Im Rahmen einer Nachkontrolle hat der EDÖB die Datenflüsse im Zusammenhang mit der Coop Supercard analysiert und die Einhaltung der datenschutzrechtlichen Vorgaben überprüft. Er stellt ein “positives Gesamtbild der Datenbearbeitung” fest, legt im Schlussbericht aber verschiedene Anpassungsvorschläge vor. Coop hat diese angenommen.
Einwilligung, Informationspflicht
Gegenstand der Nachkontrolle war die im September 2012 eingeführte Warenkorbanalyse. Coop hält in den AGB ausdrücklich fest, dass der Kunde in die Auswertung von Kundenprofilen (d.h. Persönlichkeitsprofilen) einwilligt, und zwar freiwillig und ausdrücklich. Damit wird auch die Informationspflicht nach DSG 14 erfüllt:
Im Zusammenhang mit der Supercard speichert Coop grundsätzlich sämtliche Einkäufe der bei ihr registrierten Kunden (falls die Karte an der Kasse vorgezeigt wird und der Kunde die neuen AGB akzeptiert hat) und kann sich so ein Bild von den Konsumgewohnheiten der Personen machen, was einem Persönlichkeitsprofil im Sinne von Art. 3 lit. d DSG entspricht. Wie bereits in Ziff. 5.2. dieses Schlussberichtes erwähnt, informiert Coop in den AGB zu Supercard darüber, dass „aufgrund der Einkäufe bei der Coop-Gruppe Warenkorbanalysen durchgeführt werden, welche das Konsumverhalten sowie Konsumprofile widerspiegeln können.“ Weiter wird informiert, dass Coop diese Daten zu Marketing- und Werbezwecken auswerten und analysiert. Damit kommt Coop seiner Informationspflicht gemäss Art. 14 Abs. 1 DSG nach.
Sowohl auf dem Anmeldetalon, wie auch auf dem Online-Anmeldeformular bestätigen die Kunden explizit, dass sie Coop erlauben, ihre Warenkorbdaten zwecks Kundenprofilbildung zu bearbeiten. Somit liegt eine Einwilligung der Kunden zur Bearbeitung von Persönlichkeitsprofilen im Sinne von Art. 4 Abs. 5 Satz 2 DSG vor. Coop weist zudem auf der Anmeldung nochmals separat auf die relevanten Ziffern in den AGB bezüglich ihrer Datenbearbeitung im Zusammenhang mit der Kundenprofilierung und Werbung hin, was aus Sicht der Transparenz (Art. 4 Abs. 2 DSG) zu begrüssen ist.
Der Kunde hat zudem die Möglichkeit, seine Einwilligung in den Empfang von Werbung auf der Website von Coop zu widerrufen (opt-out). Die bei der dortigen Checkbox verwendete Formulierung ist aus Sicht des EDÖB allerdings – wohl zu Recht – nicht ausreichend:
Die Formulierung auf der Homepage „Bitte senden Sie mir Informationen zur Supercard per Post zu“ ist jedoch missverständlich. Es geht daraus nicht klar hervor, dass damit zielgerichtete Werbung aufgrund der Teilnahme am Supercard- Programm gemeint ist. Im Sinne der Transparenz nach Art. 4 Abs. 2 DSG ist die Formulierung entsprechend anzupassen.
Der EDÖB schlägt daher folgenden Text vor:
„Hiermit möchte ich auf den Erhalt von Werbung und Angebote aufgrund meines Einkaufsverhaltens im Zusammenhang mit Supercard verzichten.“
(Gemeint ist wohl: “Hiermit erkläre ich, … verzichten zu wollen”.)
Im Zusammenhang mit der Transparenzpflicht empfiehlt der EDÖB zudem, einen nicht klaren Hinweis in den AGB auf gesundheitsrelevante Angaben zu entfernen. Damit wollte Coop die Auswertung von Angaben beim Kauf von Allergikerprodukten abdecken. Die entsprechende Angabe sei jedoch unklar und daher wegzulassen, zumal keine gesundheitsbezogene Kundensegmentierung erfolge (was laut EDÖB ohnehin unverhältnismässig wäre). Man kann sich allerdings fragen, ob der EDÖB damit die Auffassung vertritt, dass die unbeabsichtigte, nicht systematische Beschaffung besonders schützenswerter Personendaten nicht unter Art. 14 DSG fällt, denn sonst müsste Coop über die Beschaffung dieser Daten und den Beschaffungszweck ausdrücklich informieren. Dies entspräche der Auffassung von David Rosenthal; a.A. ist Astrid Epiney.
Auskunftsrecht, Verweigerung
Interessant ist auch der Hinweis des EDÖB, dass sämtliche Auskunftsbegehren an den Rechtsdienst weitergeleitet werden. Nicht alle Unternehmen siedeln diese Funktion direkt beim Rechtsdienst an (eine Alternative ist z.B. der Kundendienst, sofern für klare Fälle Instruktionen bestehen und ein Prozess definiert wird, wie weniger klare Fälle zum Rechtsdienst eskaliert werden). Coop will offenbar auch prüfen, diese Funktion in Zukunft einer anderen Abteilung zu übergeben. – In diesem Zusammenhang äussert sich der EDÖB auch am Rande zur Frage, was ein Geschäftsgeheimnis darstellt (nicht ganz klar wird, wieso DSG 9 IV angesichts der Drittweitergabe von Kundenadressen anwendbar war):
Entgegen der Ansicht von Coop stellt das Segmentierungsportfolio wie in Ziff. 7.2. dieses Schlussberichtes aufgeführt kein Geschäftsgeheimnis dar, welche im Sinne von Art. 9 DSG den Auskunftsanspruch einer betroffenen Person überwiegen würden. Dagegen muss die genaue Berechnungsweise, wie Coop Supercard zu diesen Ergebnissen gekommen ist, nicht bekannt gegeben werden, da diese Information als Geschäftsgeheimnis und deshalb als Einschränkungsgrund i.S.v. Art. 9 Abs. 4 DSG zu verstehen ist. Es genügt, dass Coop hier auf allgemeine Weise Auskunft gibt.
Die letztere Einschränkung entspricht der Schufa-Rechtsprechung des BGH.
Schlussbericht vom 14. Dezember 2015:
[pdf-embedder url=“http://datenrecht.ch/wp-content/uploads/2016/02/SchlussberichtzumKundenbindungsprogrammSupercard28Nachkontrolle291.pdf”]