten und eingelösten Bonuspunkte gespeichert. Gleichzeitig erfolgt eine Meldung
der Vorgänge an die SÜC Energie und H2O GmbH.
12.1
- Erhebung von Stammdaten durch die SÜC Energie und H2O GmbH
Die Beantragung der SÜCard erfolgt mittels eines Formulars, das bei der SÜC Energie und
H2O GmbH abgeben wird bzw. an diese per Post geschickt wird. Die Erhebung der dort
angegebenen Daten erfolgt somit durch die SÜC Energie und H2O GmbH.
Als Pflichtangaben werden folgende Daten erhoben:
Name
Anschrift
Diese Erhebung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.
Gleiches gilt für die Speicherung der Stammdaten durch die SÜC Energie und H2O GmbH.
Die Erhebung der beim Einsatz der SÜCard anfallenden Programmdaten erfolgt durch die
kontaktierten Partnerunternehmen. Welche Daten anlässlich einer Bonusgutschrift oder
Bonusauszahlung erhoben werden, ergibt sich aus den Unterlagen (Antragsformular,
Teilnahmebedingungen) nicht.
- 85 -
- Übermittlung an den Systembetreiber und Speicherung durch diesen
Genauso wenig ist aus den Unterlagen zu erfahren, welche Daten über die Gewährung und
Einlösung von Bonuspunkten an den Systembetreiber übermittelt und dort gespeichert
werden.
Eine Speicherung der für das Bonussystem verwandten Daten findet getrennt von den Daten
des Zahlungsverkehrs - bezüglich der SÜCard mit Zahlungsfunktion - statt.
Das Antragsformular und die Teilnahmebedingungen für die SÜCard enthalten keine
Hinweise auf das Auskunftsrecht der Teilnehmer und die Löschung der Kundendaten.
Erwähnung findet lediglich die Möglichkeit, den jeweiligen Bestand an Bonuspunkten zu
erfragen, in dem sich allerdings der Auskunftsanspruch des Betroffenen nicht erschöpft.
12.2
Im Rahmen des Bonusprogramms ist auch eine Verwendung der Kundendaten zu Zwecken
der Werbung und Marktforschung vorgesehen.
12.2.1
Das Antragsformular für die SÜCard enthält die folgende Erklärung:
„Mit meiner Unterschrift willige ich ein, dass die SÜC Energie und H2O
der Bonuspunkte ergeben, speichern, verarbeiten und für Marktforschungsund Werbezwecke auch der Akzeptanzstellen der SÜCard nutzen dürfen. Ich
habe jederzeit das Recht, diese Einwilligung zu widerrufen.“
Datum, Unterschrift
Diese Erklärung befindet sich unterhalb einer anderen Erklärung, in der der Kunde die
Teilnahmebedingungen der SÜCard anerkennt, und die ebenfalls gesondert zu unterschreiben
ist.
12.2.1.1
- Schriftform
Auch dieses Erfordernis wird durch die gesonderte Unterschrift des Kunden erfüllt.
12.2.1.2
Freie Entscheidung
- 86 -
Der mittelbare Hinweis auf die Freiwilligkeit der Entscheidung, der sich aus der
Widerrufsbelehrung ergibt, ist hier nicht ausreichend.
12.2.1.3
Über die SÜC Energie und H2O GmbH als verantwortliche Stelle wird der Kunde
Ein ausreichender Hinweis auf eine Übersicht der teilnehmenden Partnerunternehmen
findet sich in den Teilnahmebedingungen.
Nicht ausreichend informiert wird der Kunde dagegen darüber, welche seiner Daten im
Rahmen der SÜCard verarbeitet werden. Die Programmdaten werden wenig präzise als
„Daten, die sich aus der Verwaltung der Bonuspunkte ergeben“ bezeichnet.
Die Vorgänge der Datenverarbeitung sind hinsichtlich der Verwendung für Werbezwecke
hinreichend deutlich beschrieben. Gleiches gilt für die Zwecke der Datenverarbeitung.
Der Hinweis auf das Widerrufsrecht des Kunden ist dagegen unzureichend. Zum einen wird
kein Ansprechpartner benannt, gegenüber dem der Widerruf erklärt werden kann, zum
anderen fehlt ein Hinweis auf die Folgen des Widerrufs für die Teilnahme am
Bonusprogramm.
Einen Hinweis auf das Auskunftsrecht des Betroffenen und die Löschung der Daten
enthalten die Unterlagen (Antragsformular und Teilnahmebedingungen) nicht.
12.2.1.4
Eine besondere Hervorhebung der Einwilligungserklärung ist im vorliegenden Formular nicht
erforderlich, da diese nicht zusammen mit anderen Erklärungen abgegeben wird.
12.2.2
12.2.2.1
Mittels des Antragsformulars werden folgende freiwillige Angaben der Kunden erhoben:
Geburtsdatum
Telefonnummer
E-Mail-Adresse
Auf die Freiwilligkeit dieser Angaben wird in ausreichender Weise durch eine
Kennzeichnung der Pflichtangaben mit einem * hingewiesen (siehe dazu auch oben
evivoCard Dortmund).
12.2.2.2
Im Anforderungsprofil klären: Entweder werden die Daten von vornherein auch zu
Werbezwecken vom Partnerunternehmen an den Systembetreiber übermittelt oder aber der
Zweck der Übermittlung beschränkt sich auf die Rabattabwicklung. Dann findet anschließend
- 87 -
eine Zweckänderung beim Systembetreiber statt.
12.2.2.3
Die Einwilligungserklärung ist für diesen Vorgang nur hinsichtlich der Stammdaten und
freiwilligen Angaben hinreichend beschrieben. Bezüglich der Programmdaten reicht die
Einwilligungserklärung nicht aus, da diese Daten nicht präzise benannt werden.
12.2.2.4
Für die Bildung und Auswertung von Kundenprofilen wäre die Zweckbeschreibung in der
Einwilligungserklärung nicht ausreichend.
12.2.2.5
Eine Verwendung der Kundendaten durch die Partnerunternehmen
Einwilligungserklärung und in den Teilnahmebedingungen nicht vorgesehen.
ist
in
der
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Bonussystems SÜCard sind
folgende datenschutzrechtliche Mängel festzustellen:
-
Es fehlt ein ausdrücklicher Hinweis auf die Freiwilligkeit der Einwilligung.
Es fehlt eine ausreichende Information über die zu verarbeitenden Datenkategorien.
- 88 -
13.
GiessenCard
Die Giessencard wird von der Giessencard Betreibergesellschaft mbH angeboten.
Bonuspunkte können vom Karteninhaber bei den angeschlossenen Partnerunternehmen
gesammelt und dort auch durch Verrechnung auf den für die jeweilige Leistung zu zahlenden
Preis eingelöst werden. Die Bedingungen für die Gewährung von Bonuspunkten legen die
Partnerunternehmen selbst fest. Der Wert eines Bonuspunkts beträgt 0,25 Cent.
13.1
Mittels eines Antragsformulars erhebt die Giessencard Betreibergesellschaft mbH folgende
Stammdaten des Betroffenen:
Name
Anschrift
Geburtsdatum
Telefonnummer
E-Mail-Adresse
Familienstand (ledig, verheiratet, Paar, Kinderzahl)
Die zwingende Erhebung von Geburtsdatum sowie der Angaben zum Familienstand ist nicht
zulässig. Hinsichtlich der Kontaktadressen sollte dem Kunden die Wahl zwischen der Angabe
der Telefonnummer oder der E-Mail-Adresse angeboten werden.
Gleiches gilt für die Speicherung der Daten.
Zur Abwicklung des Bonusprogramms werden auch Programmdaten erhoben und von der
Giessencard Betreibergesellschaft mbH gespeichert und verarbeitet. Dies ergibt sich auch aus
einer Erklärung, die der Kunde über das Antragsformular abgibt. Dort heißt es:
„Mit meiner Unterschrift willige ich frei widerruflich ein, dass die Giessencard
Betreibergesellschaft mbH die oben angegebenen Daten, die sich aus der
Verwaltung der Bonuspunkte ergeben, speichert und verarbeitet. Die umseitig
abgedruckten Geschäftsbedingungen erkenne ich an.“
Richtig müsste es offenbar heißen „sowie die Daten, die sich aus der Verwaltung der
Bonuspunkte ergeben“, da die auf dem Anmeldeformular angegebenen Daten sich nicht aus
der Verwaltung der Punkte ergeben. Um die Bonuspunkte verwalten zu können, ist die
Kenntnis bestimmter, im Anforderungsprofil beschriebener Daten erforderlich. Welche
Programmdaten im Rahmen der Giessencard erhoben werden, ist aus den Unterlagen
(Antragsformular und AGB) nicht ersichtlich und wurde auf Nachfrage bei der Giessencard
Betreibergesellschaft mbH auch nicht mitgeteilt. Eine Erhebung, die über das erforderliche
Maß hinausgeht, also insbesondere auch die jeweils zugehörigen Waren oder
- 89 -
Dienstleistungen umfasst, ist nicht zulässig.
In diesem Rahmen ist auch die Übermittlung der Programmdaten an die Giessencard
Betreibergesellschaft mbH zulässig.
Gleiches gilt für die Speicherung der Daten durch die Giessencard Betreibergesellschaft mbH.
Das Antragsformular und die Teilnahmebedingungen für die Giessencard enthalten keine
Hinweise auf das Auskunftsrecht der Teilnehmer und die Löschung der Kundendaten.
Erwähnung findet lediglich die Möglichkeit, den jeweiligen Bestand an Bonuspunkten zu
erfragen, in dem sich allerdings der Auskunftsanspruch des Betroffenen nicht erschöpft.
13.2
Im Rahmen der Giessencard ist auch eine Verwendung der Kundendaten zu Zwecken der
Werbung und Marktforschung vorgesehen.
13.2.1
Das Antragsformular der Giessencard enthält die folgende Erklärung:
„Damit ich zu den oben angekreuzten Themen aktuell informiert werden kann,
willige ich ein, dass die Giessencard Betreibergesellschaft mbH die oben
angegebenen Daten sowie Daten, die sich aus der Verwaltung der Bonuspunkte
ergeben, speichert und verarbeitet und für Marktforschungs- und Werbezwecke
auch seiner Mitgliedsunternehmen nutzt. Die Liste der Mitgliedsunternehmen
ist bei der Giessencard Betreibergesellschaft mbH erhältlich. Diese
Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich der
Kundenkarte bestehende Vertragsverhältnis jederzeit für die Zukunft
widerrufen.“
13.2.1.1
- Schriftform
Durch eine gesonderte Unterschrift dieser Erklärung ist die Einwilligung als ein echtes „OptIn“ ausgestaltet, das den Anforderungen im Rahmen von Kundenbindungssystemen genügt.
13.2.1.2
Freie Entscheidung
- 90 -
Die Trennung von der eigentlichen Beantragung der Kundenkarte macht deutlich, dass es sich
bei der Einwilligung in die Verwendung zu Zwecken der Werbung und Marktforschung um
eine freie Entscheidung des Betroffenen handelt, die von der Teilnahme am Bonusprogramm
unabhängig ist. Mittelbar ergibt sich dies auch aus der Belehrung über das Widerrufsrecht.
Ein ausdrücklicher Hinweis auf die Freiwilligkeit fehlt hier jedoch. Dies gilt nicht nur für die
Abgabe der Einwilligungserklärung, sondern insbesondere auch für die Angabe der in diesem
Abschnitt erfragten Informationen zu den Interessen des Kunden. Somit verbleiben für den
Antragsteller Zweifel an der Freiwilligkeit der Datenangabe des gesamten Abschnitts.
13.2.1.3
Über die Giessencard Betreibergesellschaft mbH als verantwortliche Stelle wird der Kunde
Gleiches gilt für die teilnehmenden Partnerunternehmen. Diese sind auf der Homepage der
Giessencard im Internet ersichtlich und außerdem wird der Antragsteller in der zweiten
Einwilligungserklärung auf die Möglichkeit hingewiesen, eine Liste der Partnerunternehmen
bei der Betreibergesellschaft zu erhalten.
Welche Datenkategorien im Rahmen des Bonusprogramms verwendet werden, wird dem
Kunden dagegen nur unzureichend mitgeteilt. Die zur Beschreibung der Programmdaten
verwendete Formulierung „Daten, die sich aus der Verwaltung der Bonuspunkte ergeben“ ist
nicht aussagekräftig. Hier ist eine Aufzählung der tatsächlich verwendeten Datenkategorien
erforderlich.
Die Datenverarbeitungsvorgänge und die Zwecke der Datenverarbeitung sind in der
zweiten Einwilligungserklärung, die die Verwendung zu Zwecken der Werbung und
Marktforschung betrifft, hinreichend präzise beschrieben.
In der ersten Einwilligungserklärung fehlt dagegen die Zweckbeschreibung der
Datenverarbeitung. Es ist zu vermuten, dass diese Einwilligung für den Zweck der
Abwicklung des Bonusprogramms gelten soll. Die hierfür vorgesehene Datenverarbeitung ist
bereits auf gesetzlicher Grundlage zulässig, so dass es keiner Einwilligung des Betroffenen
bedarf.
Ein Hinweis auf die Widerrufsmöglichkeit ist vorhanden, dieser schließt auch die Belehrung
über die Folgen des Widerrufs ein. Ein Ansprechpartner wird zwar explizit für die Ausübung
des Widerrufsrechts nicht angegeben, aus dem Gesamtzusammenhang kann der Betroffene
aber zweifelsfrei erkennen, dass der Widerruf gegenüber der Giessencard
Betreibergesellschaft zu erklären ist.
Ein Hinweis auf das Auskunftsrecht und die Löschung der Daten erfolgt nicht.
13.2.1.4
Die Einwilligungserklärung bedarf keiner besonderen Hervorhebung im Schriftbild, da sie
gesondert von der Beantragung der Giessencard abgegeben wird.
- 91 -
13.2.2
13.2.2.1
Für die Erhebung der auf dem zweiten Abschnitt des Formulars abgefragten Angaben liegt
keine wirksame Einwilligung des Betroffenen vor. Es fehlt an einem eindeutigen Hinweis auf
die Freiwilligkeit dieser Angaben.
Gleiches gilt auch für die auf dem ersten Abschnitt erhobenen Angaben „Geburtsdatum,
Telefonnummer, E-Mail-Adresse, Familienstand“. Da diese Informationen zusammen mit den
Pflichtangaben auf dem eigentlichen Antragsteil des Formulars abgefragt werden, wiegt das
Versäumnis eines eindeutigen Hinweises auf die Freiwilligkeit hier noch schwerer als
bezüglich der anderen Angaben. Im ersten Teil ist die Freiwilligkeit nicht nur zweifelhaft,
sondern nach allen Umständen muss der Kunde sogar davon ausgehen, dass es sich um
Pflichtangaben handelt.
13.2.2.2
Der Vorgang der Speicherung und Verarbeitung durch die Betreibergesellschaft ist in
ausreichender Deutlichkeit beschrieben. Es fehlt hier jedoch an einer präzisen Aufklärung der
verarbeiteten Datenkategorien.
13.2.2.3
Für die Bildung und Auswertung von Kundenprofilen wäre die Zweckbeschreibung in der
Einwilligungserklärung nicht ausreichend.
13.2.2.4
Eine Speicherung und Verarbeitung durch das Partnerunternehmen ist dem Antragsformular
und den AGB nicht zu entnehmen. Als verarbeitende Stelle wird ausschließlich die
Betreibergesellschaft genannt, wenngleich auch eine Verarbeitung für die Werbezwecke der
Partnerunternehmen stattfindet. Die Einwilligungserklärung kann aber nur so verstanden
werden, dass eine Verarbeitung für die Zwecke des Partnerunternehmens durch die
Betreibergesellschaft und nicht durch das Partnerunternehmen selbst durchgeführt wird.
Eine Verarbeitung der Kundendaten durch die Partnerunternehmen wäre demnach von einer
Einwilligung des Kunden nicht gedeckt und somit unzulässig.
Zusammenfassung:
Hinsichtlich der Verarbeitung von Kundendaten im Rahmen des Bonussystems Giessencard
sind folgende datenschutzrechtliche Mängel festzustellen:
-
Erhebung des Geburtsdatums, Familienstands und zweier Kontaktmöglichkeiten
zusätzlich zur Anschrift (Telefonnummer und E-Mail).
-
Es fehlt eine hinreichende Information über die zu verarbeitenden Datenkategorien.
Es fehlt ein Hinweis auf die Freiwilligkeit bezüglich der „freiwilligen Angaben“ im
- 92 -
Antragsformular.
- 93 -
Teil 2: Kundenkarten im Zwei-Parteien-Verhältnis
Kundenkarten, die Unternehmen nur für eigene Kunden anbieten, sind auf dem deutschen
Markt weit verbreitet. Eine Fülle von Handelsunternehmen betreiben eigene
Kundenbindungssysteme, die in den meisten Fällen auf einer Bonuskarte basieren.
Wegen der Fülle des Angebots beschränkt sich die folgende Darstellung auf einige
herausragende bzw. wegen ihres Verbreitungsgrades bedeutsame Beispiele. Andere
Kundenkartensysteme werden nach Gruppen ausgewertet.
1.
Shell CLUBSMART
Ein im positiven Sinne herausragendes Beispiel für die Gestaltung eines kartenbasierten
Bonussystems im Hinblick auf die Aufklärung der Kunden liefert das im Jahr 2003 eröffnete
Programm Shell Clubsmart.
Teilnehmer dieses Programms erhalten eine Shell Clubsmart Karte, mit der sie an allen
teilnehmenden Shell-Tankstellen Bonuspunkte auf Leistungen wie Kraftstoffe, Shopartikel
oder Autowäschen sammeln können. Die Bonuspunkte werden von der Shell & DEA Oil
GmbH verwaltet und können bei den teilnehmenden Tankstellen in Prämien eingelöst werden.
1.1
Datenverwendung zur Programmabwicklung
Als Stammdaten des Kunden wird mittels Antragsformular neben Namen und Anschrift auch
das Geburtsdatum und die Telefonnummer als Pflichtangabe erhoben. Die zwingende
Erhebung des Geburtsdatums erfolgt nach Angaben der Shell & DEA Oil GmbH in den
Datenschutzhinweisen zum Zweck der Prüfung, ob der Antragsteller das 16. Lebensjahr
vollendet hat. Die Erhebung ist unzulässig.
Als Programmdaten werden Angaben zu Art und Umfang der bezogenen Waren und/oder
Dienstleistungen erhoben. Die Kenntnis der genauen Daten über die erworbene Ware bzw.
Dienstleistung ist nach der Konzeption der Bonuspunktevergabe offenbar erforderlich, da sich
die Berechnung der Bonuspunkte nicht nach dem Umsatz richtet, sondern für bestimmte
Waren bzw. bestimmte Dienstleistungen eine zuvor definierte Anzahl von Punkten gewährt
wird. So erhält der Kunde beispielsweise beim Erwerb des Kraftstoffs „V-Power“ mehr
Punkte als beim Bezug anderer Kraftstoffe, auch der Kauf von Motoröl oder die Fahrt durch
die Waschanlage wird mit einer höheren Punktegutschrift belohnt als z.B. der Kauf von
Kraftstoff oder Shopartikeln. Schließlich ist es im Rahmen von Sonderaktionen möglich, für
den Kauf bestimmter Artikel, etwa aus dem Shop, eine gesondert festgelegte Punktegutschrift
zu erlangen.
1.2
Datenverwendung zum Zweck der Werbung und Marktforschung
Die Verwendung der Kundendaten zu Zwecken der Werbung und Marktforschung findet auf
der Grundlage einer Einwilligung des Kunden statt. Das Anmeldeformular enthält dazu
folgende Erklärung:
- 94 -
„Datenschutzerklärung
Ihre Daten werden von der Shell & DEA Oil GmbH (SDO), Shell Clubsmart
Service Center, 22284 Hamburg, entsprechend den beiliegenden Hinweisen
zum Datenschutz verarbeitet und genutzt. Mit Ihrer Unterschrift geben Sie
SDO Ihr Einverständnis, dass Ihre vorstehend angegebenen Daten sowie die
Daten im Sinne von Ziffer 1.2 der Datenschutzhinweise
1.
von SDO zu internen Marktforschungszwecken im Sinne von Ziffer 1.3
der Datenschutzhinweise verarbeitet und genutzt werden dürfen,
2.
von SDO an mit SDO verbundene Unternehmen übermittelt werden dürfen
und diese Ihre Daten gemäß Ziffer 3 der Datenschutzhinweise zu
Marktforschungszwecken verarbeiten und nutzen dürfen,
3.
von SDO dazu verarbeitet und verwendet werden dürfen, Ihnen
ausgewählte Informationen gemäß Ziffer 3 der Datenschutzhinweise per
Post, per SMS und per E-Mail (E-Mail-Newsletter) zu übersenden, sofern
Sie oben Ihre Mobilfunknummer und/oder E-Mail-Adresse angegeben
haben,
4.
von SDO an mit SDO verbundene Unternehmen übermittelt werden dürfen
und diese Ihre Daten dazu verwenden dürfen, Ihnen ausgewählte
Informationen gemäß Ziffer 3 der Datenschutzhinweise per Post, per SMS
und per E-Mail (E-Mail-Newsletter) zu übersenden, sofern Sie oben Ihre
Mobilfunknummer und/oder E-Mail-Adresse angegeben haben.
Es steht Ihnen frei, Ihr Einverständnis auch teilweise zu geben, indem Sie nicht
Zutreffendes streichen. Sofern Sie die Einwilligung nicht erteilen, wird die
Datenverarbeitung auf das für die ordnungsgemäße Abwicklung der Shell
Clubsmart Programms Notwendige beschränkt.
Ihr Einverständnis können Sie jederzeit gegenüber der Shell & DEA Oil
GmbH, 22284 Hamburg, widerrufen.“
Diese Einwilligungserklärung in Verbindung mit den Datenschutzhinweisen, die gemeinsam
mit den Teilnahmebedingungen auf einem gesonderten Blatt abgedruckt sind, erfüllt nahezu
alle Anforderungen des § 4a BDSG in vorbildlicher Weise.
Die Einwilligungserklärung erfordert eine gesonderte Unterschrift des Kunden und ist darüber
hinaus durch eine Umrandung und Fettdruck hervorgehoben.
Einzig die gewählte Streichlösung erfüllt nicht die Anforderungen an ein derart komplexes
und im Hinblick auf Datenverarbeitungsmaßnahmen umfangreiches System, wie es Shell
Clubsmart darstellt. Geeignet wäre hier beispielsweise eine Lösung, nach der der Kunde die
vorgegebenen Varianten einzeln durch Ankreuzen genehmigen kann.
Die in der Einwilligungserklärung und den Datenschutzhinweisen enthaltene Information für
den Kunden bietet dagegen kaum Anlass zur Kritik. Der Kunde wird in verständlicher und
strukturierter Form über alle wesentlichen Punkte informiert. Lediglich die Beschreibung der
Programmdaten, bei Shell Clubsmart bezeichnet als „Prämiendaten“, ist nicht hinreichend
- 95 -
präzise. Es wird dem Kunden nicht deutlich, welche Angaben mit der Art der bezogenen
Ware bzw. Dienstleistung gemeint sind, d.h. ob der genaue Artikel oder eine übergeordnete
Gruppenbezeichnung erhoben wird.
Nicht verbraucherfreundlich ist weiterhin die Bezeichnung der Werbemaßnahmen in der
Datenschutzerklärung und in der Erklärung zur Werbeansprache als „Informationen“.
Demgegenüber ist die Beschreibung der Vorgänge und Zwecke der Datenverarbeitung in
den Datenschutzhinweisen ausführlich und deutlich gestaltet. Wörtlich heißt es dort in Ziffer
1.3:
„Sofern Sie SDO auf dem Anmeldeformular die dahin gehende Einwilligung
erteilen, speichern, verarbeiten und nutzen SDO oder von SDO hiermit
beauftragte Dienstleister Ihre sämtlichen gemäß vorstehenden Ziffern 1.1 und
1.2 erhobenen Daten außerdem, um für interne Marktforschungszwecke von
SDO Ihr Kaufverhalten auszuwerten und Kundenprofile zu erstellen, damit
SDO ihr Angebot künftig Ihren Bedürfnissen entsprechend gestalten kann.“
Auf Grundlage dieser Zweckbeschreibung ist die Bildung und Auswertung von
Kundenprofilen zum Zweck der Verbesserung des Leistungsangebots der SDO zulässig. Der
Kunde ist über die Tatsache der Profilbildung und Auswertung sowie über die dafür
verwendeten Daten, von der Ungenauigkeit bei der Beschreibung der Programmdaten
abgesehen, hinreichend informiert.
Die Erhebung und Verarbeitung der freiwilligen Angaben erfolgt ebenfalls auf Grundlage
der freien Entscheidung des Kunden. Eine entsprechende Kennzeichnung der Angaben als
freiwillig erfolgt in der Überschrift des entsprechenden Abschnitts. Als freiwillige Angaben
werden folgende Daten erhoben:
Familienstand
Anzahl und Geburtsdatum der Kinder
Art der Beziehung zu Shell & DEA Oil (Kunde, Mitarbeiter Tankstelle/Shell & DEA
Oil)
Benutzte Fahrzeuge
Fabrikat und Baujahr des PKW
Gefahrene Kilometer pro Jahr
Die Datenschutzhinweise enthalten darüber hinaus ausführliche Informationen zur
Datenverarbeitung durch Dritte, die auch Auftragsdatenverarbeiter einschließt. Die
Verarbeitung der Kundendaten durch Unternehmen, die mit SDO verbunden sind, kann der
Kunde durch Nichtstreichung in der Einwilligungserklärung gesondert autorisieren. Gemäß
Ziff. 1.1 der Allgemeinen Teilnahmebedingungen sind die mit SDO verbundenen
Unternehmen die teilnehmenden Akzeptanzstellen des Clubsmart Programms, bei denen es
sich hauptsächlich um Tankstellen der SDO handelt.
- 96 -
2.
Bahn Comfort
Bahn Comfort ist ein Service-Angebot für Vielfahrer der Deutschen Bahn AG. Teilnehmern
dieses Programms bietet die Deutsche Bahn zahlreiche Service-Leistungen an, etwa eine
exclusive Sitzplatzreservierung, einen gesonderten Sitzplatzbereich in den Zügen des
Fernverkehrs oder den Zutritt zu den DB Lounges. Voraussetzung für die Teilnahme an
diesem Programm ist eine vorherige Qualifikation des Bahnkunden.
Automatisch qualifiziert sind sämtliche Inhaber einer BahnCard 100. Qualifizieren können
sich aber auch Inhaber einer BahnCard 50 oder einer BahnCard 25, wenn sie es schaffen,
innerhalb von 12 Monaten mindestens 2000 bahn.comfort-Punkte zu sammeln. Diese Punkte
können für Fahrkarten der Deutschen Bahn ab einem Wert von 5 Euro erworben werden. Für
jeden Euro des Fahrkartenpreises wird je ein bahn.comfort-Punkt gutgeschrieben. Eine
Gutschrift kann nur dann erfolgen, wenn der Kunde beim Fahrkartenkauf seinen
Sammelwunsch äußert und die Nummer seiner BahnCard angibt. Erreicht der Punktestand die
Marke von 2000 Punkten, so erhält der BahnCard-Kunde automatisch eine entsprechende
BahnCard 25 oder 50 comfort zugesandt, die zur Inanspruchnahme der Service-Leistungen
berechtigt. Den so erworbenen Status behält der BahnCard Kunde für die nächsten 12
Monate. Nach Ablauf dieser Zeit kann der Status nur verlängert werden, wenn der Kunde in
den zurückliegenden 12 Monaten erneut 2000 bahn.comfort-Punkte erworben hat.
2.1
Datenverwendung zur Abwicklung des Programms
Um die Berechtigung eines BahnCard-Kunden zur Teilnahme am Bahn Comfort Programm
überprüfen zu können, ist die Kenntnis der Höhe der erworbenen bahn.comfort-Punkte
erforderlich.
2.2
Im Rahmen des Bahn Comfort Programms werden Kundendaten auch zum Zweck der
Marktforschung und zur Ansprache des Kunden genutzt. Diese Nutzung ist den Fragen zum
Datenschutz auf den Webseiten der Deutschen Bahn AG, Frage 4, zu entnehmen. Dort heißt
es :
„Zur weiteren Verbesserung und Durchführung des bahn.comfortServiceprogramms und der dazugehörigen Services werden ... Daten
gespeichert. Alle diese Daten dienen dazu, unsere Angebote noch besser an
Ihrem persönlichen Bedarf auszurichten.“
Diese Zielsetzung erfordert Marktforschungsmaßnahmen der Deutschen Bahn AG auf
Grundlage der vorhandenen Kundendaten. Aus Frage 1 ergibt sich, dass zu den
Serviceleistungen des Bahn Comfort Programms auch die bahn.comfort-Kommunikation
gehört (z.B. Punkteübersicht, aktuelle Programmangebote). Die Mitteilung von
Programmangeboten ist als Werbemaßnahme anzusehen.
- 97 -
Für diese Zwecke werden gemäß Frage 4 der Fragen zum Datenschutz folgende Reisedaten
der erworbenen Fahrkarte erhoben:
Ticketart
Kaufdatum und Ort
Preis
Gültigkeitsbeginn
Start- und Zielbahnhof
Als Grundlage für die Erhebung dieser Daten kommt lediglich § 28 Abs. 1 Nr. 2 BDSG in
Betracht. Von der Rechtsgrundlage des § 28 Abs. 1 Nr. 1 BDSG ist nur die Erhebung und
Verarbeitung der Angaben „Kaufdatum und Ort“ sowie „Preis“ gedeckt, da für die
Berechnung der bahn.comfort-Punkte der Preis der Fahrkarte maßgeblich ist und die
genannten Daten somit ausreichen, um die korrekte Punktegutschrift nachzuvollziehen. Die
Zulässigkeit der Verarbeitung beschränkt sich nach dieser Vorschrift außerdem auf den
Zweck der Programmabwicklung. Für eine weitergehende Datenerhebung und -verarbeitung
liegt eine Einwilligung nicht vor, so dass allein auf § 28 Abs. 1 Nr. 2 BDSG abgestellt werden
kann.
Die Voraussetzungen dieser Vorschrift sind vorliegend nicht erfüllt. Der Verarbeitung der
oben aufgeführten Daten stehen regelmäßig schutzwürdige Interessen der BahnCardKunden entgegen. Anhand dieser Daten, insbesondere des Starts- und Zielbahnhofs können
Profile des Kunden, einschließlich Bewegungsprofile, gebildet werden. Da es sich bei den
Kunden, die bahn.comfort-Punkte sammeln, regelmäßig um Vielfahrer handelt, können
besonders aussagekräftige Profile gewonnen werden. Zwar kann der Kunde vor jedem
Fahrkartenkauf selbst entscheiden, ob er für diese Fahrt Punkte sammeln möchte und dafür
seine BahnCard-Nummer mitteilt oder ob er lieber „anonym“ fahren möchte, doch reicht
diese Entscheidungsmöglichkeit des Kunden zur Wahrung seiner Interessen nicht aus. Denn
der Kunde, der weder eine Teilnahme bzw. die Qualifikation zur Teilnahme beantragt hat
noch eine Einwilligung in die Verarbeitung seiner Daten erklärt hat, hat i.d.R. keine Kenntnis
über den Umfang der zu erhebenden Daten und ihre weitere Verwendung. Es fehlt in diesem
Zusammenhang an der gemäß § 4 Abs. 3 BDSG erforderlichen Information des Kunden
insbesondere über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung. Allein
die Veröffentlichung von Informationen über Datenverarbeitung im Internet ist nicht als
ausreichend anzusehen.
- 98 -
3.
Apothekenkarten
Kundenkarten sind auch im Bereich der Apotheken weit verbreitet. Eine Vielzahl von
Apotheken bieten ihren Kunden eine Kundenkarte an, die mit diversen Serviceleistungen
verbunden ist.
Im Rahmen dieser Kundenprogramme speichern die Apotheken regelmäßig Angaben zur
Person des Teilnehmers sowie sämtliche vom Teilnehmer erworbenen Medikamente. Auf
Grundlage dieser Daten bietet die Apotheke zum einen eine jährliche Aufstellung sämtlicher
Aufwendungen des Kunden zum Nachweis beim Finanzamt sowie eine Auflistung der
Zuzahlungen als Nachweis für die Krankenkasse an. Darüber hinaus prüft die Apotheke die
Verträglichkeiten der verordneten oder selbst erworbenen Medikamente untereinander und
gibt den Kunden bei Bedarf Auskunft über in der Vergangenheit bezogene Medikamente,
Wirkstärken oder Ähnliches. Schließlich gewähren die Apotheken ihren Kartenkunden
gewöhnlich einen Rabatt, meist in Höhe von 3%, auf alle Artikel, die nicht der Preisbindung
unterliegen.
3.1
Zulässigkeit der Erhebung der Daten
3.1.1
Stammdaten der Kunden
Um eine Apotheken-Kundenkarte zu bekommen, muss ein Kunde i.d.R. bei der Apotheke
einen entsprechenden Antrag stellen. Bei dieser Gelegenheit werden meist Name und
Anschrift des Kunden, häufig auch weitere Daten wie etwa Geburtsdatum, Telefonnummer,
Angaben zur Krankenversicherung erhoben.
Die Zulässigkeit der Erhebung dieser Daten richtet sich nach § 28 Abs. 1 Nr. 1 BDSG. Es
handelt sich bei den erfragten Stammdaten des Kunden um gewöhnliche personenbezogene
Daten, die nicht zu den in § 3 Abs. 9 BDSG genannten besonders sensiblen Daten gehören.
Hinsichtlich Name und Anschrift ist die Erforderlichkeit der Kenntnis zum Zweck der
Kartenabwicklung offensichtlich. Zweifel ergeben sich jedoch im Hinblick auf die
Erforderlichkeit der weiteren Angaben wie Geburtsdatum oder auch Angaben zur
Krankenkasse. Einige Apotheken verlangen in ihrem Antragsformular ausdrücklich nur die
Angabe von Name und Adresse, einleitend zur Abfrage weiterer Daten (Geburtsdatum,
Telefonnummer, Krankenkasse, Rezeptgebührenbefreiung) wird der Kunde darauf
hingewiesen, dass diese Angaben freiwillig und für den Erhalt der Kundenkarte nicht
erforderlich seien. Für die Erfüllung der Zwecke der Kundenkarte, d.h. die Vornahme der
angebotenen Serviceleistungen, ist es ausreichend, wenn der Kunde durch Name und
Anschrift sowie ggf. zusätzlicher Angaben wie z.B. Geburtsjahr identifiziert werden kann. Da
die Karte nur zur Beratung und Information des Kunden genutzt wird, ist die Kenntnis von
weiteren Daten, etwa Krankenkassendaten, die zu Abrechnungszwecken benötigt würden,
nicht erforderlich.
3.1.2
Arzneimitteldaten
Daten über den Erwerb von Arzneimitteln erhebt die Apotheke auf zweierlei Art und Weise.
Erwirbt der Kunde ein Arzneimittel auf Grund ärztlicher Verordnung, so erhebt die Apotheke
- 99 -
durch Entgegennahme des Rezepts die darauf enthaltenen Daten. Die Erhebung dieser Daten
ist gemäß § 2 Abs. 1 Nr. 3 der Verordnung über verschreibungspflichtige Arzneimittel
zulässig, um eine ordnungsgemäße Rezeptabwicklung und die eindeutige Identifikation des
Kunden zu ermöglichen. Auch zum Zweck der Abrechnung nach § 300 SGB V ist die
patientenbezogene Erhebung der Daten zulässig.
Die Erhebung der Arzneimitteldaten ist zum Zweck der Vertragserfüllung gegenüber dem
Kunden auch zulässig, wenn der Kunde Medikamente ohne eine Verordnung des Arztes
erwirbt.
3.2
Zulässigkeit der Speicherung und Nutzung
3.2.1
Stammdaten
Die Zulässigkeit der Speicherung und Nutzung der Stammdaten beurteilt sich ebenfalls nach
§ 28 Abs. 1 Nr. 1 BDSG, d.h. die Speicherung ist zulässig, soweit die Daten zulässig erhoben
wurden.
3.2.2
Arzneimitteldaten
Arzneimitteldaten gehören zu den in § 3 Abs. 9 BDSG genannten Gesundheitsdaten, deren
Erhebung, Verarbeitung und Nutzung nur nach den Voraussetzungen des § 28 Abs. 6-9
BDSG oder bereichsspezifischer Vorschriften zulässig ist.
Als gesetzliche Befugnis zur Speicherung und Nutzung der Arzneimitteldaten kommt § 28
Abs. 7 Satz 2 BDSG in Betracht. Danach ist die Verarbeitung und Nutzung von Daten zum
Zweck der Gesundheitsvorsorge, der medizinischen Diagnostik, der Gesundheitsversorgung
oder Behandlung oder für die Verwaltung von Gesundheitsdiensten zulässig, soweit dies die
Geheimhaltungspflichten der Daten verarbeitenden Personen zulassen.
Die Speicherung von Arzneimitteln, die auf Grund ärztlicher Verordnung bezogen wurden, ist
bei gesetzlich Krankenversicherten zum Zweck der Abrechnung gemäß § 300 SGB V
erforderlich. Zum Zweck der ordnungsgemäßen Rezeptabwicklung und der eindeutigen
Identifikation des Kunden ist eine Speicherung der Daten nur dann zulässig, wenn die
Kenntnis der Daten hierfür noch erforderlich ist. Dagegen kann eine Erforderlichkeit für die
kundenbezogene Speicherung der Daten über den Erwerb nicht verordneter Medikamente
grundsätzlich nicht erkannt werden. Für die Durchführung des Vertrags mit dem Kunden ist
eine Speicherung dann nicht erforderlich, wenn dieser sofort vollständig abgewickelt wird,
was i.d.R. der Fall ist.
Für weitere Zwecke, insbesondere für die Beratung der Kunden, ist eine Speicherung der
Daten dagegen nicht zulässig. Sämtliche bereichsspezifischen Regelungen über die Erhebung
von Patientendaten mittels Rezepten wie etwa § 2 Abs. 1 Nr. 3 der Verordnung über
verschreibungspflichtige Arzneimittel oder § 9 Abs. 1 Nr. 1 der BtMVerschreibungsverordnung sehen zwar vor, dass auf Verordnungsblättern Name, Vorname,
Geburtsdatum und Anschrift des Patienten enthalten sein sollen. Diesem Erfordernis liegt
jedoch immer nur die Zweckbestimmung der Rezeptabwicklung und Identifizierung des
Patienten, nicht aber dessen Beratung durch die Apotheke zu Grunde. Noch deutlicher wird
dies in § 17 Abs. 6a Nr. 5 der Apothekenbetriebsordnung, der für die Aufzeichnung von
Name, Vorname, Geburtsdatum und Adresse des Patienten beim Erwerb von
Blutzubereitungen und Ähnlichem ausdrücklich den Verwendungszweck der Rückverfolgung
- 100 -
der Charge vorsieht.
Auch die Voraussetzungen des § 28 Abs. 7 BDSG sind für die Zweckrichtung der Beratung
des Kunden nicht erfüllt. Zur Verbesserung der medizinischen Versorgung der Kunden ist
die Speicherung der Arzneimitteldaten zwar hilfreich, da so eine von den Apotheken auch
angebotene Überprüfung von Unverträglichkeiten verschiedener bezogener Medikamente
vorgenommen werden kann. Erforderlich zum Zweck der Gesundheitsvorsorge ist diese
Leistung jedoch nicht. Es obliegt grundsätzlich den Sorgfalts- und Aufklärungspflichten der
verordnenden Ärzte und der Apotheker, auf Unverträglichkeiten und Wechselwirkungen von
Medikamenten zu achten und sich bei Verordnung oder Herausgabe einer Arznei zu
vergewissern, dass andere Medikamente, die die Wirkung negativ beeinflussen, nicht
eingenommen werden. Die Kundenkarte ist ein Mittel, um dieses Verfahren zu unterstützen
und zu optimieren, zwingend erforderlich hierfür ist sie jedoch nicht.
Eine Speicherung der Arzneidaten ist daher nicht durch § 28 Abs. 7 BDSG legitimiert.
Auch § 28 Abs. 8 Satz 1 BDSG kommt als Rechtsgrundlage für die Nutzung der
Arzneimitteldaten im Rahmen der Kundenkarte nicht in Betracht. Nach dieser Vorschrift
dürfen die besonderen Arten personenbezogener Daten, also auch Gesundheitsdaten, unter
den Voraussetzungen des Absatzes 6 Nr. 1-4 oder des Absatzes 7 Satz 1 auch für einen
anderen Zweck übermittelt oder genutzt werden. Die Speicherung von Gesundheitsdaten
erlaubt diese Vorschrift dagegen nicht. Im Falle des Arzneimittelbezugs auf Grund ärztlicher
Verordnung ist die Speicherung der Rezeptdaten - also auch der Arzneimitteldaten - zwar zu
Abrechnungszwecken zulässig, so dass hier § 28 Abs. 8 Satz 1 BDSG für die Nutzung der
gespeicherten Daten zu einem anderen Zweck in Betracht käme. Der andere Zweck im Sinne
des § 28 Abs. 8 BDSG muss sich jedoch ebenfalls im Rahmen der Zweckbestimmungen der
Absätze 6 und 7 halten, auf die Absatz 8 verweist. Anderenfalls würde die durch detaillierte
Zweckbestimmungen vorgenommene Einschränkungen der Verarbeitung sensibler Daten in
den Absätzen 6 und 7 vollständig aufgehoben und damit gegenstandslos18.
Da somit eine gesetzliche Speicherungs- und Nutzungsbefugnis zu den mit der Kundenkarte
verfolgten Zwecken nicht besteht, ist die Verarbeitung und Nutzung der Arzneimitteldaten
nur mit Einwilligung des Kunden zulässig19.
In der Praxis betreiben viele Apotheken Kundenkarten, ohne dass der Kunde eine
Einwilligung in die Verarbeitung seiner Daten erteilt. Die Verarbeitung der Arzneimitteldaten
des Kunden sowie der Stammdaten, die nicht im Sinne des § 28 Abs. 1 Nr. 1 BDSG zur
Abwicklung der Kartenfunktionen erforderlich sind, ist unzulässig.
3.3
Offenbarung der Daten an Dritte
Eine Weitergabe der Kundendaten an Dritte ist gewöhnlich nicht vorgesehen, meist wird der
Kunde darauf hingewiesen, dass eine solche nicht erfolgt. Bei Apothekenkarten ist zu
beachten, dass sich die Zulässigkeit einer Weitergabe bzw. Offenbarung der Kundendaten an
Dritte nicht ausschließlich nach den Vorschriften des BDSG richtet, sondern dass daneben
auch die - teilweise restriktivere - berufliche Schweigepflicht gemäß § 203 StGB zu
beachten ist. Diese strafrechtliche Norm verbietet jegliche unbefugte Offenbarung von
Kundendaten durch Apotheker an Dritte. Anders als im BDSG erfolgt eine Offenbarung auch
18
19
Dazu eingehend Simitis in: Simitis, BDSG, § 28 Rn 345 f.
So im Ergebnis auch LfD Niedersachsen unter: www.lfd.niedersachsen.de „Datenschutz in Apotheken“.
- 101 -
dann, wenn ein Auftragnehmer mit der Verarbeitung von Daten betraut wird und in diesem
Zusammenhang Kenntnis von den Daten erlangt. Hier liegt zwar keine Übermittlung im Sinne
des BDSG, wohl aber eine Offenbarung im Sinne des § 203 StGB vor, die einer Befugnis i.d.R. einer Einwilligung des Kunden - bedarf.
3.4
Einwilligung
Neben den allgemeinen Anforderungen des § 4a Abs. 1 BDSG ist bei der Einwilligung in die
Datenverwendung im Rahmen der Apotheken-Kundenkarten zusätzlich § 4a Abs. 3 BDSG zu
beachten. Soweit besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9
BDSG erhoben, verarbeitet oder genutzt werden, verlangt diese Vorschrift, dass sich die
Einwilligung ausdrücklich auf diese Daten beziehen muss.
Die in der Praxis verwandten Einwilligungserklärungen weisen häufig zahlreiche Mängel
auf. Dies beginnt häufig bereits damit, dass die im Rahmen der Kundenkarte verarbeiteten
Daten, insbesondere die Arzneimitteldaten, nicht genannt werden. Auch die Zwecke der
Verarbeitung werden selten beschrieben. So wird insbesondere nicht deutlich, ob die Daten
auch für Zwecke der Werbung oder Marktforschung genutzt werden. Formulierungen in den
Antragsformularen wie „Verbesserung Ihrer Beratung“ deuten auf eine Nutzung zu
Werbezwecken hin. Des weiteren fehlt oftmals eine Belehrung über das Widerrufsrecht des
Kunden.
In manchen Fällen finden sich in den Einwilligungserklärungen auch gänzlich
unverständliche Hinweise darauf, dass die Verarbeitung der Daten entsprechend § 3 BDSG
vorgenommen wird, z.B. mit folgender Formulierung:
„Ich bin damit einverstanden, dass meine persönlichen Daten entsprechend
§ 3 des Bundesdatenschutzgesetzes gespeichert werden.“
Ein solcher Hinweis ist in gleich zweifacher Hinsicht irreführend. Zum einen enthält § 3
BDSG keine Befugnis zur Verarbeitung von Daten, sondern in seinem Absatz 9 lediglich eine
Beschreibung derjenigen Daten, die als besonders sensibel gelten und somit besonderen o.g.
Bestimmungen der Verarbeitung unterliegen. Zum anderen ruft der Hinweis auf eine
Verarbeitung der Daten entsprechend gesetzlicher Vorschriften die Fehlvorstellung hervor,
die Verarbeitung würde sich im zulässigen Rahmen dieser Vorschriften halten, was jedoch
unzutreffend ist, da die Einwilligung gerade eine Datenverarbeitung über den gesetzlichen
Rahmen hinaus legitimiert (siehe dazu oben).
Unklar ist schließlich, ob das Einverständnis des Kunden zur Speicherung und Nutzung seiner
Arzneimitteldaten eine Bedingung für die Teilnahme an dem Kundenkartensystem der
Apotheke darstellt. Der Bezug der Kundenkarte unter Beschränkung auf die Inanspruchnahme
des Rabatts für die nicht preisgebundenen Waren wäre nämlich möglich, ohne dass hierfür
Arzneimitteldaten gespeichert werden müssen. Eine solche Möglichkeit wird dem Kunden in
keinem der untersuchten Programme eingeräumt, so dass nach dem Grundsatz der
kundenunfreundlichsten Auslegung20 davon auszugehen ist, dass die Erklärung der
Einwilligung zwingende Voraussetzung für den Erhalt der Kundenkarte ist. Hier wird eine
Kopplung vorgenommen, die zumindest für die Rabattkomponente der Kundenkarte nicht
erforderlich und damit nicht zulässig ist.
20
Vgl. Heidemann-Peuser, DuD 2002, 389 ff..
- 102 -
Unterstützung findet diese Annahme in der üblicherweise gewählten Gestaltungsform solcher
Erklärungen. I.d.R. fehlt jeglicher Hinweis auf die Freiwilligkeit dieser Erklärung, es wird
dem Kunden gewöhnlich nicht einmal anheim gestellt, die Einwilligungserklärung vollständig
oder in Teilen zu streichen.
- 103 -
4.
Übrige Kundenkarten
Eine Fülle weiterer Kundenkarten werden in fast allen Branchen angeboten. Die Verarbeitung
von Kundendaten zu Zwecken der Werbung und Marktforschung, die über Name und Adresse
hinausgehen, ist im Rahmen dieser Programme nur mit einer Einwilligung des Kunden
zulässig. Da bei dem Betrieb eines kartenbasierten Kundenbindungssystems regelmäßig auch
die Programmdaten erfasst und gespeichert werden, ist eine Einwilligung stets erforderlich,
sofern eine Nutzung zu Werbezwecken stattfindet. In der Praxis sind verschiedene Lösungen
zu finden, mit denen eine entsprechende Einwilligung des Kunden eingeholt wird.
4.1
Erklärung der Einwilligung durch „Opt-In“
Einige Anbieter von Kundenkarten sehen in den Antragsformularen eine Erklärung des
Kunden in Form eines „Opt-In“ vor. Der Kunde muss bei einer solchen Lösung eine
Erklärung entweder ankreuzen oder gesondert unterschreiben. Die so ausgestalteten
Einwilligungserklärungen sind verbraucherfreundlich, weil hier oftmals eine relativ
umfangreiche Information des Kunden erfolgt und diesem die erforderliche Wahlfreiheit
eingeräumt wird.
4.1.1
Hallhuber Plus Card
Ein Beispiel hierfür ist die Hallhuber Pluscard, die Kundenkarte des
Bekleidungsunternehmens Hallhuber GmbH. Mit dieser Karte wird der Einkauf der
Teilnehmer auf einem Bonuskonto erfasst und nach Ablauf eines Jahres in Form eines
Gutscheins ausgezahlt, sofern der Teilnehmer in diesem Zeitraum einen Mindestumsatz in
Höhe von 250,00 Euro erreicht hat. Die Auszahlung eines prozentualen Rabatts erfolgt
gestaffelt nach Umsatz des Kunden in Höhe von 3, 5 oder 10%.
Auf dem Anmeldeformular für die Hallhuber Pluscard wird folgende Einwilligungserklärung
verwendet:
„❏
Ich willige in die Nutzung meiner nachfolgenden Daten sowie der
Bonusdaten (Waren, Preis, Ort und Datum des Warenerwerbs) zu
Werbe- und Marktforschungszwecken durch Hallhuber GmbH und
Dritte
gemäß
und
entsprechend
den
anwendbaren
datenschutzrechtlichen Vorschriften ein (auch ohne eine solche
Einwilligung kann die Mitgliedschaft gewährt werden).“
Diese Einwilligungserklärung enthält zwar Mängel, aber andererseits auch positive Elemente.
Zu bemängeln ist der Hinweis auf eine Verarbeitung der Daten gemäß datenschutzrechtlicher
Vorschriften sowie der fehlende Hinweis auf die Identität der Dritten, die Kundendaten
nutzen. Außerdem fehlt ein Hinweis auf die Widerrufbarkeit der Einwilligung. Positiv ist
dagegen die Bezeichnung der genutzten Daten und der Hinweis auf die Freiwilligkeit der
Erklärung hervorzuheben. Letzteres wird durch die Form der Einwilligungserklärung
unterstrichen. Da auf diese Weise die Freiwilligkeit deutlich unterstrichen wird, wiegt der
fehlende Hinweis auf die Widerrufbarkeit der Einwilligung weniger schwer als in Fällen, in
denen bereits der Hinweis auf die Freiwilligkeit der Erklärung fehlt.
- 104 -
4.1.2
Douglas Card
Ein weiteres Beispiel ist die Douglas Card. Das Antragsformular wurde vor einiger Zeit in
Zusammenarbeit mit der zuständigen Datenschutzaufsichtsbehörde geändert und enthält
nunmehr folgende Formulierung21:
„Einwilligung zur Werbung:
Ja, ich möchte von der Parfümerie Douglas GmbH Hagen regelmäßig Werbung
(COME IN Magazin, Mailings, E-Mails) erhalten. Zur individuellen Beratung
bin ich damit einverstanden, dass meine o.g. persönlichen Daten (Name,
Anschrift, Geburtsdatum) sowie meine Einkaufsdaten (Produkte,
Warengruppen) gespeichert, verarbeitet und genutzt werden. Meine Daten
werden nicht an Dritte weitergegeben.
Diese Einwilligung kann jederzeit widerrufen werden.“
Unter dieser Erklärung ist eine gesonderte Unterschrift des Kunden vorgesehen. Sowohl im
Hinblick auf die Freiwilligkeit - hier fehlt lediglich ein ausdrücklicher Hinweis auf die
Verweigerungsfolgen, aus der Gestaltung der Erklärung ergibt sich aber mittelbar, dass die
Teilnahme nicht von der Einwilligung in Werbung abhängig ist - als auch im Hinblick auf den
Informationsgehalt ist die Erklärung deutlich formuliert. Nicht ausreichend ist die gewählte
Formulierung allerdings für den Zweck der Auswertung der Kundendaten. Berichten aus
Fachzeitschriften ist zu entnehmen, dass eine solche Auswertung zu Marketingzwecken
stattfindet. So berichtet Philippi in Card-Forum: „Dass es auch anders geht, zeigt seit vielen
Jahren die Parfümeriekette Douglas. Die Daten der mehr als 1,5 Millionen
Kundenkartenbesitzer werden laufend erfasst, aktualisiert und Marketingaktivitäten
ausgewertet. Die „Douglas Card“ gehört damit zu den professionellsten Kundenkarten
Europas“22. Ein Hinweis auf die Auswertung der Kundendaten ist in der
Einwilligungserklärung enthalten, und zwar ergibt sich diese Vorgehensweise aus der
Formulierung „zur individuellen Beratung“. Damit geht die Information bei der Douglas Card
weit über den Informationsgehalt anderer Anbieter hinaus, genügen kann diese Formulierung
dem Informationsbedürfnis des Kunden jedoch nicht. Ein durchschnittlicher Kunde hat
gewöhnlich keine Kenntnis und keine Vorstellung darüber, auf welcher
Informationsgrundlage ein Unternehmen seine Kunden „individuell berät“. Kaum ein Kunde
verbindet mit dieser Formulierung, dass für die Auswahl der zu beratenden Kunden und für
den Inhalt der Beratung u.U. das gesamte Konsumprofil des Kunden herangezogen werden
kann.
4.2
Erklärung unter Verwendung der Streichlösung
Häufiger anzufinden ist eine Erklärung des Kunden, die gemeinsam mit der Unterschrift unter
den Antrag abgeben wird und die dem Kunden die Streichung nicht gewünschter Passagen
bzw. der gesamten Klausel freistellt. Auch bei dieser Variante wird der Kunde über die
Freiwilligkeit seiner Erklärung belehrt, wenngleich auch nicht in so auffälliger Weise wie bei
einer echten „Opt-In-Lösung“. Gleichfalls erfolgt i.d.R. eine recht umfangreiche Information
des Kunden.
21
22
Da die Änderung vor kurzer Zeit erfolgt ist, können sich noch alte Formulare im Handel befinden.
Philippi, Card-Forum 06/2002, S. 41.
- 105 -
Peek & Cloppenburg Kundenkarte
Ein Beispiel hierfür ist die Peek & Cloppenburg Kundenkarte der Bekleidungsfirma Peek
& Cloppenburg KG. Die Funktionsweise dieses Systems entspricht der der Hallhuber
Pluscard, die Höhe des jeweils am Jahresende gewährten Bonus variiert bei dieser Karte von
1 - 5 %, gestaffelt nach Umsatz des Kunden.
Das Antragsformular für die Peek & Cloppenburg Karte enthält folgende Erklärung:
„Ja, ich möchte die Vorteile der Peek & Cloppenburg Kundenkarte in
Zukunft nutzen. Daher bin ich einverstanden (falls nicht zutreffend, bitte
streichen):
- dass mir Informationen und Werbung an meine o.g. E-Mail-Adresse
zugesandt werden.
- dass meine persönlichen Daten sowie Datum und Betrag meiner Käufe
von Peek & Cloppenburg zu Zwecken der Marktforschung und
Werbung (keine Telefonwerbung) gespeichert und genutzt werden
können.
Mir ist bekannt, dass die Erteilung meiner vorstehenden Einwilligungen
freiwillig ist und ich diese jederzeit gegenüber der Peek & Cloppenburg
KG, Berliner Allee 2, 40212 Düsseldorf, widerrufen kann. Wenn ich die
Einwilligungen nicht erteile oder sie widerrufe, hat dies keine
Auswirkungen auf meine Teilnahme am Kundenkartenprogramm.“
Zu kritisieren ist diese Einwilligungserklärung einzig wegen der dort verwandten
Streichlösung. Die Aufklärung des Kunden über die Freiwilligkeit seiner Angaben, Widerruf
und Verweigerungsfolgen erfolgt dagegen umfassend und eindeutig.
4.3
Vorformulierte
Erklärung
Verweigerungsmöglichkeit
auf
dem
Antragsformular
ohne
Einige Antragsformulare drucken eine Einwilligungserklärung ab, die der Kunde mit
Unterzeichnung des Formulars anerkennt, geben dem Kunden jedoch keine Möglichkeit, die
Erklärung der Einwilligung zu versagen. Solche Erklärungen sind darüber hinaus zumeist
sehr kurz gefasst und somit wenig informativ.
4.3.1
VIF-Card der Ludwig Görtz GmbH
Ein Beispiel für diese Variante ist das Antragsformular für die so genannte VIF-Card („Very
Important Feet) der Firma Ludwig Görtz GmbH. Die Funktionsweise dieser Karte entspricht
dem System der Hallhuber Pluscard bzw. der Peek & Cloppenburg Karte. Der Kunde erhält
nach Ende eines Jahres, sofern er einen Umsatz von mindestens 100 Euro erreicht hat, einen
Rabatt in Höhe von 2 - 5 %.
Das entsprechende Antragsformular ist wie folgt formuliert:
„Ja, ich möchte gerne VIF werden und die Kundenkarte bekommen.
Deshalb sage ich Ihnen auch, wer ich bisher war: ∗
∗ Ich bin damit einverstanden, dass diese Daten elektronisch gespeichert
- 106 -
werden. Sie werden von Görtz nicht an Dritte weitergegeben.“
Diese Erklärung genügt weder den Anforderungen an Transparenz und Information noch an
die Gewährleistung der Wahlfreiheit des Kunden. Es ist davon auszugehen, dass die
verarbeiteten Datenkategorien nicht vollständig aufgeführt werden, da die Görtz GmbH
offensichtlich auch Daten über den Einsatz der Kundenkarte erhebt und speichert, was jedoch
in der Einwilligungserklärung keine Erwähnung findet. Außerdem fehlt jeglicher Hinweis auf
die Zwecke, zu denen die Daten gespeichert und genutzt werden.
Darüber hinaus wird der Kunde in keiner Weise darüber aufgeklärt, ob er die Einwilligung
auf freiwilliger Basis erklärt oder ob die Erklärung Bedingung für seine Teilnahme ist. Da
die Möglichkeit der Verweigerung oder des Widerrufs in keiner Weise eröffnet wird, ist nach
dem Grundsatz der kundenunfreundlichsten Auslegung davon auszugehen, dass die Erklärung
der Einwilligung eine Bedingung für die Teilnahme darstellt, was gegen das Kopplungsverbot
verstoßen würde. Stellt die Erklärung keine Bedingung für die Teilnahme dar, dann wäre die
Einwilligungserklärung ebenfalls unwirksam, und zwar in diesem Fall wegen fehlender
Aufklärung des Kunden über die Freiwilligkeit.
4.3.2
Ikea Familiy Card
In diese Kategorie fällt auch die Einwilligungserklärung für die Kundenkarte des
Einrichtungshauses Ikea, die so genannte Ikea Familiy Card. Hier fällt der Text der
Einwilligungserklärung zwar informativer im Hinblick auf die Verwendung der Daten aus,
jedoch gilt dies nicht für die Information des Kunden über die Freiwilligkeit seiner Erklärung.
Folgender Text ist auf dem Kartenantrag oberhalb des Unterschriftsfeldes abgedruckt:
„ICH BIN EINVERSTANDEN.
Ja, ich möchte zukünftig über aktuelle Entwicklungen, Produkte und
Leistungen von Ikea informiert werden und bin damit einverstanden, dass
meine oben angegebenen Daten zu Zwecken der Vertrags- und
Kundenbetreuung sowie -information und Werbezwecken von der Ikea
Deutschland GmbH & Co. KG sowie von Ikea Information Services AB und
allen angeschlossenen Vertragsunternehmen verarbeitet und genutzt werden.
Meine Daten werden nicht an sonstige Dritte weitergegeben. Die
Mitgliedschaft kann jederzeit beidseitig gekündigt werden.“
In dieser Erklärung fehlt jeglicher Hinweis auf die Freiwilligkeit der Einwilligung. Zwar
suggerieren die Formulierungen „Ich bin einverstanden“ und „Ja, ich möchte ...“ zunächst
einen entsprechenden freien Willen des Kunden, doch ist dem Formular nicht zu entnehmen,
ob und in welcher Weise bzw. mit welchen Folgen ein Kunde diese Erklärung verweigern
kann. Mit gleicher Begründung wie für die VIF Card ist daher diese Einwilligung als
unwirksam anzusehen.
Auch die Information des Kunden ist in dieser Erklärung nicht hinreichend präzise und
umfänglich. Es ist zu vermuten, dass es sich bei der Ikea Information Services AB um ein
ausländisches, und zwar ein schwedisches, Unternehmen handelt, ein entsprechender Hinweis
hierauf fehlt jedoch. Ebenso bleibt unklar, um welche angeschlossenen Vertragsunternehmen
es sich handelt und ob diese selbständig oder im Auftrag von Ikea tätig werden. Eine
entsprechende Information ist gemäß § 4 Abs. 3 Nr. 3 BDSG erforderlich.
- 107 -
4.4
Einwilligung in Allgemeinen Geschäftsbedingungen
Schließlich gibt es Einwilligungen, die gemeinsam mit den Allgemeinen Geschäfts- oder
Teilnahmebedingungen erklärt werden. Im Antragsformular findet sich in solchen Fällen nur
ein Hinweis auf die umseitig oder an anderer Stelle einsehbaren Geschäftsbedingungen. In
diesen Bedingungen wird u.a. auch die Verarbeitung der Daten im Rahmen des
Kundenbindungssystems beschrieben. Die Unterzeichnung des Antrags drückt gleichzeitig
die Anerkennung der Bedingungen aus.
Ein Beispiel für diese Lösung stellt die Einwilligung für die Bahr Card, das Bonussystem
der Baumarktkette Max Bahr, dar. Die Bahr Card ist entweder ohne Zahlungsfunktion als
reine Bonuskarte oder als Kreditkarte mit Zahlungsfunktion in Kooperation mit der WestLB
erhältlich. Mittels dieser Karten kann der Teilnehmer Bonuspunkte beim Bezug von Waren in
den Bahr Baumärkten erwerben, die in Prämien eingelöst werden können.
Das Antragsformular für die Bahr Card teilt sich in einen Abschnitt für die Bahr Card ohne
Zahlungsfunktion und einen weiteren Abschnitt für die Bahr Card mit Zahlungsfunktion.
Entsprechend regeln die Geschäftsbedingungen im ersten Abschnitt die Allgemeinen
Bedingungen der Bahr Card und in den folgenden Abschnitten die Bedingungen für die
Nutzung der Bahr Card mit Zahlungsfunktion.
Ein Kunde, der eine Bahr Card ohne Zahlungsfunktion beantragt, unterschreibt auf seinem
Antrag die folgende Erklärung:
„Unterschrift (Bahr Card ohne Zahlungsfunktion)
Ich habe die umseitige Einwilligung in die Datenübermittlung sowie die umseitigen
Allgemeinen Geschäftsbedingungen gelesen und erkenne diese hiermit an.“
Umseitig findet sich eine Erklärung zur Datenverarbeitung lediglich in Abschnitt IV. Sonstige
Bedingungen. Darunter ist in Fettdruck die folgende Erklärung abgedruckt:
„Einwilligung in die Datenübermittlung
Ich/wir ermächtige(n) die WestLB, das im Kartenantrag genannte
kontoführende Institut über diesen Kartenvertrag zwecks Bearbeitung sowie
zur weiteren Betreuung im Rahmen des Kartenvertrages zu unterrichten.
Zugleich ermächtige(n) ich/wir das im Kartenantrag genannte Kreditinstitut,
bei dem die Beträge abgebucht werden (kontoführendes Institut), gegenüber
der WestLB, die im Zusammenhang mit der Ausstellung und Benutzung der
Bahr Card erforderlichen Bankauskünfte zur Feststellung des
Bonitätsrahmens zu erteilen. Damit Max Bahr seine Leistungen gegenüber
den Karteninhabern optimieren kann, werden Max Bahr die im Kartenantrag
angegebenen Daten und etwaige Änderungen sowie alle im Zusammenhang
mit dem Einsatz der Karte anfallenden Daten durch die WestLB zur internen
Verarbeitung zum Zwecke der Werbung oder der Marktforschung zur
Verfügung gestellt. Die WestLB wird die Daten nicht an sonstige Dritte
weitergeben. Ich bin damit einverstanden, dass die WestLB an Max Bahr die
für die Werbung oder Marktforschung erforderlichen Angaben zur dortigen
- 108 -
Datenverarbeitung und Nutzung übermittelt. Übermittelt werden dürfen
neben den in dem Kartenantrag angegebenen Daten die beim Einsatz der
Karte von der WestLB erfassten und verarbeiteten Daten (Name und Adresse
des Karteninhabers; Kartennummer, Gesamtbetrag des mit der Karte
getätigten Umsatzes; Datum und Ort der Benutzung der Karte). In diesem
Rahmen entbinde(n) ich/wir die WestLB zugleich vom Bankgeheimnis.“
Diese Erklärung kann sich offensichtlich nur auf die Datenverarbeitung im Rahmen der Bahr
Card mit Zahlungsfunktion beziehen. Die WestLB wird als Vertragspartner der Bahr Card
ohne Zahlungsfunktion an keiner Stelle im Antragsformular bzw. in den Allgemeinen
Bedingungen für die Bahr Card genannt. Der Kunde, der die Bahr Card ohne
Zahlungsfunktion beantragt, kann damit nicht annehmen, dass die unter Punkt IV
aufgeführten Angaben, die ausschließlich das Verhältnis zwischen WestLB, dem
kontoführenden Institut und Max Bahr beschreiben, auch für ihn gelten. Der Verweis im
Antragsformular auf die umseitige Einwilligung in die Datenübermittlung geht somit fehl.
Auch der übrige Teil der Bedingungen, insbesondere der für die Karte ohne Zahlungsfunktion
gültige Abschnitt I, enthält keine Aussage zur Datenverarbeitung im Rahmen der Karte ohne
Zahlungsfunktion. Eine Einwilligung des Kunden in die Verarbeitung seiner Daten im
Rahmen der Bahr Card ohne Zahlungsfunktion liegt damit nicht vor.
Die Einwilligung hinsichtlich der Bahr Card mit Zahlungsfunktion ist dagegen ausreichend.
Es erfolgt auf dem Antragsformular ein Hinweis auf die umseitige Einwilligung in die
Datenübermittlung, die innerhalb der Darstellung der Allgemeinen Geschäftsbedingungen
durch Fettdruck hinreichend hervorgehoben ist. Mit Anerkennung dieser Bedingung erklärt
sich der Kunde mit einer umfangreichen Datenübermittlung von der WestLB als Kreditinstitut
an Max Bahr einverstanden. Zum Zweck der Nutzung für Werbe- und
Marktforschungszwecke werden laut Einwilligungserklärung sämtliche im Kartenantrag
angegebenen und die im Zusammenhang mit dem Einsatz der Karte anfallenden Daten durch
die WestLB an Max Bahr übermittelt. Im Kartenantrag sind zahlreiche Angaben des Kunden etwa zu Einkommen und Beruf - enthalten, die für die Abwicklung des Bonusprogramms
ohne Belang sind. Aufgrund der Einwilligung ist jedoch deren Verwendung auch im
Bonusprogramm zulässig.
4.5
Fehlende Einwilligung
Einige Kundenkartensysteme sehen keine gesonderte Einwilligung des Teilnehmers in die
Verarbeitung seiner Daten vor.
Ein Beispiel hierfür ist die e∗club card des Bekleidungsunternehmens Esprit. Mit dieser
Karte können Teilnehmer in den beteiligten Filialen Rabattpunkte, so genannte e∗points in
Höhe von 3% des Umsatzes erwerben und in einem Einkaufsgutschein einlösen.
Das für die Anmeldung verwandte Formular enthält keine Erklärung des Kunden zur
Datenverarbeitung bzw. zu Allgemeinen Geschäftsbedingungen. Auf der Rückseite des
Formulars befinden sich Erklärungen zur Funktionsweise des Systems und unter Punkt 4
folgender Hinweis zum Datenschutz:
„Datenschutz
Alle personenbezogenen Daten werden nur für interne Zwecke verwendet
- 109 -
und für Direct Mailings in Bezug auf Esprit Produkte. Sie werden nur an
Dritte weitergegeben, soweit es zur Verwaltung des e∗club Systems
notwendig ist.“
Dieser Hinweis genügt weder dem Informationsbedürfnis des Kunden noch den
Anforderungen an die Entscheidungsbefugnis des Kunden über die Verarbeitung seiner
Daten.
- 110 -
Teil 3: Zusammenfassung der Einzeldarstellungen
Zusammenfassend ist festzustellen, dass sämtliche der untersuchten Kundenbindungssysteme,
insbesondere diejenigen im Mehr-Parteien-Verhältnis, datenschutzrechtliche Mängel
aufweisen.
Dies beginnt bereits bei der Datenerhebung. Für die meisten Kundenbindungsprogramme
werden als Pflichtangaben Kundendaten erhoben, deren Kenntnis nicht erforderlich ist.
Häufig sind dies Geburtsdatum, Telefonnummer, oftmals auch E-Mail-Adresse. Dass es auch
anders geht, beweisen einige City Cards. Für die Beantragung der Eutin City Card, die
Pforzheim City Card, die evivo Card (Dortmund) und die SÜCard (Coburg) ist lediglich die
Angabe von Name und Anschrift erforderlich.
Auch beim Einsatz der Kundenkarte in den Partnerunternehmen werden häufig mehr Daten
erhoben, als erforderlich ist, ohne dass der Kunde über eine Einwilligung die Möglichkeit hat,
die Erhebung der nicht erforderlichen Daten zu regulieren. Es handelt sich dabei um die
Angaben zur gekauften Ware oder in Anspruch genommenen Dienstleistung, die im Rahmen
vieler Kundenbindungssysteme erhoben werden (oftmals auch unter dem Oberbegriff einer
Waren- oder Dienstleistungsgruppe), deren Kenntnis aber häufig zur ordnungsgemäßen
Abwicklung des Programms nicht erforderlich ist.
Abgesehen von dem Bonusprogramm der Sparda Bank nutzen alle Kundenkartenanbieter die
anfallenden Daten zu Zwecken der Werbung und Marktforschung. Für die Verwendung
dieser Daten wird in allen Fällen eine Einwilligung des Kunden eingeholt.
Die in der Praxis verwendeten Einwilligungserklärungen sind jedoch in allen Fällen mit
Mängeln behaftet. Die vorgefundenen Mängel sind ganz unterschiedlicher Art und Qualität.
Da die Einwilligungserklärung aber das zentrale Element für die Information des Kunden und
für die Ausübung seiner Wahlfreiheit darstellt, sind diesbezügliche Mängel nie als gering und
unbeachtlich anzusehen.
Einige Einwilligungserklärungen weisen allerdings erhebliche Mängel auf. Als
schwerwiegender Verstoß ist die Verletzung des Kopplungsverbots der Einwilligung
anzusehen. Sowohl das Bonusprogramm Vodafone Stars als auch das Programm S-Points der
Sparkassen Wuppertal, Essen und Bonn machen die Teilnahme des Kunden von seiner
Einwilligung in die Nutzung von personenbezogenen Daten zu Werbe- und
Marktforschungszwecken abhängig. Hierdurch wird der Kunde seiner Entscheidungsfreiheit
gänzlich beraubt, so dass die Einwilligungserklärung unwirksam ist.
In
eine
ähnliche
Richtung,
jedoch
weniger
schwerwiegend,
tendieren
Einwilligungserklärungen, die dem Kunden nur die Möglichkeit geben, der
Datenverarbeitung zu Werbezwecken durch „Opt-Out“ auszuschließen. Hier ist die
Entscheidungsfreiheit des Kunden zwar formell gewahrt, jedoch wird deren Ausübung dem
Kunden unverhältnismäßig erschwert. Es findet eine Risikoverteilung zu Lasten des Kunden
statt. Das Risiko einer fehlenden Erklärung des Kunden wird hierdurch dem Kunden und
nicht dem Unternehmen auferlegt. Dies bedeutet, dass der Kunde, der sich bei der Anmeldung
regelmäßig einem umfangreichen Formular gegenüber sieht, sorgfältig prüfen muss, welche
Erklärungen er - u.U. auch durch schlichtes Untätigwerden - abgibt und entsprechende
Gegenmaßnahmen treffen muss, wenn er mit der voreingestellten Erklärung nicht
- 111 -
einverstanden ist. Wegen dieser Lastenverteilung sind sämtliche dieser „Opt-Out-Lösungen“
als datenschutzrechtlich unzureichend anzusehen.
Aber auch in diesem Bereich gibt es Abstufungen. Die „Opt-Out-Lösung“ ist generell in zwei
unterschiedlichen Varianten vertreten. Einige Einwilligungserklärungen, wie etwa die von
Happy Digits, sind mit einer zusätzlichen Aufforderung an den Kunden versehen, die
Erklärung zu streichen, wenn er mit dieser nicht einverstanden sei. Meist ist diese
Aufforderung durch Fettdruck hervorgehoben, aber dennoch in den Einwilligungstext
integriert und somit leicht zu übersehen. Außerdem muss der Kunde, um sein fehlendes
Einverständnis auszudrücken, die psychologische Hürde überwinden, die vom Anbieter
vorgegebenen Bedingungen durchzustreichen.
Datenschutz- und verbraucherfreundlicher stellt sich dem gegenüber die Variante des
„Auskreuzens“ dar, die etwa von Payback verwendet wird. Durch die gesonderte
Widerspruchsmöglichkeit bringt zum einen der Anbieter hinreichend deutlich zum Ausdruck,
dass er die fragliche Klausel dem Kunden zur Disposition stellt, es verbleiben somit weder
Zweifel beim Kunden noch die für die Streichlösung geltende psychologische Barriere. Zum
anderen ist auch die Gefahr des Übersehens durch den Kunden gemindert, wenngleich nicht
gänzlich ausgeräumt.
Die wegen der Verteilung der Erklärungslast zu fordernde Lösung des „Opt-In“ ist bei den
Anbietern von Kundenkarten wenig verbreitet. Einzig die Städte-Karten „evivo Card“
(Dortmund), „SÜCard“ (Coburg) und die Giessencard verwenden diese Lösung.
Die zweite grundlegende Funktion der Einwilligungserklärung besteht in der Schaffung von
Transparenz durch Information des Teilnehmers über die wesentlichen Punkte der
Datenverarbeitung. Auch in diesem Bereich sind viele Defizite festzustellen.
Allgemein ist festzustellen, dass die Texte der Erklärungen häufig sehr kurz gefasst sind
und für ausführlichere Hinweise auf die Teilnahmebedingungen oder gesonderte Hinweise
zum Datenschutz verwiesen wird. Dies ist grundsätzlich nicht schädlich, sondern eher zu
begrüßen. Die Einwilligungserklärung sollte dem Kunden ermöglichen, sich in kurzer Zeit ein
klares Bild über die geplante Verarbeitung seiner personenbezogenen Daten zu verschaffen.
Lange Texte können da durchaus hinderlich sein. Dennoch muss die Einwilligungserklärung
einen Mindestgehalt an Information enthalten, der bei den meisten Erklärungen in der Praxis
nicht erreicht wird.
Voraussetzung für einen Verweis auf Teilnahmebedingungen und Hinweise zum
Datenschutz ist zunächst, dass diese Dokumente dem Kunden im Zeitpunkt der Erklärung
seiner Einwilligung tatsächlich bekannt sind bzw. ihm in der Weise zugänglich sind, dass er
diese ohne unverhältnismäßigen Aufwand zur Kenntnis nehmen kann. Die meisten Anbieter
drucken ihre Teilnahmebedingungen und Datenschutzhinweise gemeinsam mit dem
Antragsformular ab oder weisen auf Einsichtsmöglichkeiten hin. Unzureichend sind in dieser
Hinsicht jedoch die Anmeldung für das Programm Happy Digits und die Online-Anmeldung
für das Bonusprogramm S-Points. Dem Antragsformular für Happy Digits liegen keine
Teilnahmebedingungen bei, es erfolgt lediglich der Hinweis, dass die Teilnahmebedingungen
mit Versand der Karte zugestellt werden oder per Faxabruf angefordert werden können. Das
Internet-Anmeldeformular für S-Points enthält keinen Link auf die Teilnahmebedingungen,
diese sind auf den Webseiten des S-Points-Programms schwer zugänglich.
In diesen Fällen kann zur Bewertung des Informationsgehalts ausschließlich auf die
- 112 -
Einwilligungserklärung abgestellt werden. Aber selbst wenn ergänzend die
Teilnahmebedingungen bzw. Hinweise zum Datenschutz als Informationsgrundlage
herangezogen werden können, ergibt sich selten eine komplette Beschreibung der
Verarbeitung personenbezogener Daten.
In der Einwilligungserklärung fehlt häufig eine genaue Beschreibung der zu
verarbeitendenden Kundendaten, insbesondere der Programmdaten, die beim Einsatz der
Karte erhoben werden.
Unzureichend beschrieben sind häufig auch die Vorgänge der Datenverarbeitung. Hierbei
wird insbesondere das Zusammenspiel zwischen Systembetreiber und den
Partnerunternehmen nicht vollständig deutlich. Die Frage, ob und welche Kundendaten die
Partnerunternehmen speichern und weiter verarbeiten, bleibt oftmals offen.
Zu bemängeln ist weiterhin, dass der Kunde in einigen Einwilligungserklärungen nicht mit
hinreichender Deutlichkeit auf die Freiwilligkeit seiner Erklärung hingewiesen wird. Noch
seltener findet sich eine Darstellung der Folgen einer Verweigerung für die Teilnahme am
Programm.
Die Zwecke der Datenverarbeitung werden in den meisten Fällen in ausreichender Weise
beschrieben. Nur selten wird zur Beschreibung von Werbemaßnahmen auf irreführende und
beschönigende Formulierungen wie „Beratung“ oder „Information“ zurückgegriffen. Nicht
ausreichend sind die in der Praxis vertretenen Zweckbeschreibungen jedoch für Maßnahmen,
die über eine reine Werbeansprache oder eine Marktanalyse ohne Kunden hinausgehen, d.h.
die Bildung und die Auswertung von personenbezogenen Kundenprofilen. In einigen
Programmen werden diese Zielrichtungen zumindest angedeutet. Formulierungen wie
„individuelle Beratung“, „individuelle Angebote“ lassen erkennen, dass das Konsumverhalten
der Kunden erfasst und als Grundlage für eine gezielte Werbeansprache herangezogen wird.
Ausreichend sind diese Formulierungen jedoch nicht; erforderlich ist vielmehr ein
ausdrücklicher Hinweis darauf, das die Kundendaten zur Bildung von Kundenprofilen
verarbeitet werden. Das einzige Kundenbindungsprogramm, welches hierfür eine
ausreichende Zweckbeschreibung verwendet, ist das Programm Shell Clubsmart der Shell &
DEA Oil GmbH. In den Datenschutzhinweisen heißt es dazu: „ ... speichern, verarbeiten und
nutzen Shell & DEA Oil GmbH oder beauftragte Dienstleister Ihre sämtlichen gemäß
vorstehenden Ziffern erhobenen Daten außerdem, um für interne Marktforschungszwecke von
Shell & DEA Oil GmbH Ihr Kaufverhalten auszuwerten und Kundenprofile zu erstellen,
damit Shell & DEA Oil ihr Angebot künftig Ihren Bedürfnissen entsprechend gestalten kann“.

Kundenbindungssysteme und Datenschutz

Transcription

Similar documents

ULD - VZBV

Das deutsche Streben nach einem ständigen Sitz im UN

Leseprobe - Zukunftsinstitut

Wachkoma-2015-2 - Schädel

Stadtjournal September 2011

O2-Report 1 - Deutsche SauerstoffLiga LOT eV

Merkblatt Aus- und Weiterbildung - IHK Würzburg-Schweinfurt

Helfen (nicht nur) mit Rat und Tat

zur Übersicht

Unsere Wirtschaft 4_2005.indd - IHK zu Coburg

AVS - Version 1.2.8

innovate125 – HHl targeting top 10 in europe