„Kundenbindungssysteme Datenschutz“ sind zwei Begriffe, die insbesondere Datenschutzbeauftragte und Datenschützer selten in einem Satz verwenden würden, außer sie wollen vor neuen Systemen warnen oder die „Alten“ kritisieren. Diese Kundenbindungssysteme haben allerdings nicht nur bei Datenschutzbeauftragten und der Verbraucherzentrale einen schlechten Ruf, sondern auch bei Verbrauchern selbst. Der Grund für das schlechte Ansehen ist u. a. der Verdacht, dass die Anbieter von Kundenbindungssystemen in Deutschland oder im europäischen bzw. internationalen Ausland:
- persönliche Kundendaten an Dritte weitergeben könnten,
- die gesammelten Daten für Marketingforschungszwecke verwenden und
- die Kunden personenbezogen durch die Auswertung ihrer Daten analysieren.
Trotz der Skepsis, auch auf Seite der Verbraucher, ist die Verlockung, ein „gratis“ Messer-Set oder eine Armbanduhr für 25000 Punkte und einer Zuzahlung von 19,99 € zu erhalten, zumeist größer, weshalb Kundenkarten in zahlreichen Haushalten täglich verwendet werden.
Die Frage, ob wirklich mehr personenbezogene Daten erhoben werden als tatsächlich notwendig und ob die Erhebung und Verwendung datenschutzkonform ist, kommt allerdings regelmäßig hoch. Aus diesem Grund erklärt Ihr externer Datenschutzbeauftragter im Folgenden, die Bedeutung hinter der Begriffskombination „Kundenbindungsysteme Datenschutz“ und welche Gefahren hinter Kundenbindungssystemen lauern.
Wie funktionieren Kundenkarten?
Insbesondere im Einzelhandel sind Kundenbindungssysteme, wie Kundenkarten/Rabattkarten, ein beliebtes Werkzeug, um Verbraucher längerfristig an sich zu binden. Bekannte Anbieter sind u. a. Payback oder DeutschlandCard. Diese Kundenkarten ermöglichen es dem Kunden nicht nur beim Einkaufen von Lebensmitteln oder Kleidung Punkte zu sammeln, sondern auch beim Tanken, beim Buchen von Reisen oder beim Kauf von Medikamenten.
Vielfach zeigt sich, dass durch die vermeintliche „Punkte-Sammel-Wut“ nicht mehr den eigenen wirtschaftlichen Interessen gefolgt wird und nicht die günstigste Tankstelle, sei es vom Preis oder von der Entfernung, sondern z. B. eine Aral-Tankstelle angefahren wird. Hier können die beliebten Payback-Punkte gesammelt werden.
Neben dem Einzelhandel haben weitere Bereiche / Stellen, wie Kinos, die deutsche Bahn, oder verschiedene Fluggesellschaften eine Verwendung für Rabattkarten gefunden und setzen diese im Rahmen ihrer Bonusprogramme ein. Können die meisten Kundenkarten nur bei dem Anbieter der Karte (z. B. IKEA FAMILY), verwendet werden, so ermöglichen Payback oder die DeutschlandCard das Sammeln von Punkten bei einer Vielzahl an Partnern. Ein Datenaustausch bzw. eine gemeinsame Datensammlung liegt daher nahe, wodurch diese Kundenbindungssysteme Datenschutz-Gefahren um ein Vielfaches erhöhen.
Neben Punkten und zahlreichen Rabattaktionen erfreuen sich die Nutzer von Kundenkarten (z. B. Douglas Card) regelmäßig an der vereinfachten Bezahlung der Ware mittels dieser Kundenkarte.
Um von den Kundenkarten Gebrauch zu machen, muss der Besitzer in dem meisten Fällen ein Formular ausfüllen. Neben den Listendaten (z. B. Namen, Adresse) werden regelmäßig weitere Informationen, wie Interessen, der ausgeübte Beruf oder Angaben über die Kleider- bzw. Schuhgröße erfragt. Hat man das Formular ausgefüllt und an den Anbieter versendet bzw. dem Anbieter übergeben, so erhält der Kunde die Karte zum Teil direkt oder bereits nach wenigen Tagen / Wochen auf dem Postweg. Mit Erhalt der Rabattkarte kann das „große“ Sammeln von Punkten und das Erwerben von vermeintlichen Schnäppchen beginnen.
„Kundenbindungssysteme Datenschutz“ – die Bedeutung hinter der Begriffskombination
Grundsätzlich gilt im Datenschutz das Verbot mit Erlaubnisvorbehalt, wodurch zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, außer sie basiert auf einer Rechtsgrundlage oder einer informierten Einwilligung der Betroffenen.
Auf Basis von § 28 Bundesdatenschutzgesetz (BDSG) dürften personenbezogene Daten erhoben, verarbeitet und genutzt werden, die zu Erfüllung der (eigenen) Geschäftszwecke erforderlich sind. Die Notwendigkeit zur Identifizierung des Verbrauchers würde beispielsweise erlauben, dass der Name und die Adresse verwendet werden. Zudem könnte das Geburtsjahr, wenn die Kundenkarte, ab einem gewissen Alter genutzt werden darf, oder eine Kontaktinformation, wie die Telefonnummer oder E-Mail-Adresse, erforderlich sein. Bei den Vorüberlegungen sollte geprüft werden, ob die Information über eine Person tatsächlich benötigt wird oder ob diese nur „gesammelt“ wird, um diese vielleicht irgendwann mal zu verwenden (Stichwörter „Datensammelwut“ oder „Vorratsdatenspeicherung“).
Die Kontaktdaten sollten allerdings nur zur Erfüllung des definierten Zwecks, zum Beispiel bei Rückfragen zu der Kundenkarte, genutzt werden. Weitere Daten, die auf Basis von § 28 BDSG erhoben werden dürfen, hängen von den einzelnen Systemen ab, allerdings könnten u. a. die Preise der Artikel für die Erfüllung des Geschäftszwecks wichtig sein. Bereits bei der Implementierung der Prozesse sollte der bestellte Datenschutzbeauftragte unbedingt eingebunden werden.
Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht zur Erfüllung des Zwecks erforderlich sind und Daten, die zum Zweck der Werbung oder Meinungsforschung erhoben werden sollen, setzen die informierte Einwilligung der Betroffenen voraus.
Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erstellte ein Gutachten über Kundenbindungssysteme und kritisierte u. a., dass
- die meisten Kundenbindungssysteme mehr Daten über den Kunden erheben, als für die Durchführung des Bonusprogramms erforderlich sind,
- bei zahlreichen Bonusprogrammen anfallende Daten zu Zwecken der Werbung und Marktforschung genutzt werden,
- beim Einsatz der Kundenkarte in den Partnerunternehmen ebenfalls mehr Daten erhoben werden, als erforderlich sind,
- der Einwilligungserklärung in vielen Fällen eine genaue Beschreibung der zu verarbeitenden Kundendaten fehlt,
- nicht festgestellt werden kann, ob und welche Kundendaten Partnerunternehmen speichern und weiterverarbeiten.
Wie können sich Verbraucher schützen?
Verbraucher, die sich schützen möchte, ist anzuraten, dass sie gewissenhafter mit Kundenkarten / Rabattkarten umgehen und sich nicht von den zumeist sehr geringen Rabatten blenden lassen. Schließlich sollte sich der Kunde darüber bewusst sein, dass er für die Rabatte oder Prämien regelmäßig einen wesentlich höheren Preis, durch starke Einblicke in seine Privatsphäre, bezahlt.
Je häufiger der Verbraucher seine Kundenkarte nutzt, desto dichter werden die Informationen über ihn, bis der Anbieter ein ganzes Benutzerprofil erhält und genau weiß, wann und wo sich der Verbraucher aufgehalten hat und welche Vorlieben, Interessen und Gewohnheiten dieser besitzt. Dies gilt insbesondere für Kundenkarten, die bei zahlreichen Partnern verwendet werden können. Mit Hilfe dieser Rabattkarten könnte der Anbieter – bei regelmäßiger Nutzung – nicht nur erfahren wo und was der Kunde gerne einkauft, sondern auch wo der Kunde im Urlaub war und welche Krankheiten er hat. Die Gefahr ist daher nicht gerade gering, dass Kundenkarten-Nutzer – im Sinne des Datenschutzes – zu „gläsernen Menschen“ werden.
Nichtsdestotrotz sollten Kundenbindungssysteme nicht pauschal verteufelt werden, da Nutzer selbst entscheiden können, welche Informationen die Anbieter der Kundenkarten erhalten dürfen und welche man als Kunde lieber für sich behält.
Was sollten Anbieter von Kundenkarten beachten?
Anbietern von Kundenkarten ist dringendst anzuraten, dass sie für personenbezogene Daten, die für den eigentlichen Zweck nicht erforderlich sind und für die Übermittlung an Dritte erhoben werden, informierte Einwilligungen der Betroffenen einholen.
Anbieter sollten den Verbraucher ausreichend darüber informieren, welche Daten, für welchen Zweck erhoben werden. Über eine Übermittlung an Dritte, über das Widerspruchsrecht und über die Freiwilligkeit der Einwilligung sollten Kunden ebenfalls klare Informationen erhalten. Die verantwortliche Stelle ist des Weiteren eindeutig zu benennen.
Die besonderen Rechte, wie das Recht auf Auskunft, gemäß § 34 BDSG, sollten verantwortliche Stelle ebenfalls nicht außer Acht lassen und ggf. den Rat eines Datenschutzbeauftragten einholen.