Sie sind auf Seite 1von 5

Aufsätze

Aufsätze Kundenkarten und Rabattsysteme Datenschutzrechtliche Herausforderung Der Wandel der Gesellschaft im Um- gang

Kundenkarten und Rabattsysteme

Datenschutzrechtliche Herausforderung

Der Wandel der Gesellschaft im Um- gang mit personenbezogenen Daten sowie die stete Entwicklung technischer Möglichkeiten in der Daten- verarbeitung haben längst dazu beige- tragen, dass Verbraucherinnen und Verbraucher im Wege der Erstellung umfassender Konsumentenprofile im- mer stärker in die Rolle gläserner Kun- den gedrängt werden. Daten sammeln- de Unternehmen stellen insoweit eine Gefahr für das Recht der Einzelnen auf informationelle Selbstbestimmung dar. Vor diesem Hintergrund befasst sich der Beitrag mit den datenschutz- rechtlichen Anforderungen an Kunden- bindungsprogramme und zeigt, wie sie datenschutzgerecht und verbraucher- freundlich gestaltet werden können.

Yvonne Conrad Referentin bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

Yvonne Conrad

Referentin bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen

E-Mail: poststelle@ldi.nrw.de

Einführung

Kundenkarten, mit denen Punkte gesammelt werden, um diese anschließend in Form von Prämien einzulösen oder Preisnachlässe zu erhalten, sind bei den Verbraucherinnen und Verbraucher seit einigen Jahren sehr beliebt. Bereits im Jahre 2000 ist die Payback-Karte als erste Bonuskarte eines Verbundes von Partnerunternehmen verschiedener Bran- chen auf den Markt gebracht worden. Die Verbraucherinnen und Verbraucher sehen ihren Vorteil darin, mit Bonuspunkten be- lohnt zu werden, wenn sie immer bei den gleichen Unternehmen bestimmte Waren einkaufen oder Dienstleistungen in An- spruch nehmen. Im Gegenzug sind die Unternehmen aus Gründen der Kundenbin- dung und aus Marketingzwecken an teil- nehmenden Kunden sehr interessiert. Das Zeitalter der persönlichen Plastik- karte hat sein Übriges dazu beigetragen, dass die klassischen, anonymen Rabattmar- ken, die früher in ein Rabattheftchen einge- klebt wurden, inzwischen nur noch der Erinnerung an gute alte Zeiten dienen. Der Einsatz der Kundenkarte sorgt für einen personalisierten Einkauf, durch den die betroffenen Verbraucherinnen und Verbraucher jede Anonymität in ihren Kon- sumgewohnheiten verloren haben. Dies bewirkt, dass sich die Verbraucherinnen und Verbraucher stetig auf dem Weg zu gläser- nen Konsumenten befinden. Die fleißig gesammelten Bonuspunkte lassen die Be- troffenen vergessen, dass der Einsatz der Kundenkarte selbst beim alltäglichen Bar- kauf, der grundsätzlich anonym erfolgt, dafür sorgt, dass sie viele Datenspuren über ihre Einkaufsgewohnheiten und Vorlieben schon im Supermarkt an der Kasse hinter- lassen. Diese Datenspuren können schließ- lich ausgewertet und im Hinblick auf die Verbreitung von Kundenkarten zu umfas- senden, detaillierten Konsumprofilen zu-

DuD • Datenschutz und Datensicherheit 30 (2006) 7

Yvonne Conrad

sammengeführt werden – ein Traum für Marketingexpertinnen und -experten. Payback und HappyDigits haben sich als Marktführer in diesem Bereich etabliert und binden für ihre unternehmensübergreifen- den Rabattsysteme mehrere Millionen teil- nehmende Verbraucherinnen und Verbrau- cher als Mitglieder. Neben diesen großen Kundenbindungsprogrammen bestehen auch kleinere, vergleichbare Systeme, die auf regional vertretene Unternehmen be- schränkt sind, sowie solche, die nur auf ein Unternehmen bezogen sind. Gerade im Hinblick auf die unternehmensübergreifen- den Systeme und ihre Gestaltung bestehen aus datenschutzrechtlicher Sicht große Bedenken, weil sie fast ausnahmslos sämtli- che verbraucherrelevanten Marktsegmente abdecken und auf diesem Weg Konsumda- ten unterschiedlichster Art sammeln kön- nen. Damit bergen sie ein besonders großes Risiko für die Teilnehmerinnen und Teil- nehmer, zu gläsernen Verbraucherinnen und Verbraucher zu werden, zumal die anschlie- ßende Datenverarbeitung und Datennutzung im systemeigenen Data Warehouse sehr vielversprechende, marketingrelevante Mög- lichkeiten bietet. Dazu werden im Wege des Data Minings die für die Kundenbindung oder Kundengewinnung profitablen Infor- mationen herausgefiltert und mit soziogra- phischen oder mikrogeographischen Daten angereichert, um sie für zielgruppenorien- tiertes Marketing nutzen zu können – ein Albtraum für Datenschützerinnen und Datenschützer.

2 Rabattgewährung

2.1 Funktion der Rabattsysteme

Die Erhebung, Verarbeitung und Nutzung verschiedener Kategorien personenbe- zogener Daten ist die Grundlage dieser

Die Erhebung, Verarbeitung und Nutzung verschiedener Kategorien personenbe- zogener Daten ist die Grundlage dieser 405

405

Kundenkarten und Rabattsysteme

Kundenbindungsprogramme. So werden regelmäßig bei jedem Einkauf bzw. bei Inanspruchnahme von Dienstleistungen bei den angeschlossenen Partnerunternehmen durch den Einsatz der Kundenkarte perso- nenbezogene Daten der Verbraucherinnen und Verbraucher erhoben. Anschließend werden die Daten zentral an den System- betreiber des Rabattprogramms übermittelt, der als Träger des Rabattsystems fungiert und zunächst zur Abwicklung der Rabattie- rung von allen angeschlossenen Unterneh- men die Daten erhält. Die zu erhebenden Daten lassen sich in persönliche Stammdaten und in Programm- bzw. Konsumdaten der Kunden unterteilen:

Die persönlichen Stammdaten der Kun- den werden bereits bei Abschluss des Ra- battvertrages im Anmeldeformular erhoben. Dabei handelt es sich um Angaben zu Na- me, Vorname, Anschrift und Geburtsdatum, teilweise auch um Angaben zur Telefon- nummer. Diese Daten werden regelmäßig als Pflichtangaben abgefragt, weil sie von Seiten der Systembetreiber für die Durch- führung der Rabattprogramme als erforder- lich angesehen werden. Als Rechtsgrundlage dient § 28 Abs. 1 Nr. 1 BDSG, der vorsieht, dass die Erhe- bung und Verarbeitung von Daten als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, wenn es der Zweckbestimmung eines Vertragsverhältnisses mit den Betrof- fenen dient. Dies ist hinsichtlich Name und Anschrift der Betroffenen zur Identifizie- rung grundsätzlich anzunehmen. Auch die Kenntnis des vollständigen Geburtsdatums ist nicht zu beanstanden, da bei einer sehr großen Zahl von teilnehmenden Personen Identitätsverwechslungen nicht ausge- schlossen werden können. Dies belegen insbesondere Erfahrungen in der Praxis bei immer wieder auftretenden Fällen von Personenverwechslungen im Auskunftei- gewerbe. Hinsichtlich der Erhebung der Telefon- nummer, Faxnummer oder E-Mailadresse, deren Kenntnis die Möglichkeiten der Kon- taktaufnahme zu den betroffenen Teilneh- merinnen und Teilnehmern erweitert, kann jedoch nicht von Pflichtangaben gesprochen werden. Es handelt sich um Daten, die gerade nicht zur Abwicklung des Rabattsys- tems erforderlich sind und daher nicht der Regelung des § 28 Abs. 1 Nr. 1 BDSG unterfallen. Sie haben einen sensibleren Charakter und sind Kontaktdaten, die in besonderer Weise in die Privatsphäre der Betroffenen eingreifen. Aus diesem Grund

406

der Betroffenen eingreifen. Aus diesem Grund 406 sind diese Daten als fre iwillige Angaben zu kennzeichnen,

sind diese Daten als freiwillige Angaben zu kennzeichnen, so dass die Betroffenen hier die Wahl haben, ob sie sie angeben oder nicht. Die Programm- bzw. Konsumdaten wer- den erhoben, sobald die Verbraucherinnen und Verbraucher ihre Kundenkarte beim Partnerunternehmen einsetzen. Bei diesem Vorgang wird jedes Mal eine Reihe von Daten – eine neue „Datenspur“ – erhoben, die beispielsweise beim Wareneinkauf Angaben zu Teilnehmernummer, Datum des Einkaufs, Kennung des Partnerunterneh- mens, Summe der gesammelten Rabatt- punkte, Informationen über die Höhe des Einkaufs sowie der gekauften Waren, in Form von Angaben zu Warengruppen, umfasst. Auch hier dient § 28 Abs. 1 Nr. 1 BDSG als Rechtsgrundlage der Datenverarbeitung, da diese Daten zur Abwicklung des Rabatt- system erforderlich sind. Die Daten werden zunächst beim Partnerunternehmen erhoben und an den zentralen Systembetreiber ü- bermittelt. Die Angaben sind für den Ver- tragszweck erforderlich, da sie dazu dienen, die beim Einkauf gesammelten Bonuspunk- te auf dem Punktekonto beim Systembetrei- ber gutzuschreiben. Der Umfang der erho- benen Kaufdaten erfährt grundsätzlich vor dem Hintergrund seine Rechtfertigung, dass die Daten auch für den Fall der Rückab- wicklung des Kaufvertrages und der damit zusammenfallenden Stornierung gutge- schriebener Rabattpunkte aus Gründen der Nachvollziehbarkeit für alle Beteiligten dienlich sind. Als Beispiele aus der Praxis, welche Da- ten Systembetreiber und Partnerunter- nehmen jeweils erhalten und verarbeiten, dienen die Kundenbindungsprogramme Payback und HappyDigits. Hier sind die Systeme so organisiert, dass die Stammda- ten sowie die Programmdaten nach ihrer Erhebung durch die Partnerunternehmen bei diesen gespeichert bleiben und zugleich an Payback bzw. HappyDigits übermittelt und dort ebenfalls gespeichert und weiter verar- beitet werden. Darüber hinaus findet keine weitere Übermittlung personenbezogener Daten statt, weder an die übrigen Partnerun- ternehmen noch an außen stehende Dritte.

2.2 Rechtliche

Beziehungen

Im Hinblick auf die verschiedenen beteilig- ten Stellen des Kundenbindungsprogramms bedarf es der Klärung, wer dabei wessen

Vertragspartner wird. Beteiligte sind der Systembetreiber als zentrale Stelle, ferner die angeschlossenen Partnerunternehmen und zuletzt die Verbraucherinnen und Verbrau- cher als „Datenproduzenten“ und Teilnehmer des Kundenbindungsprogramms. Grundlage der Kundenbindung ist der Rabattvertrag, den die Verbraucherinnen und Verbraucher mit dem Systembetreiber abschließen, indem sie die Erklärung zur Teilnahme am Kunden- bindungsprogramm abgeben. Die Rabattge- währung ist das Grundgeschäft mit dem Inhalt, dass beispielsweise jeder Einkauf beim Partnerunternehmen eine Punktegut- schrift garantiert. Der Vertragsschluss er- folgt durch Unterzeichnung eines Antrags- formulars mit datenschutzrechtlich relevan- ten Unterrichtungen und Einwilligungs- erklärungen, die im Folgenden näher darge- stellt werden. Die Partnerunternehmen sind über einen sog. Systempartnervertrag mit dem System- betreiber in das Kundenbindungssystem eingebunden. Dieser Vertrag beinhaltet die Leistungen des Systembetreibers gegenüber den beteiligten Unternehmen wie die Be- reitstellung der Kundenkarte, die Durch- führung von Werbemaßnahmen für das Partnerunternehmen, den Betrieb des sys- temeigenen Data Warehouse etc. Im Gegen- zug zahlen die Partnerunternehmen an den Systembetreiber Entgelte für angemeldete Teilnehmerinnen und Teilnehmer, Werbekos- tenzuschüsse, Datennutzungen etc. Die rechtliche Ausgestaltung des Sys- tempartnervertrages ist maßgeblich dafür, wer im Rahmen des Rabattsystems gegen- über den teilnehmenden Verbraucherinnen und Verbraucher verantwortliche Stelle im Sinne des BDSG ist. So nimmt beispiels- weise bei HappyDigits allein die Betreiber- gesellschaft die Position der verantwortli- chen Stelle ein, an die sich die Betroffenen nicht nur bei Angelegenheiten der Rabattie- rung, sondern auch im Falle der Durchset- zung ihrer datenschutzrechtlichen Belange zu wenden haben. Daneben sind jedoch auch andere Systeme denkbar, in denen Systembetreiber und Partnerunternehmen zugleich verantwortliche Stelle sind. Die Rabattgewährung ist im Grunde al- lein auf eine Kundenbindung ausgerichtet. Unabhängig davon ermöglicht sie das Sammeln umfassender Konsumdaten. Auf dieser Datengrundlage können die Ver- braucherinnen und Verbraucher ent- sprechend ihrer Konsumgewohnheiten und Vorlieben beworben werden. Dies ist aller-

DuD • Datenschutz und Datensicherheit 30 (2006) 7

Yvonne Conrad

dings

grundlage vorliegt.

nur

möglich,

sofern

eine

Rechts-

3 Werbung und Marketing

Die Verarbeitung und Nutzung der erhobe- nen Stamm- und Konsumdaten zum Zwecke der Werbung und des Marketings sowohl durch Systembetreiber als auch durch die angeschlossenen Partnerunternehmen ist eine Datenverwendung, die über den Inhalt der Rabattgewährung als Grundgeschäft mit den Verbraucherinnen und Verbraucher hinausgeht. Dazu bedarf es in jedem Fall einer rechtlichen Grundlage.

3.1 Stammdaten

Die Stammdaten der Betroffenen werden regelmäßig über die Antragsformulare bei den Partnerunternehmen direkt erhoben. Diese Daten werden nach ihrer Erhebung nicht nur zur Abwicklung des Rabatt- programms vom Systembetreiber und Part- nerunternehmen gespeichert, sondern kön- nen auch von beiden Stellen für jeweils eigene Zwecke verwendet werden, wenn dazu eine Rechtsgrundlage gegeben ist. Hierbei ist zu berücksichtigen, dass das Partnerunternehmen nur personenbezogene Daten seiner eigenen Kunden und nicht der Kunden weiterer Systempartner vorliegen hat. Möchte der Systembetreiber oder das Partnerunternehmen die Stammdaten für eigene Werbezwecke nutzen, erfolgt dies auf der Rechtsgrundlage des § 28 Abs. 1 Nr. 2 BDSG. Danach ist die Nutzung von Vertragsdaten zur Wahrung berechtigter Interessen zulässig, soweit kein Grund zu der Annahme besteht, dass schutzwürdige Interessen der Betroffenen überwiegen. Unter die Wahrung berechtigter Interessen fällt grundsätzlich auch das Interesse der Unternehmen, die eigenen Kunden zu be- werben oder Marketinganalysen vorzuneh- men. Schutzwürdige Interessen der Betrof- fenen überwiegen nicht, da es sich nur um Daten wie Name und Anschrift und nicht um profilierte Konsumdaten handelt. Die Verwendung der Stammdaten zu Marke- tingzwecken ist zulässig (vgl. § 28 Abs. 3 Nr. 3 BDSG). Die Verbraucherinnen und Verbraucher sind jedoch vorab über die Verwendung ihrer Stammdaten gemäß § 4 Abs. 3 BDSG zu unterrichten. Haben sie gemäß § 28 Abs. 4 BDSG widersprochen,

dürfen ihre Daten nicht zu Marketingzwe- cken verwendet werden.

3.2 Konsumdaten

Neben den Stammdaten der Betroffenen werden bei jedem Warenkauf oder jeder Inanspruchnahme von Dienstleistungen unter Einsatz der Kundenkarte Konsum- daten erhoben, deren Verarbeitung zu Wer- bezwecken aus Marketingaspekten für die Unternehmen besonders reizvoll ist. So hat der Systembetreiber im Vergleich zum jeweiligen Partnerunternehmen sogar unter- nehmensübergreifend gesammelte Verbrau- cherdaten, die zu einem detaillierten Profil über Konsumgewohnheiten und Vorlieben zusammengeführt und ausgewertet werden können. Diese Konsumdaten können dar- über hinaus die Grundlage für ein systemei- genes Data Warehouse sein. Diese Situation ist nicht mit der oben be- schriebenen Verwendung der Stammdaten vergleichbar, in der die Verarbeitung und Nutzung der Grunddaten zu Werbezwecken auf der Rechtsgrundlage des § 28 Abs.1 Nr. 2 BDSG erfolgen kann. Die teilneh- menden Verbraucherinnen und Verbraucher sind durch die Bildung von Konsumprofi- len, deren weitgreifende Folgen sich bereits ihrer Kenntnis entziehen dürften, in ihren schutzwürdigen Interessen betroffen. Aus diesen Gründen kann die Verwendung der Konsumdaten zu Marketingzwecken nicht auf § 28 Abs. 1 Nr. 2 BDSG als Rechts- grundlage gestützt werden. Dazu bedarf es unbedingt einer entsprechenden Einwilli- gungserklärung der Betroffenen als Rechts- grundlage, durch die sowohl der System- betreiber als auch das jeweilige Partnerun- ternehmen erst zu diesem Umfang der Datenverwendung berechtigt werden.

4 Einwilligung

Die Einwilligungserklärung der Betroffenen dient in Kundenbindungsprogrammen sowohl den Partnerunternehmen als auch den Systembetreibern als Rechtsgrundlage, um die gesammelten Daten zu bestimmten Zwecken überhaupt verwenden zu dürfen. Die Gestaltung der Einwilligung richtet sich nach den Bestimmungen des BDSG und muss gemäß der Regelung des § 4 a BDSG, der insoweit als zentrale Vorschrift gilt, bestimmte Anforderungen an Form, Inhalt und Freiwilligkeit erfüllen. Die Erteilung der Einwilligung soll eine informierte, bewusste, beabsichtigte und völlig freie

DuD • Datenschutz und Datensicherheit 30 (2006) 7

Entscheidung sein. Nur so kann die Daten- verarbeitung im Rabattsystem dem Gebot von Transparenz und Verbraucherfreund- lichkeit gerecht werden.

4.1 Form

Die Regelung des § 4 a BDSG erfordert für Einwilligungserklärungen grundsätzlich die Schriftform. Dadurch sollen die Betroffenen davor geschützt werden, eine vorschnelle Erklärung abzugeben, ohne sich darüber bewusst zu sein, welche rechtlichen und tatsächlichen Folgen die abgegebene Erklä- rung nach sich ziehen kann. Dazu bedarf es einer bewussten Entscheidung, die nur durch aktives Handeln der Betroffenen erreicht werden kann. Um diesen Anforde- rungen gerecht zu werden, werden zwei unterschiedliche Ansätze vertreten:

So wird einerseits bei der Einwilligung die Umsetzung der qualifizierten „Opt-In- Variante“ gefordert, bei der das Antrags- formular die Einwilligungserklärung in der Form beinhaltet, dass die Betroffenen eine gesonderte Unterschrift leisten oder be- stimmte Kästchen zur positiven Abgabe der Einwilligung ankreuzen müssen. Unter- bleibt die Unterschrift bzw. das Ankreuzen, gilt die Einwilligung als nicht erteilt. Das Erfordernis der aktiven, bewussten Hand- lung der Betroffenen zur Abgabe einer Einwilligung wird hier umfassend erfüllt. Aus der Sicht des Datenschutzes handelt es sich dabei um die optimale Lösung. Das Erfordernis nach einer qualifizierten „Opt-In-Variante“ wurde zuletzt auch durch die – noch nicht rechtskräftige – Entschei- dung des Landgerichts München I vom 9. März 2006 unterstützt, die gegenüber dem Systembetreiber Payback im Rahmen eines Klageverfahrens des Verbraucherzentrale Bundesverbandes e.V. ergangen ist. Nach Auffassung des Gerichts können die Anfor- derungen des § 4 a BDSG an eine Einwilli- gung nur erfüllt sein, wenn den Kunden eine positive Entscheidung zur Einwilligung abverlangt wird. Demnach bedarf es einer aktiven Erklärungshandlung für die Einwil- ligung. So hat das Gericht entschieden, dass die bei Payback gewählte Möglichkeit des „Auskreuzens“, bei der die Betroffenen ein Kästchen ankreuzen müssen, wenn sie die Einwilligung zur Verwendung der Daten nicht erteilen möchten, dem Erfordernis des aktiven Handelns zur Erteilung der Einwil- ligung nicht entspricht. Wenn die Versagung der Einwilligung ein aktives Handeln ver- langt, hingegen die Erteilung der Einwilli-

entspricht. Wenn die Versagung der Einwilligung ein aktives Handeln ver- langt, hingegen die Erteilung der Einwilli-

407

Kundenkarten und Rabattsysteme

gung durch bloße Passivität erfolgt, kann dem Erfordernis nach einer aktiven Erklä- rung zu einer positiven Entscheidung nicht hinreichend Rechnung getragen werden. In der Praxis ist demgegenüber bislang allerdings am häufigsten die sog. „Streich- lösung“ verbreitet, so auch beim System- betreiber des HappyDigits-Programms. Es handelt sich dabei um eine Einwilligungs- klausel, die neben der allgemeinen Erläute- rung, dass die Einwilligung jederzeit ohne Folgen für den Vertrag widerrufen werden kann, den Hinweis enthält, dass die betrof- fene Person die Klausel streichen kann, falls sie mit dem Inhalt nicht einverstanden ist. Ob die „Streichlösung“ den gesetzlichen Anforderungen an eine Einwilligung gemäß § 4 a BDSG entspricht, ist streitig. So wird für diese Variante immer wieder darauf verwiesen, dass sie der verbreiteten Praxis entspreche, Einwilligungen zusammen mit anderen Erklärungen erteilen zu können, wie vergleichsweise bei SCHUFA-Klauseln im Zusammenhang mit kreditorischen Bankverträgen. Die „Streichlösung“ sei insbesondere vereinbar mit der Regelung des § 4 a Abs. 1 S. 4 BDSG, der die Ertei- lung der Einwilligung im Rahmen anderer Erklärungen grundsätzlich zulasse. Im Rahmen des Antragsformulars ist die „Streichlösung“ gemäß § 4 a Abs. 1 S. 4 BDSG zwingend durch besondere Hervor- hebung so zu gestalten, dass die Einwilli- gung der betroffenen Person als bewusster, aktiver und autonomer Erklärungsakt aufge- fasst werden kann. Dies erfolgt regelmäßig durch optische Hervorhebung des Einwilli- gungstextes in Form eines Rahmens, durch Verwendung der Bezeichnung „Einwilli- gung“ oberhalb der relevanten Textabschnit- te im Kundenkarten-Antragsformular sowie durch die optische Hervorhebung von Schlüsselwörtern wie beispielsweise „Sind Sie nicht einverstanden, streichen Sie diese Klausel“. Derzeit ist auch die Einwilligungs- erklärung in Form der „Streichlösung“ Gegenstand eines Klageverfahrens des Verbraucherzentrale Bundesverbandes e.V., das gegenüber der Betreibergesellschaft von HappyDigits beim Landgericht Köln ange- strengt worden ist. In diesem Verfahren ist jedoch bislang keine Entscheidung ergan- gen. Darüber hinaus ist zu beachten, dass es sich bei den Einwilligungserklärungen um Allgemeine Geschäftsbedingungen handelt, auf die die Regelungen der §§ 305ff BGB anwendbar sind. Dies ist insbesondere dann

408

305ff BGB anwendbar sind. Dies ist insbesondere dann 408 von Relevanz, wenn die Einwilligungserklä- rungen die

von Relevanz, wenn die Einwilligungserklä- rungen die Betroffenen nach den Grundsät- zen von Treu und Glauben gemäß § 307 BGB inhaltlich unangemessen benachteili- gen. Wird gegen § 307 BGB verstoßen, ist die Einwilligungserklärung unwirksam. Dies hat zur Folge, dass jede Datenverwendung, die sich auf die unwirksame Einwilligungs- erklärung als Rechtsgrundlage stützt, daten- schutzrechtlich unzulässig ist. In welcher Form die Einwilligungs- erklärung in Zukunft Bestand haben wird, wird eine neue Diskussion erfordern. Dar- über hinaus könnten gerichtliche Ent- scheidungen einen Beitrag zu einer einheit- lichen Umsetzung der gesetzlichen An- forderungen an eine Einwilligung leisten. Sollte sich dabei die qualifizierte „Opt-In- Variante“ als die allein zulässige Form der Einwilligungserklärung durchsetzen, ist dies aus datenschutzrechtlicher Sicht aus Grün- den der Transparenz für die Betroffenen sehr zu begrüßen.

4.2 Inhalt

Um dem Grundsatz der informierten Ein- willigung gerecht zu werden, müssen die Betroffenen gemäß § 4 a Abs. 1 BDSG vor Erteilung der Einwilligung umfassend über den Zweck der beabsichtigten Datenerhe- bung, -verarbeitung und -nutzung informiert werden. Nur so können sie die tatsächliche Tragweite ihrer Einwilligung überhaupt abschätzen. Als inhaltliche Anforderung bedarf es insbesondere einer hinreichenden Be- stimmtheit der Klausel, die deutlich erken- nen lässt, zu welchen Zwecken sich die betroffene Person mit der Verwendung welcher Daten einverstanden erklärt. So muss deutlich formuliert sein, dass die Daten zu Werbe- und Marketingzwecken verarbeitet werden sollen. Dies darf nicht durch irreführende Bezeichnungen wie beispielsweise „Beratung und Information“ statt „Werbung und Marketing“ verdeckt werden. Aus Gründen der Bestimmtheit sind auch Öffnungsklauseln im Hinblick auf die Zukunft unwirksam. Zugleich erfordert die inhaltliche Aus- gestaltung der Einwilligung aus Gründen der Transparenz eine für die Betroffenen verständliche Information, die sich auf die wesentlichen Bestandteile der beab- sichtigten Datenverarbeitung beschränkt. Hier sind die Betroffenen in jedem Fall über die verantwortliche Stelle, die zu verarbei- tenden Daten bzw. Datenkategorien, die

verschiedenen Arten der Datenverarbeitung und Datennutzung nebst den damit verbun- denen Zwecken, die Datenflüsse und Da- tenempfänger zu informieren.

4.3 Freiwilligkeit

Nach § 4 a Abs. 1 S. 1 BDSG ist die Einwil- ligung nur wirksam, wenn sie auf der freien Entscheidung der Betroffenen beruht. Dem- nach darf die Einwilligung zur Datenverar- beitung nicht von Leistungen der begünstig- ten Datenempfängerinnen und -empfängern, insbesondere der Systembetreiber, abhängig gemacht werden. Aus diesen Gründen findet sich in der Einwilligungserklärung zu Wer- bung und Marketing in Form der „Streich- lösung“ im Rahmen des Antragsformulars der Hinweis: „Sind Sie nicht einverstanden, streichen Sie die Klausel. Eine Streichung hat keinen Einfluss auf Ihre Teilnahme am Programm.“ Diese Formulierung eröffnet den Betroffenen eine Wahlmöglichkeit und ist somit Ausdruck für die Freiwilligkeit der Einwilligung. Zugleich sind die Betroffenen über die Widerrufbarkeit der Einwilligung für die Zukunft sowie über die für den Widerruf zuständige verantwortliche Stelle zu infor- mieren. Dies verdeutlicht wiederum, dass eine Teilnahme am Kundenbindungspro- gramm auch für die Zukunft nur bei freiwil- liger Verwendung der Daten erfolgt.

5 Betroffenenrechte

Im Rahmen von Kundenbindungs- programmen können sich die betroffenen Verbraucherinnen und Verbraucher auf sämtliche Betroffenenrechte des BDSG berufen. Neben dem Anspruch auf Berichti- gung, Löschung und Sperrung von Daten können sie von ihrem Auskunftsanspruch und Widerspruchsrecht Gebrauch machen. Diese Ansprüche sind gegen die verantwort- liche Stelle zu richten. Dies kann abhängig vom Systempartnervertrag der System- betreiber allein oder gleichzeitig auch das angeschlossene Partnerunternehmen sein. Die Stelle, an die die Betroffenen sich zur Wahrnehmung ihrer Rechte zu wenden haben, muss sich unmittelbar aus dem An- meldeformular, zumindest aber deutlich aus den allgemeinen Teilnahmebedingungen des Rabattprogramms ergeben. Der Auskunftsanspruch nach § 34 BDSG nimmt für die Betroffenen eine zentrale Bedeutung ein. Die Betroffenen können auf diesem Weg sämtliche gespeicherten Infor-

DuD • Datenschutz und Datensicherheit 30 (2006) 7

Yvonne Conrad

mationen, d.h. Angaben zu Stamm- und Programmdaten nebst daraus abgeleiteter Kundenprofile erfahren. Der Auskunftsan- spruch erstreckt sich ferner auf die genau zu benennenden Empfängerinnen und Emp- fänger übermittelter Daten sowie die dabei eingesetzten Auftragsdatenverarbeiterinnen und –verarbeiter. Die Auskunft ist von der verantwortlichen Stelle unentgeltlich und umgehend zu erteilen. Die erhaltene Auskunft führt häufig zur Geltendmachung des Berichtigungs-, Lö- schungs- oder Sperrungsanspruchs gemäß § 35 BDSG. Die Feststellung, dass unrichti- ge oder sogar unzulässig erhobene Daten vorliegen, veranlasst die Betroffenen regel- mäßig, entsprechend gegen den verantwort- lichen Systembetreiber vorzugehen. In der Praxis tritt immer wieder der Fall auf, dass Betroffene die Löschung sämtli- cher Daten verlangen, wenn sie die Teil- nahme am Kundenbindungsprogramm gekündigt haben und aus diesem Anlass keine weitere Verarbeitung und Nutzung ihrer Daten wünschen. In diesem Fall ste- hen regelmäßig handelsrechtliche Aufbe- wahrungsfristen entgegen, die eine weitere Speicherung der Daten erfordern. So sind Angaben zu den Stammdaten sowie ge- sammelte Bonuspunkte gemäß § 257 Abs. 1 und 4 HGB für die Dauer von zehn Jahren zu verwahren, um die rechtlich gebotene, ordnungsgemäße Führung der Bonuspunk- tekonten nachvollziehen zu können. Die Daten sind aber umgehend für jede weitere Verwendung zu sperren und gemäß § 35 Abs. 2 Nr. 3 BDSG zu löschen, sobald die gesetzlichen Aufbewahrungsfristen abgelau- fen sind. Das Widerspruchsrecht nach § 28 Abs. 4 BDSG ist für die Betroffenen im Hinblick auf Werbung und Marketing von großer datenschutzrechtlicher Relevanz. Auf die- sem Weg können sie auch in einem laufen- den Rabattvertrag der marketing- spezifischen Verwendung ihrer Stammdaten für die Zukunft entgegentreten, ohne auf die Sammlung von Bonuspunkten verzichten zu müssen. Hinsichtlich der Nutzung der Kon- sumdaten für Werbezwecke können sie jederzeit die Einwilligung widerrufen.

6 Ausblick

Gegenüber Datensammlungen im Zusam- menhang mit Kundenkarten und Rabattsys- temen ist aus datenschutzrechtlicher Sicht eine kritische Haltung geboten. Seit Beginn ihrer Einführung auf dem Markt stellen sie eine datenschutzrechtliche Herausforderung für den Schutz der informationellen Selbst- bestimmung der Betroffenen dar. Verbrau- cherinnen und Verbraucher, die aktiv am Wirtschaftsleben teilnehmen und Waren konsumieren, sind auch in ihrer Rolle als „Datenproduzenten“ Träger von Grundrech- ten und sollten daher ihre Konsumgewohn- heiten und Vorlieben nicht preisgeben (müs- sen). Ihre Daten stellen schließlich keine blo- ße Handelsware dar. So bleibt auch die weitere Entwicklung – beispielsweise im Hinblick auf den möglichen Einsatz von RFID-Technologie – aufmerksam zu beo- bachten, da dieser erhebliche Gefahren einer unbemerkten Profilbildung und Durchleuchtung der Betroffenen mit sich bringt. Soweit die datenschutzrechtlichen Vor- gaben bei der Gestaltung von Rabattsyste- men und der damit verbundenen Marke- tingzwecke eingehalten werden, können gegen diese Art von Kundenbindungspro- grammen grundsätzlich keine durchgreifen- den Bedenken geltend gemacht werden. Eine für die Verbraucherinnen und Verbrau- cher transparente Datenverarbeitung sowie eine datenschutzrechtlich einwandfrei ges- taltete Einwilligungserklärung ist die Grundlage für jedes datenschutzkonforme Bonusprogramm. Hier bleibt zu hoffen, dass die ausstehenden gerichtlichen Entschei- dungen dazu beitragen, eine Einheitlichkeit in der praktischen Umsetzung der daten- schutzrechtlichen Anforderungen zu errei- chen. Die Forderung nach mehr Transparenz bei Kundenkarten und Rabattsystemen haben Datenschützerinnen und Datenschüt- zer im Laufe der letzten Jahre gegenüber den Unternehmen nachhaltig durchgesetzt. Es ist daher durchaus möglich, als Verbrau- cherin und Verbraucher Bonuspunkte zu sammeln, ohne Objekt eines Persönlich- keitsprofils zu werden. Das Recht auf in- formationelle Selbstbestimmung geben die Betroffenen solange nicht aus der Hand, wie sie die Einwilligung zur Verwendung ihrer

DuD • Datenschutz und Datensicherheit 30 (2006) 7

Daten nicht erteilt haben. Dieses Grund- recht verleiht schließlich die Befugnis, selbst über die Preisgabe und Verwendung der eigenen Daten zu bestimmen. Das Recht auf informationelle Selbstbe- stimmung ist elementarer Bestandteil eines demokratischen Gemeinwesens und sichert den Bürgerinnen und Bürgern eine selbstbe- stimmte, individuelle Verhaltensfreiheit. Um Verbraucherinnen und Verbraucher zu sensibilisieren, nicht an einem Ausverkauf ihrer Persönlichkeitsrechte gegen den Erhalt von Bonuspunkten teilzunehmen, ist die gesellschaftliche Diskussion und Aufklä- rung über die Entwicklung und Gefahren bei Rabattsystemen immer wieder notwen- dig. Vor diesem Hintergrund werden in Zukunft nur datenschutzgerechte und ver- braucherfreundliche Rabattsysteme, die die Interessen der teilnehmenden Verbrauche- rinnen und Verbraucher hinreichend berück- sichtigen, auf dem Markt Bestand haben können.

Literatur

Jacob, Joachim/Jost, Tanja, Marketingnutzung von Kundendaten und Datenschutz – ein Widerspruch?, DuD 2003, 621 Körffer, Barbara, Datenschutzrechtliche An- forderungen an Kundenbindungssysteme, DuD 2004, 267 Simitis, Spiros u.a., Kommentar zum Bundes- datenschutzgesetz, 5. Auflage 2003 Sokol, Bettina/Tiaden, Roul, Big Brother und die schöne neue Welt der Vermarktung personenbezogener Informationen, in:

Freundesgabe für Alfred Büllesbach 2002, S. 161 Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, Kundenbindungssys- teme und Datenschutz, Gutachten im Auftrag des Verbraucherzentrale Bundes- verband e.V., 2003 Weber, Jürgen u.a., Neue Wege der Kunden- bindung aus Datenschutzsicht: Bonuskar- ten-Systeme, DuD 2003, 614 Weichert, Thilo, Kundenbindungssysteme – Verbraucherschutz oder der gläserne Konsument?, DuD 2003, 161 Wittig, Petra, Die datenschutzrechtliche Prob- lematik der Anfertigung von Persönlich- keitsprofilen zu Marketingzwecken, RDV 2000, 59 Landgericht Müchen I, Urteil vom 9.März 2006, DuD 2006, 309

keitsprofilen zu Marketingzwecken, RDV 2000, 59 Landgericht Müchen I, Urteil vom 9.März 2006, DuD 2006, 309

409