Im Rah­men einer Nach­kon­trol­le hat der EDÖB die Daten­flüs­se im Zusam­men­hang mit der Coop Super­card ana­ly­siert und die Ein­hal­tung der daten­schutz­recht­li­chen Vor­ga­ben über­prüft. Er stellt ein “posi­ti­ves Gesamt­bild der Daten­be­ar­bei­tung” fest, legt im Schluss­be­richt aber ver­schie­de­ne Anpas­sungs­vor­schlä­ge vor. Coop hat die­se ange­nom­men.

Einwilligung, Informationspflicht

Gegen­stand der Nach­kon­trol­le war die im Sep­tem­ber 2012 ein­ge­führ­te Waren­korbana­ly­se. Coop hält in den AGB aus­drück­lich fest, dass der Kun­de in die Aus­wer­tung von Kun­den­pro­fi­len (d.h. Per­sön­lich­keits­pro­fi­len) ein­wil­ligt, und zwar frei­wil­lig und aus­drück­lich. Damit wird auch die Infor­ma­ti­ons­pflicht nach DSG 14 erfüllt:

Im Zusam­men­hang mit der Super­card spei­chert Coop grund­sätz­lich sämt­li­che Ein­käu­fe der bei ihr regi­strier­ten Kun­den (falls die Kar­te an der Kas­se vor­ge­zeigt wird und der Kun­de die neu­en AGB akzep­tiert hat) und kann sich so ein Bild von den Kon­sum­ge­wohn­hei­ten der Per­so­nen machen, was einem Per­sön­lich­keits­pro­fil im Sin­ne von Art. 3 lit. d DSG ent­spricht. Wie bereits in Ziff. 5.2. die­ses Schluss­be­rich­tes erwähnt, infor­miert Coop in den AGB zu Super­card dar­über, dass „auf­grund der Ein­käu­fe bei der Coop-Grup­pe Waren­korbana­ly­sen durch­ge­führt wer­den, wel­che das Kon­sum­ver­hal­ten sowie Kon­sum­pro­fi­le wider­spie­geln kön­nen.“ Wei­ter wird infor­miert, dass Coop die­se Daten zu Mar­ke­ting- und Wer­be­zwecken aus­wer­ten und ana­ly­siert. Damit kommt Coop sei­ner Infor­ma­ti­ons­pflicht gemäss Art. 14 Abs. 1 DSG nach.

Sowohl auf dem Anmel­de­ta­lon, wie auch auf dem Online-Anmel­de­for­mu­lar bestä­ti­gen die Kun­den expli­zit, dass sie Coop erlau­ben, ihre Waren­korb­da­ten zwecks Kun­den­pro­fil­bil­dung zu bear­bei­ten. Somit liegt eine Ein­wil­li­gung der Kun­den zur Bear­bei­tung von Per­sön­lich­keits­pro­fi­len im Sin­ne von Art. 4 Abs. 5 Satz 2 DSG vor. Coop weist zudem auf der Anmel­dung noch­mals sepa­rat auf die rele­van­ten Zif­fern in den AGB bezüg­lich ihrer Daten­be­ar­bei­tung im Zusam­men­hang mit der Kun­den­pro­fi­lie­rung und Wer­bung hin, was aus Sicht der Trans­pa­renz (Art. 4 Abs. 2 DSG) zu begrü­ssen ist.

Der Kun­de hat zudem die Mög­lich­keit, sei­ne Ein­wil­li­gung in den Emp­fang von Wer­bung auf der Web­site von Coop zu wider­ru­fen (opt-out). Die bei der dor­ti­gen Check­box ver­wen­de­te For­mu­lie­rung ist aus Sicht des EDÖB aller­dings – wohl zu Recht – nicht aus­rei­chend:

Die For­mu­lie­rung auf der Home­page „Bit­te sen­den Sie mir Infor­ma­tio­nen zur Super­card per Post zu“ ist jedoch miss­ver­ständ­lich. Es geht dar­aus nicht klar her­vor, dass damit ziel­ge­rich­te­te Wer­bung auf­grund der Teil­nah­me am Super­card- Pro­gramm gemeint ist. Im Sin­ne der Trans­pa­renz nach Art. 4 Abs. 2 DSG ist die For­mu­lie­rung ent­spre­chend anzu­pas­sen.

Der EDÖB schlägt daher fol­gen­den Text vor:

Hier­mit möch­te ich auf den Erhalt von Wer­bung und Ange­bo­te auf­grund mei­nes Ein­kaufs­ver­hal­tens im Zusam­men­hang mit Super­card ver­zich­ten.“

(Gemeint ist wohl: “Hier­mit erklä­re ich, … ver­zich­ten zu wol­len”.)

Im Zusam­men­hang mit der Trans­pa­renz­pflicht emp­fiehlt der EDÖB zudem, einen nicht kla­ren Hin­weis in den AGB auf gesund­heits­re­le­van­te Anga­ben zu ent­fer­nen. Damit woll­te Coop die Aus­wer­tung von Anga­ben beim Kauf von All­er­gi­ker­pro­duk­ten abdecken. Die ent­spre­chen­de Anga­be sei jedoch unklar und daher weg­zu­las­sen, zumal kei­ne gesund­heits­be­zo­ge­ne Kun­den­seg­men­tie­rung erfol­ge (was laut EDÖB ohne­hin unver­hält­nis­mä­ssig wäre). Man kann sich aller­dings fra­gen, ob der EDÖB damit die Auf­fas­sung ver­tritt, dass die unbe­ab­sich­tig­te, nicht syste­ma­ti­sche Beschaf­fung beson­ders schüt­zens­wer­ter Per­so­nen­da­ten nicht unter Art. 14 DSG fällt, denn sonst müss­te Coop über die Beschaf­fung die­ser Daten und den Beschaf­fungs­zweck aus­drück­lich infor­mie­ren. Dies ent­sprä­che der Auf­fas­sung von David Rosen­thal; a.A. ist Astrid Epi­ney.

Auskunftsrecht, Verweigerung

Inter­es­sant ist auch der Hin­weis des EDÖB, dass sämt­li­che Aus­kunfts­be­geh­ren an den Rechts­dienst wei­ter­ge­lei­tet wer­den. Nicht alle Unter­neh­men sie­deln die­se Funk­ti­on direkt beim Rechts­dienst an (eine Alter­na­ti­ve ist z.B. der Kun­den­dienst, sofern für kla­re Fäl­le Instruk­tio­nen bestehen und ein Pro­zess defi­niert wird, wie weni­ger kla­re Fäl­le zum Rechts­dienst eska­liert wer­den). Coop will offen­bar auch prü­fen, die­se Funk­ti­on in Zukunft einer ande­ren Abtei­lung zu über­ge­ben. – In die­sem Zusam­men­hang äussert sich der EDÖB auch am Ran­de zur Fra­ge, was ein Geschäfts­ge­heim­nis dar­stellt (nicht ganz klar wird, wie­so DSGIV ange­sichts der Dritt­wei­ter­ga­be von Kun­den­adres­sen anwend­bar war):

Ent­ge­gen der Ansicht von Coop stellt das Seg­men­tie­rungs­port­fo­lio wie in Ziff. 7.2. die­ses Schluss­be­rich­tes auf­ge­führt kein Geschäfts­ge­heim­nis dar, wel­che im Sin­ne von Art. 9 DSG den Aus­kunfts­an­spruch einer betrof­fe­nen Per­son über­wie­gen wür­den. Dage­gen muss die genaue Berech­nungs­wei­se, wie Coop Super­card zu die­sen Ergeb­nis­sen gekom­men ist, nicht bekannt gege­ben wer­den, da die­se Infor­ma­ti­on als Geschäfts­ge­heim­nis und des­halb als Ein­schrän­kungs­grund i.S.v. Art. 9 Abs. 4 DSG zu ver­ste­hen ist. Es genügt, dass Coop hier auf all­ge­mei­ne Wei­se Aus­kunft gibt.

Die letz­te­re Ein­schrän­kung ent­spricht der Schufa-Recht­spre­chung des BGH.

Schluss­be­richt vom 14. Dezem­ber 2015:

Schluss­be­richt­zum­Kun­den­bin­dungs­pro­gramm­Su­per­car­d28­Nach­kon­trol­le291

Posted by David Vasella

RA Dr. David Vasella ist Rechtsanwalt bei FRORIEP. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert und ist Lehrbeauftragter der Universität Zürich. Er ist Gründer von swissblawg.