You are on page 1of 5

Aufstze

Kundenkarten und Rabattsysteme


Datenschutzrechtliche Herausforderung
Yvonne Conrad

Der Wandel der Gesellschaft im Umgang mit personenbezogenen Daten sowie die stete Entwicklung technischer Mglichkeiten in der Datenverarbeitung haben lngst dazu beigetragen, dass Verbraucherinnen und Verbraucher im Wege der Erstellung umfassender Konsumentenprofile immer strker in die Rolle glserner Kunden gedrngt werden. Daten sammelnde Unternehmen stellen insoweit eine Gefahr fr das Recht der Einzelnen auf informationelle Selbstbestimmung dar. Vor diesem Hintergrund befasst sich der Beitrag mit den datenschutzrechtlichen Anforderungen an Kundenbindungsprogramme und zeigt, wie sie datenschutzgerecht und verbraucherfreundlich gestaltet werden knnen.

Einfhrung
Kundenkarten, mit denen Punkte gesammelt werden, um diese anschlieend in Form von Prmien einzulsen oder Preisnachlsse zu erhalten, sind bei den Verbraucherinnen und Verbraucher seit einigen Jahren sehr beliebt. Bereits im Jahre 2000 ist die Payback-Karte als erste Bonuskarte eines Verbundes von Partnerunternehmen verschiedener Branchen auf den Markt gebracht worden. Die Verbraucherinnen und Verbraucher sehen ihren Vorteil darin, mit Bonuspunkten belohnt zu werden, wenn sie immer bei den gleichen Unternehmen bestimmte Waren einkaufen oder Dienstleistungen in Anspruch nehmen. Im Gegenzug sind die Unternehmen aus Grnden der Kundenbindung und aus Marketingzwecken an teilnehmenden Kunden sehr interessiert. Das Zeitalter der persnlichen Plastikkarte hat sein briges dazu beigetragen, dass die klassischen, anonymen Rabattmarken, die frher in ein Rabattheftchen eingeklebt wurden, inzwischen nur noch der Erinnerung an gute alte Zeiten dienen. Der Einsatz der Kundenkarte sorgt fr einen personalisierten Einkauf, durch den die betroffenen Verbraucherinnen und Verbraucher jede Anonymitt in ihren Konsumgewohnheiten verloren haben. Dies bewirkt, dass sich die Verbraucherinnen und Verbraucher stetig auf dem Weg zu glsernen Konsumenten befinden. Die fleiig gesammelten Bonuspunkte lassen die Betroffenen vergessen, dass der Einsatz der Kundenkarte selbst beim alltglichen Barkauf, der grundstzlich anonym erfolgt, dafr sorgt, dass sie viele Datenspuren ber ihre Einkaufsgewohnheiten und Vorlieben schon im Supermarkt an der Kasse hinterlassen. Diese Datenspuren knnen schlielich ausgewertet und im Hinblick auf die Verbreitung von Kundenkarten zu umfassenden, detaillierten Konsumprofilen zu-

sammengefhrt werden ein Traum fr Marketingexpertinnen und -experten. Payback und HappyDigits haben sich als Marktfhrer in diesem Bereich etabliert und binden fr ihre unternehmensbergreifenden Rabattsysteme mehrere Millionen teilnehmende Verbraucherinnen und Verbraucher als Mitglieder. Neben diesen groen Kundenbindungsprogrammen bestehen auch kleinere, vergleichbare Systeme, die auf regional vertretene Unternehmen beschrnkt sind, sowie solche, die nur auf ein Unternehmen bezogen sind. Gerade im Hinblick auf die unternehmensbergreifenden Systeme und ihre Gestaltung bestehen aus datenschutzrechtlicher Sicht groe Bedenken, weil sie fast ausnahmslos smtliche verbraucherrelevanten Marktsegmente abdecken und auf diesem Weg Konsumdaten unterschiedlichster Art sammeln knnen. Damit bergen sie ein besonders groes Risiko fr die Teilnehmerinnen und Teilnehmer, zu glsernen Verbraucherinnen und Verbraucher zu werden, zumal die anschlieende Datenverarbeitung und Datennutzung im systemeigenen Data Warehouse sehr vielversprechende, marketingrelevante Mglichkeiten bietet. Dazu werden im Wege des Data Minings die fr die Kundenbindung oder Kundengewinnung profitablen Informationen herausgefiltert und mit soziographischen oder mikrogeographischen Daten angereichert, um sie fr zielgruppenorientiertes Marketing nutzen zu knnen ein Albtraum fr Datenschtzerinnen und Datenschtzer.

Yvonne Conrad Referentin bei der Landesbeauftragten fr Datenschutz und Informationsfreiheit Nordrhein-Westfalen

2 Rabattgewhrung
2.1 Funktion der Rabattsysteme
Die Erhebung, Verarbeitung und Nutzung verschiedener Kategorien personenbezogener Daten ist die Grundlage dieser

E-Mail: poststelle@ldi.nrw.de DuD Datenschutz und Datensicherheit 30 (2006) 7

405

Kundenkarten und Rabattsysteme

Kundenbindungsprogramme. So werden regelmig bei jedem Einkauf bzw. bei Inanspruchnahme von Dienstleistungen bei den angeschlossenen Partnerunternehmen durch den Einsatz der Kundenkarte personenbezogene Daten der Verbraucherinnen und Verbraucher erhoben. Anschlieend werden die Daten zentral an den Systembetreiber des Rabattprogramms bermittelt, der als Trger des Rabattsystems fungiert und zunchst zur Abwicklung der Rabattierung von allen angeschlossenen Unternehmen die Daten erhlt. Die zu erhebenden Daten lassen sich in persnliche Stammdaten und in Programmbzw. Konsumdaten der Kunden unterteilen: Die persnlichen Stammdaten der Kunden werden bereits bei Abschluss des Rabattvertrages im Anmeldeformular erhoben. Dabei handelt es sich um Angaben zu Name, Vorname, Anschrift und Geburtsdatum, teilweise auch um Angaben zur Telefonnummer. Diese Daten werden regelmig als Pflichtangaben abgefragt, weil sie von Seiten der Systembetreiber fr die Durchfhrung der Rabattprogramme als erforderlich angesehen werden. Als Rechtsgrundlage dient 28 Abs. 1 Nr. 1 BDSG, der vorsieht, dass die Erhebung und Verarbeitung von Daten als Mittel fr die Erfllung eigener Geschftszwecke zulssig ist, wenn es der Zweckbestimmung eines Vertragsverhltnisses mit den Betroffenen dient. Dies ist hinsichtlich Name und Anschrift der Betroffenen zur Identifizierung grundstzlich anzunehmen. Auch die Kenntnis des vollstndigen Geburtsdatums ist nicht zu beanstanden, da bei einer sehr groen Zahl von teilnehmenden Personen Identittsverwechslungen nicht ausgeschlossen werden knnen. Dies belegen insbesondere Erfahrungen in der Praxis bei immer wieder auftretenden Fllen von Personenverwechslungen im Auskunfteigewerbe. Hinsichtlich der Erhebung der Telefonnummer, Faxnummer oder E-Mailadresse, deren Kenntnis die Mglichkeiten der Kontaktaufnahme zu den betroffenen Teilnehmerinnen und Teilnehmern erweitert, kann jedoch nicht von Pflichtangaben gesprochen werden. Es handelt sich um Daten, die gerade nicht zur Abwicklung des Rabattsystems erforderlich sind und daher nicht der Regelung des 28 Abs. 1 Nr. 1 BDSG unterfallen. Sie haben einen sensibleren Charakter und sind Kontaktdaten, die in besonderer Weise in die Privatsphre der Betroffenen eingreifen. Aus diesem Grund

sind diese Daten als freiwillige Angaben zu kennzeichnen, so dass die Betroffenen hier die Wahl haben, ob sie sie angeben oder nicht. Die Programm- bzw. Konsumdaten werden erhoben, sobald die Verbraucherinnen und Verbraucher ihre Kundenkarte beim Partnerunternehmen einsetzen. Bei diesem Vorgang wird jedes Mal eine Reihe von Daten eine neue Datenspur erhoben, die beispielsweise beim Wareneinkauf Angaben zu Teilnehmernummer, Datum des Einkaufs, Kennung des Partnerunternehmens, Summe der gesammelten Rabattpunkte, Informationen ber die Hhe des Einkaufs sowie der gekauften Waren, in Form von Angaben zu Warengruppen, umfasst. Auch hier dient 28 Abs. 1 Nr. 1 BDSG als Rechtsgrundlage der Datenverarbeitung, da diese Daten zur Abwicklung des Rabattsystem erforderlich sind. Die Daten werden zunchst beim Partnerunternehmen erhoben und an den zentralen Systembetreiber bermittelt. Die Angaben sind fr den Vertragszweck erforderlich, da sie dazu dienen, die beim Einkauf gesammelten Bonuspunkte auf dem Punktekonto beim Systembetreiber gutzuschreiben. Der Umfang der erhobenen Kaufdaten erfhrt grundstzlich vor dem Hintergrund seine Rechtfertigung, dass die Daten auch fr den Fall der Rckabwicklung des Kaufvertrages und der damit zusammenfallenden Stornierung gutgeschriebener Rabattpunkte aus Grnden der Nachvollziehbarkeit fr alle Beteiligten dienlich sind. Als Beispiele aus der Praxis, welche Daten Systembetreiber und Partnerunternehmen jeweils erhalten und verarbeiten, dienen die Kundenbindungsprogramme Payback und HappyDigits. Hier sind die Systeme so organisiert, dass die Stammdaten sowie die Programmdaten nach ihrer Erhebung durch die Partnerunternehmen bei diesen gespeichert bleiben und zugleich an Payback bzw. HappyDigits bermittelt und dort ebenfalls gespeichert und weiter verarbeitet werden. Darber hinaus findet keine weitere bermittlung personenbezogener Daten statt, weder an die brigen Partnerunternehmen noch an auen stehende Dritte.

2.2 Rechtliche Beziehungen


Im Hinblick auf die verschiedenen beteiligten Stellen des Kundenbindungsprogramms bedarf es der Klrung, wer dabei wessen

Vertragspartner wird. Beteiligte sind der Systembetreiber als zentrale Stelle, ferner die angeschlossenen Partnerunternehmen und zuletzt die Verbraucherinnen und Verbraucher als Datenproduzenten und Teilnehmer des Kundenbindungsprogramms. Grundlage der Kundenbindung ist der Rabattvertrag, den die Verbraucherinnen und Verbraucher mit dem Systembetreiber abschlieen, indem sie die Erklrung zur Teilnahme am Kundenbindungsprogramm abgeben. Die Rabattgewhrung ist das Grundgeschft mit dem Inhalt, dass beispielsweise jeder Einkauf beim Partnerunternehmen eine Punktegutschrift garantiert. Der Vertragsschluss erfolgt durch Unterzeichnung eines Antragsformulars mit datenschutzrechtlich relevanten Unterrichtungen und Einwilligungserklrungen, die im Folgenden nher dargestellt werden. Die Partnerunternehmen sind ber einen sog. Systempartnervertrag mit dem Systembetreiber in das Kundenbindungssystem eingebunden. Dieser Vertrag beinhaltet die Leistungen des Systembetreibers gegenber den beteiligten Unternehmen wie die Bereitstellung der Kundenkarte, die Durchfhrung von Werbemanahmen fr das Partnerunternehmen, den Betrieb des systemeigenen Data Warehouse etc. Im Gegenzug zahlen die Partnerunternehmen an den Systembetreiber Entgelte fr angemeldete Teilnehmerinnen und Teilnehmer, Werbekostenzuschsse, Datennutzungen etc. Die rechtliche Ausgestaltung des Systempartnervertrages ist mageblich dafr, wer im Rahmen des Rabattsystems gegenber den teilnehmenden Verbraucherinnen und Verbraucher verantwortliche Stelle im Sinne des BDSG ist. So nimmt beispielsweise bei HappyDigits allein die Betreibergesellschaft die Position der verantwortlichen Stelle ein, an die sich die Betroffenen nicht nur bei Angelegenheiten der Rabattierung, sondern auch im Falle der Durchsetzung ihrer datenschutzrechtlichen Belange zu wenden haben. Daneben sind jedoch auch andere Systeme denkbar, in denen Systembetreiber und Partnerunternehmen zugleich verantwortliche Stelle sind. Die Rabattgewhrung ist im Grunde allein auf eine Kundenbindung ausgerichtet. Unabhngig davon ermglicht sie das Sammeln umfassender Konsumdaten. Auf dieser Datengrundlage knnen die Verbraucherinnen und Verbraucher entsprechend ihrer Konsumgewohnheiten und Vorlieben beworben werden. Dies ist aller-

406

DuD Datenschutz und Datensicherheit 30 (2006) 7

Yvonne Conrad

dings nur mglich, sofern eine Rechtsgrundlage vorliegt.

drfen ihre Daten nicht zu Marketingzwecken verwendet werden.

3 Werbung und Marketing


Die Verarbeitung und Nutzung der erhobenen Stamm- und Konsumdaten zum Zwecke der Werbung und des Marketings sowohl durch Systembetreiber als auch durch die angeschlossenen Partnerunternehmen ist eine Datenverwendung, die ber den Inhalt der Rabattgewhrung als Grundgeschft mit den Verbraucherinnen und Verbraucher hinausgeht. Dazu bedarf es in jedem Fall einer rechtlichen Grundlage.

3.2 Konsumdaten
Neben den Stammdaten der Betroffenen werden bei jedem Warenkauf oder jeder Inanspruchnahme von Dienstleistungen unter Einsatz der Kundenkarte Konsumdaten erhoben, deren Verarbeitung zu Werbezwecken aus Marketingaspekten fr die Unternehmen besonders reizvoll ist. So hat der Systembetreiber im Vergleich zum jeweiligen Partnerunternehmen sogar unternehmensbergreifend gesammelte Verbraucherdaten, die zu einem detaillierten Profil ber Konsumgewohnheiten und Vorlieben zusammengefhrt und ausgewertet werden knnen. Diese Konsumdaten knnen darber hinaus die Grundlage fr ein systemeigenes Data Warehouse sein. Diese Situation ist nicht mit der oben beschriebenen Verwendung der Stammdaten vergleichbar, in der die Verarbeitung und Nutzung der Grunddaten zu Werbezwecken auf der Rechtsgrundlage des 28 Abs.1 Nr. 2 BDSG erfolgen kann. Die teilnehmenden Verbraucherinnen und Verbraucher sind durch die Bildung von Konsumprofilen, deren weitgreifende Folgen sich bereits ihrer Kenntnis entziehen drften, in ihren schutzwrdigen Interessen betroffen. Aus diesen Grnden kann die Verwendung der Konsumdaten zu Marketingzwecken nicht auf 28 Abs. 1 Nr. 2 BDSG als Rechtsgrundlage gesttzt werden. Dazu bedarf es unbedingt einer entsprechenden Einwilligungserklrung der Betroffenen als Rechtsgrundlage, durch die sowohl der Systembetreiber als auch das jeweilige Partnerunternehmen erst zu diesem Umfang der Datenverwendung berechtigt werden.

Entscheidung sein. Nur so kann die Datenverarbeitung im Rabattsystem dem Gebot von Transparenz und Verbraucherfreundlichkeit gerecht werden.

4.1 Form
Die Regelung des 4 a BDSG erfordert fr Einwilligungserklrungen grundstzlich die Schriftform. Dadurch sollen die Betroffenen davor geschtzt werden, eine vorschnelle Erklrung abzugeben, ohne sich darber bewusst zu sein, welche rechtlichen und tatschlichen Folgen die abgegebene Erklrung nach sich ziehen kann. Dazu bedarf es einer bewussten Entscheidung, die nur durch aktives Handeln der Betroffenen erreicht werden kann. Um diesen Anforderungen gerecht zu werden, werden zwei unterschiedliche Anstze vertreten: So wird einerseits bei der Einwilligung die Umsetzung der qualifizierten Opt-InVariante gefordert, bei der das Antragsformular die Einwilligungserklrung in der Form beinhaltet, dass die Betroffenen eine gesonderte Unterschrift leisten oder bestimmte Kstchen zur positiven Abgabe der Einwilligung ankreuzen mssen. Unterbleibt die Unterschrift bzw. das Ankreuzen, gilt die Einwilligung als nicht erteilt. Das Erfordernis der aktiven, bewussten Handlung der Betroffenen zur Abgabe einer Einwilligung wird hier umfassend erfllt. Aus der Sicht des Datenschutzes handelt es sich dabei um die optimale Lsung. Das Erfordernis nach einer qualifizierten Opt-In-Variante wurde zuletzt auch durch die noch nicht rechtskrftige Entscheidung des Landgerichts Mnchen I vom 9. Mrz 2006 untersttzt, die gegenber dem Systembetreiber Payback im Rahmen eines Klageverfahrens des Verbraucherzentrale Bundesverbandes e.V. ergangen ist. Nach Auffassung des Gerichts knnen die Anforderungen des 4 a BDSG an eine Einwilligung nur erfllt sein, wenn den Kunden eine positive Entscheidung zur Einwilligung abverlangt wird. Demnach bedarf es einer aktiven Erklrungshandlung fr die Einwilligung. So hat das Gericht entschieden, dass die bei Payback gewhlte Mglichkeit des Auskreuzens, bei der die Betroffenen ein Kstchen ankreuzen mssen, wenn sie die Einwilligung zur Verwendung der Daten nicht erteilen mchten, dem Erfordernis des aktiven Handelns zur Erteilung der Einwilligung nicht entspricht. Wenn die Versagung der Einwilligung ein aktives Handeln verlangt, hingegen die Erteilung der Einwilli-

3.1 Stammdaten
Die Stammdaten der Betroffenen werden regelmig ber die Antragsformulare bei den Partnerunternehmen direkt erhoben. Diese Daten werden nach ihrer Erhebung nicht nur zur Abwicklung des Rabattprogramms vom Systembetreiber und Partnerunternehmen gespeichert, sondern knnen auch von beiden Stellen fr jeweils eigene Zwecke verwendet werden, wenn dazu eine Rechtsgrundlage gegeben ist. Hierbei ist zu bercksichtigen, dass das Partnerunternehmen nur personenbezogene Daten seiner eigenen Kunden und nicht der Kunden weiterer Systempartner vorliegen hat. Mchte der Systembetreiber oder das Partnerunternehmen die Stammdaten fr eigene Werbezwecke nutzen, erfolgt dies auf der Rechtsgrundlage des 28 Abs. 1 Nr. 2 BDSG. Danach ist die Nutzung von Vertragsdaten zur Wahrung berechtigter Interessen zulssig, soweit kein Grund zu der Annahme besteht, dass schutzwrdige Interessen der Betroffenen berwiegen. Unter die Wahrung berechtigter Interessen fllt grundstzlich auch das Interesse der Unternehmen, die eigenen Kunden zu bewerben oder Marketinganalysen vorzunehmen. Schutzwrdige Interessen der Betroffenen berwiegen nicht, da es sich nur um Daten wie Name und Anschrift und nicht um profilierte Konsumdaten handelt. Die Verwendung der Stammdaten zu Marketingzwecken ist zulssig (vgl. 28 Abs. 3 Nr. 3 BDSG). Die Verbraucherinnen und Verbraucher sind jedoch vorab ber die Verwendung ihrer Stammdaten gem 4 Abs. 3 BDSG zu unterrichten. Haben sie gem 28 Abs. 4 BDSG widersprochen,

4 Einwilligung
Die Einwilligungserklrung der Betroffenen dient in Kundenbindungsprogrammen sowohl den Partnerunternehmen als auch den Systembetreibern als Rechtsgrundlage, um die gesammelten Daten zu bestimmten Zwecken berhaupt verwenden zu drfen. Die Gestaltung der Einwilligung richtet sich nach den Bestimmungen des BDSG und muss gem der Regelung des 4 a BDSG, der insoweit als zentrale Vorschrift gilt, bestimmte Anforderungen an Form, Inhalt und Freiwilligkeit erfllen. Die Erteilung der Einwilligung soll eine informierte, bewusste, beabsichtigte und vllig freie

DuD Datenschutz und Datensicherheit 30 (2006) 7

407

Kundenkarten und Rabattsysteme

gung durch bloe Passivitt erfolgt, kann dem Erfordernis nach einer aktiven Erklrung zu einer positiven Entscheidung nicht hinreichend Rechnung getragen werden. In der Praxis ist demgegenber bislang allerdings am hufigsten die sog. Streichlsung verbreitet, so auch beim Systembetreiber des HappyDigits-Programms. Es handelt sich dabei um eine Einwilligungsklausel, die neben der allgemeinen Erluterung, dass die Einwilligung jederzeit ohne Folgen fr den Vertrag widerrufen werden kann, den Hinweis enthlt, dass die betroffene Person die Klausel streichen kann, falls sie mit dem Inhalt nicht einverstanden ist. Ob die Streichlsung den gesetzlichen Anforderungen an eine Einwilligung gem 4 a BDSG entspricht, ist streitig. So wird fr diese Variante immer wieder darauf verwiesen, dass sie der verbreiteten Praxis entspreche, Einwilligungen zusammen mit anderen Erklrungen erteilen zu knnen, wie vergleichsweise bei SCHUFA-Klauseln im Zusammenhang mit kreditorischen Bankvertrgen. Die Streichlsung sei insbesondere vereinbar mit der Regelung des 4 a Abs. 1 S. 4 BDSG, der die Erteilung der Einwilligung im Rahmen anderer Erklrungen grundstzlich zulasse. Im Rahmen des Antragsformulars ist die Streichlsung gem 4 a Abs. 1 S. 4 BDSG zwingend durch besondere Hervorhebung so zu gestalten, dass die Einwilligung der betroffenen Person als bewusster, aktiver und autonomer Erklrungsakt aufgefasst werden kann. Dies erfolgt regelmig durch optische Hervorhebung des Einwilligungstextes in Form eines Rahmens, durch Verwendung der Bezeichnung Einwilligung oberhalb der relevanten Textabschnitte im Kundenkarten-Antragsformular sowie durch die optische Hervorhebung von Schlsselwrtern wie beispielsweise Sind Sie nicht einverstanden, streichen Sie diese Klausel. Derzeit ist auch die Einwilligungserklrung in Form der Streichlsung Gegenstand eines Klageverfahrens des Verbraucherzentrale Bundesverbandes e.V., das gegenber der Betreibergesellschaft von HappyDigits beim Landgericht Kln angestrengt worden ist. In diesem Verfahren ist jedoch bislang keine Entscheidung ergangen. Darber hinaus ist zu beachten, dass es sich bei den Einwilligungserklrungen um Allgemeine Geschftsbedingungen handelt, auf die die Regelungen der 305ff BGB anwendbar sind. Dies ist insbesondere dann

von Relevanz, wenn die Einwilligungserklrungen die Betroffenen nach den Grundstzen von Treu und Glauben gem 307 BGB inhaltlich unangemessen benachteiligen. Wird gegen 307 BGB verstoen, ist die Einwilligungserklrung unwirksam. Dies hat zur Folge, dass jede Datenverwendung, die sich auf die unwirksame Einwilligungserklrung als Rechtsgrundlage sttzt, datenschutzrechtlich unzulssig ist. In welcher Form die Einwilligungserklrung in Zukunft Bestand haben wird, wird eine neue Diskussion erfordern. Darber hinaus knnten gerichtliche Entscheidungen einen Beitrag zu einer einheitlichen Umsetzung der gesetzlichen Anforderungen an eine Einwilligung leisten. Sollte sich dabei die qualifizierte Opt-InVariante als die allein zulssige Form der Einwilligungserklrung durchsetzen, ist dies aus datenschutzrechtlicher Sicht aus Grnden der Transparenz fr die Betroffenen sehr zu begren.

verschiedenen Arten der Datenverarbeitung und Datennutzung nebst den damit verbundenen Zwecken, die Datenflsse und Datenempfnger zu informieren.

4.3 Freiwilligkeit
Nach 4 a Abs. 1 S. 1 BDSG ist die Einwilligung nur wirksam, wenn sie auf der freien Entscheidung der Betroffenen beruht. Demnach darf die Einwilligung zur Datenverarbeitung nicht von Leistungen der begnstigten Datenempfngerinnen und -empfngern, insbesondere der Systembetreiber, abhngig gemacht werden. Aus diesen Grnden findet sich in der Einwilligungserklrung zu Werbung und Marketing in Form der Streichlsung im Rahmen des Antragsformulars der Hinweis: Sind Sie nicht einverstanden, streichen Sie die Klausel. Eine Streichung hat keinen Einfluss auf Ihre Teilnahme am Programm. Diese Formulierung erffnet den Betroffenen eine Wahlmglichkeit und ist somit Ausdruck fr die Freiwilligkeit der Einwilligung. Zugleich sind die Betroffenen ber die Widerrufbarkeit der Einwilligung fr die Zukunft sowie ber die fr den Widerruf zustndige verantwortliche Stelle zu informieren. Dies verdeutlicht wiederum, dass eine Teilnahme am Kundenbindungsprogramm auch fr die Zukunft nur bei freiwilliger Verwendung der Daten erfolgt.

4.2 Inhalt
Um dem Grundsatz der informierten Einwilligung gerecht zu werden, mssen die Betroffenen gem 4 a Abs. 1 BDSG vor Erteilung der Einwilligung umfassend ber den Zweck der beabsichtigten Datenerhebung, -verarbeitung und -nutzung informiert werden. Nur so knnen sie die tatschliche Tragweite ihrer Einwilligung berhaupt abschtzen. Als inhaltliche Anforderung bedarf es insbesondere einer hinreichenden Bestimmtheit der Klausel, die deutlich erkennen lsst, zu welchen Zwecken sich die betroffene Person mit der Verwendung welcher Daten einverstanden erklrt. So muss deutlich formuliert sein, dass die Daten zu Werbe- und Marketingzwecken verarbeitet werden sollen. Dies darf nicht durch irrefhrende Bezeichnungen wie beispielsweise Beratung und Information statt Werbung und Marketing verdeckt werden. Aus Grnden der Bestimmtheit sind auch ffnungsklauseln im Hinblick auf die Zukunft unwirksam. Zugleich erfordert die inhaltliche Ausgestaltung der Einwilligung aus Grnden der Transparenz eine fr die Betroffenen verstndliche Information, die sich auf die wesentlichen Bestandteile der beabsichtigten Datenverarbeitung beschrnkt. Hier sind die Betroffenen in jedem Fall ber die verantwortliche Stelle, die zu verarbeitenden Daten bzw. Datenkategorien, die

5 Betroffenenrechte
Im Rahmen von Kundenbindungsprogrammen knnen sich die betroffenen Verbraucherinnen und Verbraucher auf smtliche Betroffenenrechte des BDSG berufen. Neben dem Anspruch auf Berichtigung, Lschung und Sperrung von Daten knnen sie von ihrem Auskunftsanspruch und Widerspruchsrecht Gebrauch machen. Diese Ansprche sind gegen die verantwortliche Stelle zu richten. Dies kann abhngig vom Systempartnervertrag der Systembetreiber allein oder gleichzeitig auch das angeschlossene Partnerunternehmen sein. Die Stelle, an die die Betroffenen sich zur Wahrnehmung ihrer Rechte zu wenden haben, muss sich unmittelbar aus dem Anmeldeformular, zumindest aber deutlich aus den allgemeinen Teilnahmebedingungen des Rabattprogramms ergeben. Der Auskunftsanspruch nach 34 BDSG nimmt fr die Betroffenen eine zentrale Bedeutung ein. Die Betroffenen knnen auf diesem Weg smtliche gespeicherten Infor-

408

DuD Datenschutz und Datensicherheit 30 (2006) 7

Yvonne Conrad

mationen, d.h. Angaben zu Stamm- und Programmdaten nebst daraus abgeleiteter Kundenprofile erfahren. Der Auskunftsanspruch erstreckt sich ferner auf die genau zu benennenden Empfngerinnen und Empfnger bermittelter Daten sowie die dabei eingesetzten Auftragsdatenverarbeiterinnen und verarbeiter. Die Auskunft ist von der verantwortlichen Stelle unentgeltlich und umgehend zu erteilen. Die erhaltene Auskunft fhrt hufig zur Geltendmachung des Berichtigungs-, Lschungs- oder Sperrungsanspruchs gem 35 BDSG. Die Feststellung, dass unrichtige oder sogar unzulssig erhobene Daten vorliegen, veranlasst die Betroffenen regelmig, entsprechend gegen den verantwortlichen Systembetreiber vorzugehen. In der Praxis tritt immer wieder der Fall auf, dass Betroffene die Lschung smtlicher Daten verlangen, wenn sie die Teilnahme am Kundenbindungsprogramm gekndigt haben und aus diesem Anlass keine weitere Verarbeitung und Nutzung ihrer Daten wnschen. In diesem Fall stehen regelmig handelsrechtliche Aufbewahrungsfristen entgegen, die eine weitere Speicherung der Daten erfordern. So sind Angaben zu den Stammdaten sowie gesammelte Bonuspunkte gem 257 Abs. 1 und 4 HGB fr die Dauer von zehn Jahren zu verwahren, um die rechtlich gebotene, ordnungsgeme Fhrung der Bonuspunktekonten nachvollziehen zu knnen. Die Daten sind aber umgehend fr jede weitere Verwendung zu sperren und gem 35 Abs. 2 Nr. 3 BDSG zu lschen, sobald die gesetzlichen Aufbewahrungsfristen abgelaufen sind. Das Widerspruchsrecht nach 28 Abs. 4 BDSG ist fr die Betroffenen im Hinblick auf Werbung und Marketing von groer datenschutzrechtlicher Relevanz. Auf diesem Weg knnen sie auch in einem laufenden Rabattvertrag der marketingspezifischen Verwendung ihrer Stammdaten fr die Zukunft entgegentreten, ohne auf die Sammlung von Bonuspunkten verzichten zu mssen. Hinsichtlich der Nutzung der Konsumdaten fr Werbezwecke knnen sie jederzeit die Einwilligung widerrufen.

6 Ausblick
Gegenber Datensammlungen im Zusammenhang mit Kundenkarten und Rabattsystemen ist aus datenschutzrechtlicher Sicht eine kritische Haltung geboten. Seit Beginn ihrer Einfhrung auf dem Markt stellen sie eine datenschutzrechtliche Herausforderung fr den Schutz der informationellen Selbstbestimmung der Betroffenen dar. Verbraucherinnen und Verbraucher, die aktiv am Wirtschaftsleben teilnehmen und Waren konsumieren, sind auch in ihrer Rolle als Datenproduzenten Trger von Grundrechten und sollten daher ihre Konsumgewohnheiten und Vorlieben nicht preisgeben (mssen). Ihre Daten stellen schlielich keine bloe Handelsware dar. So bleibt auch die weitere Entwicklung beispielsweise im Hinblick auf den mglichen Einsatz von RFID-Technologie aufmerksam zu beobachten, da dieser erhebliche Gefahren einer unbemerkten Profilbildung und Durchleuchtung der Betroffenen mit sich bringt. Soweit die datenschutzrechtlichen Vorgaben bei der Gestaltung von Rabattsystemen und der damit verbundenen Marketingzwecke eingehalten werden, knnen gegen diese Art von Kundenbindungsprogrammen grundstzlich keine durchgreifenden Bedenken geltend gemacht werden. Eine fr die Verbraucherinnen und Verbraucher transparente Datenverarbeitung sowie eine datenschutzrechtlich einwandfrei gestaltete Einwilligungserklrung ist die Grundlage fr jedes datenschutzkonforme Bonusprogramm. Hier bleibt zu hoffen, dass die ausstehenden gerichtlichen Entscheidungen dazu beitragen, eine Einheitlichkeit in der praktischen Umsetzung der datenschutzrechtlichen Anforderungen zu erreichen. Die Forderung nach mehr Transparenz bei Kundenkarten und Rabattsystemen haben Datenschtzerinnen und Datenschtzer im Laufe der letzten Jahre gegenber den Unternehmen nachhaltig durchgesetzt. Es ist daher durchaus mglich, als Verbraucherin und Verbraucher Bonuspunkte zu sammeln, ohne Objekt eines Persnlichkeitsprofils zu werden. Das Recht auf informationelle Selbstbestimmung geben die Betroffenen solange nicht aus der Hand, wie sie die Einwilligung zur Verwendung ihrer

Daten nicht erteilt haben. Dieses Grundrecht verleiht schlielich die Befugnis, selbst ber die Preisgabe und Verwendung der eigenen Daten zu bestimmen. Das Recht auf informationelle Selbstbestimmung ist elementarer Bestandteil eines demokratischen Gemeinwesens und sichert den Brgerinnen und Brgern eine selbstbestimmte, individuelle Verhaltensfreiheit. Um Verbraucherinnen und Verbraucher zu sensibilisieren, nicht an einem Ausverkauf ihrer Persnlichkeitsrechte gegen den Erhalt von Bonuspunkten teilzunehmen, ist die gesellschaftliche Diskussion und Aufklrung ber die Entwicklung und Gefahren bei Rabattsystemen immer wieder notwendig. Vor diesem Hintergrund werden in Zukunft nur datenschutzgerechte und verbraucherfreundliche Rabattsysteme, die die Interessen der teilnehmenden Verbraucherinnen und Verbraucher hinreichend bercksichtigen, auf dem Markt Bestand haben knnen.

Literatur
Jacob, Joachim/Jost, Tanja, Marketingnutzung von Kundendaten und Datenschutz ein Widerspruch?, DuD 2003, 621 Krffer, Barbara, Datenschutzrechtliche Anforderungen an Kundenbindungssysteme, DuD 2004, 267 Simitis, Spiros u.a., Kommentar zum Bundesdatenschutzgesetz, 5. Auflage 2003 Sokol, Bettina/Tiaden, Roul, Big Brother und die schne neue Welt der Vermarktung personenbezogener Informationen, in: Freundesgabe fr Alfred Bllesbach 2002, S. 161 Unabhngiges Landeszentrum fr Datenschutz Schleswig-Holstein, Kundenbindungssysteme und Datenschutz, Gutachten im Auftrag des Verbraucherzentrale Bundesverband e.V., 2003 Weber, Jrgen u.a., Neue Wege der Kundenbindung aus Datenschutzsicht: Bonuskarten-Systeme, DuD 2003, 614 Weichert, Thilo, Kundenbindungssysteme Verbraucherschutz oder der glserne Konsument?, DuD 2003, 161 Wittig, Petra, Die datenschutzrechtliche Problematik der Anfertigung von Persnlichkeitsprofilen zu Marketingzwecken, RDV 2000, 59 Landgericht Mchen I, Urteil vom 9.Mrz 2006, DuD 2006, 309

DuD Datenschutz und Datensicherheit 30 (2006) 7

409