> Gläserne Mensch

Datenschutz bei Kundenbindungssystemen – Welche personenbezogenen Daten Kundenkarten- oder Rabattkarten-Anbieter wirklich benötigen und welche sie tatsächlich erheben

Kundenbindungssysteme Datenschutz„Kundenbindungssysteme Datenschutz“ sind zwei Begriffe, die insbesondere Datenschutzbeauftragte und Datenschützer selten in einem Satz verwenden würden, außer sie wollen vor neuen Systemen warnen oder die „Alten“ kritisieren. Diese Kundenbindungssysteme haben allerdings nicht nur bei Datenschutzbeauftragten und der Verbraucherzentrale einen schlechten Ruf, sondern auch bei Verbrauchern selbst. Der Grund für das schlechte Ansehen ist u. a. der Verdacht, dass die  Anbieter von Kundenbindungssystemen in Deutschland oder im europäischen bzw. internationalen Ausland:

  • persönliche Kundendaten an Dritte weitergeben könnten,
  • die gesammelten Daten für Marketingforschungszwecke verwenden und
  • die Kunden personenbezogen durch die Auswertung ihrer Daten analysieren.

Trotz der Skepsis, auch auf Seite der Verbraucher, ist die Verlockung, ein „gratis“ Messer-Set oder eine Armbanduhr für 25000 Punkte und einer Zuzahlung von 19,99 € zu erhalten, zumeist größer, weshalb Kundenkarten in zahlreichen Haushalten täglich verwendet werden.

Die Frage, ob wirklich mehr personenbezogene Daten erhoben werden als tatsächlich notwendig und ob die Erhebung und Verwendung datenschutzkonform ist, kommt allerdings regelmäßig hoch. Aus diesem Grund erklärt Ihr externer Datenschutzbeauftragter im Folgenden, die Bedeutung hinter der Begriffskombination „Kundenbindungsysteme Datenschutz“ und welche Gefahren hinter Kundenbindungssystemen lauern.

Wie funktionieren Kundenkarten?

Insbesondere im Einzelhandel sind Kundenbindungssysteme, wie Kundenkarten/Rabattkarten, ein beliebtes Werkzeug, um Verbraucher längerfristig an sich zu binden. Bekannte Anbieter sind u. a. Payback oder DeutschlandCard. Diese Kundenkarten ermöglichen es dem Kunden nicht nur beim Einkaufen von Lebensmitteln oder Kleidung Punkte zu sammeln, sondern auch beim Tanken, beim Buchen von Reisen oder beim Kauf von Medikamenten.

Kundenkarten DatenschutzVielfach zeigt sich, dass durch die vermeintliche „Punkte-Sammel-Wut“ nicht mehr den eigenen wirtschaftlichen Interessen gefolgt wird und nicht die günstigste Tankstelle, sei es vom Preis oder von der Entfernung, sondern z. B. eine Aral-Tankstelle angefahren wird. Hier können die beliebten Payback-Punkte gesammelt werden.

Neben dem Einzelhandel haben weitere Bereiche / Stellen, wie Kinos, die deutsche Bahn, oder verschiedene Fluggesellschaften eine Verwendung für Rabattkarten gefunden und setzen diese im Rahmen ihrer Bonusprogramme ein. Können die meisten Kundenkarten nur bei dem Anbieter der Karte (z. B. IKEA FAMILY), verwendet werden, so ermöglichen Payback oder die DeutschlandCard das Sammeln von Punkten bei einer Vielzahl an Partnern. Ein Datenaustausch bzw. eine gemeinsame Datensammlung liegt daher nahe, wodurch diese Kundenbindungssysteme Datenschutz-Gefahren um ein Vielfaches erhöhen.

Neben Punkten und zahlreichen Rabattaktionen erfreuen sich die Nutzer von Kundenkarten (z. B. Douglas Card) regelmäßig an der vereinfachten Bezahlung der Ware mittels dieser Kundenkarte.

Um von den Kundenkarten Gebrauch zu machen, muss der Besitzer in dem meisten Fällen ein Formular ausfüllen. Neben den Listendaten (z. B. Namen, Adresse) werden regelmäßig weitere Informationen, wie Interessen, der ausgeübte Beruf oder Angaben über die Kleider- bzw. Schuhgröße erfragt. Hat man das Formular ausgefüllt und an den Anbieter versendet bzw. dem Anbieter übergeben, so erhält der Kunde die Karte zum Teil direkt oder bereits nach wenigen Tagen / Wochen auf dem Postweg.  Mit Erhalt der Rabattkarte kann das „große“ Sammeln von Punkten und das Erwerben von vermeintlichen Schnäppchen beginnen.

„Kundenbindungssysteme Datenschutz“ – die Bedeutung hinter der Begriffskombination

Grundsätzlich gilt im Datenschutz das Verbot mit Erlaubnisvorbehalt, wodurch zunächst jegliche Erhebung, Verarbeitung und Nutzung personenbezogener Daten verboten ist, außer sie basiert auf einer Rechtsgrundlage oder einer informierten Einwilligung der Betroffenen.

Auf Basis von § 28 Bundesdatenschutzgesetz (BDSG) dürften personenbezogene Daten erhoben, verarbeitet und genutzt werden, die zu Erfüllung der (eigenen) Geschäftszwecke erforderlich sind. Die Notwendigkeit zur Identifizierung des Verbrauchers würde beispielsweise erlauben, dass der Name und die Adresse verwendet werden. Zudem könnte das Geburtsjahr, wenn die Kundenkarte, ab einem gewissen Alter genutzt werden darf, oder eine Kontaktinformation, wie die Telefonnummer oder E-Mail-Adresse, erforderlich sein. Bei den Vorüberlegungen sollte geprüft werden, ob die Information über eine Person tatsächlich benötigt wird oder ob diese nur „gesammelt“ wird, um diese vielleicht irgendwann mal zu verwenden (Stichwörter „Datensammelwut“ oder „Vorratsdatenspeicherung“).

Die Kontaktdaten sollten allerdings nur zur Erfüllung des definierten Zwecks, zum Beispiel bei Rückfragen zu der Kundenkarte, genutzt werden. Weitere Daten, die auf Basis von § 28 BDSG erhoben werden dürfen, hängen von den einzelnen Systemen ab, allerdings könnten u. a. die Preise der Artikel für die Erfüllung des Geschäftszwecks wichtig sein. Bereits bei der Implementierung der Prozesse sollte der bestellte Datenschutzbeauftragte unbedingt eingebunden werden.

Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten, die nicht zur Erfüllung des Zwecks erforderlich sind und Daten, die zum Zweck der Werbung oder Meinungsforschung erhoben werden sollen, setzen die informierte Einwilligung der Betroffenen voraus.

Das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) erstellte ein Gutachten über Kundenbindungssysteme und kritisierte u. a.,  dass

  • die meisten Kundenbindungssysteme mehr Daten über den Kunden erheben, als für die Durchführung des Bonusprogramms erforderlich sind,
  • bei zahlreichen Bonusprogrammen anfallende Daten zu Zwecken der Werbung und Marktforschung genutzt werden,
  • beim Einsatz der Kundenkarte in den Partnerunternehmen ebenfalls mehr Daten erhoben werden, als erforderlich sind,
  • der Einwilligungserklärung in vielen Fällen eine genaue Beschreibung der zu verarbeitenden Kundendaten fehlt,
  • nicht festgestellt werden kann, ob und welche Kundendaten Partnerunternehmen speichern und weiterverarbeiten.

Wie können sich Verbraucher schützen?

Gläserner MenschVerbraucher, die sich schützen möchte, ist anzuraten, dass sie gewissenhafter mit Kundenkarten / Rabattkarten umgehen und sich nicht von den zumeist sehr geringen Rabatten blenden lassen. Schließlich sollte sich der Kunde darüber bewusst sein, dass er für die Rabatte oder Prämien regelmäßig einen wesentlich höheren Preis, durch starke Einblicke in seine Privatsphäre, bezahlt.

Je häufiger der Verbraucher seine Kundenkarte nutzt, desto dichter werden die Informationen über ihn, bis der Anbieter ein ganzes Benutzerprofil erhält und genau weiß, wann und wo sich der Verbraucher aufgehalten hat und welche Vorlieben, Interessen und Gewohnheiten dieser besitzt. Dies gilt insbesondere für Kundenkarten, die bei zahlreichen Partnern verwendet werden können. Mit Hilfe dieser Rabattkarten könnte der Anbieter – bei regelmäßiger Nutzung – nicht nur erfahren wo und was der Kunde gerne einkauft, sondern auch wo der Kunde im Urlaub war und welche Krankheiten er hat. Die Gefahr ist daher nicht gerade gering, dass Kundenkarten-Nutzer – im Sinne des Datenschutzes – zu „gläsernen Menschen“ werden.

Nichtsdestotrotz sollten Kundenbindungssysteme nicht pauschal verteufelt werden, da Nutzer selbst entscheiden können, welche Informationen die Anbieter der Kundenkarten erhalten dürfen und welche man als Kunde lieber für sich behält.

Was sollten Anbieter von Kundenkarten beachten?

Anbietern von Kundenkarten ist dringendst anzuraten, dass sie für personenbezogene Daten, die für den eigentlichen Zweck nicht erforderlich sind und für die Übermittlung an Dritte erhoben werden, informierte Einwilligungen der Betroffenen einholen.

Anbieter sollten den Verbraucher ausreichend darüber informieren, welche Daten, für welchen Zweck erhoben werden. Über eine Übermittlung an Dritte, über das Widerspruchsrecht und über die Freiwilligkeit der Einwilligung sollten Kunden ebenfalls klare Informationen erhalten. Die verantwortliche Stelle ist des Weiteren eindeutig zu benennen.

Die besonderen Rechte, wie das Recht auf Auskunft, gemäß § 34 BDSG, sollten verantwortliche Stelle ebenfalls nicht außer Acht lassen und ggf. den Rat eines Datenschutzbeauftragten einholen.

Sie haben eine Frage hierzu? Sprechen Sie doch mit Ihrem (betrieblichen) Datenschutzbeauftragten. Sie haben noch keinen? Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein oder nehmen Sie direkt Kontakt mit uns auf.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.

Gläserner Mensch – Mittels Amazon Dash Button Datenschutz-Risiken auf Knopfdruck

Gläserne MenschAmazon ermöglicht von nun an künftig das Bestellen von Waren mittels sogenannter Amazon Dash Buttons, allerdings sollten Prime-Kunden neben dem Komfort das Thema „Dash Button Datenschutz“ nicht außer Acht lassen. Das Angebot von Amazon hört sich zunächst sehr praktisch an, da Alltagswaren, wie Waschmittel, Rasierer und Shampoo, per Betätigung eines Knopfes auf dem Dash Button bestellt werden können und am nächsten Tag versandkostenfrei nach Hause geliefert werden.

Die Nutzung dieser Dash Buttons kann zwar für Verbraucher sehr praktisch sein, da ihnen der Weg zum Supermarkt erspart bleibt, allerdings sollten Verbrauchen sich vor der Nutzung mit dem Thema „Dash Button Datenschutz“ auseinandersetzen und sich fragen, ob sie für den Komfort einen Teil ihrer Privatsphäre auf Knopfdruck aufgeben.

Wie funktionieren die Dash Buttons?

Um die Dash Buttons zu verwenden, benötigt der Endverbraucher nicht viel IT-Know-how, denn das Einrichten und Bestellen ist kinderleicht. Zunächst benötigt der Verbraucher, einen Dash Button, die Amazon App, Bluetooth und WLAN. Für die Einrichtung des Dash Buttons verbindet sich dieser per Bluetooth mit dem Smartphone. Weitere Schritte erfolgen in der Amazon App, die Ihnen das Einrichten der Dash Buttons ermöglicht, allerdings sollte beachtet werden das pro Dash Button nur ein Produkt bestellt werden kann, was Sie bei der Einrichtung auswählen sollten. Zudem sollten Sie den bzw. die Dash Buttons mit dem WLAN verbinden. Haben Sie den Dash Button eingerichtet, kann er mittels Haken oder Klebefolie an die gewünschte Stelle angebracht werden und schon lassen sich die ersten Produkte bestellen.

Zu beachten ist allerdings, dass die Dash Buttons derzeit nur von Prime-Kunden bestellt werden können. Zudem stellt Amazon nur eine kleine Auswahl an Produkten zur Verfügung, wobei zu erwarten ist, dass die Produkt-Palette, wenn die Dash Buttons bei den deutschen Verbrauchern gut ankommen, erweitert wird. Ist die Bestellung an Amazon übermittelt, leuchtet ein grünes Lämpchen auf und sie erhalten eine Benachrichtigung auf dem Handy. Eine weitere Funktion, die Amazon zum Schutz der Kunden implementiert hat, ist der „Bestellschutz“. Haben Sie mit einem Dash Button einen Artikel bestellt, so können Sie mit dem gleichen Dash Button erst wieder bestellen, wenn der Artikel geliefert wurde. Mit dem Bestellschutz möchte Amazon verhindern, dass durch versehentliches Mehrfach-Klicken, insbesondere durch Kinder, die Ware mehrfach zu Ihnen nach Hause kommt. Was Datenschützer und Datenschutzbeauftragte allerdings noch mehr interessiert ist, ob Amazon neben dem Bestellschutz auch an den Datenschutz gedacht hat.

Wieso der Amazon Dash Button Datenschutz-Risiken für Verbraucher birgt

Dash Button DatenschutzGrundsätzlich sollten Dash Buttons nicht verteufelt werden, da Verbraucher selbst entscheiden können, welche Artikel sie mit Hilfe der „kleinen Helfer“ bestellen wollen, allerdings ist es wichtig, dass sich Verbraucher darüber bewusst sind, dass sie mit jedem Knopfdruck ein Stückchen Privatsphäre aufgeben könnten.

Je häufiger der Verbraucher seine Dash Buttons verwendet, desto dichter werden die Informationen über ihn, bis Amazon ein ganzes Benutzerprofil erhält und genau weiß, in welchen Zeiträumen der Verbraucher kein Toilettenpapier oder kein Shampoo mehr hat. Mit diesen Benutzerprofilen wäre es Amazon theoretisch möglich, die Ware zukünftig ohne Dash Button zu verschicken, da es sich nun mal um Alltagsware handelt, die in den meisten Haushalten regelmäßig verwendet wird und in ähnlichen Intervallen aufgebraucht ist.

Zwar war es Amazon bisher auch möglich Benutzerprofile zu erstellen, allerdings haben die meisten Verbraucher Alltagswaren, wie Waschmittel, eher im Supermarkt oder im Drogeriemarkt gekauft und nicht online bestellt. Ob durch Einführung dieser Geräte eine Änderung erfolgt, bleibt abzuwarten. Verbrauchern ist jedenfalls vor der Nutzung von Amazon Dash Buttons anzuraten, sich intensiver mit dem Thema „Dash Button Datenschutz“ auseinanderzusetzen und zu überlegen, welche Daten man über sich preisgeben möchte.

Wieso der Amazon Dash Button Datenschutz-Risiken für „verantwortliche Stellen“ hervorruft

Grundsätzlich betreffen Amazons Dash Buttons kaum direkt „verantwortliche Stellen“, allerdings kann mittelbar das Installieren von Apps – unabhängig davon um welche App es sich handelt – zu Problemen und Risiken für „verantwortliche Stellen“ führen. Das Problem liegt zumeist darin, dass Apps auf viele Funktionen/Informationen auf den Smartphones zugreifen wollen. Dürfen Mitarbeiter ihre dienstlichen Smartphones auch zu privaten Zwecken verwenden, dann installieren sich Mitarbeiter gewöhnlich zahlreiche Apps und beachten zumeist nicht die Zugriffsberechtigungen. Können Apps auf Kontakte oder auf andere Dateien auf den dienstlichen Smartphones zugreifen, kann dies insbesondere wegen der Datenübermittlung – häufig an Anbieter aus dem Drittland – zu Problemen führen.

Möchten Sie mehr zum Thema „Datenschutz bei Apps“ erfahren, dann lesen Sie doch unseren Beitrag „Datenschutz Apps – Trends der Gamescom mal aus Datenschutzsicht“ oder nehmen Sie direkt Kontakt mit uns auf. Gerne informieren wir Sie auch zum Thema „Dash Button Datenschutz“.

Möchten Sie sich im Datenschutz dauerhaft besser positionieren?  Dann holen Sie sich ein unverbindliches Angebot zum Datenschutz ein.

Nützliche Dienstleistungen können z. B. sein:

Unser Dienstleistungsangebot offerieren wir:

  • Unternehmen / Firmen [Einzelunternehmen, kleine und mittelständische Unternehmen (KMU) und Konzerne]
  • Behörden und Körperschaften des öffentlichen Rechts
  • Stiftungen bzw. Gesellschaften in kirchlicher Trägerschaft [unter Anwendung des Datenschutzgesetzes der Evangelischen Kirche in Deutschland (DSG-EKD) bzw. der Anordnung über den Kirchlichen Datenschutz (KDO)]
  • Vereinen / Verbänden
  • sowie in Einzelfällen interessierten Privatpersonen.