Kundenbindungssysteme und Datenschutz - vzbv
Kundenbindungssysteme und Datenschutz - vzbv
Kundenbindungssysteme und Datenschutz - vzbv
Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.
YUMPU macht aus Druck-PDFs automatisch weboptimierte ePaper, die Google liebt.
Anlagen<br />
Zum Gutachten des<br />
Berlin, 19. Dezember 2003<br />
Unabhängigen Landeszentrums für <strong>Datenschutz</strong> Schleswig-Holstein (ULD)<br />
im Auftrag des Verbraucherzentrale B<strong>und</strong>esverbandes e.V.<br />
<strong>K<strong>und</strong>enbindungssysteme</strong> <strong>und</strong> <strong>Datenschutz</strong><br />
Kontakt:<br />
Verbraucherzentrale B<strong>und</strong>esverband e.V.<br />
Markgrafenstraße 66, 10969 Berlin<br />
Fachbereich Wirtschaftsfragen<br />
wirtschaft@<strong>vzbv</strong>.de<br />
Für den Inhalt des Textes ist ausschließlich<br />
der Auftragnehmer verantwortlich.
- 2 -<br />
1<br />
Anhang 1: 3<br />
Checkliste für Einwilligungserklärungen<br />
3<br />
Anhang 2: 4<br />
<strong>Datenschutz</strong>rechtliche Aspekte einzelner Systeme 4<br />
Teil 1: Unternehmensübergreifende <strong>K<strong>und</strong>enbindungssysteme</strong> 5<br />
1. Payback 5<br />
2. Happy Digits 19<br />
3. Lufthansa Miles & More 29<br />
4. webmiles 37<br />
5. Vodafone-Stars 41<br />
6. Sparda Bank Hamburg Bonusprogramm 48<br />
7. S-Points 52<br />
8. Eutin City Card 60<br />
9. Pforzheim Card 67<br />
10. Dürens große K<strong>und</strong>enkarte 73<br />
11. evivoCard (Dortm<strong>und</strong>) 79<br />
12. SÜCard (Coburg) 84<br />
13. GiessenCard 88<br />
Teil 2: K<strong>und</strong>enkarten im Zwei-Parteien-Verhältnis 93<br />
1. Shell CLUBSMART 93<br />
2. Bahn Comfort 96<br />
3. Apothekenkarten 98<br />
4. Übrige K<strong>und</strong>enkarten 103<br />
Teil 3: Zusammenfassung der Einzeldarstellungen 110
Anhang 1:<br />
- 3 -<br />
Checkliste für Einwilligungserklärungen<br />
Welche Voraussetzungen muss eine wirksame Einwilligung gemäß § 4a BDSG erfüllen?<br />
1. Freiwillige Erklärung<br />
a) Keine Kopplung der Einwilligung zu Werbezwecken <strong>und</strong> Marktforschung mit<br />
der vertraglichen Leistung<br />
b) Hinweis auf die Freiwilligkeit<br />
c) Hinweis auf Folgen der Verweigerung<br />
2. Schriftform<br />
3. Ausdrückliche, bewusste Erklärung durch aktives Tun<br />
Opt-In, entweder durch gesonderte Unterschrift oder Ankreuzen<br />
4. Information über folgende Fragen:<br />
a) Wer ist verantwortliche Stelle, d.h. wer erhebt, verarbeitet oder nutzt die<br />
K<strong>und</strong>endaten für eigene Zwecke?<br />
b) Wer erhebt welche Datenkategorien zu welchem Zweck?<br />
c) Wer speichert welche Datenkategorien zu welchem Zweck?<br />
d) An wen werden ggf. welche Datenkategorien zu welchem Zweck übermittelt?<br />
e) Hinweis auf die Widerrufbarkeit der Einwilligung. Mit Angabe eines<br />
Ansprechpartners.<br />
f) Welche Folgen hat ein Widerruf, zum einen für die Teilnahme am<br />
Bonusprogramm, zum anderen für die Verwendung der K<strong>und</strong>endaten?<br />
g) Hinweis auf die Rechte des K<strong>und</strong>en, insbesondere Auskunftsrecht. Mit Angabe<br />
eines Ansprechpartners.<br />
5. Drucktechnische Hervorhebung der Erklärung, wenn diese zusammen mit<br />
anderen Erklärungen abgegeben wird.
Anhang 2:<br />
- 4 -<br />
<strong>Datenschutz</strong>rechtliche Aspekte einzelner Systeme<br />
Im Folgenden werden Einschätzungen derzeit auf dem Markt befindlicher<br />
<strong>K<strong>und</strong>enbindungssysteme</strong> unter datenschutzrechtlichen Gesichtspunkten wiedergegeben. Es<br />
handelt sich dabei um Erkenntnisse, die im Rahmen der Erstellung dieses Gutachtens<br />
angefallen sind. Sie beruhen zu einem großen Teil auf einer Auswertung der von den<br />
betreffenden Unternehmen veröffentlichten Unterlagen (Teilnahmebedingungen, Hinweise<br />
zum <strong>Datenschutz</strong>), teilweise auf ergänzenden Anmerkungen der Unternehmen selbst.<br />
Die datenschutzrechtliche Einschätzung wird auf der Gr<strong>und</strong>lage des Anforderungsprofils<br />
vorgenommen, das das ULD als wesentlichen Bestandteil des Gutachtens entwickelt hat.<br />
Dieser Anhang des Gutachtens stellt keine aufsichtsbehördliche Prüfung dar. Für<br />
aufsichtsbehördliche Maßnahmen gegenüber den Anbietern von <strong>K<strong>und</strong>enbindungssysteme</strong>n ist<br />
das ULD nur in Teilen zuständig. Die zuständigen Aufsichtsbehörden wie auch die<br />
betroffenen Unternehmen teilen nicht in allen Punkten die Auffassung des ULD. Deshalb gibt<br />
die datenschutzrechtliche Einschätzung nur die Rechtsmeinung des ULD, nicht aber eine<br />
aufsichtsbehördliche Beurteilung wieder.<br />
Der vorliegende Anhang zu dem Gutachten des ULD war zunächst nicht zur Veröffentlichung<br />
vorgesehen. Auf Gr<strong>und</strong> einer Vielzahl von Anfragen hat sich der <strong>vzbv</strong> jedoch entschieden,<br />
auch diesen Text zu veröffentlichen. Die betroffenen Firmen wurden vorab über die<br />
Ergebnisse der Untersuchung informiert. Den Unternehmen steht es frei, ja sie sind herzlich<br />
dazu eingeladen, die Einschätzungen zur Verbesserung ihres Systems im Hinblick auf<br />
<strong>Datenschutz</strong> <strong>und</strong> K<strong>und</strong>enorientierung zu verwenden.
- 5 -<br />
Teil 1: Unternehmensübergreifende <strong>K<strong>und</strong>enbindungssysteme</strong><br />
1. Payback<br />
Das K<strong>und</strong>enbindungssystem Payback, das im Jahr 2000 an den Markt ging, ist mit nach<br />
eigenen Angaben mittlerweile 22,5 Millionen ausgegebener K<strong>und</strong>enkarten das größte<br />
K<strong>und</strong>enbindungssystem in Deutschland. Zu den derzeit insgesamt 12 beteiligten<br />
Partnerunternehmen zählen Branchenriesen wie AOL, OBI, DEA, Galeria Kaufhof, Europcar<br />
<strong>und</strong> Real. Verantwortlich hinter diesem Programm steht das Münchener Unternehmen<br />
Loyalty Partner GmbH, an dem u.a. eine Tochtergesellschaft der Deutschen Lufthansa AG zu<br />
mehr als 50% sowie die Unternehmen Metro AG <strong>und</strong> Roland Berger <strong>und</strong> der Geschäftsführer<br />
Alexander Rittweger beteiligt sind.<br />
Im Wesentlichen funktioniert dieses Bonussystem wie folgt: Der K<strong>und</strong>e meldet sich direkt bei<br />
„Payback“ oder bei einem der Partnerunternehmen für die Teilnahme am Payback-Programm<br />
an. Ihm wird anschließend von der Firma Loyalty Partner eine Payback Karte im jeweiligen<br />
Design des Partnerunternehmens, über das er sich angemeldet hat, ausgestellt. Unter Vorlage<br />
dieser Karte bei einem der Partnerunternehmen erhält der K<strong>und</strong>e beim Bezug von Waren oder<br />
Dienstleistungen einen Rabatt. Der Rabatt wird in Form von Payback Punkten gewährt. Über<br />
die Höhe der zu gewährenden Payback Punkte entscheidet das Partnerunternehmen nach<br />
eigenem Ermessen. In den meisten Fällen wird dem K<strong>und</strong>en 1 Payback Punkt pro Euro<br />
Umsatz gewährt. Ein Payback Punkt hat einen festen Gegenwert von 0,01 Euro. Somit erhält<br />
der K<strong>und</strong>e bei einem gewöhnlichen Einkauf (Sonderaktionen ausgenommen) einen Rabatt<br />
von einem Prozent. Die so gesammelten Payback Punkte werden durch den Payback<br />
Rabattverein e.V. <strong>und</strong> die Firma Loyalty Partner GmbH verwaltet <strong>und</strong> auf Wunsch des<br />
K<strong>und</strong>en an diesen ausgezahlt. Die Auszahlung erfolgt mittels Überweisung an ein vom<br />
K<strong>und</strong>en angegebenes Bankkonto. Den Auszahlungsauftrag kann der Teilnehmer nur mittels<br />
Angabe seiner Geheimnummer (PIN) erteilen. Möglich ist es auch, das Punkteguthaben in<br />
eine Prämie einzulösen, an UNICEF zu spenden oder aber das Payback-Guthaben im<br />
Verhältnis 1:1 in Meilen des Lufthansa Programms Miles & More umzuwandeln.<br />
Payback Punkte können für ein Konto auch durch eine zweite Person gesammelt werden.<br />
Diese wird ebenfalls für das Payback Programm als so genannter Zweitsammler registriert<br />
<strong>und</strong> erhält eine Zweitkarte, mit der allerdings keine Auskunfts- oder Auszahlungsrechte<br />
verb<strong>und</strong>en sind. Die Payback Karte ist außerdem seit dem Jahr 2002 auch mit<br />
Kreditkartenfunktion als Payback Visa Karte erhältlich.<br />
1.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch das Partnerunternehmen<br />
Die Erhebung der Stammdaten erfolgt über das Anmeldeformular. Wird dieses bei einem<br />
Partnerunternehmen abgegeben, werden die Daten durch dieses erhoben. In den Allgemeinen<br />
Teilnahmebedingungen zum Payback-Programm wird zwar beschrieben, dass die über das<br />
Anmeldeformular mitgeteilten Daten durch die Firma Loyalty Partner GmbH erhoben<br />
werden. Betrachtet man den Vorgang jedoch genau, dann wird deutlich, dass eine Erhebung<br />
der Daten bereits durch das Partnerunternehmen mit der Entgegennahme des<br />
Antragsformulars erfolgt.
- 6 -<br />
Als Stammdaten werden unter der Rubrik „Persönliche Angaben“ folgende Daten erhoben:<br />
Name<br />
Vorname<br />
Titel<br />
Geburtsdatum<br />
Anschrift<br />
Telefonnummer<br />
Auch wenn die Telefonnummer in der Aufzählung der Pflichtangaben in den Hinweisen zum<br />
<strong>Datenschutz</strong> nicht erwähnt wird, handelt es sich nach Auskunft der Loyalty Partner GmbH um<br />
eine solche. Diese wird, wie im Antragsformular auch zum Ausdruck gebracht wird, nach<br />
Angaben der Loyalty Partner GmbH ausschließlich für Rückfragen bezüglich der<br />
Vertragsabwicklung verwendet. Im Hinblick auf diesen Verwendungszweck ist die Erhebung<br />
der Telefonnummer zulässig.<br />
Die Erhebung des Geburtsdatums ist wie oben dargestellt weder auf der Gr<strong>und</strong>lage des § 28<br />
Abs. 1 Nr. 1 BDSG noch auf der des § 28 Abs. 1 Nr. 2 BDSG zulässig. Payback begründet<br />
die Erforderlichkeit der Kenntnis damit, dass nur Personen, die das 16. Lebensjahr vollendet<br />
haben, an dem Programm teilnehmen dürfen <strong>und</strong> mit der Abfrage des Geburtsdatums<br />
Personen ausgeschlossen werden sollen, die diese Voraussetzung nicht erfüllen. Hierfür sind<br />
aber andere, datensparsamere Lösungen ausreichend.<br />
Die Erhebung des Geburtsdatums wird weiterhin damit begründet, dass diese Angabe zur<br />
eindeutigen Identifizierung der K<strong>und</strong>en erforderlich sei. Bei Namens- <strong>und</strong> Adressgleichheit<br />
von Teilnehmern wird jedoch regelmäßig eine Unterscheidung der Teilnehmer anhand des<br />
Geburtsjahres möglich sein. Somit ist auch für diesen Zweck keine Erforderlichkeit im Sinne<br />
des § 28 Abs. 1 Nr. 1 BDSG gegeben.<br />
Für die Erhebung des Geburtsdatums bedürfte es daher einer Einwilligung des K<strong>und</strong>en, die<br />
hier nicht angenommen werden kann, da der K<strong>und</strong>e nicht über die Freiwilligkeit dieser<br />
Angabe informiert wurde. Somit ist die Erhebung dieses Datums unzulässig.<br />
- Übermittlung der Stammdaten an Loyalty Partner GmbH<br />
Soweit die Erhebung der Stammdaten zulässig ist, ist auch deren Übermittlung an die Loyalty<br />
Partner GmbH zulässig.<br />
- Speicherung durch Loyalty Partner GmbH<br />
Gleiches gilt auch für die Speicherung der zulässig erhobenen Stammdaten durch die Loyalty<br />
Partner GmbH.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen.<br />
Folgende Daten werden beim Einsatz der Karte erhoben:<br />
- Waren / Dienstleistungen (nach Auskunft von Loyalty Partner GmbH nach<br />
Warengruppen)<br />
- Preis
- Rabattbetrag<br />
- Ort <strong>und</strong> Datum des Vorgangs<br />
- 7 -<br />
Die Erhebung der Waren- oder Dienstleistungsgruppen ist nicht zum Zweck der<br />
Abwicklung des Rabattvertrages erforderlich. Hierfür bedarf es einer Einwilligung des<br />
K<strong>und</strong>en. Die hier vom K<strong>und</strong>en erklärte Einwilligung bezieht sich nur auf die Verwendung<br />
seiner Daten zum Zweck der Werbung <strong>und</strong> Marktforschung, nicht aber auf den Zweck der<br />
Rabattabwicklung. Erteilt er insofern keine Einwilligung, so werden die Programmdaten zur<br />
Waren- bzw. Dienstleistungsgruppe trotzdem erhoben <strong>und</strong> auch an die Loyalty Partner GmbH<br />
übermittelt <strong>und</strong> dort gespeichert, sie werden nur nicht zu Werbezwecken verwendet. Dem<br />
K<strong>und</strong>en wird somit keine Möglichkeit gegeben, eine Erhebung zu verhindern. Hat der K<strong>und</strong>e<br />
die auf dem Anmeldeformular enthaltene Einwilligungserklärung nicht erteilt, so liegt auch<br />
keine Einwilligung des K<strong>und</strong>en in die Nutzung der zur Rabattabwicklung nicht erforderlichen<br />
Daten vor. Eine Erhebung der Waren- <strong>und</strong> Dienstleistungsgruppe ist dann unzulässig.<br />
Liegt eine Einwilligung des K<strong>und</strong>en vor, so bezieht sie sich nach dem Wortlaut des<br />
Erklärungstextes nur auf die Verwendung seiner Daten zum Zweck der Werbung <strong>und</strong><br />
Marktforschung, nicht aber auf den Zweck der Rabattabwicklung. Sie kann daher auch nicht<br />
für eine Erhebung <strong>und</strong> Verarbeitung der Waren- <strong>und</strong> Dienstleistungsgruppen zum Zweck der<br />
Rabattabwicklung herangezogen werden. Zwar könnte angenommen werden, dass der K<strong>und</strong>e,<br />
wenn er schon der Verwendung dieser Daten zu Werbezwecken zustimmt, erst recht auch mit<br />
der Verwendung zur Vertragsabwicklung einverstanden sein wird. Hierbei handelt es sich<br />
aber um eine mutmaßliche, keine ausdrückliche Erklärung im Sinne des § 4a BDSG. § 4a<br />
BDSG verlangt jedoch, abgesehen von begründeten Ausnahmefällen, eine ausdrückliche<br />
Einwilligung des Betroffenen.<br />
- Übermittlung an die Loyalty Partner GmbH<br />
Die Übermittlung der zulässig erhobenen Programmdaten an die Loyalty Partner GmbH ist<br />
ebenfalls gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.<br />
- Speicherung der Programmdaten durch Loyalty Partner GmbH<br />
Gleiches gilt auch für die Speicherung der zulässig erhobenen Programmdaten durch die<br />
Loyalty Partner GmbH.<br />
- Auszahlung von Rabattguthaben durch Partnerunternehmen<br />
Seit dem Frühjahr / Sommer 2003 ist es Payback Teilnehmern möglich, sich ihr<br />
Bonusguthaben nicht nur von dem Betreiber, sondern auch bei dem Partnerunternehmen<br />
OBI auszahlen zu lassen. Die Auszahlung betrifft das gesamte auf dem Payback Konto<br />
angesammelte Guthaben, nicht nur das bei OBI erworbene Guthaben.<br />
Dem liegt nach Auskunft des betrieblichen <strong>Datenschutz</strong>beauftragten der Lufthansa folgendes<br />
Verfahren zu Gr<strong>und</strong>e: In jedem teilnehmenden OBI Markt ist ein Terminal von Payback<br />
installiert. Hier kann der K<strong>und</strong>e nach Authentifizierung mittels seiner Karte <strong>und</strong> PIN auf sein<br />
Punktekonto direkt bei Payback zugreifen. In Höhe des gewünschten Auszahlungsbetrags<br />
kann sich der K<strong>und</strong>e am Terminal einen Warengutschein ausdrucken lassen. Auf dem<br />
Warengutschein wird der Name des K<strong>und</strong>en <strong>und</strong> seine Payback-Mitgliedsnummer<br />
ausgedruckt.
- 8 -<br />
Auf diese Weise erhält OBI Kenntnis auch von solchen K<strong>und</strong>en, die sich nicht über OBI für<br />
die Payback-Teilnahme angemeldet haben, sofern diese sich bei OBI ihr Payback-Guthaben<br />
auszahlen lassen. Nach dem gewöhnlichen Verfahren bei Payback wäre eine Kenntnisnahme<br />
durch OBI über die Identität fremder K<strong>und</strong>en ausgeschlossen.<br />
Gespeichert wird der Name des Teilnehmers durch OBI jedoch nicht. OBI speichert nach<br />
Angabe der Lufthansa die Payback-Mitgliedsnummer, Datum, Uhrzeit, OBI-Markt, Wert <strong>und</strong><br />
Code eines OBI-Payback Warengutscheins für die Zwecke der Abrechnung mit dem Payback<br />
Rabattverein. Anhand dieser Daten kann OBI lediglich seine eigenen K<strong>und</strong>en identifizieren,<br />
die eine OBI Payback Karte haben. Bezüglich dieser K<strong>und</strong>en enthalten diese Angaben für<br />
OBI eine neue Information. Durch den Wert des Warengutscheins ergibt sich u.U. Aufschluss<br />
über die Höhe des Gesamtguthabens im Verhältnis zu dem Anteil des Payback Guthabens, der<br />
auf die Umsätze bei OBI entfällt. Zu berücksichtigen ist dabei jedoch, dass der<br />
Warengutschein keine sichere Auskunft über das Gesamtguthaben des K<strong>und</strong>en gibt. Da<br />
jedoch die Kenntnis <strong>und</strong> Übermittlung dieser Daten an Payback für die Abrechnung der<br />
Rabattauszahlung erforderlich ist, ist die Erhebung <strong>und</strong> Speicherung dieser Daten gemäß § 28<br />
Abs. 1 Nr. 1 BDSG zulässig.<br />
Die zwingende Erhebung des Namens durch OBI ist dagegen nicht zulässig. Für die Kenntnis<br />
des Namens besteht keine Erforderlichkeit im Sinne des § 28 Abs. 1 Nr. 1 BDSG. Für die<br />
Identifizierung des K<strong>und</strong>en ist, wie die oben beschriebene Datenübermittlung an Payback zu<br />
Abrechnungszwecken belegt, die Erfassung der Payback-Mitgliedsnummer ausreichend.<br />
Auch ein berechtigtes Interesse von OBI an der Kenntnis über die Namen der K<strong>und</strong>en im<br />
Sinne des § 28 Abs. 1 Nr. 2 BDSG ist nicht zu erkennen.<br />
- Datenerhebung über Zweitsammler<br />
Soll die Payback Karte auch durch eine zweite Person genutzt werden, werden zusätzlich über<br />
diesen Zweitsammler Stammdaten erhoben. Dies sind vollständiger Name, Anschrift <strong>und</strong><br />
Geburtsdatum. Die Daten werden mittels des Antragsformulars für die Hauptkarte erhoben.<br />
Die gemäß § 4 Abs. 2 BDSG erforderliche Erhebung von Daten beim Betroffenen ist hier<br />
gewährleistet, da auch der Zweitsammler das Antragsformular unterschreiben muss. Somit ist<br />
sichergestellt, dass die Stammdaten nicht ohne seine Mitwirkung erhoben werden.<br />
Die Erhebung des Geburtsdatums ist allerdings auch hier nicht zulässig.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Die Erlangung von Auskünften über die zur Person gespeicherten Daten ist den K<strong>und</strong>en<br />
gemäß der Hinweise zum <strong>Datenschutz</strong> jederzeit auf Anfrage möglich. Nach Angaben der<br />
Deutschen Lufthansa AG erhält der K<strong>und</strong>e auf seine Anfrage Auskunft über seine<br />
Bestandsdaten, freiwilligen Angaben <strong>und</strong> Kontodaten bzw. -bewegungen. Auf Nachfrage<br />
würden dem K<strong>und</strong>en alle Einzelbuchungen sowie sonstige Kontaktdaten listenmäßig<br />
zusammengestellt, hierbei entstünden u.U. seitenlange Listen.<br />
Gemäß den Allgemeinen Teilnahmebedingungen, Ziff. 8, steht das Auskunftsrecht jedoch nur<br />
dem Hauptinhaber der Payback-Karte, nicht jedoch dem Inhaber der Zweitkarte zu. Da aber<br />
auch über diesen personenbezogene Daten erhoben <strong>und</strong> gespeichert werden, ist er ebenfalls<br />
Betroffener im Sinne des § 34 BDSG <strong>und</strong> hat damit einen eigenen Auskunftsanspruch, der<br />
nicht vertraglich abbedungen werden kann (§ 6 Abs. 1 BDSG). Dieser bezieht sich zumindest<br />
auf die zur Person des Zweitsammlers gespeicherten Daten. Da der Hauptkarteninhaber
- 9 -<br />
Kenntnis über die Einbeziehung des Zweitkarteninhabers hat, dürften allerdings auch einer<br />
Auskunft über Daten des Hauptkarteninhabers schutzwürdige Interessen desselben nicht<br />
entgegenstehen. Gleiches gilt umgekehrt für eine Auskunft über personenbezogene Daten des<br />
Zweitkarteninhabers an den Hauptkarteninhaber.<br />
Über die Löschung der K<strong>und</strong>endaten geben die Hinweise zum <strong>Datenschutz</strong> keine Auskunft.<br />
Nach Angaben der Deutschen Lufthansa AG werden die Rabattdaten, d.h. die<br />
Punktegutschriften <strong>und</strong> damit zusammenhängende Informationen als Buchungsbelege im<br />
Sinne des § 257 HGB für einen Zeitraum von 10 Jahren aufbewahrt. Kündigt der K<strong>und</strong>e seine<br />
Teilnahme am Programm, werden nach Angabe der Deutschen Lufthansa AG sämtliche<br />
K<strong>und</strong>endaten gesperrt <strong>und</strong> nach Ablauf von 10 Jahren - aufgr<strong>und</strong> der handelsrechtlichen<br />
Aufbewahrungsfrist - endgültig gelöscht. Dieses Verfahren ist zwar gr<strong>und</strong>sätzlich<br />
datenschutzgerecht. Es ist aber bei der Entscheidung für eine Aufbewahrung von<br />
K<strong>und</strong>endaten zu unterscheiden zwischen Daten, die als Buchungsbelege unter die<br />
handelsrechtliche Aufbewahrungsfrist fallen, <strong>und</strong> solchen Daten, die weder handels- noch<br />
steuerrechtliche Relevanz haben. Für letztgenannte Daten ist eine Aufbewahrung nicht<br />
vorgeschrieben, so dass diese umgehend zu löschen sind. Unter diese Kategorie fallen<br />
zumindest die freiwilligen Angaben des K<strong>und</strong>en sowie sämtliche Daten, deren Erhebung<br />
nicht zur Vertragsabwicklung gemäß § 28 Abs. 1 Nr. 1 BDSG erforderlich ist.<br />
- Payback Visa Karte<br />
Beantragt ein K<strong>und</strong>e eine Payback Visa Karte, so werden dafür zusätzliche Daten des K<strong>und</strong>en<br />
erhoben, etwa Angaben zur beruflichen Tätigkeit, zum Familienstand, zur Staatsangehörigkeit<br />
<strong>und</strong> zum monatlichen Haushaltsnettoeinkommen. Im Gegensatz zur Payback-Karte ohne<br />
Zahlungsfunktion werden diese Daten nicht auf freiwilliger Basis erhoben. Ein Hinweis auf<br />
die Freiwilligkeit der Angaben fehlt im Antragsformular. In der Erläuterung über dem<br />
Angabenfeld wird ausgeführt:<br />
„Wenn Sie die Payback Visa Karte beantragen, benötigt die Landesbank Baden-Württemberg<br />
nachfolgende Angaben.“<br />
Daraus ist zu schließen, dass es sich bei den nachfolgend erfragten Informationen um<br />
Pflichtangaben des K<strong>und</strong>en handelt.<br />
Erhoben <strong>und</strong> werden diese Daten laut Angaben auf dem Antragsformular ausschließlich von<br />
der Landesbank Baden-Württemberg (LBBW). Zu beachten ist jedoch, dass nach den obigen<br />
Ausführungen eine Erhebung auch dann stattfindet, wenn das Antragsformular<br />
unverschlossen bei einem der Partnerunternehmen abgegeben wird oder unverschlossen bei<br />
der Loyalty Partner GmbH vorhanden ist. Da sich der Antrag für die Payback-Karte ohne<br />
Zahlungsfunktion <strong>und</strong> der Antrag für die Payback Visa Karte auf dem selben Blatt befinden,<br />
liegt die Vermutung nahe, dass der gesamte Antrag zunächst bei der Loyalty Partner GmbH<br />
eingeht, diese die Angaben für den Payback-Kartenantrag speichert <strong>und</strong> anschließend den<br />
gesamten Antrag an die Landesbank Baden-Württemberg weiterleitet. Diese Verfahrensweise<br />
ist auch den Hinweisen zum <strong>Datenschutz</strong>, Ziffer 3, zu entnehmen. <strong>Datenschutz</strong>rechtlich findet<br />
dann eine Erhebung der gesamten Daten, auch der des Visa-Antrags, sowohl bei Loyalty<br />
Partner als auch bei der Landesbank statt. Die Formulierung „Die Angaben [Anm. die<br />
Angaben für den Visa-Antrag] werden ausschließlich von der LBBW erhoben“, die auf dem<br />
Visa-Kartenantrag sowie in Ziffer 3 der Hinweise zum <strong>Datenschutz</strong> verwendet wird, ist<br />
datenschutzrechtlich so zu verstehen, dass eine Speicherung dieser Daten ausschließlich bei<br />
der LBBW stattfindet. Zumindest wenn das Antragsformular unverschlossen bei einem
- 10 -<br />
Partnerunternehmen oder der Loylaty Partner GmbH eingeht, findet dort bereits eine<br />
Datenerhebung statt. Die Angaben des Antragsformular <strong>und</strong> der Hinweise zum <strong>Datenschutz</strong><br />
sind damit für den K<strong>und</strong>en missverständlich.<br />
Gespeichert werden die Daten für die Payback Visa-Karte nach den Hinweisen zum<br />
<strong>Datenschutz</strong> ausschließlich von der LBBW. Es findet danach keine Übermittlung der für den<br />
Visa-Antrag mitgeteilten Daten des K<strong>und</strong>en an Loyalty Partner oder den Payback<br />
Rabattverein statt. Umgekehrt findet eine Übermittlung der Stammdaten des K<strong>und</strong>en, die im<br />
Antragsformular für die Payback-Karte enthalten sind, von der Loyalty Partner GmbH an die<br />
LBBW statt. Diese Übermittlung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig, da zur<br />
Abwicklung des Kreditkartenvertrags die LBBW die Stammdaten des K<strong>und</strong>en benötigt.<br />
1.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
1.2.1 Vorgänge, deren Zulässigkeit sich nach gesetzlichen Vorschriften beurteilt<br />
Nach dem oben dargestellten Anforderungsprofil ist die Verwendung von Daten zu Zwecken<br />
der Werbung <strong>und</strong> Marktforschung im Rahmen des § 28 Abs. 1 Nr. 2 BDSG zum einen nur<br />
durch ein vom K<strong>und</strong>en selbst kontaktiertes Partnerunternehmen zulässig. Zum anderen<br />
beschränkt sich die zulässige Verwendung auf bestimmte Daten. Im Rahmen der Verwendung<br />
zum Zweck der Werbung <strong>und</strong> Marktforschung ist die Erhebung der Telefonnummer sowie<br />
weiterer Kontaktdaten nicht gemäß § 28 Abs. 1 Nr. 2 zulässig (siehe Gutachten,<br />
Anforderungsprofil, Pkt. 1.2.2.2.1).<br />
- Datenerhebung über Dritte (Geburtsjahr der Kinder)<br />
Mittels des Antragsformulars wird als freiwillige Angabe nach dem Geburtsdatum der Kinder<br />
gefragt. Hierbei handelt es sich um eine Erhebung über Daten Dritter, die gemäß § 4 Abs. 2<br />
BDSG gr<strong>und</strong>sätzlich bei dem Dritten selbst vorzunehmen ist. Die Erhebung bei dem<br />
Hauptantragsteller ist nur dann zulässig, wenn es sich um minderjährige Kinder handelt, für<br />
die der Hauptantragsteller gesetzlicher Vertreter, d.h. sorgeberechtigt ist.<br />
- Weitergabe von Daten an Partnerunternehmen, über das die Anmeldung erfolgt ist<br />
Meldet sich ein K<strong>und</strong>e über ein Partnerunternehmen für das Payback Programm an, so<br />
übermittelt Loyalty Partner die Basisdaten sowie die freiwilligen Angaben <strong>und</strong> ggf. deren<br />
Änderungen an das Partnerunternehmen, über welches der K<strong>und</strong>e seine Payback Karte<br />
erhalten hat 1 . Dieser Vorgang ist aufgr<strong>und</strong> gesetzlicher Übermittlungsbefugnis zulässig (siehe<br />
Gutachten, Anforderungsprofil, Pkt. 1.2.2.3.4).<br />
1.2.2 Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
Für die meisten Datenverarbeitungsvorgänge, d.h. für sämtliche Verarbeitungen durch den<br />
Systembetreiber <strong>und</strong> für die Verwendungen von über Pflichtdaten hinausgehenden Daten<br />
durch das Partnerunternehmen zum Zweck der Werbung <strong>und</strong> Marktforschung ist dagegen<br />
eine Einwilligung des K<strong>und</strong>en erforderlich. Die Einwilligung muss den Anforderungen des §<br />
4a BDSG genügen. Im Folgenden wird zunächst untersucht, ob die Einwilligungserklärung<br />
den allgemeinen Anforderungen des § 4a BDSG genügt. Im Anschluss werden die einzelnen<br />
Datenverarbeitungsvorgänge daraufhin überprüft, ob diese von der Einwilligung hinreichend<br />
1 Vgl. Ziff. 1 der Hinweise zum <strong>Datenschutz</strong> bei Payback.
umfasst sind.<br />
- 11 -<br />
1.2.2.1 Allgemeine Beurteilung der Einwilligungserklärung (Papierform)<br />
Die im Rahmen des Payback-Programms verwendete Einwilligungserklärung lautet wie folgt:<br />
„Mit meiner Unterschrift erkläre ich mich damit einverstanden, dass meine<br />
Daten zur Erstellung von Informationen per Post (z.B. Rabattaktionen) <strong>und</strong> für<br />
die ggf. von mir bezogenen Services (SMS oder E-Mail Newsletter) sowie zu<br />
Zwecken der Marktforschung von Payback, den Partnerunternehmen <strong>und</strong><br />
Loyalty Partner gemäß Ziffer 2 der beiliegenden Hinweise zum <strong>Datenschutz</strong><br />
genutzt werden.<br />
Mein Einverständnis kann ich jederzeit gegenüber dem Payback Service<br />
Center, Postfach ..., 85330 München-Flughafen oder der Loyalty Partner<br />
GmbH widerrufen.<br />
❑ Hier ankreuzen, falls nicht.“<br />
1.2.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Da hier eine schriftlich fixierte Erklärung vorliegt, ist die Schriftform eingehalten.<br />
- Bewusste Erklärung durch aktives Tun<br />
Das Antragsformular erfordert eine Unterschrift des K<strong>und</strong>en. Diese erfolgt zwar direkt<br />
unterhalb der Einwilligungserklärung, bezieht sich jedoch auf das gesamte Antragsformular.<br />
Damit ist die Unterschrift Wirksamkeitsvoraussetzung für den Antrag <strong>und</strong> nicht auf die<br />
Erklärung der Einwilligung beschränkt. In der Unterschrift kann somit keine im Sinne eines<br />
Opt-In erforderliche Handlung des K<strong>und</strong>en gesehen werden.<br />
Auch das neben dem Text der Einwilligungserklärung befindliche Feld „Hier ankreuzen, falls<br />
nicht“ vermag eine bewusste Erklärung des K<strong>und</strong>en nicht herbeizuführen. Gegenüber einer<br />
reinen Streichlösung, durch die der K<strong>und</strong>e aufgefordert wird, vorformulierte Passagen, denen<br />
er nicht zustimmt, durchzustreichen, stellt die hier gewählte Lösung zwar eine wesentliche<br />
Verbesserung dar. Die Streichung einer Klausel erfordert immer eine gewisse Überwindung<br />
des K<strong>und</strong>en, der gewöhnlich die vorformulierten Bedingungen als geradezu bindend ansieht.<br />
Eine solche Überwindung wird dagegen dem K<strong>und</strong>en bei der hier gewählten<br />
„Auskreuzvariante“ nicht aufgebürdet. Die Möglichkeit, der Klausel zu widersprechen, wird<br />
dem K<strong>und</strong>en deutlich aufgezeigt.<br />
Dennoch besteht die Gefahr, dass der K<strong>und</strong>e diese Möglichkeit übersieht bzw., was häufiger<br />
der Fall sein wird, falsch interpretiert. Da den K<strong>und</strong>en gewöhnlich aus anderen Anträgen auch<br />
echte „Opt-In-Lösungen“ geläufig sind, die sich optisch auf den ersten Blick nicht von der<br />
vorliegenden Variante unterscheiden, kann leicht der Eindruck beim K<strong>und</strong>en entstehen, das<br />
Ankreuzen des nebenstehenden Kästchens bedeute seine Zustimmung <strong>und</strong> nicht seinen<br />
Widerspruch.<br />
Eine eindeutige <strong>und</strong> ausdrückliche Erklärung des K<strong>und</strong>en kann nur dann mit Sicherheit<br />
angenommen werden, wenn er seine Zustimmung erklärt hat, nicht dagegen wenn er seinen
Widerspruch nicht erklärt hat.<br />
- 12 -<br />
Die hier verwendete Lösung genügt somit nicht den Anforderungen, die an eine Einwilligung<br />
für ein unternehmensübergreifendes K<strong>und</strong>enbindungssystem zu stellen sind.<br />
Gerichtlich bestätigt ist diese Auffassung jedoch nur im Hinblick auf die so genannte<br />
Streichlösung (vgl. dazu die oben genannten Entscheidungen). Die vorliegende Variante war<br />
bislang nicht zentraler Punkt einer Gerichtsentscheidung 2 . Aufgr<strong>und</strong> der Vergleichbarkeit zur<br />
Streichlösung ist aber zu vermuten, dass die Gerichte auch die vorliegende Lösung nicht als<br />
ausreichend anerkennen werden. Davon geht offensichtlich auch der Arbeitskreis <strong>Datenschutz</strong><br />
<strong>K<strong>und</strong>enbindungssysteme</strong> <strong>und</strong> CRM aus, der unter Berücksichtigung der Tendenzen in der<br />
Verbraucherrechtsprechung annimmt, dass nur die „echte Opt-In-Lösung“ als zukunftssichere<br />
Möglichkeit angesehen werden kann 3 .<br />
1.2.2.1.2 Freie Entscheidung<br />
Die Erklärung des Einverständnisses zur Verwendung der personenbezogenen Daten zu<br />
Zwecken der Werbung <strong>und</strong> Marktforschung stellt keine Voraussetzung für die Teilnahme am<br />
Payback Programm dar. Insofern ist dem Kopplungsverbot Genüge getan.<br />
Dem Text der Einwilligungserklärung lässt sich jedoch nicht direkt entnehmen, dass dem<br />
K<strong>und</strong>en die Abgabe dieser Erklärung freigestellt ist. Indirekt ergibt sich dies nur aus der<br />
Ankreuzmöglichkeit für den Fall, dass kein Einverständnis mit der angegebenen<br />
Datennutzung besteht sowie aus dem Hinweis auf die Möglichkeit des Widerrufs der<br />
Einwilligung. Eine Aufklärung darüber, welche Folgen die Verweigerung der Einwilligung<br />
hat, findet in der Einwilligungserklärung nicht statt. Diese ist lediglich in den Hinweisen zum<br />
<strong>Datenschutz</strong> enthalten. Dort heißt es: „Haben Sie Ihre Einwilligung nicht erklärt oder<br />
widerrufen Sie diese, findet eine Datennutzung nach vorstehendem Absatz nicht statt.<br />
Selbstverständlich können Sie aber am Payback Programm teilnehmen bzw. weiterhin<br />
teilnehmen. Sie erhalten dann lediglich die zur Abwicklung des Programms notwendigen<br />
Informationen (z.B. Punktestandsmitteilungen).“<br />
Ein solcher Hinweis ist für die Aufklärung des K<strong>und</strong>en über die Freiwilligkeit seiner<br />
Einwilligung nicht ausreichend. Die Legitimation der gesamten Datenverarbeitung soll nach<br />
dem Wesen der Einwilligungslösung auf der freien Entscheidung des Betroffenen beruhen.<br />
Hierfür ist es zwingend erforderlich, dass sich der Betroffene zweifelsfrei über die<br />
Freiwilligkeit seiner Entscheidung im Klaren ist. Dies erfordert einen ausdrücklichen Hinweis<br />
im unmittelbaren Zusammenhang mit der Abgabe der Einwilligungserklärung, also hier im<br />
optischen Zusammenhang mit dem Text der Einwilligungserklärung, auf die Freiwilligkeit<br />
der Erklärung.<br />
Da es der im Rahmen des Payback Programms verwendeten Einwilligungserklärung hieran<br />
fehlt <strong>und</strong> der K<strong>und</strong>e auch nicht aus dem Gesamtzusammenhang mit hinreichender<br />
Deutlichkeit auf die Freiwilligkeit seiner Angaben schließen kann, entspricht diese nicht den<br />
Anforderungen des § 4a BDSG.<br />
1.2.2.1.3 Information des K<strong>und</strong>en<br />
2<br />
In der Entscheidung LG München I vom 1. Februar 2001 (Payback) deutet sich an, dass die Möglichkeit einer<br />
Erklärung des Ausschlusses des Einverständnis nicht ausreichend ist.<br />
3<br />
Weber/Jacob/Rieß/Ullmann, DuD 2003, 614 (618 f.).
- 13 -<br />
Bereits aus den Angaben im Anmeldeformular entsteht eine erste Verwirrung darüber, wer<br />
verantwortliche Stelle für die Datenverarbeitung im Rahmen des Payback Programms ist.<br />
Oben links im ersten Feld findet sich der Satz „Die Verwaltung Ihrer Daten (Basisdaten,<br />
freiwillige Angaben <strong>und</strong> Rabattdaten) erfolgt durch die Loyalty Partner GmbH, Anschrift,<br />
gemäß Ziffer 1 der beiliegenden Hinweise zum <strong>Datenschutz</strong>“. Im Weiteren, insbesondere in<br />
der Einwilligungserklärung, wird jedoch zusätzlich auch von „Payback“ <strong>und</strong> den<br />
Partnerunternehmen als Stellen, die die K<strong>und</strong>endaten nutzen, gesprochen. Als<br />
Ansprechpartner wird neben Loyalty Partner auch das Payback Service Center genannt.<br />
Aus den Allgemeinen Teilnahmebedingungen erfährt der K<strong>und</strong>e zunächst, wer sich hinter der<br />
Bezeichnung „Payback“ verbirgt. Laut Ziff. 1 der Allgemeinen Teilnahmebedingungen ist<br />
dies der Payback Rabattverein e.V.. Dieser verwaltet nach Ziff. 1 die Rabatte, die dem<br />
K<strong>und</strong>en gutgeschrieben werden. Die Hinweise zum <strong>Datenschutz</strong> informieren jedoch darüber,<br />
dass - hier wieder im Einklang mit dem Hinweis oben auf dem Antragsformular - die im<br />
Rahmen des Programms benötigten Daten durch die Firma Loyalty Partner erhoben,<br />
gespeichert <strong>und</strong> genutzt werden. Diese Firma wird auch als Ansprechpartner für Auskunft <strong>und</strong><br />
Widerruf benannt. Daneben wird über eine Datenverarbeitung durch die Partnerunternehmen<br />
informiert. „Payback“ wird in den Hinweisen zum <strong>Datenschutz</strong> als Daten verarbeitende Stelle<br />
nicht mehr erwähnt.<br />
Tatsächlich ist das Verhältnis zwischen dem Rabattverein <strong>und</strong> Loyalty Partner GmbH so<br />
gestaltet, dass zunächst der Payback Rabattverein als Daten speichernde Stelle anzusehen ist.<br />
Dieser ist Vertragspartner des K<strong>und</strong>en im Payback Programm. Die Firma Loyalty Partner hat<br />
die tatsächliche Verfügungsbefugnis über die Daten. Sie ist aufgr<strong>und</strong> ihrer zentralen Funktion<br />
nicht lediglich Auftragnehmer des Payback Rabattvereins, sondern in eigener Verantwortung<br />
speichernde Stelle 4 .<br />
Die Informationen, die sich hierüber aus dem Antragsformular, aus den Allgemeinen<br />
Teilnahmebedingungen <strong>und</strong> den Hinweisen zum <strong>Datenschutz</strong> ergeben, benennen zwar<br />
sämtliche Stellen, die in die Abwicklung des Payback Programms eingeb<strong>und</strong>en sind, das<br />
Verhältnis von Loyalty Partner GmbH <strong>und</strong> dem Payback Rabattverein e.V. wird jedoch nicht<br />
deutlich. Aus dieser Darstellung lässt sich nicht entnehmen, wer verantwortlich für die<br />
Datenverarbeitung im Sinne des § 3 Abs. 7 BDSG ist. Dem Informationsanspruch des § 4a<br />
BDSG genügt die Beschreibung daher nicht.<br />
Mit dem Anmeldeformular enthält der K<strong>und</strong>e eine Broschüre, aus der die aktuell<br />
teilnehmenden Partnerunternehmen zu entnehmen sind. Hinsichtlich der zum Zeitpunkt der<br />
Antragstellung teilnehmenden Partnerunternehmen ist dem Informationsbedürfnis damit<br />
Genüge getan. Es fehlt jedoch im Antragsformular <strong>und</strong> in den Hinweisen zum <strong>Datenschutz</strong><br />
ein Hinweis auf eine Einsichtsmöglichkeit für den Teilnehmer, um sich auch in Zukunft über<br />
den aktuellen Bestand der Partnerunternehmen informieren zu können. Da aber<br />
Partnerunternehmen im Rahmen des Payback Programms keine Daten über Teilnehmer<br />
erhalten, die sich nicht über das jeweilige Partnerunternehmen angemeldet haben, ist dieser<br />
Informationshinweis nicht zwingend erforderlich, aus Gründen der Transparenz aber<br />
zumindest empfehlenswert.<br />
Welche Datenkategorien im Rahmen des Payback-Verfahrens verarbeitet werden, wird erst<br />
aus den Hinweisen zum <strong>Datenschutz</strong> deutlich. Die Einwilligungserklärung beschränkt sich<br />
4 Vgl. hierzu Weichert, DANA 2001, 5 (8).
- 14 -<br />
auf die Formulierung „meine Daten“, während der Hinweis in der oberen Zeile des<br />
Antragsformulars diese mit „Basisdaten, freiwillige Angaben <strong>und</strong> Rabattdaten“ schon etwas<br />
genauer benennt. Eine Erläuterung des Begriffs der Basisdaten findet sich in den Hinweisen<br />
zum <strong>Datenschutz</strong>, aus denen sich auch die Zusammensetzung der Rabattdaten ergibt. Diese<br />
Darstellung genügt den Anforderungen des § 4a BDSG nicht. Erforderlich ist eine<br />
Aufzählung der Datenkategorien in der Einwilligungserklärung.<br />
Hinsichtlich der Vorgänge der Datenverarbeitung enthalten nur die Hinweise zum<br />
<strong>Datenschutz</strong> konkrete Informationen. Aus dem Text der Einwilligungserklärung ergibt sich,<br />
dass die nicht näher spezifizierten Daten des K<strong>und</strong>en von Payback, den Partnerunternehmen<br />
<strong>und</strong> Loyalty Partner genutzt werden. Über welche Daten hierbei die einzelnen Beteiligten<br />
verfügen, auf welche Weise sie die Daten erlangen <strong>und</strong> bei wem diese gespeichert werden,<br />
erfährt der K<strong>und</strong>e nicht. Diese Angaben sind jedoch erforderlich, um in der<br />
Einwilligungserklärung den Informationsanforderungen des § 4a BDSG zu genügen.<br />
Im Hinblick auf den Payback Rabattverein, der hier unter der Bezeichnung Payback auch als<br />
Nutzer der K<strong>und</strong>endaten auftritt, geben auch die Hinweise zum <strong>Datenschutz</strong> keinerlei<br />
Aufschluss. Hier wird der Rabattverein nicht mehr erwähnt, d.h. es bleibt unklar, ob dieser<br />
über einen eigenen K<strong>und</strong>endatenbestand verfügt, auf welchem Weg er ggf. K<strong>und</strong>endaten<br />
erhält <strong>und</strong> um welche Daten es sich dabei handelt.<br />
Bezüglich der weiteren Datenverarbeitungsvorgänge enthalten die Hinweise zum <strong>Datenschutz</strong><br />
hinreichend genaue Angaben, die jedoch den Mangel an Information in der<br />
Einwilligungserklärung nicht heilen können.<br />
Über die Zwecke der Datenverarbeitung wird der K<strong>und</strong>e hinreichend informiert.<br />
Ein Hinweis auf die Widerrufsmöglichkeit erfolgt in der Einwilligungserklärung unter<br />
Hinweis auf zwei Ansprechpartner, die mit Kontaktmöglichkeit angegeben sind. Die<br />
Aufklärung über die Folgen des Widerrufs erfolgt in den Hinweisen zum <strong>Datenschutz</strong>, was als<br />
ausreichend anzusehen ist.<br />
In den Hinweisen zum <strong>Datenschutz</strong> erfolgt ebenfalls ein Hinweis auf das Auskunftsrecht des<br />
K<strong>und</strong>en.<br />
Ein Hinweis auf die Löschung der Daten erfolgt nicht, ist jedoch auch nicht zwingend<br />
erforderlich (siehe Gutachten, Anforderungsprofil, Pkt. 1.2.3.3).<br />
1.2.2.1.4 Hervorhebung im Schriftbild<br />
Da die Erklärung der Einwilligung im Anmeldeformular als vorformulierte Erklärung<br />
gemeinsam mit anderen Erklärungen abgegeben wird, ist gemäß § 4a Abs. 1 Satz 4 BDSG<br />
eine besondere Hervorhebung im Schriftbild erforderlich. Die hier abgedruckte Erklärung<br />
entspricht im Schriftbild der übrigen Beschriftung des Formulars. Die Hervorhebung besteht<br />
in einer Umrandung mit einer schwarzen Linie. Auch die Ankreuzmöglichkeit für das<br />
fehlende Einverständnis ist durch ein auffallendes neben der Erklärung angebrachtes<br />
Kästchen hervorgehoben, so dass dem Gebot des § 4 Abs. 1 Satz 3 BDSG Genüge getan ist,<br />
wenngleich wegen des relativ sparsamen Einsatzes optischer Gestaltungsmittel <strong>und</strong> des<br />
fehlenden Aussagegehalts der Überschrift mit dem Titel „Ihre Unterschrift“ deutliche<br />
inhaltliche <strong>und</strong> gestalterische Verbesserungen möglich sind.
- 15 -<br />
1.2.2.2 Allgemeine Beurteilung der Online-Anmeldung<br />
Die Anmeldung zur Teilnahme am Payback Programm ist auch über ein Anmeldeformular im<br />
Internet unter www.payback.de möglich.<br />
Die Teilnahmebedingungen für das Payback Programm sowie die Hinweise zum<br />
<strong>Datenschutz</strong> <strong>und</strong> die Nutzungsbedingungen für den E-Mail-Newsletter <strong>und</strong> Payback SMS<br />
sind für den K<strong>und</strong>en einfach einzusehen. Links auf diese Dokumente sind gut sichtbar auf den<br />
Anmeldeseiten angebracht.<br />
Neben der Teilnahme am Payback Programm kann der K<strong>und</strong>e drei weitere Leistungen<br />
wählen. Dies sind der Payback E-Mail-Newsletter, Payback SMS sowie exklusive Angebote<br />
per Post. Diese Angebote kann der K<strong>und</strong>e durch Ankreuzen eines entsprechenden Feldes<br />
auswählen. In der Voreinstellung der Webseite sind allerdings die Leistungen Payback E-<br />
Mail Newsletter <strong>und</strong> exklusive Angebote per Post bereits angekreuzt. An dieser Stelle wird<br />
wiederum das Prinzip der Einwilligung umgekehrt. Der K<strong>und</strong>e, der diese Angebote nutzen<br />
möchte, muss hierfür keine Aktivität entwickeln. Dagegen muss der K<strong>und</strong>e, der diese<br />
Angebote nicht in Anspruch nehmen möchte <strong>und</strong> mit der dafür erforderlichen Nutzung seiner<br />
Daten nicht einverstanden ist, dem ausdrücklich widersprechen. Aufgr<strong>und</strong> der diesem Prinzip<br />
innewohnenden Gefahr, dass der K<strong>und</strong>e die Voreinstellungen übersieht <strong>und</strong> somit eine<br />
Erklärung abgibt, die seinem Willen nicht entspricht, ist diese Voreinstellung unzulässig.<br />
Der Wortlaut der Einwilligungserklärung ist im Online-Formular anders gefasst als in dem<br />
schriftlichen Anmeldeformular. Dieser lautet:<br />
Ich bin damit einverstanden, dass meine Daten gemäß Ziffer 2 der Hinweise<br />
zum <strong>Datenschutz</strong> (Link) zur Erstellung der ggf. von mir bezogenen Services<br />
(E-Mail-Newsletter, Informationen per Post oder Payback SMS) <strong>und</strong> zu<br />
Zwecken der Marktforschung von Payback, den Partnerunternehmen <strong>und</strong><br />
Loyalty Partner genutzt werden. Eine solche Nutzung erfolgt nur bei Bezug der<br />
Services. Ihr Einverständnis können Sie jederzeit gegenüber dem Payback<br />
K<strong>und</strong>enservice, Anschrift, oder der Loyalty Partner GmbH widerrufen.<br />
Die Möglichkeit eines Opt-In liegt in dieser Konstruktion gr<strong>und</strong>sätzlich darin, dass der K<strong>und</strong>e<br />
die von ihm gewünschten Services selbst auswählen <strong>und</strong> dadurch den Umfang der<br />
Einwilligungserklärung bestimmen kann. Diese Lösung ist im Gr<strong>und</strong>satz datenschutzgerecht;<br />
wegen der oben beschriebenen Voreinstellungen genügt die Einwilligungserklärung im<br />
Hinblick auf den E-Mail-Newsletter sowie auf die Informationen per Post jedoch nicht den<br />
oben festgestellten Anforderungen.<br />
Im Übrigen ergeben sich keine Unterschiede zu der Bewertung des schriftlichen<br />
Anmeldeformulars.<br />
1.2.2.3 Einzelne Vorgänge der Datenverarbeitung<br />
Die im Folgenden aufgeführten Vorgänge der Datenverarbeitung sind nach dem oben<br />
beschriebenen Anforderungsprofil nur mit einer Einwilligung des Teilnehmers zulässig. Diese<br />
muss die jeweiligen Vorgänge hinreichend verständlich <strong>und</strong> bestimmt beschreiben.<br />
1.2.2.3.1. Erhebung der Freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten zu Werbezwecken
- 16 -<br />
Mit dem Anmeldeformular werden auch freiwillige Angaben des K<strong>und</strong>en abgefragt. Diese<br />
sind:<br />
Familienstand (Single, Paar, Verheiratet)<br />
Monatliches Haushaltsnettoeinkommen<br />
PC-Besitz<br />
Anzahl <strong>und</strong> Geburtsjahr der Kinder<br />
Die freiwilligen Angaben sowie ein Teil der Stammdaten (Geburtsdatum, E-Mail-Adresse<br />
<strong>und</strong> Telefonnummer) <strong>und</strong> ein Teil der Programmdaten (Waren- <strong>und</strong> Dienstleistungsgruppen)<br />
können nur mit Einwilligung des K<strong>und</strong>en erhoben werden.<br />
Für die Erhebung der Stamm- <strong>und</strong> Programmdaten wurde oben bereits festgestellt, dass<br />
hierfür eine ausreichende Einwilligung nicht vorliegt.<br />
Die Angabe der freiwilligen Daten ist dagegen als solche gekennzeichnet; durch die<br />
Überschrift „Freiwillige Angaben“ wird der K<strong>und</strong>e in ausreichender Weise auf die<br />
Freiwilligkeit hingewiesen. Die Freiwilligkeit dieser Angaben wird nicht bereits dadurch<br />
beeinträchtigt, dass dem K<strong>und</strong>en für das Ausfüllen der Felder der Gewinn einer Urlaubsreise<br />
oder anderer Anreize in Aussicht gestellt wird. Die bloße Möglichkeit eines Gewinns ist noch<br />
kein Anreiz von einem Gewicht, das die Freiwilligkeit des K<strong>und</strong>en erheblich beeinflusst.<br />
An dieser Stelle wirkt sich allerdings die bereits oben erwähnte Unbestimmtheit der<br />
Einwilligungserklärung im Hinblick auf die Vorgänge der Datenverarbeitung aus. Der K<strong>und</strong>e<br />
wird zwar auf die Freiwilligkeit seiner Angaben hingewiesen, erfährt aber nicht ausdrücklich,<br />
auf welche Weise diese Daten durch wen verarbeitet werden.<br />
1.2.2.3.2 Übermittlung von K<strong>und</strong>endaten an Systembetreiber zu Werbezwecken<br />
Im Rahmen des Payback Programms werden die von dem Partnerunternehmen bei einer<br />
dortigen Anmeldung erhobenen Stammdaten sowie die Programmdaten, die beim Einsatz der<br />
Payback Karte in einem der Partnerunternehmen erhoben werden, von diesem an den<br />
Systembetreiber übermittelt.<br />
Dieser Vorgang ist dem Wortlaut der Einwilligungserklärung nicht zu entnehmen. Aus der<br />
Erklärung wird lediglich deutlich, dass u.a. auch die Loyalty Partner GmbH<br />
personenbezogene Daten des Teilnehmers zu Werbe- <strong>und</strong> Marktforschungszwecken nutzt.<br />
Aus den Hinweisen zum <strong>Datenschutz</strong> ist dann zu entnehmen, dass das vom Teilnehmer<br />
kontaktierte Partnerunternehmen genau bezeichnete Rabattdaten an Loyalty Partner<br />
übermittelt. Als Zwecke für diese Übermittlung werden zunächst nur Gutschrift, Abrechnung<br />
gegenüber dem Partnerunternehmen, Verwaltung <strong>und</strong> Auszahlung der Rabatte angegeben.<br />
Dass diese Daten von Loyalty Partner auch zu Werbezwecken <strong>und</strong> zur Marktforschung<br />
verwendet werden, ergibt sich aus Ziff. 2 der Hinweise zum <strong>Datenschutz</strong>. Dies betrifft<br />
gleichfalls die Stammdaten <strong>und</strong> freiwilligen Angaben des Teilnehmers. Die Darstellung in<br />
den Hinweisen zum <strong>Datenschutz</strong> ist hinreichend verständlich <strong>und</strong> präzise <strong>und</strong> genügt somit<br />
den Anforderungen des § 4a BDSG. Dies kann jedoch die Informationsmängel der<br />
Einwilligungserklärung nicht heilen. Auch hier müssen die wesentlichen Punkte, wenn auch<br />
nicht in der gleichen Ausführlichkeit wie in den Hinweisen zum <strong>Datenschutz</strong>, beschrieben<br />
werden. Die im Rahmen des Payback Programms verwandte Erklärung gibt jedoch keinen<br />
Aufschluss darüber, um welche Daten des Teilnehmers es sich handelt <strong>und</strong> bei wem diese
Daten erhoben <strong>und</strong> gespeichert werden.<br />
- 17 -<br />
Auf Gr<strong>und</strong> dieser Unbestimmtheit kann die Einwilligung diese Datenverarbeitungsvorgänge<br />
nicht legitimieren.<br />
1.2.2.3.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber zu<br />
Werbezwecken<br />
Gleiches gilt auch für die Speicherung <strong>und</strong> Verarbeitung durch Loyalty Partner. Hier fehlt<br />
ebenfalls in der Einwilligungserklärung die Erwähnung des Umstands, dass <strong>und</strong> welche Daten<br />
des K<strong>und</strong>en Loyalty Partner speichert.<br />
1.2.2.3.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Für die Erstellung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen wäre die Einwilligungserklärung<br />
nicht ausreichend. Der bloße Hinweis auf den Zweck der Werbung <strong>und</strong> Marktforschung, der<br />
in der Einwilligung für das Payback-Programm erfolgt, würde nicht zur Erfüllung des<br />
Informationsbedürfnisses des K<strong>und</strong>en genügen (zu den Anforderungen siehe Gutachten,<br />
Anforderungsprofil, Pkte. 1.2.2.3.3 <strong>und</strong> 1.2.3.3).<br />
1.2.2.3.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen für<br />
Werbezwecke<br />
Ausweislich der Hinweise zum <strong>Datenschutz</strong> verfügen die Partnerunternehmen regelmäßig<br />
auch über einen eigenen Bestand an K<strong>und</strong>endaten. Dies sind gemäß Ziff. 1 der Hinweise die<br />
Stammdaten <strong>und</strong> freiwilligen Angaben derjenigen K<strong>und</strong>en, die über das Partnerunternehmen<br />
ihre Payback Karte bekommen haben. Aus Ziff. 2 ergibt sich, dass Partnerunternehmen auch<br />
die bei ihnen anfallenden Rabattdaten speichern. Eine Nutzung dieser Daten durch das<br />
Partnerunternehmen für eigene Werbe- <strong>und</strong> Marktforschungszwecke ist gemäß Ziff. 2 der<br />
Hinweise vorgesehen.<br />
Soweit die Nutzung von K<strong>und</strong>endaten über die Verwendung der rechtmäßig erhobenen<br />
Stammdaten hinausgeht, ist hierfür eine Einwilligungserklärung des K<strong>und</strong>en erforderlich. Die<br />
im Rahmen des Payback Programms verwendete Einwilligungserklärung genügt für diesen<br />
Vorgang nicht. Denn aus der Erklärung ergibt sich weder, dass die Partnerunternehmen selbst<br />
auch K<strong>und</strong>endaten speichern noch erfährt der K<strong>und</strong>e, welche seiner personenbezogenen<br />
Daten die jeweiligen Partnerunternehmen speichern <strong>und</strong> nutzen. Beide Informationen müssen<br />
sich aber bereits aus der Einwilligungserklärung ergeben.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems<br />
Payback sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des K<strong>und</strong>en im Antragsformular<br />
- Erhebung der Waren- <strong>und</strong> Dienstleistungsgruppe beim Einsatz der Payback-Karte<br />
Die Einwilligungserklärung, die der K<strong>und</strong>e bei Anmeldung erklärt, ist mit folgenden Mängeln<br />
behaftet, die zur Unwirksamkeit der Einwilligung führen:
- 18 -<br />
- Erklärung durch „Opt-Out“ (hier in der „Auskreuzvariante“)<br />
- Es fehlt eine ausreichende Aufklärung über die Freiwilligkeit der Einwilligung<br />
- Die Information über die verantwortliche Stelle <strong>und</strong> <strong>und</strong>eutlich <strong>und</strong> für den K<strong>und</strong>en<br />
verwirrend.<br />
- Es fehlt eine hinreichende Aufklärung über die zu verarbeitenden Datenkategorien im<br />
Text der Einwilligungserklärung.<br />
- Es fehlt eine hinreichende Aufklärung über die Vorgänge der Datenverarbeitung im Text<br />
der Einwilligungserklärung.<br />
- Die optische Hervorhebung der Einwilligung ist zwar ausreichend, aber<br />
verbesserungsfähig.<br />
- Die Online-Anmeldung enthält Voreinstellungen innerhalb der Einwilligungserklärung,<br />
die das gr<strong>und</strong>sätzlich angewandte Opt-In faktisch in ein Opt-Out umkehren.
2. Happy Digits<br />
- 19 -<br />
Ende des Jahres 2001 haben die Deutsche Telekom <strong>und</strong> KarstadtQuelle gemeinsam die<br />
K<strong>und</strong>enkarte Happy Digits auf den deutschen Markt gebracht. Seither wurden nach Angaben<br />
der Zeitschrift „Card-Forum“ mehr als 10 Millionen Hauptkarten an K<strong>und</strong>en ausgegeben 5 .<br />
Herausgeber der Karte ist die CAP Customer Advantage Program GmbH, an der zu 51% die<br />
Deutsche Telekom AG <strong>und</strong> zu 49 % die KarstadtQuelle AG beteiligt sind. Zu den<br />
Partnerunternehmen zählen u.a. Karstadt, Quelle, die Deutsche Telekom, Neckermann,<br />
Kaiser´s <strong>und</strong> Tengelmann.<br />
Die Funktionsweise des Programms ist ähnlich wie die von Payback. Eine Happy Digits<br />
Karte erhält der K<strong>und</strong>e bei einem der Partnerunternehmen oder über die Internetadresse<br />
www.happydigits.de. Das Partnerunternehmen Karstadt hatte vor der Einführung des Happy<br />
Digits Programms die Karstadt K<strong>und</strong>enkarte herausgegeben, die nach dem Start von Happy<br />
Digits in eine Happy Digits Karte umgewandelt wurde.<br />
Die Höhe des auf Waren oder Dienstleistungen gewährten Rabattes beträgt gewöhnlich einen<br />
Digit pro Euro Umsatz. Ein Digit hat einen festen Gegenwert von 0,01 Euro, so dass sich ein<br />
Rabatt von 1% ergibt. Die Gutschrift der Digits erfolgt durch die CAP, ebenso die Einlösung,<br />
die entweder in Form einer Auszahlung, einer Sachprämie oder eines Gutscheins möglich ist.<br />
Die Happy Digits Karte ist als so genannte Karstadt Master Card, die in Kooperation mit der<br />
KarstadtQuelle Bank herausgegeben wird, auch mit Kreditkartenfunktion erhältlich.<br />
2.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten<br />
Die Erhebung der Stammdaten erfolgt wie im Payback Programm durch das<br />
Partnerunternehmen, wenn der Antrag dort abgegeben wird, oder bei einer Direktanmeldung<br />
durch den Systembetreiber, in diesem Fall CAP. Als Stammdatum wird auch hier neben dem<br />
Namen <strong>und</strong> der Anschrift das vollständige Geburtsdatum des K<strong>und</strong>en erfragt. Wie oben<br />
bereits beschrieben (Pkt. 1.1, S. 8), ist diese Erhebung auf gesetzlicher Gr<strong>und</strong>lage nicht<br />
zulässig <strong>und</strong> auch in diesem Fall nicht durch eine Einwilligung des K<strong>und</strong>en gedeckt. Für<br />
Letzteres fehlt es an einem entsprechenden Hinweis auf die Freiwilligkeit der Angabe.<br />
- Übermittlung der Stammdaten an CAP<br />
Soweit die Erhebung zulässig ist, ist auch die Übermittlung der Daten an die CAP zulässig.<br />
- Speicherung durch CAP<br />
Gleiches gilt für die Speicherung <strong>und</strong> Nutzung der Daten durch die CAP zur Abwicklung des<br />
Rabattprogramms.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
5 Angaben aus Card-Forum 04/2003, S. 28/29.
- 20 -<br />
Nach der Beschreibung in den Hinweisen zum <strong>Datenschutz</strong> werden die Programmdaten über<br />
den Einsatz der Karte bei dem jeweils kontaktierten Partnerunternehmen erhoben. Dabei<br />
handelt es sich um folgende Datenkategorien:<br />
Happy Digits Teilnehmernummer<br />
Datum des Einkaufs<br />
Kennung des Partnerunternehmens<br />
Summe der gesammelten Digits<br />
Informationen über die Höhe des Einkaufs <strong>und</strong> die gekauften Waren (nach<br />
Warengruppen)<br />
Die Erhebung dieser Daten ist in gleicher Weise wie im Payback Programm (vgl. Pkt. 1.1,<br />
S. 9) zu beurteilen. Für die Kenntnis der Warengruppe besteht im Hinblick auf den Zweck der<br />
Rabattabwicklung kein zwingendes Erfordernis. Deren Erhebung ist somit gesetzlich nicht<br />
zulässig <strong>und</strong> wie bereits oben für Payback erläutert auch nicht aufgr<strong>und</strong> einer Einwilligung<br />
gerechtfertigt.<br />
- Übermittlung an CAP<br />
Die Übermittlung der übrigen zulässig erhobenen Programmdaten durch das<br />
Partnerunternehmen an die CAP als Systembetreiber ist ebenfalls zulässig.<br />
- Speicherung der Programmdaten durch CAP<br />
Die Speicherung <strong>und</strong> Nutzung dieser Programmdaten zum Zweck der Rabattabwicklung ist<br />
ebenfalls zulässig.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Laut der Hinweise zum <strong>Datenschutz</strong> kann der Teilnehmer des Happy Digits Programms<br />
jederzeit formlos Auskunft über die bei der CAP über den Teilnehmer gespeicherten Daten<br />
verlangen. Er erhält die begehrte Auskunft unverzüglich per Post.<br />
In den Hinweisen zum <strong>Datenschutz</strong> ist beschrieben, dass der Teilnehmer die CAP jederzeit<br />
auffordern kann, seine personenbezogenen Daten zu löschen. Nach Angaben der CAP werden<br />
K<strong>und</strong>endaten bei Kündigung durch den Teilnehmer nach entsprechender Vertragsabwicklung<br />
oder Einzeldaten auf Wunsch des Teilnehmers unverzüglich gelöscht.<br />
- Karstadt Master Card<br />
Der Antrag für die Karstadt Master Card ist von dem Antrag für die Happy Digits Karte<br />
getrennt. Es werden zwei unterschiedliche Antragsformulare verwendet. Während das<br />
Antragsformular für die Happy Digits Karte über das Partnerunternehmen bzw. das Happy<br />
Digits Service Center an die CAP geleitet wird, wird das Antragsformular entweder direkt<br />
oder über das Karstadt Service Center der Karstadt Quelle Bank übergeben. Eine Erhebung<br />
der Daten des Master Card Antrags findet daher nur bei der Karstadt Quelle Bank bzw. ggf.<br />
zusätzlich bei dem Karstadt Service Center statt.<br />
Aus der Einwilligungserklärung für die Karstadt Master Card ergibt sich jedoch, dass die<br />
Angaben für diese Karte auch von der CAP sowie der am Happy Digits Programm
- 21 -<br />
teilnehmenden Partnerunternehmen gespeichert, verarbeitet <strong>und</strong> genutzt werden.<br />
Wörtlich lautet die Einwilligungserklärung:<br />
„Ich bin damit einverstanden, dass meine links stehenden persönlichen Daten<br />
<strong>und</strong> die Programmdaten des Bonusprogramms (Anzahl der gesammelten<br />
Punkte <strong>und</strong> deren Verwendung, Art der gekauften Waren/Dienstleistungen <strong>und</strong><br />
meine freiwilligen Angaben) unter der Wahrung des Bankgeheimnisses von<br />
der Karstadt Quelle Bank sowie der CAP Customer Advantage Program GmbH<br />
als Betreiberin des Happy Digits Programms <strong>und</strong> ihren Partnerunternehmen zu<br />
schriftlichen Beratungs- <strong>und</strong> Informationszwecken (Werbung) über Produkte<br />
<strong>und</strong> Dienstleistungen der jeweiligen Partnerunternehmen sowie zur<br />
Marktforschung gespeichert, verarbeitet <strong>und</strong> genutzt werden.“<br />
Gr<strong>und</strong>sätzlich ist die Speicherung <strong>und</strong> Verarbeitung der Daten durch die genannten<br />
Unternehmen mit einer Einwilligung des K<strong>und</strong>en zulässig. Die vorliegende<br />
Einwilligungserklärung entspricht jedoch nicht den im Anforderungsprofil dargelegten<br />
Anforderungen.<br />
Zum einen ist die hier gewählte Streichlösung nicht ausreichend. Es fehlt weiterhin an einer<br />
hinreichenden Hervorhebung der Erklärung im Sinne des § 4a Abs. 1 Satz 4 BDSG. Die<br />
Erklärung ist im Fließtext zusammen mit anderen Erklärungen abgedruckt <strong>und</strong> im Fettdruck<br />
überschrieben mit „Einwilligung in Beratung, Information (Werbung) <strong>und</strong> Marketing“. Dies<br />
reicht nicht aus, um eine ausreichende optische Hervorhebung der Erklärung zu den übrigen<br />
Erklärungen zu erzielen.<br />
Da die CAP somit neben den im Rahmen des Happy Digits Programms anfallenden Daten<br />
auch über die K<strong>und</strong>endaten aus dem Kreditantrag verfügt, besteht die Gefahr, dass diese<br />
Datenbestände zusammengeführt <strong>und</strong> gemeinsam ausgewertet werden. Ein solches Verfahren<br />
ist von den Betreibern des Happy Digits Programms nicht bestätigt worden. Für eine<br />
gemeinsame Auswertung der Datenbestände reicht die vorliegende Einwilligungserklärung<br />
nicht aus. Es fehlt hier an einem Hinweis auf die erfolgende Auswertung der Daten (siehe<br />
dazu Anforderungsprofil Pkt. 1.2.3.3).<br />
2.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
Die im Rahmen des Happy Digits Programms bei der schriftlichen Anmeldung verwandte<br />
Einwilligungserklärung hat den folgenden Wortlaut:<br />
„Einwilligung in Beratung, Information (Werbung) <strong>und</strong> Marketing<br />
Ich bin damit einverstanden, dass meine obigen Daten <strong>und</strong> meine<br />
Programmdaten (Anzahl gesammelte Digits <strong>und</strong> deren Verwendung; gekaufte<br />
Waren <strong>und</strong> Dienstleistungen; freiwillige Angaben) von der Customer<br />
Advantage Program GmbH (CAP), Anschrift, als Betreiberin des Happy Digits<br />
Programms <strong>und</strong> ihren Partnerunternehmen zu Marktforschungs- <strong>und</strong><br />
Werbezwecken gespeichert, verarbeitet <strong>und</strong> genutzt werden. Näheres hierzu in<br />
der <strong>Datenschutz</strong>erklärung, die Sie mit Ihrer Karte erhalten. Sind Sie nicht<br />
einverstanden, streichen Sie die Klausel. Eine Streichung hat keinen Einfluss
- 22 -<br />
auf Ihre Teilnahme. Ihre Einwilligung können Sie jederzeit gegenüber der CAP<br />
widerrufen. Daten von Minderjährigen werden automatisch von der<br />
Datennutzung ausgeschlossen.“<br />
2.2.1 Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)<br />
Zu beachten ist an dieser Stelle, dass für die Beurteilung der Einwilligungserklärung des<br />
Happy Digits Programms nur auf die Angaben im Anmeldeformular <strong>und</strong> der darauf<br />
abgedruckten Einwilligungserklärung abgestellt werden kann. Daneben gibt es zwar<br />
Allgemeine Teilnahmebedingungen <strong>und</strong> Hinweise zum <strong>Datenschutz</strong> (teilweise auch als<br />
<strong>Datenschutz</strong>erklärung bezeichnet), die das Verfahren der Datenverarbeitung ausführlicher<br />
beschreiben. Diese Dokumente sind dem K<strong>und</strong>en bei der Abgabe seines Antrags i.d.R. jedoch<br />
nicht bekannt. Die vorformulierten Erklärungen des K<strong>und</strong>en verweisen zwar auf diese<br />
Bedingungen, aber gleichzeitig verweisen sie auch darauf, dass diese zusammen mit der<br />
Happy Digits Karte an den K<strong>und</strong>en versandt werden oder per Faxabruf angefordert werden<br />
können. Eine weitere Möglichkeit zur Einsichtnahme in die Bedingungen wird im<br />
Antragsformular nicht angegeben.<br />
Im Hinblick auf die Allgemeinen Teilnahmebedingungen stellt sich hier die Frage, ob diese<br />
gemäß § 305 Abs. 2 BGB wirksam in den Vertrag einbezogen wurden.<br />
In datenschutzrechtlicher Hinsicht müssen für die Beurteilung der Einwilligungserklärung die<br />
zusätzlichen Angaben in den Hinweisen zum <strong>Datenschutz</strong> ausgeklammert werden.<br />
Maßgeblich ist der Kenntnisstand des Betroffenen im Zeitpunkt der Abgabe der<br />
Einwilligungserklärung, der vorliegend nur die aus dem Antragsformular ersichtlichen<br />
Angaben umfasst.<br />
2.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Einhaltung der Schriftform ist durch Unterschrift des K<strong>und</strong>en gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die Unterschrift des K<strong>und</strong>en wird auf dem Formular gemeinsam mit anderen Erklärungen -<br />
der Bestätigung der Richtigkeit der Angaben <strong>und</strong> Anerkennung der Allgemeinen<br />
Teilnahmebedingungen - erteilt. Somit kann hierin eine ausdrückliche Erklärung der<br />
Einwilligung nicht gesehen werden.<br />
Die Aufforderung zur Streichung der Klausel im Falle fehlenden Einverständnisses reicht für<br />
eine wirksame Einwilligung nicht aus.<br />
2.2.1.2 Freie Entscheidung<br />
Die Erklärung der Einwilligung in die Verwendung der Daten zu Werbe- <strong>und</strong><br />
Marktforschungszwecken ist keine Voraussetzung für die Teilnahme am Happy Digits<br />
Programm. Dies wird auch aus der Einwilligungserklärung deutlich.<br />
Hinsichtlich der weiteren Angaben zu E-Mail-Adresse, Telefon- oder Mobilfunknummer
- 23 -<br />
fehlt zwar ein förmlicher Hinweis darauf, dass die Angabe dieser Daten freiwillig <strong>und</strong> ohne<br />
Auswirkung auf die Teilnahme am Programm ist. Die Gestaltung des Antragsformulars in<br />
verschiedene Abschnitte, die mit einzelnen Überschriften versehen sind, macht jedoch<br />
deutlich, dass für eine Teilnahme nur die Abschnitte 1 <strong>und</strong> 4 auszufüllen sind. Nur diese<br />
Überschriften beziehen sich auf das Happy Digits Programm, während aus den Überschriften<br />
der Absätze 2 <strong>und</strong> 3 hervorgeht, dass es sich dort um zusätzliche Angebote handelt.<br />
2.2.1.3 Information des K<strong>und</strong>en<br />
Auf dem Anmeldeformular sind verschiedene Beteiligte des Happy Digits Programms<br />
aufgeführt. Zum einen ist der Name des Partnerunternehmens, welches das Antragsformular<br />
bereitstellt, z.B. Karstadt, auf dem Anmeldebogen abgedruckt. Als Adressat des<br />
Anmeldeformulars wird neben dem kontaktierten Partnerunternehmen das Happy Digits<br />
Service Center angegeben. Die Einwilligungserklärung stellt aber, wenn auch vergleichsweise<br />
kleingedruckt <strong>und</strong> somit optisch unauffällig, klar, dass Betreiberin des Programms <strong>und</strong> damit<br />
verantwortliche Stelle für die Datenverarbeitung die CAP ist. Offen bleibt jedoch in der<br />
Einwilligungserklärung, ob daneben auch die Partnerunternehmen selbst die im Happy Digits<br />
Programm anfallenden K<strong>und</strong>endaten speichern, verarbeiten <strong>und</strong> nutzen. Nach dem Wortlaut<br />
der Einwilligungserklärung wäre dies eventuell zu bejahen, zumindest aber nicht<br />
auszuschließen.<br />
Über die bei Antragstellung aktuell teilnehmenden Partnerunternehmen wird der K<strong>und</strong>e<br />
zwar nicht im Anmeldebogen informiert, jedoch ergibt sich aus der Broschüre, in die dieser<br />
Bogen integriert ist, <strong>und</strong> aus dem Aufdruck auf der beiliegenden vorläufigen Happy Digits<br />
Karte eine Auflistung der teilnehmenden Partnerunternehmen. Für den Zeitpunkt der<br />
Antragstellung ist diese Form der Information ausreichend. Für zukünftige<br />
Informationswünsche des Teilnehmers enthalten die Hinweise zum <strong>Datenschutz</strong>, die mit<br />
Zugang beim Teilnehmer diesem bekannt werden, Verweise auf Informationsquellen.<br />
Die im Rahmen des Programms zu Werbezwecken verarbeiteten Datenkategorien werden in<br />
der Einwilligungserklärung im Wesentlichen aufgeführt. Etwas verwirrend sind die hierfür<br />
gewählten Formulierungen. So wird nicht deutlich, was bei der Aufzählung der<br />
Programmdaten unter der „Verwendung“ der gesammelten Digits zu verstehen ist <strong>und</strong><br />
welches innerhalb der Programmdaten die „freiwilligen Angaben“ im Gegensatz zu den zuvor<br />
genannten „obigen Daten“ sind. Die Formulierung „nach Warengruppen“ ist ebenfalls für den<br />
K<strong>und</strong>en nicht transparent.<br />
Hinsichtlich der Vorgänge der Datenverarbeitung ist die Einwilligungserklärung<br />
unzureichend informativ. Hier werden lediglich die Speicherung, Verarbeitung <strong>und</strong> Nutzung<br />
sowohl durch die CAP als auch durch die Partnerunternehmen genannt. Wer die K<strong>und</strong>endaten<br />
erhebt <strong>und</strong> ob bzw. über welchen Datenbestand die einzelnen Beteiligten verfügen, wird<br />
daraus nicht deutlich.<br />
Über die Zwecke der Datenverarbeitung wird der K<strong>und</strong>e hinreichend informiert. In der<br />
Überschrift wird der Zweck der Werbung zwar beschönigend als Beratung <strong>und</strong> Information<br />
beschrieben, aus der ausdrücklichen Benennung der Werbung (im Klammerzusatz <strong>und</strong> im<br />
Text der Erklärung) ergibt sich dieser Zweck aber zweifelsfrei.<br />
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung unter Benennung<br />
eines Ansprechpartners.
- 24 -<br />
Hinweise auf das Auskunftsrecht <strong>und</strong> die Löschung der Daten enthält die<br />
Einwilligungserklärung nicht; diese sind jedoch auch nicht zwingend erforderlich. Eine<br />
solche Aufklärung sowohl über das Auskunftsrecht als auch über die Löschung der Daten <strong>und</strong><br />
die Möglichkeit des Teilnehmers, die CAP oder Partnerunternehmen zur Löschung der Daten<br />
aufzufordern, erfolgt jedoch in den Hinweisen zum <strong>Datenschutz</strong>.<br />
2.2.1.4 Hervorhebung im Schriftbild<br />
Die Einwilligungserklärung wird gemeinsam mit der Erklärung über die Richtigkeit der<br />
Angaben <strong>und</strong> die Anerkennung der Allgemeinen Teilnahmebedingungen abgegeben. Die<br />
datenschutzrechtliche Einwilligung ist somit gemäß § 4a Abs. 1 Satz 4 BDSG im Schriftbild<br />
hervorzuheben. Beide Erklärungen sind ohne optische Trennung in gleicher Schrift direkt<br />
hintereinander auf dem Antragsformular abgedruckt. Die datenschutzrechtliche Einwilligung<br />
ist dabei mit einer gesonderten Überschrift versehen, die jedoch in der gleichen Schrift <strong>und</strong><br />
Größe wie der übrige Text gedruckt <strong>und</strong> von dem nachfolgenden Text auch nicht durch eine<br />
Leerzeile abgesetzt ist. Die Überschrift des gesamten Abschnitts ist zwar drucktechnisch<br />
hervorgehoben, enthält aber keinen Hinweis auf den Inhalt der nachfolgenden Erklärungen.<br />
Die erforderliche Hervorhebung ist somit nicht erfolgt.<br />
2.2.2 Allgemeine Beurteilung der Online-Anmeldung<br />
Bei der Beurteilung der Anmeldung über das Internet ergeben sich an einigen Stellen<br />
Abweichungen gegenüber der schriftlichen Anmeldung.<br />
Die hier verwandte Einwilligungserklärung lautet wie folgt:<br />
„Ich bin damit einverstanden, dass meine bei Happy Digits erhobenen<br />
persönlichen Daten (Namen, Anschrift, Geburtsdatum) <strong>und</strong> Programmdaten<br />
(Anzahl der gesammelten Digits, Art der gekauften Waren / Dienstleistungen<br />
<strong>und</strong> Ihre freiwilligen Angaben) von der CAP Customer Advantage Program<br />
GmbH („CAP“) als Betreiberin des Happy Digits Programms <strong>und</strong> den<br />
jeweiligen Partnerunternehmen zu schriftlichen Beratungs- <strong>und</strong><br />
Informationszwecken (Werbung) über Produkte <strong>und</strong> Dienstleistungen der<br />
jeweiligen Partnerunternehmen sowie zur Marktforschung gespeichert,<br />
verarbeitet <strong>und</strong> über die von mir unten ausgewählten Informationskanäle<br />
genutzt werden.<br />
Ihre Einwilligung ist freiwillig <strong>und</strong> hat keine Auswirkungen auf Ihre<br />
Teilnahme am Programm.<br />
Ihr Einverständnis können Sie jederzeit unter der Servicerufnummer ... (0,12<br />
Euro pro Minute aus dem Festnetz der Deutschen Telekom) oder schriftlich an<br />
das Happy Digits Service Team, 53248 Spich widerrufen.<br />
Personenbezogene Daten von Teilnehmern unter 18 Jahren werden<br />
automatisch nicht in Werbung <strong>und</strong> Marktforschung einbezogen.<br />
❏ Ich konnte vom Inhalt der <strong>Datenschutz</strong>hinweise (Link) Kenntnis<br />
nehmen <strong>und</strong> bin mit der o.g. Nutzung der Daten einverstanden.“<br />
Der erste wesentliche Unterschied zu der schriftlichen Einwilligung besteht darin, dass die<br />
Einwilligungserklärung im Internet als Opt-In gestaltet ist <strong>und</strong> in diesem Punkt anders als die
- 25 -<br />
schriftliche Einwilligung den Anforderungen genügt.<br />
Der zweite Unterschied ist ebenso gr<strong>und</strong>legend wie der erste: Anders als in der schriftlichen<br />
Einwilligung sind hier die Hinweise zum <strong>Datenschutz</strong> Bestandteil der Anmeldung<br />
geworden, so dass deren Inhalte ergänzend zur Einwilligungserklärung zur Beurteilung des<br />
Informationsgehaltes herangezogen werden können.<br />
Was sich im Hinblick auf die verantwortliche Stelle für die Datenverarbeitung in der<br />
Einwilligungserklärung bereits andeutet, nämlich dass sowohl die CAP als auch die<br />
Partnerunternehmen diese Funktion übernehmen, bestätigt sich in den Hinweisen zum<br />
<strong>Datenschutz</strong>. Dort heißt es im ersten Abschnitt unter der Überschrift „<strong>Datenschutz</strong>rechtliche<br />
Verantwortung“: „Wir, die CAP <strong>und</strong> die an Happy Digits beteiligten Partnerunternehmen,<br />
sind Ihnen gegenüber verantwortlich für die Einhaltung der gesetzlichen Bestimmungen,<br />
insbesondere nach dem B<strong>und</strong>esdatenschutzgesetz.“<br />
Im Hinblick auf die erfolgenden Vorgänge der Datenverarbeitung <strong>und</strong> die daran jeweils<br />
beteiligten Stellen sind jedoch auch die Hinweise zum <strong>Datenschutz</strong> zumindest im Hinblick<br />
auf die Verwendung zu Werbezwecken nicht wesentlich aufschlussreicher. Der entsprechende<br />
Abschnitt über die Verwendung zu Werbezwecken lautet wie folgt:<br />
„Wenn Sie in die Nutzung der persönlichen Daten <strong>und</strong> Programmdaten zu<br />
Beratung, Information (Werbung) <strong>und</strong> Marketing eingewilligt haben, werden<br />
diese bei den Partnerunternehmen erhobenen Daten von CAP treuhänderisch<br />
für diese gespeichert <strong>und</strong> auch von den Partnerunternehmen in den Grenzen der<br />
Einwilligung zu den genannten Zwecken ausgewertet <strong>und</strong> genutzt.“<br />
Die Verwendung der K<strong>und</strong>endaten durch die Partnerunternehmen wird in diesem<br />
Abschnitt nur unzulänglich beschrieben. So erfährt der K<strong>und</strong>e nicht, ob die<br />
Partnerunternehmen selbst auch speichernde Stellen sind. Vor allem aber bleibt unklar,<br />
welche Daten die jeweiligen Partnerunternehmen zu Werbezwecken verwenden, d.h. ob sie zu<br />
diesem Zweck nur Daten ihrer eigenen K<strong>und</strong>en verwenden oder ob sie auch auf die bei der<br />
CAP zu fremden K<strong>und</strong>en gespeicherten Daten zugreifen können. Hierin liegt aber ein so<br />
wesentlicher Unterschied, dass sich diese Information auch bereits aus dem Text der<br />
Einwilligungserklärung selbst ergeben sollte.<br />
2.2.3 Einzelne Vorgänge der Datenverarbeitung<br />
2.2.3.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten<br />
Auch im Rahmen des Happy Digits Programms ist die Erhebung <strong>und</strong> Verarbeitung einiger<br />
Stammdaten (hier Geburtsdatum) <strong>und</strong> Programmdaten (Waren- <strong>und</strong> Dienstleistungsgruppen)<br />
nur mit einer Einwilligung zulässig. Eine wirksame Einwilligung hierfür liegt jedoch aus den<br />
oben geschilderten Gründen nicht vor (siehe Pkt. 2.1).<br />
Hinsichtlich der Erhebung der freiwilligen Angaben (z.B. E-Mail-Adresse, Telefonnummer)<br />
liegt jedoch eine ausreichende Einwilligung unter Hinweis auf die Freiwilligkeit der Angaben<br />
vor (siehe Pkt. 2.2.1.2).<br />
2.2.3.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber
- 26 -<br />
Das kontaktierte Partnerunternehmen erhebt bei einer Anmeldung des K<strong>und</strong>en dessen<br />
Stammdaten <strong>und</strong> freiwillige Angaben sowie bei einem späteren Einsatz der Karte die<br />
Programmdaten. Sämtliche Daten werden durch das Partnerunternehmen an den<br />
Systembetreiber übermittelt.<br />
Dieser Vorgang wird nicht in der Einwilligungserklärung beschrieben. Eine ausreichende<br />
Beschreibung findet sich nur in den Hinweisen zum <strong>Datenschutz</strong>, die aber für die schriftliche<br />
Anmeldung nicht ergänzend herangezogen werden können. Gleichwohl ist die vorliegende<br />
Beschreibung in der Einwilligungserklärung als ausreichend anzusehen. Denn der K<strong>und</strong>e<br />
erfährt den Empfänger der Daten (CAP) <strong>und</strong> er erfährt auch aus dem Einwilligungstext,<br />
welche seiner Daten von der CAP verarbeitet werden. Es fehlt in der Einwilligung des Happy<br />
Digits Programms lediglich die Beschreibung, auf welche Weise die CAP diese K<strong>und</strong>endaten<br />
erlangt, ob sie also die Daten entweder selbst erhebt oder diese über ein Partnerunternehmen<br />
erhält. Dieser Unterschied ist für den K<strong>und</strong>en ohne wesentliche Bedeutung. Ist an der<br />
Datenbeschaffung der CAP ein Partnerunternehmen beteiligt, dann ist dieses dem K<strong>und</strong>en<br />
stets - auch in seiner Funktion als Partner des Happy Digits Programms - bekannt. Die<br />
Datenerhebung durch das Partnerunternehmen findet auf Gr<strong>und</strong> eigener Initiative des K<strong>und</strong>en<br />
statt, der entweder das Anmeldeformular dort abgibt oder seine K<strong>und</strong>enkarte vorlegt.<br />
Dieser Vorgang ist daher auf Gr<strong>und</strong> der Einwilligung des K<strong>und</strong>en zulässig.<br />
2.2.3.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Bereits der Einwilligungserklärung lässt sich entnehmen, dass die CAP die ebenfalls<br />
benannten K<strong>und</strong>endaten zu Werbezwecken speichert, verarbeitet <strong>und</strong> nutzt. Diese<br />
Beschreibung ist für sich genommen ausreichend.<br />
In diesem Punkt entsteht erst dann Unklarheit, wenn ergänzend die Hinweise zum<br />
<strong>Datenschutz</strong> betrachtet werden. Dort heißt es, die bei den Partnerunternehmen erhobenen<br />
Daten würden „treuhänderisch“ für diese durch die CAP gespeichert. Dies deutet darauf hin,<br />
dass die CAP als Auftragnehmerin für die Partnerunternehmen tätig wird. Ob tatsächlich eine<br />
Datenverarbeitung im Auftrag vorliegt, ist jedoch zweifelhaft.<br />
Eine Datenverarbeitung im Auftrag nach § 11 BDSG liegt vor, wenn der Auftraggeber zur<br />
Erledigung einer ihm obliegenden Aufgabe einen Auftragnehmer mit der Verarbeitung der<br />
dafür erforderlichen Daten beauftragt. Die Verantwortung für die Datenverarbeitung bleibt<br />
bei dem Auftraggeber, § 11 Abs. 1 BDSG. Von einer Auftragsdatenverarbeitung kann nur<br />
gesprochen werden, wenn eine Aufgabe an sich vom Auftraggeber wahrgenommen wird <strong>und</strong><br />
nur gewisse Hilfs- bzw. Unterstützungsfunktionen vom Auftragnehmer ausgeführt werden 6 .<br />
Eine Auftragsverarbeitung ist ausgeschlossen, wenn der Auftragnehmer ein eigenes Interesse<br />
an der Verarbeitung der Daten hat <strong>und</strong> so für eigene Zwecke tätig wird 7 .<br />
Wenn überhaupt, dann kann vorliegend eine Datenverarbeitung im Auftrag nur für den Zweck<br />
der Werbung <strong>und</strong> Marktforschung angenommen werden. Hierbei handelt es sich um eine<br />
Aufgabe der Partnerunternehmen. Bei der Bestimmung des Interesses an der Verarbeitung der<br />
Daten zu Werbezwecken treten jedoch Abgrenzungsschwierigkeiten auf. Das Interesse der<br />
Partnerunternehmen liegt auf der Hand. Das Interesse der CAP an der Verarbeitung zu<br />
Werbezwecken betrifft zunächst ihren Geschäftsbereich als „Unterstützer“ der<br />
6 Bergmann/Möhrle/Herb, § 11 Rn 8; Walz in: Simitis, BDSG, § 11 Rn 18 f.<br />
7 Weichert, DuD 2003, 161 (164).
- 27 -<br />
Partnerunternehmen bei Werbe- <strong>und</strong> Marktforschungsmaßnahmen. Dieses Interesse entspricht<br />
dem typischen Interesse des Auftragsdatenverarbeiters, dessen Geschäftsbereich die<br />
Unterstützung anderer Unternehmen ist. Daneben ist aber auch zu beachten, dass die CAP<br />
Betreiberin des gesamten Happy Digits Programms ist. Die Abwicklung des<br />
Bonusprogramms ist ihr eigenes Geschäftsfeld, das sie eigenverantwortlich betreibt. Die<br />
Datenverarbeitung für die Zwecke der Rabattabwicklung erfolgt unzweifelhaft in eigener<br />
Verantwortung der CAP. Werbeaktionen im Rahmen des Happy Digits Programms werden<br />
zwar primär für die Partnerunternehmen durchgeführt, sind aber vielfach auch Werbung in<br />
eigener Sache für Happy Digits <strong>und</strong> haben damit auch Wirkung für die CAP. Aufgr<strong>und</strong> dieser<br />
Aufgaben- <strong>und</strong> Interessenvermischung dürfte keine klare Trennung der Interessen in solche<br />
der Partnerunternehmen <strong>und</strong> solche des Systembetreibers vorgenommen werden können.<br />
Auch steht die Annahme einer Auftragsdatenverarbeitung im Widerspruch zu der Aussage in<br />
den Hinweisen zum <strong>Datenschutz</strong>, die CAP sei gegenüber dem K<strong>und</strong>en verantwortlich für die<br />
Einhaltung der datenschutzrechtlichen Bestimmungen. Eine Einschränkung wird hier nicht<br />
vorgenommen, wäre aber erforderlich, wenn für den Zweck der Werbung <strong>und</strong><br />
Marktforschung ausschließlich die Partnerunternehmen verantwortlich wären.<br />
Zusammenfassend ist festzuhalten, dass die Einwilligungserklärung für diesen Vorgang der<br />
Datenverarbeitung ausreichend ist. Die Hinweise zum <strong>Datenschutz</strong> enthalten zwar die<br />
irreführende Formulierung der „treuhänderischen“ Datenverarbeitung. Da sich aus dem<br />
Gesamtzusammenhang ergibt, dass die CAP auch für diesen Vorgang verantwortliche Stelle<br />
ist, wird die Wirksamkeit der Einwilligung hierdurch nicht berührt.<br />
2.2.3.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Die Einwilligungserklärung des K<strong>und</strong>en bezieht sich ausschließlich auf die Zwecke der<br />
Werbung <strong>und</strong> Marktforschung. Ein Hinweis auf diesen Zweck wäre für eine Einwilligung in<br />
die Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen für sich genommen nicht ausreichend. Im<br />
Hinblick auf diese Zielrichtung werden die Hinweise zum <strong>Datenschutz</strong> deutlicher. Diese<br />
werden aber nicht in allen Fällen wirksam in den Vertrag einbezogen <strong>und</strong> können somit als<br />
Ergänzung der Einwilligungserklärung nur in bestimmten Fällen herangezogen werden (siehe<br />
Pkte. 2.2.1 <strong>und</strong> 2.2.2).<br />
In den Hinweisen zum <strong>Datenschutz</strong> wird unter der Überschrift „Transparenz <strong>und</strong><br />
Datennutzung“ ausgeführt, dass personenbezogene Daten des K<strong>und</strong>en u.a. verarbeitet werden,<br />
um den K<strong>und</strong>en bei entsprechender Einwilligung maßgeschneiderte Angebote <strong>und</strong> gezielte<br />
Tipps zum Sammeln von noch mehr Digits <strong>und</strong> Informationen geben zu können. Zweck sei es<br />
auch, dem K<strong>und</strong>en Informationen, an denen dieser nach eigenen Angaben nicht interessiert<br />
ist, zu ersparen. Hieraus kann der K<strong>und</strong>e schließen, dass die Werbeansprache durch die CAP<br />
gezielt <strong>und</strong> auf der Gr<strong>und</strong>lage von weiteren Informationen als Name <strong>und</strong> Adresse<br />
vorgenommen wird. Er kann daraus ersehen, dass seine Daten zu dem Zweck verarbeitet<br />
werden, seine Interessensschwerpunkte herauszufinden <strong>und</strong> diese Erkenntnisse für gezielte<br />
Werbemaßnahmen nutzbar zu machen. Nicht übersehen kann der K<strong>und</strong>e jedoch, welche<br />
Daten in diesen Prozess einfließen <strong>und</strong> auf welche Weise diese ausgewertet werden.<br />
Abgesehen davon, dass die Hinweise zum <strong>Datenschutz</strong> für viele Anmeldungen rechtlich nicht<br />
von Bedeutung sind, wäre diese Beschreibung noch nicht hinreichend deutlich, um dem<br />
K<strong>und</strong>en die Tragweite seiner Einwilligung auf die Bildung von Profilen bewusst zu machen.<br />
2.2.3.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen
- 28 -<br />
Nach der Beschreibung in der Einwilligungserklärung speichern, verarbeiten <strong>und</strong> nutzen auch<br />
die Partnerunternehmen die K<strong>und</strong>endaten zu Zwecken der Werbung <strong>und</strong> Marktforschung. Der<br />
Umfang dieser Nutzung ergibt sich hieraus jedoch nicht, d.h. es bleibt unklar, ob<br />
Partnerunternehmen auch andere Daten als die ihrer eigenen K<strong>und</strong>en erhalten.<br />
Nach Auskunft der CAP ist dies nicht der Fall; Partnerunternehmen haben danach immer nur<br />
Zugriff auf den Datenbestand ihrer eigenen K<strong>und</strong>en.<br />
Hält sich die Datenverarbeitung durch die Partnerunternehmen in diesem Rahmen, ist sie<br />
durch die Einwilligung des K<strong>und</strong>en gedeckt. Dieser ist darüber aufgeklärt, dass die<br />
Partnerunternehmen K<strong>und</strong>endaten zu Werbe- <strong>und</strong> Marktforschungszwecken verwenden. Über<br />
seinen Karteneinsatz kann er die Empfänger der Daten selbst auswählen.<br />
Für die Übermittlung von weiteren Daten als die der eigenen K<strong>und</strong>en bietet die<br />
Einwilligungserklärung keine hinreichende Gr<strong>und</strong>lage. Da dies Partnerunternehmen umfassen<br />
würde, die dem K<strong>und</strong>en u.U. nicht persönlich bekannt sind <strong>und</strong> er mit einer Übermittlung<br />
seiner Daten an solche Unternehmen nicht rechnen würde, wäre hierfür ein ausdrücklicher<br />
Hinweis erforderlich.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems<br />
Happy Digits sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des Teilnehmers.<br />
- Erhebung der Waren- bzw. Dienstleistungsgruppe beim Einsatz der K<strong>und</strong>enkarte.<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Verwendung der so genannten Streichlösung<br />
- Unzureichende Information des K<strong>und</strong>en über die Vorgänge der Datenverarbeitung,<br />
insbesondere darüber, welche Vorgänge bei den am Programm Beteiligten<br />
(Systembetreiber <strong>und</strong> Partnerunternehmen) ablaufen.<br />
- Unzureichende optische Hervorhebung der Einwilligungserklärung.
3. Lufthansa Miles & More<br />
- 29 -<br />
Mit inzwischen 10 Jahren ist Lufthansa Miles & More das älteste <strong>und</strong> erste<br />
unternehmensübergreifende K<strong>und</strong>enbindungssystem dieser Art auf dem deutschen Markt. Im<br />
Januar 1993 wurde das Vielfliegerprogramm eingeführt <strong>und</strong> konnte seitdem mehr als 7<br />
Millionen Teilnehmer gewinnen 8 .<br />
Meldet sich ein K<strong>und</strong>e für das Vielfliegerprogramm an, so richtet die Deutsche Lufthansa für<br />
ihn ein so genanntes Meilenkonto ein <strong>und</strong> stellt dem Teilnehmer eine Miles & More Karte<br />
aus. Unter Vorlage dieser Karte erhält der Teilnehmer bei einer Vielzahl von Unternehmen<br />
für eine mindestens ebenso große Vielzahl von Leistungen „Meilengutschriften“. Dies gilt<br />
nicht nur für die Buchung von Flügen bei der Lufthansa oder Partnerfluggesellschaften 9 ,<br />
sondern u.a. auch bei der Buchung von Hotelübernachtungen oder Mietwagen, beim<br />
Telefonieren oder beim Abonnieren einer Zeitung. Möglich ist es außerdem, Bonusmeilen<br />
durch den Einsatz der Payback Karte zu sammeln.<br />
Die so gesammelten Meilen können die Teilnehmer für verschiedene Prämien einlösen. Die<br />
Vielfalt der Prämien erschöpft sich nicht in Flügen oder Upgrades der Lufthansa oder<br />
Partnerfluggesellschaften. Sie erstreckt sich auch auf Hotelübernachtungen, Mietwagen,<br />
Finanzlösungen der Deutschen Bank, Sachprämien aus dem Lufthansa Sky Shop <strong>und</strong> vieles<br />
mehr. Möchte der K<strong>und</strong>e seine Meilen in eine Prämie einlösen, so fordert er diese bei der<br />
Lufthansa an. Die Lufthansa stellt dem Teilnehmer daraufhin ein Prämiendokument, d.h.<br />
einen Flugschein oder ein Zertifikat für eine andere Prämie, aus. Sachprämien werden über<br />
den Lufthansa Sky Shop eingelöst <strong>und</strong> an den Teilnehmer versandt.<br />
Neben diesen Prämienmeilen sammelt der Miles & More-Teilnehmer auch so genannte<br />
Statusmeilen. Die Statusmeilen haben Auswirkungen auf die Einstufung des K<strong>und</strong>en im Miles<br />
& More Programm. Teilnehmer mit einer hohen Anzahl solcher Meilen erwerben automatisch<br />
einen besonderen Status, je nach Anzahl entweder den Frequent Traveller- oder den<br />
Senatorenstatus, die mit besonderen Vorzügen verb<strong>und</strong>en sind. Einer dieser Vorzüge besteht<br />
darin, dass die Teilnehmer mit besonderem Status eine um 25% höhere Gutschrift sowohl von<br />
Prämien- als auch von Statusmeilen erwerben.<br />
Auch die Miles & More Karte ist mit einer Kreditkartenfunktion als Miles & More Visa Karte<br />
erhältlich.<br />
3.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung <strong>und</strong> Speicherung von Stammdaten durch das Partnerunternehmen<br />
Eine Anmeldung der K<strong>und</strong>en für das Miles & More Programm erfolgt stets bei der Lufthansa.<br />
Über das Anmeldeformular werden folgende Stammdaten des K<strong>und</strong>en abgefragt:<br />
8 Angaben von der Deutschen Lufthansa AG.<br />
9 Miles & More Partnerunternehmen sind derzeit die Fluggesellschaften Air Dolomiti, Air One, Austrian<br />
Airlines Group, Eurowings <strong>und</strong> LOT Polish Airlines. Meilen können daneben auch bei sämtlichen Partnern der<br />
Star Alliance gesammelt <strong>und</strong> eingelöst werden.
Name<br />
Anschrift<br />
Geburtsdatum<br />
Telefon<br />
Fax<br />
- 30 -<br />
Daneben ist jeweils anzugeben, ob es sich um eine private oder geschäftliche Anschrift bzw.<br />
Telefon- / Faxnummer handelt. Welche der beiden Möglichkeiten er wählt, ist dem K<strong>und</strong>en<br />
freigestellt. Wählt er die Geschäftsadresse, so ist auch der Firmenname <strong>und</strong> die Abteilung<br />
anzugeben.<br />
Nach Angaben der Deutschen Lufthansa AG handelt es sich bei der Angabe des<br />
Geburtsdatums um eine freiwillige Angabe. Diese ist jedoch im Antragsformular nicht als<br />
freiwillig gekennzeichnet, so dass mangels Freiwilligkeit nicht von der erforderlichen<br />
Einwilligung des K<strong>und</strong>en ausgegangen werden kann.<br />
Die Angabe der Telefon- <strong>und</strong> Faxnummer ist zur Vereinfachung der Vertragsabwicklung<br />
sinnvoll <strong>und</strong> gr<strong>und</strong>sätzlich zulässig, jedoch sollte dem K<strong>und</strong>en bei der Angabe mehrerer<br />
zusätzlicher Kommunikationsmöglichkeiten freigestellt werden, die Angabe auf ein weiteres<br />
Datum zu beschränken.<br />
Gibt der K<strong>und</strong>e eine geschäftliche Adresse an, so geben die Angaben über Firmennamen <strong>und</strong><br />
Abteilung Aufschluss über die berufliche Tätigkeit des Teilnehmers. Um den Teilnehmer über<br />
die von ihm angegebene Firmenadresse kontaktieren zu können, sind diese zusätzlichen<br />
Angaben erforderlich, so dass deren Erhebung trotz des weiter gehenden Informationsgehalts<br />
über den K<strong>und</strong>en gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig ist.<br />
Ebenfalls ist die Speicherung der zulässig erhobenen Daten rechtmäßig.<br />
- Erhebung der Programmdaten<br />
Anders als bei den bislang untersuchten <strong>K<strong>und</strong>enbindungssysteme</strong>n fungiert die Lufthansa im<br />
Miles & More Programm nicht nur als Systembetreiber, sondern ist gleichzeitig auch ein<br />
beteiligtes Partnerunternehmen, für dessen Leistungen Bonuspunkte erworben <strong>und</strong> eingelöst<br />
werden können.<br />
Die Programmdaten werden im Rahmen des Miles & More Programms also sowohl von der<br />
Lufthansa als auch von den übrigen Partnerunternehmen erhoben.<br />
Die teilnehmenden Fluggesellschaften erheben über den Einsatz der Miles & More Karte bei<br />
Inanspruchnahme von Flugleistungen folgende Daten 10 :<br />
Flugnummer<br />
Reisedatum<br />
Beförderungsklasse<br />
Abflug- <strong>und</strong> Zielflughafen<br />
Für eine ordnungsgemäße Verwaltung der Bonusmeilen sind diese Angaben erforderlich im<br />
Sinne des § 28 Abs. 1 Nr. 1 BDSG. Ihre Erhebung ist damit zulässig. Auch die genaue<br />
10 Angaben der Deutschen Lufthansa AG.
- 31 -<br />
Kenntnis über den Flug (Flugnummer <strong>und</strong> Flugstrecke) ist erforderlich, um eine richtige<br />
Berechnung der gutgeschriebenen Meilen nachprüfen zu können. Während bei einem<br />
Wareneinkauf etwa im Rahmen von Payback oder Happy Digits zur Berechnung der<br />
Punktegutschrift nur der Warenumsatz des K<strong>und</strong>en bekannt sein muss, erfordert die<br />
Berechnung der gutzuschreibenden Meilen die Kenntnis der Flugverbindung. Denn<br />
Gr<strong>und</strong>lage für die Berechnung der Bonusmeilen ist nicht der Preis des Flugtickets, sondern<br />
die geflogene Strecke. Zusätzlich wird auch die Beförderungsklasse für die Berechnung der<br />
Meilengutschrift herangezogen. So erhalten Passagiere in der Business Class die zweifache<br />
<strong>und</strong> Passagiere der First Class die dreifache Anzahl von Prämien- <strong>und</strong> Statusmeilen.<br />
Partner, die keine Flugleistungen anbieten, erheben folgende Daten 11 :<br />
Aktivität (z.B. Autovermietung, Hotelbuchung)<br />
Höhe der Meilengutschrift<br />
Zusätzlich zu diesen Angaben dürfte regelmäßig auch das Datum der Leistung <strong>und</strong> die<br />
Kennung des Partnerunternehmens erhoben werden, da diese Daten erforderlich sind, um die<br />
ordnungsgemäße Gutschrift der Bonusmeilen nachvollziehen zu können. Analog zu den<br />
bereits untersuchten Systemen stellt sich auch hier die Frage, ob die Erhebung der Aktivität<br />
ähnlich der Waren- oder Dienstleistungsgruppe erforderlich ist. Ist Gr<strong>und</strong>lage für die<br />
Berechnung der Bonusgutschrift der Umsatz des K<strong>und</strong>en, so ist die Kenntnis der Art der<br />
Aktivität nicht erforderlich.<br />
- Übermittlung an den Systembetreiber<br />
Die Übermittlung der zulässig von den Partnerunternehmen erhobenen Daten an die<br />
Lufthansa ist ebenfalls zulässig.<br />
- Speicherung der Programmdaten durch den Systembetreiber<br />
Gleiches gilt insoweit für die Speicherung der Daten durch die Lufthansa.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Die Erlangung einer Auskunft über die zur Person gespeicherten Daten ist im Rahmen von<br />
Miles & More möglich. Nach Angaben der Deutschen Lufthansa AG werden solche Ersuchen<br />
durch den betrieblichen <strong>Datenschutz</strong>beauftragten <strong>und</strong> über das Miles & More Servicecenter<br />
bearbeitet.<br />
3.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
3.2.1 Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)<br />
Die im Antragsformular für das Miles & More Programm verwendete Einwilligungserklärung<br />
(im Folgenden bezeichnet als allgemeine Einwilligungserklärung) lautet wie folgt:<br />
„Ich bin damit einverstanden, dass meine Daten mit Miles & More<br />
11 Angaben der Deutschen Lufthansa AG.
- 32 -<br />
Partnergesellschaften oder Dritten (nur Name, Titel, Anschrift) zu<br />
Werbezwecken ausgetauscht <strong>und</strong> verarbeitet werden. (Falls nicht, Satz bitte<br />
streichen).<br />
Wenn Sie unsere Angebote künftig nicht mehr erhalten möchten, können Sie<br />
der Verwendung Ihrer Daten für Werbezwecke widersprechen unter: Tel.“<br />
Daneben enthält das Formular auch Möglichkeiten, jeweils in eine Information per SMS<br />
oder E-Mail einzuwilligen. Diese Einwilligungen (im Folgenden bezeichnet als besondere<br />
Einwilligungserklärungen) haben folgenden Wortlaut:<br />
„Hiermit willige ich ein * , dass die nachfolgend aufgeführten <strong>und</strong> durch<br />
Ankreuzen kenntlich gemachten Unternehmen mir ab sofort dringende<br />
Informationen sowie während der Dauer meiner Reisen verfügbare aktuelle<br />
Informationen zum Reiseverlauf per SMS senden<br />
❑ Deutsche Lufthansa AG oder ein Unternehmen des Lufthansa Konzerns<br />
❑ Miles & More Partnerunternehmen (derzeit: Air Dolomiti, Air One,<br />
Austrian Airlines Group, Eurowings, LOT Polish Airlines).<br />
Hiermit willige ich ein * , von den nachfolgend aufgeführten <strong>und</strong> durch<br />
Ankreuzen kenntlich gemachten Unternehmen per E-Mail über Angebote,<br />
Aktionen, neue Services <strong>und</strong> weitere interessante Themen von Lufthansa,<br />
Lufthansa Konzern- sowie Partnerunternehmen informiert zu werden.<br />
❑ Deutsche Lufthansa AG oder ein Unternehmen des Lufthansa Konzerns<br />
❑ Miles & More Partnerunternehmen (derzeit: Air Dolomiti, Air One,<br />
Austrian Airlines Group, Eurowings, LOT Polish Airlines).<br />
* Mir ist bekannt, dass ich diese Einwilligung jederzeit (insgesamt oder zum<br />
Teil) bei der Deutschen Lufthansa AG als verantwortlicher Stelle widerrufen<br />
kann.“<br />
3.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Durch die Unterschrift des K<strong>und</strong>en auf dem Anmeldeformular ist die Schriftform gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die allgemeine Einwilligungserklärung bezieht sich auf den Austausch <strong>und</strong> die Verarbeitung<br />
von Name, Titel <strong>und</strong> Anschrift. Die Verarbeitung dieser Daten ist bereits auf der gesetzlichen<br />
Gr<strong>und</strong>lage der §§ 28 Abs. 1 Nr. 2, Abs. 3 Nr. 3 BDSG zulässig, so dass es einer Einwilligung<br />
nicht zwingend bedarf. Da die Verarbeitung in diesem Fall nicht über das gesetzliche Maß<br />
hinausgeht, sind an die Form der Erklärung nicht die im Anforderungsprofil für
- 33 -<br />
<strong>K<strong>und</strong>enbindungssysteme</strong> herausgearbeiteten Anforderungen zu stellen. Es bedarf hier damit<br />
keiner ausdrücklichen Erklärung durch ein aktives Tun.<br />
Die besonderen Einwilligungen werden nicht ohne ein Zutun des K<strong>und</strong>en erklärt. Die<br />
Erklärung erfordert zum einen die Angabe der Mobilfunknummer oder E-Mail-Adresse <strong>und</strong><br />
zum anderen die Auswahl der zu ermächtigenden Unternehmen. Hierin liegt eine den oben<br />
dargestellten Anforderungen genügende Erklärung des K<strong>und</strong>en.<br />
3.2.1.2 Freie Entscheidung<br />
Ein ausdrücklicher Hinweis auf die Freiwilligkeit sämtlicher abgedruckter<br />
Einwilligungserklärungen fehlt. Hinsichtlich der allgemeinen Einwilligung ergibt sich die<br />
Freiwilligkeit nur mittelbar aus der Streichoption. Diese Darstellung ist nicht ausreichend,<br />
hier ist ein deutlicher Hinweis erforderlich. Hinsichtlich der anderen Einwilligungen ergibt<br />
sich die Freiwilligkeit der Einwilligung mit hinreichender Deutlichkeit aus dem<br />
Gesamtzusammenhang <strong>und</strong> den Auswahlmöglichkeiten bezüglich der werbenden<br />
Unternehmen.<br />
3.2.1.3 Information des K<strong>und</strong>en<br />
Dass die Lufthansa verantwortliche Stelle für die Datenverarbeitung ist, ist zwar im<br />
Antragsformular erwähnt, doch kann dieser Hinweis nicht als ausreichend angesehen werden.<br />
Er befindet sich am linken unteren Rand des Formulars in kleiner Schrift in einem mit *<br />
gekennzeichneten Zusatz. Dieser Zusatz bezieht sich auf die Einwilligungserklärungen in den<br />
SMS- bzw. E-Mail-Versand. Wer diese Einwilligungen jedoch nicht erklärt, hat keine<br />
Veranlassung, den mit * gekennzeichneten Text überhaupt zu lesen, obwohl die Information<br />
über die verantwortliche Stelle für alle Teilnehmer von Bedeutung ist.<br />
Über die Identität der beteiligten Miles & More Partnerunternehmen, die auch nach der<br />
allgemeinen Einwilligungserklärung Daten über die Teilnehmer erhalten sollen, wird<br />
ebenfalls nur in den besonderen Einwilligungserklärungen aufgeklärt. Auch hier ist aber ein<br />
allgemein gültiger Hinweis erforderlich.<br />
Die zu Werbezwecken verarbeiteten Daten werden in der allgemeinen<br />
Einwilligungserklärung genannt, so dass hier die Voraussetzungen des § 4a BDSG erfüllt<br />
sind.<br />
Hinsichtlich der Vorgänge der Datenverarbeitung sind die Angaben in der allgemeinen<br />
Einwilligungserklärung ungenau. Es erfolgt kein Hinweis darauf, wer die genannten Daten<br />
speichert <strong>und</strong> in welche Richtungen der dort genannte Austausch von Daten stattfindet.<br />
Noch ungenauer ist diese Erklärung im Hinblick auf die Empfänger der dort genannten<br />
Daten. Es ist zum einen nicht deutlich, ob Partnerunternehmen im Rahmen des Austausches<br />
nur über eigene K<strong>und</strong>en Daten erlangen. Zum anderen sind die empfangenden Dritten nicht<br />
näher präzisiert, was jedoch erforderlich ist.<br />
Auf die Möglichkeit des Widerrufs der Einwilligung bzw. auf das Widerspruchsrecht nach<br />
§ 28 Abs. 4 BDSG wird der K<strong>und</strong>e hingewiesen. Es fehlt jedoch eine Belehrung über die<br />
Folgen des Widerrufs bzw. Widerspruchs für die Teilnahme am Miles & More Programm.<br />
Dieser Mangel wiegt hier besonders schwer, da auch bezüglich der Erteilung der<br />
Einwilligungserklärung schon nicht auf deren Freiwilligkeit <strong>und</strong> Verweigerungsfolgen
hingewiesen wurde.<br />
- 34 -<br />
Hinweise auf das Auskunftsrecht der Teilnehmer sowie auf die Löschung der erhobenen<br />
Daten erfolgen in dem Anmeldeformular in Papierform nicht. Ein Hinweis auf das<br />
Auskunftsrecht findet sich aber auf der Homepage im Dokument<br />
„<strong>Datenschutz</strong>bestimmungen“.<br />
3.2.1.4 Hervorhebung im Schriftbild<br />
Die allgemeine Einwilligung in die Verarbeitung zu Werbezwecken wird gemeinsam mit der<br />
Anmeldung zur Teilnahme abgegeben <strong>und</strong> bedarf daher einer drucktechnischen<br />
Hervorhebung. Diese erfolgt im Anmeldeformular nicht einmal ansatzweise. Die<br />
datenschutzrechtliche Einwilligungserklärung befindet sich in kleiner Schrift gemeinsam mit<br />
Hinweisen auf die Teilnahmebedingungen im linken unteren Bereich des Anmeldeformulars<br />
<strong>und</strong> kann eher als versteckt denn als hervorgehoben beschrieben werden.<br />
Die optische Hervorhebung der anderen Einwilligungserklärungen ist dagegen durch eine -<br />
hier vollkommen ausreichende - schwarze Umrandung erfolgreich umgesetzt.<br />
3.2.2 Allgemeine Beurteilung der Online-Anmeldung<br />
Hinsichtlich der Erhebung der Stammdaten unterscheidet sich die Online-Anmeldung dadurch<br />
von dem schriftlichen Formular, dass in der ersteren die Angabe des Geburtsdatums freiwillig<br />
ist.<br />
Die Erhebung des Geburtsdatums ist somit auf Gr<strong>und</strong> einer Einwilligung des K<strong>und</strong>en<br />
rechtmäßig.<br />
Die allgemeine Einwilligung in den Austausch <strong>und</strong> die Verarbeitung von Name, Titel <strong>und</strong><br />
Anschrift zu Werbezwecken ist im Online-Formular durch eine Ankreuzmöglichkeit als Opt-<br />
In gelöst.<br />
3.2.3 Einzelne Vorgänge der Datenverarbeitung<br />
3.2.3.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten<br />
Aufgr<strong>und</strong> der Einwilligungserklärung ist nur die Erhebung der dort aufgeführten Daten<br />
Name, Titel <strong>und</strong> Anschrift zu Werbezwecken zulässig. Die Erhebung von weiteren Daten -<br />
dies betrifft insbesondere sämtliche Programmdaten - ist hierdurch nicht gedeckt.<br />
3.2.3.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber<br />
Eine Übermittlung von K<strong>und</strong>endaten an die Lufthansa durch Partnerunternehmen findet nur<br />
bezüglich der Programmdaten statt. Stammdaten wie die in der Einwilligungserklärung<br />
genannten werden durch die Lufthansa erhoben.<br />
3.2.3.3 Speicherung <strong>und</strong> weitere Verarbeitung durch den Systembetreiber<br />
Auch hier kommt die Einwilligung nur für die Nutzung von Name, Titel <strong>und</strong> Anschrift zu<br />
Werbezwecken in Betracht.
- 35 -<br />
Eine Verarbeitung von weiteren Daten zu Werbezwecken, insbesondere der Programmdaten,<br />
wäre weder auf Gr<strong>und</strong>lage der Einwilligung noch auf Gr<strong>und</strong> einer gesetzlichen<br />
Verarbeitungsbefugnis zulässig. Der begrenzte Umfang der vorliegenden<br />
Einwilligungserklärung bezieht diese Daten nicht ein <strong>und</strong> gesetzliche Rechtsgr<strong>und</strong>lagen sind<br />
nicht erfüllt. Als Rechtsgr<strong>und</strong>lage für die Verarbeitung der Programmdaten durch die<br />
Lufthansa kommt vorliegend § 28 Abs. 1 Nr. 2 BDSG in Betracht. Dies setzt voraus, dass die<br />
Nutzung für Werbezwecke bereits bei der Erhebung der Programmdaten als Zweck der<br />
Datenverarbeitung festgelegt wurde. Ist dies nicht der Fall, ändert sich die rechtliche<br />
Bewertung jedoch nicht. Die Verwendung zu Werbezwecken wäre dann eine Zweckänderung,<br />
für die die Voraussetzungen des § 28 Abs. 2 BDSG gelten, der seinerseits wiederum auf § 28<br />
Abs. 1 Nr. 2 BDSG verweist.<br />
Die Voraussetzungen des § 28 Abs. 1 Nr. 2 BDSG sind vorliegend jedoch nicht erfüllt. Die<br />
Verarbeitung von personenbezogenen Daten ist danach nur zulässig, soweit es zur Wahrung<br />
berechtigter Interessen der verantwortlichen Stelle erforderlich ist <strong>und</strong> kein Gr<strong>und</strong> zu der<br />
Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der<br />
Verarbeitung oder Nutzung überwiegt. Letzteres ist vorliegend der Fall. Die Lufthansa erhält<br />
durch die Abwicklung des Miles & More Programms eine Vielzahl von Daten über die<br />
Teilnehmer, deren Auswertung zu Marktforschungs- oder Werbezwecken einen<br />
aussagekräftigen Aufschluss über die Person des Teilnehmers ergeben kann. Je nach<br />
Einsatzhäufigkeit der Miles & More Karte können mehr oder weniger aufschlussreiche<br />
Bewegungsprofile erstellt oder Vorlieben für bestimmte Reiseziele aufgedeckt werden.<br />
Sowohl über die berufliche Tätigkeit des Teilnehmers als auch über dessen Privatleben<br />
können so Erkenntnisse gewonnen werden. Einer Profilbildung können schutzwürdige<br />
Interessen der betroffenen Teilnehmer entgegen stehen, die das Marketinginteresse der<br />
Lufthansa überwiegen. Welche schädigenden Wirkungen mit solchen Daten verursacht<br />
werden können, hat sich durch die Veröffentlichung der Angaben zu prominenten Politikern<br />
im Rahmen der so genannten Miles & More-Affäre gezeigt 12 .<br />
3.2.3.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Die Einwilligungserklärung für das Lufthansa Miles & More Programm nennt als Zweck der<br />
Datenverarbeitung den der Werbung. Die Erstellung von K<strong>und</strong>enprofilen wäre auf Gr<strong>und</strong>lage<br />
dieser Zweckangabe nicht zulässig (siehe oben).<br />
3.2.3.5 Speicherung <strong>und</strong> weitere Verarbeitung durch das Partnerunternehmen<br />
Die Einwilligungserklärung sieht vor, dass die Miles & More Partnergesellschaften Name,<br />
Titel <strong>und</strong> Anschrift zu Werbezwecken erlangen. Welches diese Partnerunternehmen sind,<br />
ergibt sich aus der Einwilligungserklärung nicht, ist aber im Zusammenhang mit den<br />
besonderen Einwilligungserklärungen zu erschließen.<br />
Nach Auskunft der Deutschen Lufthansa AG werden jedoch auch weitere Daten an die<br />
Kooperationspartner übermittelt. Die Partner-Fluggesellschaften (Austrian Airlines, LOT<br />
Polish Airlines, Eurowings, Air One, Air Dolomiti) erhalten über Teilnehmer, die bereits<br />
einmal mit dem Unternehmen geflogen sind oder die im Heimatmarkt der Gesellschaft<br />
wohnen 13 , Stammdaten <strong>und</strong> die Flugdaten des jeweiligen Partners. Mit entsprechender<br />
12 Dazu DANA 4/2002, S. 18.<br />
13 Dieses sind folgende Einzugsgebiete: Austrian Airlines: Österreich <strong>und</strong> Schweiz; LOT: Polen; Air Dolomiti:
- 36 -<br />
Einwilligung des Teilnehmers wird auch die E-Mail-Adresse übermittelt.<br />
An sonstige Partnerunternehmen, etwa die Partnergesellschaften aus dem Star-Alliance-<br />
Verb<strong>und</strong> oder weitere Partnerunternehmen, die nicht Fluggesellschaften sind, werden nach<br />
Auskunft der Deutschen Lufthansa AG keine K<strong>und</strong>endaten übermittelt. Diese<br />
Partnerunternehmen haben keine Möglichkeit, Daten der Miles & More Teilnehmer zu<br />
Werbezwecken zu nutzen.<br />
3.2.3.6 Übermittlung an Dritte <strong>und</strong> Verwendung zu Werbezwecken<br />
Die Einwilligungserklärung sieht auch eine Übermittlung von Name, Titel <strong>und</strong> Anschrift der<br />
Teilnehmer an Dritte vor. Wegen ihrer Unbestimmtheit bezüglich der Empfänger der Daten<br />
kann die Einwilligungserklärung eine solche Übermittlung nicht rechtfertigen.<br />
Nach Auskunft der Deutschen Lufthansa AG findet eine Übermittlung von Teilnehmerdaten<br />
an Dritte nicht statt. Diese Aussage findet sich auch auf der Homepage des Miles & More<br />
Programms in dem Dokument „<strong>Datenschutz</strong>bestimmungen“.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems<br />
Lufthansa Miles & More sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des K<strong>und</strong>en im Antragsformular<br />
Die Einwilligungserklärung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Unzureichender Hinweis auf die verantwortliche Stelle,<br />
- unzureichender Hinweis auf die beteiligten Partnerunternehmen bei der allgemeinen<br />
Einwilligungserklärung,<br />
- unzureichender Hinweis auf die Vorgänge der Datenverarbeitung <strong>und</strong> Empfänger der<br />
Daten,<br />
- fehlender Hinweis auf die Folgen des Widerrufs,<br />
- fehlende optische Hervorhebung der allgemeinen Einwilligungserklärung.<br />
Italien.
4. webmiles<br />
- 37 -<br />
Das Programm webmiles wird seit 1999 in Deutschland von der webmiles GmbH, an der u.a.<br />
die Bertelsmann Services Group beteiligt ist, betrieben. Zur Teilnahme am Programm ist eine<br />
Registrierung des K<strong>und</strong>en erforderlich, die dieser direkt bei webmiles oder einem der<br />
webmiles Partnerunternehmen vornehmen kann. Die webmiles GmbH richtet für jeden<br />
Teilnehmer ein so genanntes webmiles Konto ein, auf dem die bei den Partnerunternehmen<br />
gesammelten Bonuspunkte in Form von so genannten webmiles gutgeschrieben werden.<br />
Solche webmiles können für verschiedene Leistungen der angeschlossenen<br />
Partnerunternehmen erworben werden. Partnerunternehmen sind zum Beispiel der ADAC,<br />
American Express, die Berliner Sparkasse, Deutsche BA, debitel, buecher.de oder Rossman<br />
Online.<br />
Außerdem können webmiles Teilnehmer auch für umsatzunabhängige Aktivitäten<br />
Bonuspunkte erlangen. Die webmiles GmbH bietet über das Programm webmiles direkt den<br />
webmiles Teilnehmern bestimmte Leistungen an, für die sie Bonuspunkte erwerben können.<br />
Die Anmeldung zu dem Service webmiles direkt wird bereits mit 500 webmiles belohnt.<br />
Dafür erklärt sich der Teilnehmer bereit, Werbung per E-Mail zu empfangen <strong>und</strong> an<br />
Befragungen teilzunehmen, was jeweils mit Bonuspunkten belohnt wird. Gleichzeitig gibt der<br />
Teilnehmer weitere Daten zu seiner Person <strong>und</strong> seinen Interessen preis.<br />
4.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch das Partnerunternehmen<br />
Die Anmeldung für das webmiles Programm kann entweder bei webmiles oder bei einem der<br />
am Programm beteiligten Partnerunternehmen erfolgen. Dabei werden folgende Stammdaten<br />
des Antragstellers erhoben:<br />
Name<br />
Anschrift<br />
Geburtsdatum<br />
E-Mail-Adresse<br />
Die Erhebung des Geburtsdatums ist zur Rabattabwicklung nicht erforderlich <strong>und</strong> somit<br />
unzulässig.<br />
Meldet sich ein Teilnehmer für das zusätzliche Programm webmiles direkt an, werden auf<br />
freiwilliger Basis zusätzlich weitere Daten über den Teilnehmer erhoben, wie etwa Angaben<br />
zur Ausbildung, zu Hobbies <strong>und</strong> zur Nutzung des Internets.<br />
- Übermittlung der Stammdaten an den Systembetreiber<br />
Werden die Daten bei einem der Partnerunternehmen erhoben, so übermittelt dieses die Daten<br />
im Anschluss an die webmiles GmbH. Soweit die Datenerhebung zulässig ist, ist auch eine<br />
solche Übermittlung zulässig.
- Speicherung durch den Systembetreiber<br />
- 38 -<br />
Gleiches gilt für die Speicherung der Daten bei der webmiles GmbH.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Daten über Geschäfte, für die webmiles-Punkte erworben werden können, werden entweder<br />
durch das kontaktierte Partnerunternehmen erhoben oder durch die webmiles GmbH, wenn<br />
die Bonuspunkte dort gesammelt werden.<br />
Als Programmdaten werden nach Angaben von webmiles folgende Daten erhoben:<br />
Username / Teilnehmerkennung<br />
Kennzeichnung des Partnerunternehmens<br />
Buchungsdatum<br />
getätigter Umsatz<br />
Anzahl der webmiles<br />
Die Kenntnis dieser Daten ist für die Verwaltung des webmiles-Bonuskontos erforderlich, so<br />
dass deren Erhebung zulässig ist.<br />
Informationen über den Warenkorb werden nach Aussage von webmiles nicht erhoben<br />
<strong>und</strong> an die webmiles GmbH übermittelt. Nur bei bestimmten Sonderaktionen lasse sich der<br />
Gr<strong>und</strong> für die Transaktion im Nachhinein feststellen.<br />
Im Widerspruch zu dieser Aussage stehen die Ausführungen in Ziffer 12.2. Abs. 3 der<br />
Teilnahmebedingungen. Dort heißt es wörtlich: „Transaktionsdaten, die Rückschlüsse auf das<br />
konkrete Einkaufsverhalten der Teilnehmer bieten können, wie getätigte Umsätze, bestellte<br />
Waren oder das verkaufende Unternehmen werden auf keinen Fall an Dritte weitergegeben.“<br />
Die Kenntnis über die erworbenen Waren oder die Art der getätigten Transaktion ist i.d.R. -<br />
auch nach eigenen Angaben von webmiles - für die Bonusabwicklung nicht erforderlich, so<br />
dass eine Erhebung dieser Daten nicht zulässig wäre.<br />
- Übermittlung an den Systembetreiber<br />
Die Übermittlung der zulässig erhobenen Programmdaten an den Systembetreiber webmiles<br />
GmbH ist ebenfalls zulässig. Nach Auskunft der webmiles GmbH werden nur diejenigen<br />
Daten an webmiles übermittelt, die zur Gutschrift auf dem webmiles Konto benötigt werden.<br />
- Speicherung der Programmdaten durch den Systembetreiber<br />
In diesem Umfang ist auch die Speicherung durch die webmiles GmbH zulässig.<br />
- Gewährleistung der Betroffenenrechte<br />
Über das Auskunftsrecht des Betroffenen enthalten die Teilnahmebedingungen für das<br />
webmiles Programm keine Aussage. Die Auskunft wird den Teilnehmern nach Auskunft der<br />
webmiles GmbH jedoch auf Anfrage gewährt. Die webmiles GmbH verweist darauf, dass der<br />
Teilnehmer seine Daten jederzeit auf der Website von webmiles selbst einsehen kann. Eine<br />
Auskunft durch die webmiles GmbH auf Anfrage des K<strong>und</strong>en muss hierüber hinausgehen <strong>und</strong>
sämtliche personenbezogene Daten umfassen.<br />
- 39 -<br />
Die Löschung der Daten ist in Ziffer 12.1 der Teilnahmebedingungen beschrieben. Danach<br />
werden die gespeicherten Stamm- <strong>und</strong> Transaktionsdaten gelöscht, wenn sie zur<br />
Durchführung des Programms nicht mehr benötigt werden. Kündigt der K<strong>und</strong>e seine<br />
Teilnahme am Programm, so werden gemäß Ziffer 12.1 der Teilnahmebedingungen alle<br />
persönlichen Daten drei Monate nach Beendigung der Teilnahme gelöscht. Die webmiles<br />
werden nach Auskunft der webmiles GmbH auf ein Systemkonto gebucht <strong>und</strong> haben keinen<br />
Bezug mehr zu den einzelnen Transaktionsdaten.<br />
4.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Im Rahmen des webmiles Programms werden die Daten der Teilnehmer auch zu Zwecken der<br />
Werbung <strong>und</strong> Marktforschung verwendet.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
4.2.1 Allgemeine Beurteilung der Einwilligungserklärung<br />
Bei seiner Anmeldung für das webmiles Programm erklärt der K<strong>und</strong>e Folgendes:<br />
„Ja, ich habe die webmiles AGB <strong>und</strong> die dort gesondert hervorgehobenen Hinweise<br />
zum <strong>Datenschutz</strong> gelesen <strong>und</strong> erkläre mich mit den Geschäftsbedingungen<br />
einverstanden.“<br />
4.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Anmeldung für das webmiles Programm ist sowohl schriftlich über ein Antragsformular<br />
als auch elektronisch über das Internet möglich.<br />
- Ausdrückliche Erklärung<br />
In der Formulierung der Einwilligungserklärung fehlt ein eindeutiger Hinweis darauf, dass<br />
der K<strong>und</strong>e sich mit Ankreuzen des entsprechenden Feldes mit der Verarbeitung seiner<br />
personenbezogenen Daten einverstanden erklärt. Mittelbar kann der K<strong>und</strong>e dies nur daraus<br />
schließen, dass die Erklärung u.a. auch auf die Hinweise zum <strong>Datenschutz</strong> verweist. Dieser<br />
Hinweis ist nicht ausreichend, es fehlt ein Hinweis darauf, dass eine Verarbeitung von<br />
K<strong>und</strong>endaten stattfindet, die in den Hinweisen zum <strong>Datenschutz</strong> beschrieben ist.<br />
4.2.1.2 Freie Entscheidung<br />
Da das Ankreuzen dieser Erklärung nicht wie andere Felder als optionale Angabe<br />
gekennzeichnet ist, ist davon auszugehen, dass das Ankreuzen <strong>und</strong> somit die Erklärung der<br />
datenschutzrechtlichen Einwilligung Voraussetzung für die Teilnahme am webmiles<br />
Programm ist.<br />
Für den K<strong>und</strong>en ist nicht erkennbar, dass ihm das Ankreuzen der Erklärung freigestellt ist.<br />
4.2.1.3 Information des K<strong>und</strong>en
- 40 -<br />
Die im Antragsformular enthaltene, oben zitierte Erklärung, enthält keinerlei Information für<br />
den K<strong>und</strong>en.<br />
Zwar ist eine ausführliche <strong>und</strong> ausreichende Information in den Teilnahmebedingungen <strong>und</strong><br />
den Hinweisen zur Datenverwendung bei webmiles enthalten. Diese Information kann jedoch<br />
die Einwilligungserklärung nur ergänzen, nicht aber diese vollständig ersetzen. Die<br />
Teilnahmebedingungen <strong>und</strong> Hinweise zur Datenverwendung können das Informationsdefizit<br />
der Einwilligungserklärung nicht heilen.<br />
4.2.1.4 Hervorhebung im Schriftbild<br />
Die Einwilligungserklärung in die Datenverwendung, die gemeinsam in einem Satz mit der<br />
Anerkennung der AGB erfolgt, ist auf dem Anmeldeformular nicht hervorgehoben. Auch die<br />
Hinweise zum <strong>Datenschutz</strong>, die den Inhalt der Einwilligung beschreiben, sind nicht<br />
ausreichend hervorgehoben. Die Hervorhebung besteht hier einzig darin, dass die Überschrift<br />
„<strong>Datenschutz</strong>, Nutzung der personenbezogenen Daten des Teilnehmers“ unterstrichen ist.<br />
Aufgr<strong>und</strong> des Umfangs der Teilnahmebedingungen reicht diese Hervorhebung jedoch nicht<br />
aus.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems<br />
webmiles sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des K<strong>und</strong>en im Antragsformular<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Es fehlt eine ausdrückliche Erklärung der datenschutzrechtlichen Einwilligung.<br />
- Es fehlt an der Erkennbarkeit für den K<strong>und</strong>en, dass die Erklärung freiwillig ist.<br />
- Der Erklärung fehlen Informationen über die Verarbeitung der K<strong>und</strong>endaten.<br />
- Die Erklärung ist optisch nicht hervorgehoben.
5. Vodafone-Stars<br />
- 41 -<br />
Für ihre Vertragsk<strong>und</strong>en bietet die Vodafone D2 GmbH das Bonusprogramm Vodafone-Stars<br />
an. Voraussetzung für die Teilnahme ist ein Vertrag mit der Vodafone D2 GmbH über die<br />
Erbringung von Mobilfunkdienstleistungen, entweder als Vertrag mit Mindestlaufzeit oder als<br />
D2 CallYa-Vertrag.<br />
Für die Teilnahme am Programm ist eine Anmeldung bei der Vodafone D2 GmbH<br />
erforderlich, die im Anschluss ein Punkte-Konto für den Teilnehmer eröffnet <strong>und</strong> dort<br />
eingehende Punktegutschriften verwaltet. Bonuspunkte kann der Teilnehmer für verschiedene<br />
umsatzunabhängige Leistungen erwerben. Hierzu gehört z.B. die Werbung von neuen<br />
Mobilfunkk<strong>und</strong>en für die Vodafone D2 GmbH oder die Mitteilungen von Adressänderungen<br />
über das Internet. Die Möglichkeiten zum Bonuspunkteerwerb variieren von Zeit zu Zeit.<br />
Über das Internet oder einen kostenlosen Faxabruf kann sich der K<strong>und</strong>e über die aktuellen<br />
Erwerbsmöglichkeiten <strong>und</strong> die Anzahl der zu vergebenden Bonuspunkte informieren.<br />
Ein Erwerb von Bonuspunkten ist darüber hinaus bei Kooperationspartnern möglich. Die<br />
Bedingungen für die Bonusgewährung legen die Partner selbst fest. Zu den<br />
Kooperationspartnern gehören unter anderem Sixt Autovermietung, Citibank, Online-Shops<br />
wie Rossmann Online oder der Internet-Reiseveranstalter Travelchannel.<br />
Die Einlösung des Bonusguthabens ist nur bei der Vodafone D2 GmbH zu einem Wert von<br />
0,01 Euro je Bonuspunkt möglich. In der Regel erfolgt die Auszahlung des Guthabens durch<br />
eine Gutschrift zur Inanspruchnahme von Mobilfunkdienstleistungen. Darüber hinaus ist aber<br />
auch eine Einlösung in Sachprämien, in Prämien oder Dienstleistungen der<br />
Kooperationspartner oder als Spende für ausgesuchte Hilfsorganisationen möglich. Möglich<br />
ist außerdem eine Übertragung der bei Vodafone-Stars gesammelten Punkte auf ein Miles &<br />
More Konto.<br />
Teilnehmer, die einen Mobilfunkvertrag mit Mindestlaufzeit abgeschlossen haben, können im<br />
Rahmen von Vodafone Stars zusätzlich zur Rabattgewährung in verschiedene Status-Stufen,<br />
<strong>und</strong> zwar Silber, Gold oder Platin, eingestuft werden. Die Einstufung ist abhängig von der<br />
Höhe des über die Mobilfunknummer getätigten Netto-Umsatzes. Als so genannter Status-<br />
Teilnehmer erhält der K<strong>und</strong>e besondere Zusatzleistungen. Dazu gehört unter anderem auch<br />
die Möglichkeit, für umsatzabhängige Leistungen Bonuspunkte zu erwerben, was den übrigen<br />
Teilnehmern nicht möglich ist.<br />
5.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch Vodafone D2<br />
Die Teilnahme am Vodafone-Stars Programm setzt einen Antrag des K<strong>und</strong>en gegenüber der<br />
Vodafone D2 GmbH voraus. Mittels des Formulars erhebt die Vodafone D2 GmbH von ihren<br />
Vertragsk<strong>und</strong>en nur die Vodafone-Rufnummer. Anhand der Rufnummer wird der K<strong>und</strong>e<br />
identifiziert <strong>und</strong> das Bonusprogramm dem zu Gr<strong>und</strong>e liegenden Mobilfunkvertrag<br />
zugeordnet.<br />
Möglich ist es darüber hinaus auch, eine andere Person als den Vertragspartner als
- 42 -<br />
Teilnehmer von Vodafone-Stars unter der Rufnummer des Vertragspartners zu registrieren.<br />
Zusätzlich zur Rufnummer des Vertragspartners werden von dem Dritten, also dem Nutzer<br />
der Vodafone-Stars-Karte, folgende Stammdaten erhoben:<br />
Name<br />
Anschrift<br />
E-Mail-Adresse<br />
Geburtsdatum<br />
Bei der Erhebung dieser Daten handelt es sich nicht um eine unzulässige Erhebung bei einem<br />
Dritten, da nach dem Formular eine Unterschrift des Nutzers erforderlich ist.<br />
Die Erhebung des Geburtsdatums ist mangels Erforderlichkeit nicht zulässig.<br />
- Speicherung durch den Systembetreiber<br />
In dem Umfang der zulässigen Erhebung ist auch die Speicherung <strong>und</strong> Verarbeitung der<br />
Stammdaten durch die Vodafone D2 GmbH zulässig.<br />
- Erhebung <strong>und</strong> Verarbeitung der Programmdaten durch die Vodafone D2 GmbH<br />
Da die Vodafone D2 GmbH selbst auch Bonuspunkte für bestimmte Leistungen vergibt,<br />
erhebt sie in diesem Rahmen so genannte Programmdaten über die der Punktegutschrift zu<br />
Gr<strong>und</strong>e liegenden Leistungen.<br />
Hierbei wird es sich zumeist um bestimmte Realhandlungen der Teilnehmer handeln, die mit<br />
einer Bonusgutschrift belohnt werden, wie etwa Mitteilungen über das Internet oder die<br />
Werbung von Neuk<strong>und</strong>en. Um die ordnungsgemäße Gewährung der Bonuspunkte<br />
nachträglich nachvollziehen zu können, ist auch die Erhebung <strong>und</strong> Speicherung des<br />
Gegenstands dieser Leistung erforderlich.<br />
Zum Teil werden Bonusgutschriften auch für umsatzabhängige Leistungen gewährt. Status-<br />
Teilnehmer können so für ihren Nettoumsatz eine Treue-Gutschrift erhalten. In solchen Fällen<br />
ist zum Zweck der Abwicklung des Bonussystems auch die Erhebung <strong>und</strong> Speicherung bzw.<br />
die Nutzung der Umsatzdaten erforderlich <strong>und</strong> somit zulässig.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Erwirbt ein Teilnehmer Bonuspunkte bei einem der Kooperationspartner, so erhebt dieser<br />
Daten über den zu Gr<strong>und</strong>e liegenden Vorgang, um die Bonuspunkte mit der Vodafone D2<br />
GmbH abrechnen zu können. Um welche Daten es sich dabei handelt, ist aus den Unterlagen<br />
zum Vodafone-Stars Programm nicht zu erfahren. Auch eine diesbezügliche Anfrage bei der<br />
Vodafone D2 GmbH ergab keinen näheren Aufschluss. Nach Angaben der Vodafone D2<br />
GmbH findet ein Datenaustausch mit Partnerunternehmen lediglich insoweit statt, als dies für<br />
Prämieneinlösungen oder Punkteeintragungen erforderlich sei.<br />
Sollten darüber hinaus weitere Daten erhoben werden, die für die Abwicklung der<br />
Bonuspunktegewährung nicht erforderlich sind, wie etwa Art <strong>und</strong> Gegenstand des zu Gr<strong>und</strong>e<br />
liegenden Geschäfts, wäre eine solche Erhebung nicht zulässig.
- 43 -<br />
- Übermittlung an den Systembetreiber sowie Speicherung durch diesen<br />
In dem gleichen Rahmen ist auch eine Übermittlung der Programmdaten an die Vodafone D2<br />
GmbH sowie eine Speicherung der Daten durch diese zulässig.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Weder die Einwilligungserklärung noch die Teilnahmebedingungen enthalten Hinweise über<br />
eine Löschung der Daten oder das Auskunftsrecht der Betroffenen. Nach Auskunft der<br />
Vodafone D2 GmbH werden die Verbindungsdaten der Teilnehmer im Rahmen des Vodafone<br />
Stars Programms nicht länger gespeichert, als dies gesetzlich zulässig ist.<br />
5.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Im Rahmen des Vodafone-Stars Programms werden Daten der Teilnehmer auch zu Zwecken<br />
der Werbung <strong>und</strong> Marktforschung durch die Vodafone D2 GmbH genutzt.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
5.2.1 Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)<br />
Das Anmeldeformular enthält folgende Einwilligungserklärung:<br />
„Einwilligung zur Nutzung meiner Bestands- <strong>und</strong> Verbindungsdaten<br />
Die Vodafone D2 GmbH (VF D2) darf meine Verbindungsdaten<br />
(personenbezogene Daten, die bei der Bereitstellung <strong>und</strong> Erbringung von<br />
Telekommunikationsdienstleistungen erhoben werden) zur bedarfsgerechten<br />
Gestaltung von Telekommunikationsdienstleistungen verarbeiten <strong>und</strong> nutzen.<br />
VF D2 darf außerdem meine Bestandsdaten (personenbezogene Daten, die<br />
erhoben werden, um das Vertragsverhältnis einschließlich seiner inhaltlichen<br />
Ausgestaltung zu begründen oder zu ändern) verarbeiten <strong>und</strong> nutzen, soweit<br />
dies zu meiner Beratung, Werbung <strong>und</strong> Marktforschung erforderlich ist. Die<br />
Einwilligung gilt für alle meine Vodafone-Karten, die über mein K<strong>und</strong>enkonto<br />
(d.h. mit derselben Rechnung) abgerechnet werden, dem die o.g. Rufnummer<br />
zugeordnet ist.“<br />
5.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Eine bewusste, aktive Erklärung des K<strong>und</strong>en liegt hier nicht vor. Die unterhalb der Erklärung<br />
geforderte Unterschrift bezieht sich auf den gesamten Antrag <strong>und</strong> kann somit nicht als<br />
Erklärung der Einwilligung angesehen werden. Eine Möglichkeit, die Unterschrift ohne die<br />
Erklärung der Einwilligung zu leisten, wird dem K<strong>und</strong>en nicht gegeben.<br />
5.2.1.2 Freie Entscheidung
- 44 -<br />
Die Erklärung für das Fehlen einer solchen Möglichkeit ergibt sich aus den<br />
Teilnahmebedingungen. Dort heißt es in Ziff. 2.3:<br />
„Voraussetzung für die Teilnahme an Vodafone-Stars ist, dass der<br />
Vertragspartner des Vertrags, der der teilnehmenden VF D2-Rufnummer zu<br />
Gr<strong>und</strong>e liegt, in die Verarbeitung <strong>und</strong> Nutzung seiner Verbindungsdaten zur<br />
bedarfsgerechten Gestaltung von Telekommunikationsdienstleistungen sowie<br />
in die Verarbeitung <strong>und</strong> Nutzung seiner Bestandsdaten zur Beratung, Werbung<br />
<strong>und</strong> Marktforschung eingewilligt hat.“<br />
In Ziff. 8.2 der Teilnahmebedingungen wird deutlich, wie der Begriff „Voraussetzung“ im<br />
vorangegangenen Zitat zu verstehen ist:<br />
„VF D2 hat das Recht, den Teilnehmer aus dem Programm auszuschließen<br />
oder die Gewährung einzelner Leistungen einzustellen, wenn ... oder wenn die<br />
datenschutzrechtliche Einwilligung in die Verarbeitung <strong>und</strong> Nutzung von<br />
Daten (siehe Ziff. 2.3) fehlt oder widerrufen wird.“<br />
Nach Auskunft der Vodafone D2 GmbH führt jedoch ein Widerruf der Einwilligung nicht zur<br />
Beendigung der Teilnahme am Vodafone Stars Programm.<br />
Die Einwilligung des K<strong>und</strong>en in die Nutzung der Bestands- <strong>und</strong> Verbindungsdaten zu<br />
Werbezwecken beruht somit nicht auf der freien Entscheidung des Betroffenen. Wer an dem<br />
Vodafone-Stars Programm teilnehmen möchte, hat keine andere Wahl als dieser<br />
Datennutzung zuzustimmen.<br />
Ein Verstoß gegen das Kopplungsverbot aus dem Telekommunikationsrecht ist hierin nicht<br />
zu sehen. Der hier einschlägige § 89 Abs. 10 TKG (Telekommunikationsgesetz) besagt, dass<br />
die geschäftsmäßige Erbringung von Telekommunikationsdiensten <strong>und</strong> deren<br />
Entgeltfestlegung nicht von der Angabe personenbezogener Daten abhängig gemacht werden<br />
darf, die für die Erbringung oder Entgeltfestlegung dieser Dienste nicht erforderlich sind. Die<br />
Erbringung der Mobilfunkleistung durch die Vodafone D2 GmbH ist durch die hier<br />
vorliegende Einwilligung in keiner Weise tangiert.<br />
Bezüglich der vorliegenden Einwilligungserklärung ist aber neben dem<br />
telekommunikationsrechtlichen Kopplungsverbot auch § 4a BDSG zu beachten. Bei dem<br />
Bonusprogramm handelt es sich nicht um Telekommunikationsleistungen, so dass hier das<br />
BDSG anwendbar ist. Im Rahmen dieser Vorschrift gilt der Gr<strong>und</strong>satz des Kopplungsverbots<br />
in allgemeiner Form, insbesondere bezüglich der Zwecke Werbung <strong>und</strong> Marktforschung<br />
(vgl. §§ 28 Abs. 4, 29 Abs. 4 BDSG). Dies bedeutet, dass die begehrte Leistung nicht von der<br />
Einwilligung in eine Datenverarbeitung abhängig gemacht werden darf, die für die<br />
Erbringung der Leistung nicht erforderlich ist (siehe oben, datenschutzrechtliches<br />
Anforderungsprofil). Die begehrte Leistung, auf die im Rahmen des Bonusprogramms<br />
abzustellen ist, ist nicht die Erbringung von Mobilfunkleistungen, sondern vielmehr die<br />
Gewährung <strong>und</strong> Auszahlung von Bonuspunkten. Letzteres ist Gegenstand des Vertrages über<br />
die Teilnahme an Vodafone Stars. Die Teilnahme an diesem Bonusprogramm darf somit nach<br />
den Gr<strong>und</strong>sätzen des § 4a BDSG nicht von der Einwilligung in eine Datenverarbeitung<br />
abhängig gemacht werden, die für den Zweck des Bonusprogramms nicht erforderlich ist.<br />
Für die Abwicklung des Bonusprogramms ist die Nutzung der Verbindungs- <strong>und</strong>
- 45 -<br />
Bestandsdaten zu Zwecken der bedarfsgerechten Gestaltung von<br />
Telekommunikationsdienstleistungen bzw. der Marktforschung <strong>und</strong> Werbung nicht<br />
erforderlich. Die Kopplung der Teilnahme an eine entsprechende Einwilligung des K<strong>und</strong>en ist<br />
daher nicht zulässig, so dass die Einwilligung schon aus diesem Gr<strong>und</strong> unwirksam ist.<br />
5.2.1.3 Information des K<strong>und</strong>en<br />
Über die Vodafone D2 GmbH als verantwortliche Stelle wird der K<strong>und</strong>e hinreichend<br />
informiert.<br />
Über die angeschlossenen Kooperationspartner wird der K<strong>und</strong>e dagegen nicht ausreichend<br />
informiert. In den Teilnahmebedingungen erfährt er zwar, dass auch Partnerunternehmen an<br />
dem Programm beteiligt sind, die ihrerseits Bonuspunkte gewähren. Welche Unternehmen<br />
hierzu gehören, ergibt sich hieraus jedoch nicht. Es wird auch keine Möglichkeit genannt,<br />
eine Übersicht über die Partnerunternehmen zu erhalten.<br />
Auch die Aufklärung über die Datenkategorien, die zu Werbezwecken genutzt werden<br />
sollen, ist nicht ausreichend. Die Einwilligungserklärung gibt zur Erläuterung der<br />
Verbindungsdaten <strong>und</strong> Bestandsdaten lediglich eine allgemeine Definition dieser Begriffe an.<br />
Dies allein reicht jedoch zur Aufklärung des K<strong>und</strong>en nicht aus. Erforderlich ist hier eine<br />
präzise Aufzählung der genutzten Datenkategorien, damit der K<strong>und</strong>e sich über den Umfang<br />
der Datennutzung zweifelsfrei im Klaren ist.<br />
Die Vorgänge der Datenverarbeitung sind in der Einwilligungserklärung hinreichend<br />
deutlich beschrieben. Gleiches gilt für die Zwecke der Datenverarbeitung.<br />
Ein Hinweis auf das Widerrufsrecht des K<strong>und</strong>en <strong>und</strong> ebenso auf die - hier möglichen<br />
negativen - Folgen eines Widerrufs für die Teilnahme an Vodafone-Stars fehlt in der<br />
Einwilligungserklärung. Ebenso fehlt ein umfassender Hinweis auf das Auskunftsrecht des<br />
K<strong>und</strong>en. In den Teilnahmebedingungen wird lediglich die Möglichkeit genannt, Auskunft<br />
über den Punktestand zu erlangen. Ein Hinweis auf die Löschung der Daten fehlt gänzlich.<br />
Da hier auch Verbindungsdaten gespeichert <strong>und</strong> im Rahmen der Teilnahme am<br />
Bonusprogramm genutzt werden sollen, die einer besonderen gesetzlichen Löschungspflicht<br />
unterliegen, wäre aus Gründen der Transparenz für den K<strong>und</strong>en ein ausdrücklicher Hinweis<br />
auf die Löschungsfrist angezeigt. Nach Auskunft der Vodafone D2 GmbH führt die<br />
Einwilligung im Rahmen des Vodafone-Stars Programms nicht dazu, dass die<br />
Verbindungsdaten länger als gesetzlich vorgeschrieben gespeichert werden.<br />
5.2.1.4 Hervorhebung im Schriftbild<br />
Die Einwilligungserklärung bedarf hier einer besonderen Hervorhebung, da sie zusammen mit<br />
der Erklärung über den Antrag abgegeben wird. Die Hervorhebung ist im Antragsformular<br />
durch eine fett gedruckte Überschrift <strong>und</strong> eine Plazierung des Einwilligungstextes an einer<br />
auffälligen Stelle im Formular in der Nähe zur Unterschrift gewährleistet.<br />
5.2.2 Allgemeine Beurteilung der Online-Anmeldung<br />
Die Online-Anmeldung für das Vodafone Stars Programm zeichnet sich gegenüber der<br />
Anmeldung in Papierform dadurch aus, dass im Internet eine ausdrückliche Erklärung des<br />
K<strong>und</strong>en durch Ankreuzen der Einwilligungserklärung erforderlich ist, die den Anforderungen
an die Erklärung der Einwilligung genügt.<br />
- 46 -<br />
5.2.3 Einzelne Vorgänge der Datenverarbeitung<br />
5.2.3.1 Erhebung bestimmter Stammdaten<br />
Die Erhebung des Geburtsdatums des Nutzers der Vodafone-Karte, der nicht gleichzeitig<br />
Vertragspartner ist, erfolgt nicht auf gesetzlicher Gr<strong>und</strong>lage. Die Erhebung dieses Datums ist<br />
nicht zulässig. Der Nutzer erklärt keine Einwilligung zur Nutzung seiner Daten, sondern<br />
unterzeichnet lediglich eine Erklärung, dass ihm bekannt sei, dass seine Daten gemäß den<br />
geltenden <strong>Datenschutz</strong>bestimmungen verarbeitet werden. Diese Erklärung stellt keine<br />
Einwilligung in eine Datenverarbeitung dar, die über das gesetzliche Maß hinausgeht.<br />
5.2.3.2 Nutzung der Bestands- <strong>und</strong> Verbindungsdaten durch den Systembetreiber<br />
Als gesetzliche Gr<strong>und</strong>lage für die Verarbeitung der Verbindungsdaten durch die Vodafone<br />
D2 GmbH kommt § 89 Abs. 2 Nr. 2 TKG in Betracht. Die Erhebung, Verarbeitung oder<br />
Nutzung ist danach zulässig, soweit dies für das bedarfsgerechte Gestalten von<br />
geschäftsmäßigen Telekommunikationsdiensten erforderlich ist. Daten in Bezug auf den<br />
Anschluss, von dem der Anruf ausgeht, dürfen nur mit Einwilligung des Anschlussinhabers<br />
verwendet werden. Daten in Bezug auf den angerufenen Anschluss müssen unverzüglich<br />
anonymisiert werden.<br />
Erforderlich ist demnach zusätzlich eine Einwilligung des K<strong>und</strong>en. Die Anforderungen an<br />
diese Einwilligung richten sich gemäß der zu § 89 TKG erlassenen Telekommunikations-<br />
<strong>Datenschutz</strong>verordnung (§ 3 Abs. 1 TDSV) nach den Regelungen der TDSV <strong>und</strong> des<br />
B<strong>und</strong>esdatenschutzgesetzes. Da die TDSV jedoch über die Regelung von Formvorschriften<br />
hinaus keine speziellen Anforderungen an die Einwilligung vorsieht, ist hauptsächlich auf die<br />
Anforderungen des § 4a BDSG abzustellen. Die Einwilligung des K<strong>und</strong>en genügt aus den<br />
oben genannten Gründen den Anforderungen des § 4a BDSG nicht.<br />
Die Speicherung dieser Daten wäre nach geltender Rechtslage aber nur für eine bestimmte<br />
Dauer zulässig. Verbindungsdaten dürfen von dem Telekommunikationsunternehmen nur so<br />
lange gespeichert werden, wie dies zu Abrechnungszwecken erforderlich ist.<br />
Als Rechtsgr<strong>und</strong>lage für die Nutzung der Bestandsdaten durch die Vodafone D2 GmbH zu<br />
Zwecken der Werbung <strong>und</strong> Marktforschung kommt § 89 Abs. 7 TKG in Betracht. Danach<br />
dürfen Telekommunikationsunternehmen die personenbezogenen Daten, die sie für die<br />
Begründung, inhaltliche Ausgestaltung oder Änderung eines Vertragsverhältnisses erhoben<br />
haben, verarbeiten <strong>und</strong> nutzen, soweit dies für Zwecke der Werbung, K<strong>und</strong>enberatung oder<br />
Marktforschung erforderlich ist <strong>und</strong> der K<strong>und</strong>e eingewilligt hat. Auch hier liegt eine<br />
wirksame Einwilligung, die die Anforderungen des § 4a BDSG erfüllt, nicht vor.<br />
5.2.3.3 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Die Einwilligungserklärung nennt als Zwecke der Datenverarbeitung die bedarfsgerechte<br />
Gestaltung von Telekommunikationsdienstleistungen, Beratung, Werbung <strong>und</strong><br />
Marktforschung. Für die Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen wäre die Einwilligung<br />
auf Gr<strong>und</strong> dieser Zweckbeschreibung nicht ausreichend.<br />
5.2.3.4 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen
- 47 -<br />
Eine Nutzung von K<strong>und</strong>endaten durch Partnerunternehmen für die Zwecke der Werbung <strong>und</strong><br />
Marktforschung findet nach Angabe der Vodafone D2 GmbH nicht statt. Eine solche Nutzung<br />
wäre auch nicht von einer Einwilligung des K<strong>und</strong>en gedeckt, da ein solcher Vorgang in der<br />
Erklärung des Anmeldeformulars nicht erwähnt ist.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems<br />
Vodafone Stars sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des Drittnutzers im Antragsformular<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Es fehlt an der Freiwilligkeit der Einwilligung, das die Leistung an die Einwilligung in<br />
die Verarbeitung <strong>und</strong> Nutzung der Verbindungsdaten zur bedarfsgerechten Gestaltung<br />
von Telekommunikationsdienstleistungen sowie in die Verarbeitung der Bestandsdaten<br />
zur Beratung, Werbung <strong>und</strong> Marktforschung gekoppelt ist.<br />
- Es erfolgt keine Information über die angeschlossenen Kooperationspartner.<br />
- Die Aufklärung über die zu verarbeitenden Datenkategorien ist unzureichend.
- 48 -<br />
6. Sparda Bank Hamburg Bonusprogramm<br />
Seit dem September 2001 bietet die Sparda Bank Hamburg eG ein Bonusprogramm für ihre<br />
K<strong>und</strong>en an. An diesem Programm nimmt automatisch jeder K<strong>und</strong>e der Sparda Bank teil.<br />
Nehmen die K<strong>und</strong>en bestimmte Leistungen entweder der Sparda Bank (z.B. die Eröffnung<br />
eines Girokontos) oder der beteiligten Partnerunternehmen in Anspruch, erhalten sie dafür<br />
Bonuspunkte, die von der Sparda Bank gutgeschrieben <strong>und</strong> verwaltet werden. Die so<br />
gesammelten Bonuspunkte können bei der Sparda Bank in bar oder in Form von Prämien<br />
eingelöst werden.<br />
Die Liste der teilnehmenden Partnerunternehmen ist lang. Bei vielen handelt es sich um<br />
Internetpartner, die auf der Webseite der Sparda Bank Hamburg, www.spare-cent.de,<br />
Leistungen anbieten, für die die K<strong>und</strong>en eine bestimmte Anzahl Bonuspunkte erlangen<br />
können. Diese Angebote sind regelmäßig auf die Webseiten der Partnerunternehmen verlinkt.<br />
Daneben gibt es auch so genannte Offline Partner, bei denen der Sparda Bank K<strong>und</strong>e unter<br />
Einreichung von Coupons oder Formularen oder unter Hinweis auf seine Sparda-<br />
K<strong>und</strong>ennummer Bonuspunkte erwerben kann. Die Anzahl der zu gewährenden Bonuspunkte<br />
bestimmen die Partnerunternehmen nach eigenem Ermessen, die Höhe eines Bonuspunkts<br />
beträgt 0,01 Euro.<br />
6.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung <strong>und</strong> Verarbeitung von Stammdaten durch die Sparda Bank<br />
Die für die Abwicklung des Bonusprogramms benötigten Stammdaten werden durch die<br />
Sparda Bank im Rahmen der normalen K<strong>und</strong>enbeziehung erhoben.<br />
Die Erhebung oder die spätere Verarbeitung dieser Daten auch für Zwecke der Abwicklung<br />
des Bonusprogramms ist nur dann gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig, wenn dem ein<br />
entsprechender Vertrag mit dem K<strong>und</strong>en über die Teilnahme an einem Rabattprogramm zu<br />
Gr<strong>und</strong>e liegt. Nach Angabe der Sparda Bank nimmt jeder K<strong>und</strong>e dieser Bank automatisch am<br />
Bonusprogramm teil <strong>und</strong> wird hierauf bei der Eröffnung der K<strong>und</strong>enverbindung per<br />
Kontoauszugsdrucker hingewiesen. Eine Teilnahme kann er jederzeit schriftlich ablehnen.<br />
Die über die Webseite der Sparda Bank Hamburg einzusehenden Formulare für<br />
Kontoeröffnungen <strong>und</strong> ähnliche Finanzleistungen der Sparda Bank enthaltenen keinerlei<br />
Hinweis auf das Bonusprogramm.<br />
Ob hierdurch ein Rabattvertrag wirksam zustande kommt, ist äußerst fraglich. Eine hierfür<br />
erforderliche Willenserklärung des K<strong>und</strong>en ist nicht zu erkennen. Als Anknüpfungspunkt<br />
käme hierfür nur die Unterlassung der angebotenen Ablehnung der Teilnahme in Betracht.<br />
Eine Willenserklärung erfordert jedoch gr<strong>und</strong>sätzlich eine ausdrückliche oder zumindest<br />
konkludente Äußerung eines Willens. Das hier vorliegende bloße Schweigen kann im<br />
Regelfall nicht als Willenserklärung angesehen werden. Auch einer der Ausnahmefälle, in<br />
denen dem Schweigen Erklärungswirkung beigemessen wird, ist hier nicht gegeben. Diese<br />
Ausnahmen betreffen in erster Linie entweder gesetzliche Fiktionen oder Fälle, in denen der<br />
Schweigende nach Treu <strong>und</strong> Glauben verpflichtet wäre, seinen abweichenden Willen zu<br />
äußern 14 . Eine Fiktion der Erklärungswirkung auf Gr<strong>und</strong> einer gesetzlichen Vorschrift kommt<br />
14 Vgl. hierzu Palandt-Heinrichs, Einführung vor § 116 Rn 7 ff..
- 49 -<br />
vorliegend nicht in Betracht <strong>und</strong> auch eine Erklärungspflicht des K<strong>und</strong>en nach Treu <strong>und</strong><br />
Glauben liegt nicht vor. Im Gegenteil sind hier die Formerfordernisse für die jeweiligen<br />
Erklärungen so verteilt, dass der K<strong>und</strong>e in besonderem Maße benachteiligt wird. Während die<br />
Sparda Bank den K<strong>und</strong>en lediglich mittels einer Information über den Kontoauszugsdrucker<br />
auf seine Teilnahme hinweist, wird von dem K<strong>und</strong>en eine schriftliche Erklärung seiner<br />
Ablehnung verlangt.<br />
Nimmt der K<strong>und</strong>e jedoch bewusst Bonusleistungen in Anspruch, so erklärt er damit<br />
konkludent seinen Willen zur Annahme des Rabattvertrages. Durch diese Handlung kommt<br />
ein Rabattvertrag wirksam zustande, so dass ab diesem Zeitpunkt die Verarbeitung der<br />
K<strong>und</strong>endaten auch zur Abwicklung des Rabattvertrages gemäß § 28 Abs. 1 Nr. 1 BDSG<br />
zulässig ist. Dies gilt ebenfalls nur in dem bereits bei der Untersuchung der anderen<br />
Programme festgelegten Rahmen. Die Verarbeitung von Geburtsdatum, Telefonnummer, E-<br />
Mail-Adresse <strong>und</strong> dergleichen ist davon nicht umfasst.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Nimmt der K<strong>und</strong>e Leistungen der Partnerunternehmen unter Gewährung von Bonuspunkten<br />
in Anspruch, so erheben die Partnerunternehmen bei dieser Gelegenheit Daten über den<br />
K<strong>und</strong>en. Nach Auskunft der Sparda Bank sind dies diejenigen Daten, die für den Vertrag<br />
zwischen Partnerunternehmen <strong>und</strong> K<strong>und</strong>e notwendig sind. Zusätzlich werde teilweise auch<br />
die Sparda-K<strong>und</strong>ennummer erfasst.<br />
Im Rahmen des vertraglich Erforderlichen ist eine solche Datenerhebung zulässig.<br />
- Übermittlung an den Systembetreiber<br />
Nach Auskunft der Sparda Bank übermittelt das Partnerunternehmen an die Sparda Bank die<br />
Daten, die die Bank für die Buchung der Bonuspunkte benötigt. Dies seien die Sparda-<br />
K<strong>und</strong>ennummer oder Vergleichbares <strong>und</strong> der Bonusgr<strong>und</strong>. Welche Daten unter die zweite<br />
Kategorie fallen, wurde von der Sparda Bank nicht präzisiert. Es ist davon auszugehen, dass<br />
es sich dabei um die konkrete Leistung des Partnerunternehmens handelt, für die die<br />
Bonuspunkte gewährt wurden. Aus dem Angebot auf der Webseite der Sparda Bank wird<br />
deutlich, dass die Anzahl der Bonuspunkte nicht zwingend von dem Preis der zu Gr<strong>und</strong>e<br />
liegenden Leistung abhängt, sondern vielmehr für eine bestimmte Leistung (z.B. die Buchung<br />
einer Reise über einen Reiseveranstalter) eine bestimmte Anzahl von Bonuspunkten vergeben<br />
wird. Um die Richtigkeit der Bonusgutschrift nachvollziehen zu können, ist daher nicht die<br />
Kenntnis über den Preis der Leistung, sondern vielmehr die Kenntnis über die konkret in<br />
Anspruch genommene Leistung erforderlich.<br />
Nach der Darstellung der Sparda Bank hält sich die Übermittlung der Daten somit im Rahmen<br />
des Erforderlichen.<br />
- Speicherung der Programmdaten durch den Systembetreiber<br />
Die Speicherung der zulässig erhobenen <strong>und</strong> übermittelten Programmdaten durch die Sparda<br />
Bank als Systembetreiber ist zulässig.<br />
- Übermittlung von Daten an die Partnerunternehmen oder Dritte
- 50 -<br />
Nach Auskunft der Sparda Bank werden die für die Bonusabwicklung bei der Sparda Bank<br />
gespeicherten Daten weder an die teilnehmenden Partnerunternehmen noch an Dritte<br />
weitergegeben.<br />
- Information des K<strong>und</strong>en<br />
Werden bei dem Betroffenen Daten erhoben, so sind durch § 4 Abs. 3 BDSG der<br />
verantwortlichen Stelle bestimmte Unterrichtungspflichten auferlegt. Die Unterrichtung muss<br />
bereits im Zeitpunkt der Erhebung der Daten erfolgen - hier also gr<strong>und</strong>sätzlich bei der<br />
Kontoeröffnung oder einem ähnlichen Vertragsschluss -, damit der K<strong>und</strong>e in Kenntnis aller<br />
relevanten Umstände eine selbstbestimmte Entscheidung über die Preisgabe der Daten zur<br />
eigenen Person treffen kann 15 . In diesem Zusammenhang ist der Betroffene neben der<br />
Identität der verantwortlichen Stelle über die Zweckbestimmungen der Erhebung,<br />
Verarbeitung <strong>und</strong> Nutzung seiner Daten zu unterrichten. Diese besteht vorliegend nicht nur in<br />
der Abwicklung von Finanzdienstleistungen, sondern auch in der Verwaltung eines<br />
Bonuspunktekontos. Die im Internet einsehbaren Formulare für Kontoeröffnungen <strong>und</strong><br />
ähnliche Leistungen enthalten keine Hinweise auf die Verarbeitung der K<strong>und</strong>endaten für die<br />
Zwecke des Bonusprogramms.<br />
- Gewährleistung der Rechte des Betroffenen<br />
Informationen über das Auskunftsrecht des Betroffenen sowie über die Löschung der<br />
K<strong>und</strong>endaten enthalten die Teilnahmebedingungen nicht. Es findet sich lediglich ein Hinweis<br />
darauf, dass der Punktesaldo dem K<strong>und</strong>en mindestens einmal pro Jahr mitgeteilt wird, was<br />
jedoch nicht den vollständigen Auskunftsanspruch erfüllt. Auf Nachfrage, ob anfragende<br />
Teilnehmer Auskunft über die zu ihrer Person gespeicherten Daten erhalten, bezog sich die<br />
Sparda Bank wiederum ausschließlich auf den Bonuspunktestand <strong>und</strong> teilte mit, dass dieser<br />
jederzeit über Internet, Telefon oder beim K<strong>und</strong>enberater abgefragt werden könne.<br />
Zur Frage der Löschungsfristen gab die Sparda Bank an, die gespeicherten K<strong>und</strong>endaten in<br />
Zukunft im Rahmen der Aufbewahrungsfristen zu löschen.<br />
6.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Eine Verwendung der im Rahmen des Bonusprogramms anfallenden K<strong>und</strong>endaten für<br />
Zwecke der Werbung <strong>und</strong> Marktforschung findet nach Angabe der Sparda Bank nicht statt.<br />
Die Verwendung beschränke sich vielmehr auf die Abwicklung des Programms.<br />
Eine Verwendung der Daten zu Werbezwecken wäre auch nur mit einer entsprechenden<br />
Einwilligung des K<strong>und</strong>en zulässig, soweit dafür Daten genutzt würden, die über die<br />
Stammdaten des K<strong>und</strong>en hinausgehen. Insbesondere davon betroffen wäre eine Verwendung<br />
der Programmdaten, die die Partnerunternehmen an die Sparda Bank übermitteln. Die<br />
Verwendung zu Werbezwecken wäre nicht nach § 28 BDSG zulässig <strong>und</strong> eine entsprechende<br />
Einwilligungserklärung des K<strong>und</strong>en liegt nicht vor.<br />
Zusammenfassung:<br />
15 Vgl. Sokol in: Simitis, BDSG, § 4 Rn 39.
- 51 -<br />
Im Rahmen des K<strong>und</strong>enbindungssystems der Sparda Bank Hamburg eG ist folgender<br />
datenschutzrechtlicher Mangel festzustellen:<br />
Die Formulare für Kontoeröffnungen <strong>und</strong> ähnliche Leistungen enthalten keine Hinweise auf<br />
die Verarbeitung der K<strong>und</strong>endaten für die Zwecke des Bonusprogramms, was nach § 4 Abs. 3<br />
BDSG erforderlich wäre.
7. S-Points<br />
- 52 -<br />
Für die Sparkasse Bonn, die Stadtsparkasse Wuppertal <strong>und</strong> die Sparkasse Essen bietet die S-<br />
Points Servicegesellschaft für K<strong>und</strong>enbindung mbH das Bonusprogramm S-Points an. Jeder<br />
Privatk<strong>und</strong>e einer der teilnehmenden Sparkassen, der das 12. Lebensjahr vollendet hat, kann<br />
kostenfrei an diesem Bonussystem teilnehmen. Zur Teilnahme ist eine Anmeldung des<br />
K<strong>und</strong>en erforderlich, nach Anmeldung erhält der Teilnehmer seine persönliche S-Points-<br />
Karte.<br />
Hat sich ein K<strong>und</strong>e für dieses Programm angemeldet, so kann er Bonuspunkte bei den<br />
teilnehmenden Sparkassen sammeln, indem er dort bestimmte bonusfähige Transaktionen<br />
tätigt. Bereits die Anmeldung zum Bonussystem wird mit einer Gutschrift in Höhe von 500 S-<br />
Points belohnt. Daneben bietet sich ihm die Möglichkeit, die S-Points-Karte deutschlandweit<br />
bei allen Kooperationspartnern einzusetzen <strong>und</strong> dadurch spezielle Angebote in Anspruch zu<br />
nehmen. Zu den Kooperationspartnern gehören z.B. ein Reiseveranstalter, ein Weinhändler,<br />
ein Varieté-Theater oder ein Teehändler. Inhaber der S-Points-Karte können beim Bezug von<br />
Leistungen dieser Partner unter Vorlage ihrer S-Points-Karte zum Teil einen direkten Rabatt<br />
in einer vom Kooperationspartner festgelegten Höhe oder eine Gutschrift in Form von<br />
Bonuspunkten für das S-Points-Konto erhalten.<br />
Die so gesammelten Bonuspunkte kann der Teilnehmer bei der S-Points GmbH in eine Sach-,<br />
Finanz- oder Erlebnisprämie einlösen. Der Auftrag zur Einlösung erfolgt unter Angabe einer<br />
PIN bei der Konto führenden Sparkasse, im Internet oder über die S-Points-Service-Hotline.<br />
7.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten<br />
Die Stammdaten werden mittels eines Antragsformulars erhoben, welches der K<strong>und</strong>e von<br />
seiner kontoführenden Sparkasse erhält <strong>und</strong> an diese ausgefüllt zurückgibt. Die Erhebung der<br />
Daten findet daher regelmäßig durch die teilnehmende Sparkasse statt.<br />
Folgende Stammdaten des K<strong>und</strong>en werden als Pflichtangaben erhoben:<br />
Name<br />
Anschrift<br />
Kontonummer<br />
Geburtsdatum<br />
Die Erhebung des Geburtsdatums ist unzulässig, da nicht gemäß § 28 Abs. 1 Nr. 1 BDSG<br />
erforderlich <strong>und</strong> nicht durch eine Einwilligung des K<strong>und</strong>en legitimiert.<br />
Der gleiche Datensatz wird auch über den Ehegatten des K<strong>und</strong>en erhoben, sofern dieser auch<br />
an dem S-Points-Programm teilnimmt. Ist dies der Fall, ist eine eigene Unterschrift des<br />
Ehegatten auf dem Formular vorgesehen.<br />
- Übermittlung der Stammdaten an den Systembetreiber<br />
Die Übermittlung der zulässig erhobenen Stammdaten an die S-Points GmbH ist auf
- 53 -<br />
Gr<strong>und</strong>lage des § 28 Abs. 1 Nr. 1 BDSG zulässig. Über diese Übermittlung wird der K<strong>und</strong>e<br />
sogar in der Einwilligungserklärung informiert, was bei ähnlichen <strong>K<strong>und</strong>enbindungssysteme</strong>n<br />
nicht der Fall ist.<br />
- Speicherung durch den Systembetreiber<br />
Gleiches gilt für die Speicherung der Daten durch die S-Points GmbH.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Die in den Allgemeinen Teilnahmebedingungen enthaltene Einwilligungserklärung in die<br />
Datenübermittlung führt beispielhaft einige Programmdaten auf, die über den Einsatz der S-<br />
Points-Karte bei einer der teilnehmenden Sparkassen oder Kooperationspartner erhoben<br />
werden. Hierbei handelt es sich um folgende Daten:<br />
Anzahl der gesammelten Bonuspunkte<br />
Art <strong>und</strong> Anzahl der genutzten Finanzdienstleistungen<br />
Informationen über Datum <strong>und</strong> Anzahl sonstiger bonifizierter Transaktionen<br />
Die Erhebung der zu Gr<strong>und</strong>e liegenden Finanzdienstleistung ist gemäß § 28 Abs. 1 Nr. 1<br />
BDSG erforderlich, da nach der Art der Leistung die zu vergebenden Bonuspunkte berechnet<br />
werden. Aus welchem Gr<strong>und</strong> zusätzlich die Information über sonstige bonifizierte<br />
Transaktionen erhoben wird, ist nicht nachvollziehbar. Aufgr<strong>und</strong> der Formulierung muss<br />
davon ausgegangen werden, dass es sich bei dieser Angabe gerade nicht um solche<br />
Transaktionen handelt, die der aktuellen Bonusgutschrift zu Gr<strong>und</strong>e liegen, sondern dass<br />
vielmehr Leistungen gemeint sind, die mit der aktuellen Gutschrift nicht in Zusammenhang<br />
stehen. Ein Erfordernis im Sinne des § 28 Abs. 1 Nr. 1 BDSG für die Kenntnis dieser Daten,<br />
was für die Zulässigkeit erforderlich wäre, ist nicht erkennbar.<br />
- Übermittlung an den Systembetreiber<br />
Soweit die Programmdaten zulässig erhoben wurden, ist auch deren Übermittlung an die S-<br />
Points GmbH zulässig.<br />
- Speicherung der Programmdaten durch den Systembetreiber<br />
Gleiches gilt für die Speicherung der Programmdaten durch die S-Points GmbH.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Die Teilnahmebedingungen des Programms S-Points weisen den K<strong>und</strong>en ausdrücklich darauf<br />
hin, dass ihm ein Auskunftsrecht über alle personenbezogenen Daten zusteht, die die S-Points<br />
GmbH über den K<strong>und</strong>en gespeichert hat. Außerdem wird darauf hingewiesen, dass dem<br />
Teilnehmer ein Anspruch auf Löschung der nicht mehr benötigten Daten zusteht, sofern diese<br />
nicht einer gesetzlichen Aufbewahrungspflicht unterliegen.<br />
7.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Nach der Darstellung in den Teilnahmebedingungen werden die K<strong>und</strong>endaten auch zum<br />
Zweck der Werbung genutzt. In Abschnitt III., Abs. 3 heißt es dazu:
- 54 -<br />
„Darüber hinaus werden wir Ihre Daten nutzen, um Sie über interessante<br />
Angebote zu unseren Produkten oder Dienstleistungen sowie etwaige Sie ggf.<br />
interessierende Zusatzleistungen zu informieren.“<br />
Der Begriff der Werbung wird in den Teilnahmebedingungen nur an einer Stelle erwähnt, in<br />
diesem Zusammenhang taucht auch einmalig der Begriff Marktforschung auf. Es ist somit<br />
davon auszugehen, dass eine Verwendung sowohl zum Zweck der Werbung als auch zur<br />
Marktforschung stattfindet.<br />
7.2.1 Vorgänge, deren Zulässigkeit sich nach gesetzlichen Gr<strong>und</strong>lagen beurteilt<br />
Im Rahmen des S-Points-Programms ist vorgesehen, dass den Partnerunternehmen, d.h. den<br />
beteiligten Sparkassen, von der S-Points GmbH die Stammdaten der über die jeweilige<br />
Sparkasse angemeldeten Teilnehmer übermittelt werden. Dieser Vorgang ist zulässig (siehe<br />
Gutachten Anforderungsprofil, Pkt. 1.2.2.3.4).<br />
7.2.2 Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
7.2.2.1 Allgemeine Beurteilung der Einwilligungserklärungen (Papierform)<br />
Das Anmeldeformular für das S-Points-Programm enthält in den Allgemeinen<br />
Teilnahmebedingungen die folgende Erklärung:<br />
„II. Einwilligung in die Datenübermittlung<br />
Der Teilnehmer ist damit einverstanden, dass seine bei S-Points erhobenen<br />
persönlichen Daten aus dem Teilnahmeantrag sowie die Programmdaten (z.B.<br />
Anzahl der gesammelten Bonuspunkte, Art <strong>und</strong> Anzahl der genutzten<br />
Finanzdienstleistungen, Informationen über Datum <strong>und</strong> Anzahl sonstiger<br />
bonifizierter Transaktionen, freiwillige Angaben u.ä.) von der S-Points GmbH<br />
als Betreiberin des S-Points-Programms <strong>und</strong> den jeweiligen teilnehmenden<br />
Sparkassen <strong>und</strong> Kooperationspartnern (eine vollständige Aufstellung der<br />
aktuellen Kooperationspartner kann im Internet unter www.s-points.de<br />
eingesehen oder bei der S-Points-Service-Hotline erfragt werden) zu<br />
schriftlichen Beratungs- <strong>und</strong> Informationskanäle genutzt werden [Anm.<br />
Formulierungsfehler im Originaltext]. Näheres hierzu auch in der beigefügten<br />
<strong>Datenschutz</strong>erklärung.<br />
Ist der Teilnehmer damit nicht einverstanden, so ist eine Teilnahme am<br />
Bonusprogramm nicht möglich.<br />
Dieses Einverständnis kann jederzeit gegenüber der S-Points GmbH, der<br />
jeweiligen kontoführenden Sparkasse oder gegenüber der S-Points-Service-<br />
Hotline widerrufen werden. Mit dem Widerruf endet automatisch die<br />
Teilnahme am Bonusprogramm.<br />
Mit seiner Unterschrift unter dem Kartenantrag ermächtigt der Teilnehmer die<br />
kontoführende Sparkasse, die S-Points GmbH über diesen Teilnahmeantrag<br />
zwecks Bearbeitung sowie zur weiteren Betreuung im Rahmen des<br />
Bonusprogramms zu unterrichten. Die im Kartenantrag angegebenen Daten<br />
<strong>und</strong> etwaige Änderungen sowie alle im Zusammenhang mit der Nutzung des<br />
Bonusprogramms anfallenden Daten zur internen Verarbeitung, zum Zweck<br />
der Werbung oder der Marktforschung werden zur Verfügung gestellt.“
- 55 -<br />
Das Antragsformular sieht korrespondierend zu dieser Einwilligungserklärung die folgende<br />
Wahlmöglichkeit vor:<br />
„❏ Ja, ich/wir konnte/n vom Inhalt der umseitig abgedruckten<br />
<strong>Datenschutz</strong>hinweise <strong>und</strong> der allgemeinen Teilnahmebedingungen<br />
Kenntnis nehmen <strong>und</strong> bin/sind mit der o.g. Nutzung der Daten <strong>und</strong> der<br />
Geltung einverstanden.<br />
❏ Nein, ich/wir bin/sind mit der umseitig abgedruckten Klausel zur<br />
Datenübermittlung, der aufgeführten Nutzung der Daten sowie der<br />
Geltung der allgemeinen Teilnahmebedingungen nicht einverstanden.<br />
Eine Teilnahme an S-Points ist dann leider nicht möglich.“<br />
Die Teilnahmebedingungen sind in hellgrauer Schrift auf einem weißen Blatt gedruckt.<br />
7.2.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist durch Unterschrift auf dem Antragsformular gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Der K<strong>und</strong>e erhält die Möglichkeit, seine Einwilligung ausdrücklich zu erklären. Die formalen<br />
Anforderungen für die Erklärung der Einwilligung sind damit erfüllt.<br />
7.2.2.1.2 Freie Entscheidung<br />
Wegen Verstoßes gegen das Kopplungsverbot beruht die Einwilligung nicht auf der freien<br />
Entscheidung des K<strong>und</strong>en <strong>und</strong> ist somit unwirksam. In Betracht käme jedoch ein Vertrag auf<br />
Überlassung von Daten zwischen K<strong>und</strong>e <strong>und</strong> Systembetreiber.<br />
7.2.2.1.3 Information des K<strong>und</strong>en<br />
Über die verantwortliche Stelle wird der K<strong>und</strong>e hinreichend informiert. Die S-Points GmbH<br />
wird in den Allgemeinen Teilnahmebedingungen <strong>und</strong> in der darin enthaltenen<br />
Einwilligungserklärung als Betreiberin des Programms benannt. In dieser Hinsicht ist das<br />
Formular zwar ausreichend, jedoch wenig verbraucherfre<strong>und</strong>lich gestaltet. Denn das<br />
Antragsformular, das der K<strong>und</strong>e ausfüllt, enthält neben der kontoführenden Sparkasse<br />
keinerlei Angaben auf weitere beteiligte Unternehmen. Hier wird dem K<strong>und</strong>en nicht deutlich,<br />
dass nicht die kontoführende Sparkasse, sondern ein anderes Unternehmen Betreiberin des<br />
Programms ist, an dem überdies auch andere Sparkassen <strong>und</strong> Kooperationspartner beteiligt<br />
sind. Die Gefahr, hierdurch Fehlvorstellungen des K<strong>und</strong>en hervorzurufen, ist nicht<br />
unerheblich. Erschwerend kommt hinzu, dass die Teilnahmebedingungen zwar leicht<br />
einsehbar auf der Rückseite des Formulars abgedruckt sind, hierfür jedoch eine hellgraue<br />
Schrift gewählt wurde, die das Lesen der Bedingungen erheblich erschwert.<br />
Hinsichtlich der teilnehmenden Sparkassen <strong>und</strong> Kooperationspartner gilt das Gleiche.<br />
Auch hier erfolgt nur ein Hinweis auf die Einsehbarkeit einer Liste.
- 56 -<br />
Unzureichend ist die Information über die im Rahmen des Bonusprogramms verarbeiteten<br />
Datenkategorien. Zwar werden einzelne Kategorien von Daten ausdrücklich genannt, hierbei<br />
handelt es sich aber nicht um eine vollständige, sondern nur um eine beispielhafte<br />
Aufzählung. Der K<strong>und</strong>e muss daher davon ausgehen, dass darüber hinaus noch weitere Daten<br />
erhoben werden, hat aber keine Vorstellung darüber, welche dies sein können. Diese<br />
Information ist als Entscheidungsgr<strong>und</strong>lage für den K<strong>und</strong>en nicht ausreichend.<br />
Hinsichtlich der Vorgänge der Datenverarbeitung ist die Beschreibung in den<br />
Teilnahmebedingungen ungenau. Zweifelsfrei erfährt der K<strong>und</strong>e, dass die Konto führende<br />
Sparkasse die Stammdaten, freiwilligen Angaben <strong>und</strong> Programmdaten erhebt <strong>und</strong> an die S-<br />
Points GmbH übermittelt. Dass die S-Points diese Daten speichert, ist ebenfalls deutlich. Die<br />
Formulierung in dem ersten Absatz der Einwilligungserklärung ist so zu verstehen, dass<br />
sämtliche Daten von allen Beteiligten genutzt werden. Nicht deutlich wird jedoch, welche<br />
Unternehmen neben der S-Points GmbH Daten über den K<strong>und</strong>en erhalten <strong>und</strong> speichern.<br />
Die Zwecke der Datenverarbeitung werden zwar hinreichend benannt, jedoch sind gerade<br />
in dieser Hinsicht die Teilnahmebedingungen <strong>und</strong>eutlich <strong>und</strong> verwirrend formuliert. Dazu<br />
tragen zum einen sprachliche Ungenauigkeiten oder Widersprüche bei. So enthält der erste<br />
Absatz der Einwilligungserklärung den Formulierungsfehler „zu schriftlichen Beratungs- <strong>und</strong><br />
Informationskanäle genutzt“ <strong>und</strong> im dritten Absatz des Abschnitts III findet sich die<br />
widersprüchliche <strong>und</strong> irreführende Formulierung „Die personenbezogenen Daten ... werden<br />
ausschließlich für den Zweck verarbeitet, zu dem Sie uns die Daten zur Verfügung gestellt<br />
haben (Teilnahme an S-Points, Korrespondenz). Darüber hinaus werden wir diese Daten<br />
nutzen, um Sie über interessante Angebote ... zu informieren.“<br />
Zum anderen werden Unklarheiten durch beschönigende Begriffe verursacht, wie etwa<br />
„interessante Angebote“, „Sie interessierende Zusatzleistungen“, „informieren“, „schriftliche<br />
Beratungs- <strong>und</strong> Informationskanäle“, die in den Erklärungen verwendet werden. Dagegen<br />
erfolgt die genaue Bezeichnung „Werbung“ bzw. „Marktforschung“ nur an einer Stelle, noch<br />
dazu wenig zentral am Ende des Einwilligungstextes, wo die Gefahr des Übersehens<br />
besonders groß ist. Formal ist der Informationspflicht damit zwar Genüge getan, die<br />
Gestaltung ist jedoch keinesfalls verbraucherfre<strong>und</strong>lich.<br />
Über das Widerrufsrecht wird der K<strong>und</strong>e belehrt, gleichzeitig wird er auch auf die Folgen<br />
hingewiesen, die jedoch eine unzulässige Kopplung der Einwilligung mit der Teilnahme<br />
bedeuten.<br />
Eine Aufklärung über die Betroffenenrechte erfolgt umfangreich. Unklar bleiben dabei jedoch<br />
die Folgen eines Widerspruchs des K<strong>und</strong>en in die Datennutzung zu Werbezwecken, worauf<br />
gesondert zum Widerrufsrecht hingewiesen wird. Wegen der Kopplung muss davon<br />
ausgegangen werden, dass auch der Widerspruch eine Beendigung der Teilnahme zur Folge<br />
hat, einen entsprechenden Hinweis enthalten die Teilnahmebedingungen jedoch nicht.<br />
7.2.2.1.4 Hervorhebung im Schriftbild<br />
Da die Einwilligungserklärung in dem Allgemeinen Teilnahmebedingungen abgedruckt ist,<br />
ist eine Hervorhebung der Erklärung im Schriftbild erforderlich. Das Anmeldeformular<br />
enthält auf seiner Vorderseite einen deutlichen Hinweis auf die umseitig abgedruckten<br />
Teilnahmebedingungen, deren Kenntnisnahme eigens bestätigt werden muss. Ein<br />
ausdrücklicher Hinweis auf eine Einwilligung in Allgemeinen Geschäftsbedingungen kann
- 57 -<br />
gr<strong>und</strong>sätzlich als ausreichende Hervorhebung anerkannt werden 16 . Der vorliegend erfolgte<br />
Hinweis ist dagegen nicht als ausreichend zu bezeichnen. Zunächst geben beide<br />
Ankreuzvarianten keinen Hinweis darauf, dass die Allgemeinen Teilnahmebedingungen eine<br />
Einwilligung des K<strong>und</strong>en in eine Datenverarbeitung zu Zwecken der Werbung <strong>und</strong><br />
Marktforschung enthalten. An dieser Stelle wäre aber ein konkreter Hinweis auf den Inhalt<br />
der AGB erforderlich. Des weiteren ist die betreffende Klausel in den Teilnahmebedingungen<br />
in keiner Weise drucktechnisch hervorgehoben, so dass der K<strong>und</strong>e, der allgemein auf die<br />
Teilnahmebedingungen <strong>und</strong> die <strong>Datenschutz</strong>hinweise - die im Übrigen getrennt von der<br />
Einwilligungserklärung in einem gesonderten Abschnitt abgedruckt sind - hingewiesen wird,<br />
die entscheidende Klausel der Einwilligungserklärung leicht übersehen kann.<br />
7.2.2.2. Allgemeine Beurteilung der Online-Anmeldung<br />
Eine Anmeldung zum Bonusprogramm S-Points ist auch über die Webseiten der S-Points<br />
GmbH im Internet möglich.<br />
Gegenüber der Anmeldung mittels des Anmeldeformulars in Papierform weist die Online-<br />
Anmeldung folgende Besonderheiten auf:<br />
Dem K<strong>und</strong>en wird die Möglichkeit angeboten, das Anmeldeformular auszudrucken <strong>und</strong> an<br />
die S-Points GmbH zu senden. Hiermit kommt die S-Points GmbH der Informationspflicht<br />
über die verantwortliche Stelle insofern besser nach als im Papierformular, als die relevanten<br />
Informationen im Internet an zentraler Stelle benannt werden. Jedoch weicht die hier<br />
genannte Adresse (Starnberg) von der in den Teilnahmebedingungen genannten (Bonn) ab, so<br />
dass beim K<strong>und</strong>en Unklarheiten entstehen.<br />
Die Teilnahmebedingungen werden bei der Online-Anmeldung nicht wirksam in den<br />
Vertrag einbezogen. Zwar sind die Teilnahmebedingungen auf den Webseiten einsehbar,<br />
doch ist ein Hinweis darauf im Anmeldeteil des Formulars nicht enthalten. Zu den<br />
Teilnahmebedingungen kommt der K<strong>und</strong>e nur über die Rubrik „So funktioniert S-Points“, die<br />
in der letzten von 10 Fragen zum Programm einen Link zu den Teilnahmebedingungen<br />
enthält. Dieser Verweis ist nicht ausreichend.<br />
Dem K<strong>und</strong>en ist somit der Inhalt der Einwilligung nicht bekannt, was einen weiterer Gr<strong>und</strong><br />
für deren Unwirksamkeit darstellt. Sein Einverständnis in eine unbekannte Datenverarbeitung<br />
kann der K<strong>und</strong>e erklären, indem er folgenden Text ankreuzt:<br />
„❏ Vom Inhalt der <strong>Datenschutz</strong>hinweise <strong>und</strong> der allgemeinen<br />
Teilnahmebedingungen werde/n ich/wir Kenntnis nehmen <strong>und</strong> mit der<br />
Nutzung der Daten <strong>und</strong> der Geltung einverstanden sein.“<br />
Weitere Angaben über die Datenverarbeitung im Rahmen des S-Points-Programms enthalten<br />
die Anmeldeseiten nicht, so dass die Information des K<strong>und</strong>en unzureichend ist.<br />
7.2.2.3 Einzelne Vorgänge der Datenverarbeitung<br />
16 So Schaffland/Wiltfang, § 4a Rn 30.
- 58 -<br />
7.2.2.3.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten<br />
Soweit ein Hinweis auf die Freiwilligkeit der Angaben erfolgt, werden diese auf Gr<strong>und</strong>lage<br />
einer freien Entscheidung des K<strong>und</strong>en erhoben. Insoweit liegt eine Einwilligung des K<strong>und</strong>en<br />
vor, die jedoch mit den o.g. Mängeln behaftet ist.<br />
Für die Erhebung nicht erforderlicher Stammdaten (Geburtsdatum) <strong>und</strong> Programmdaten liegt<br />
keine Einwilligung des K<strong>und</strong>en vor.<br />
7.2.2.3.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber<br />
Gleiches gilt für die Übermittlung der Daten durch die Sparkasse an die S-Points GmbH.<br />
Dieser Vorgang ist in der Einwilligungserklärung beschrieben, so dass in dieser Hinsicht die<br />
Informationspflicht erfüllt ist.<br />
7.2.2.3.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Eine Speicherung <strong>und</strong> Verarbeitung der K<strong>und</strong>endaten durch die S-Points GmbH ist ebenfalls<br />
der Einwilligungserklärung zu entnehmen.<br />
7.2.2.3.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Die in der Einwilligungserklärung <strong>und</strong> in den besonderen Erläuterungen zur Sicherstellung<br />
des <strong>Datenschutz</strong>es genannten Zwecke der Datenverarbeitung wären nicht ausreichend, um die<br />
Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen zu legitimieren.<br />
7.2.2.3.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen<br />
Ob dagegen auch die Sparkassen <strong>und</strong> die Kooperationspartner selbst K<strong>und</strong>endaten speichern,<br />
wird aus der Einwilligung nicht deutlich. Wegen der Unbestimmtheit der<br />
Einwilligungserklärung ist diese Verarbeitung nicht durch eine Einwilligung des K<strong>und</strong>en<br />
legitimiert.<br />
7.2.2.3.6 Weitergabe an Dritte<br />
Die „Besonderen Erläuterungen zur Sicherstellung des <strong>Datenschutz</strong>es“ im Abschnitt III der<br />
Teilnahmebedingungen treffen folgende Aussage zur Weitergabe der K<strong>und</strong>endaten an Dritte:<br />
„Wir versichern ferner, dass wir Ihre personenbezogenen Daten nicht an Dritte<br />
weitergeben, es sei denn, dass wir dazu gesetzlich verpflichtet sind oder Sie<br />
uns vorher Ihre Zustimmung gegeben haben.“<br />
Darüber, wie diese Zustimmung erfolgen soll, schweigt sich die Erklärung aus. Da jedoch<br />
die Teilnahmebedingungen ausdrücklich diesen Vorbehalt einer Zustimmung des K<strong>und</strong>en<br />
enthalten, kann auf keinen Fall bereits die Akzeptanz der Teilnahmebedingungen als eine<br />
solche Zustimmung angesehen werden. Die Weitergabe an Dritte ist somit nicht durch die<br />
Einwilligung des K<strong>und</strong>en legitimiert, sondern bedarf, sofern eine gesetzliche Befugnis nicht<br />
gegeben ist, einer gesonderten vorherigen Zustimmung des Teilnehmers.
Zusammenfassung:<br />
- 59 -<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des K<strong>und</strong>enbindungssystems S-<br />
Points sind folgende datenschutzrechtliche Verstöße festzustellen:<br />
- Erhebung des vollständigen Geburtsdatums des K<strong>und</strong>en im Antragsformular<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Es fehlt an einer freien Entscheidung, da die Leistung mit der Erklärung der Einwilligung<br />
gekoppelt ist.<br />
- Die Information über die zu verarbeitenden Datenkategorien ist unvollständig, da nur<br />
eine beispielhafte Aufzählung erfolgt.<br />
- Die Information über die Vorgänge der Datenverarbeitung ist unzureichend.<br />
- Die Angabe der Zwecke der Datenverarbeitung ist ungenau.<br />
- Eine optische Hervorhebung der Einwilligungserklärung fehlt.<br />
- Die Online-Anmeldung erfordert eine Bestätigung der Teilnahmebedingungen <strong>und</strong><br />
<strong>Datenschutz</strong>hinweise, die die datenschutzrechtliche Einwilligungserklärung beinhalten.<br />
Diese Dokumente sind auf der Homepage schwer zu finden, es erfolgt insbesondere auch<br />
kein Link in der entsprechenden Erklärung.
8. Eutin City Card<br />
- 60 -<br />
Die danova GmbH bietet in Eutin die Eutin City Card an, mit der K<strong>und</strong>en bei verschiedenen<br />
Eutiner Partnerunternehmen (bei der Eutin City Card bezeichnet als Akzeptanzstellen),<br />
hauptsächlich lokale Einzelhändler, Bonuspunkte erwerben können. Ein Bonuspunkt<br />
entspricht dabei einem Gegenwert von 0,25 Cent. Die Anzahl der zu vergebenden<br />
Bonuspunkte bestimmen die Partnerunternehmen selbst. Die Verwaltung der Bonuspunkte<br />
übernimmt der Systembetreiber, die danova GmbH.<br />
Teilnehmer der Eutin City Card bekommen eine Karte ausgehändigt, die für die Sammlung<br />
<strong>und</strong> die Einlösung von Bonuspunkten vorgelegt werden muss. Diese Karte ist als Chipkarte<br />
konzipiert, erworbene Bonuspunkte werden also direkt auf diesem Chip registriert.<br />
Eine Einlösung des Bonusguthabens ist in allen Partnerunternehmen möglich. Die<br />
Partnerunternehmen sind verpflichtet, auch solche Bonusguthaben an den K<strong>und</strong>en<br />
auszuzahlen, die dieser bei einem anderen Partnerunternehmen erworben hat.<br />
8.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch das Partnerunternehmen<br />
Die Beantragung der Eutin City Card erfolgt durch ein vom K<strong>und</strong>en ausgewähltes<br />
Partnerunternehmen über ein Antragsformular. D.h. die dort abgefragten Daten werden durch<br />
das Partnerunternehmen erhoben.<br />
Als Pflichtangaben werden lediglich Name <strong>und</strong> Anschrift des K<strong>und</strong>en erhoben. In diesem<br />
Umfang ist die Datenerhebung auf Gr<strong>und</strong>lage des § 28 Abs. 1 Nr. 1 BDSG zulässig.<br />
- Erhebung des Namens, Geschlechts <strong>und</strong> Geburtsdatums der Kinder<br />
Als freiwillige Angabe erfragt das Antragsformular den Namen, das Geschlecht <strong>und</strong> das<br />
Geburtsdatum der Kinder des Antragstellers. Auch wenn diese Angabe freiwillig ist, ändert<br />
dies nichts daran, dass sie gr<strong>und</strong>sätzlich bei dem Betroffenen selbst - der hier aufgr<strong>und</strong> der<br />
Namensangabe sogar identifiziert <strong>und</strong> nicht nur wie bei Payback identifizierbar ist - zu<br />
erheben ist. Die Erhebung bei dem Antragsteller ist daher nur zulässig, wenn dieser für das<br />
Kind sorgeberechtigt ist.<br />
- Übermittlung der Stammdaten an den Systembetreiber, Speicherung<br />
Auch die Übermittlung dieser Daten an den Systembetreiber <strong>und</strong> die Speicherung durch<br />
diesen ist zulässig.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen registriert die Akzeptanzstelle bei der<br />
Gewährung von Bonuspunkten die Daten des Antragstellers <strong>und</strong> die zu Gr<strong>und</strong>e liegenden<br />
Geschäfte.<br />
Soweit sich die Erfassung des zu Gr<strong>und</strong>e liegenden Geschäfts auf die für die
- 61 -<br />
Rabattabwicklung erforderlichen Daten beschränkt, ist die Datenerhebung gemäß § 28 Abs. 1<br />
Nr. 1 BDSG zulässig.<br />
- Übermittlung an den Systembetreiber<br />
Gleiches gilt insoweit für die ebenfalls gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen<br />
vorgesehene Übermittlung der Daten an den Systembetreiber <strong>und</strong> die Speicherung der Daten<br />
bei diesem.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Die Allgemeinen Geschäftsbedingungen enthalten lediglich einen stichwortartigen Hinweis<br />
auf die Rechte der Betroffenen (Auskunft, Berichtigung, Sperrung <strong>und</strong> Löschung).<br />
8.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Ausweislich der Ziff. 7 der Allgemeinen Geschäftsbedingungen findet auch eine Nutzung der<br />
Daten für Zwecke der Werbung <strong>und</strong> Marktforschung, <strong>und</strong> zwar durch Systembetreiber <strong>und</strong><br />
Partnerunternehmen statt.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
8.2.1 Allgemeine Beurteilung der Einwilligungserklärungen<br />
Das Antragsformular für die Eutin City Card enthält zwei verschiedene<br />
Einwilligungserklärungen.<br />
Eine der Erklärungen befindet sich in einem grau hinterlegten Kasten oberhalb der<br />
Unterschrift <strong>und</strong> ist überschrieben mit Einverständnis-Erklärung. Dieser Text lautet wie folgt:<br />
„Ich bestätige durch meine Unterschrift die Richtigkeit der obigen Angaben<br />
<strong>und</strong> erkenne die beiliegenden Allgemeinen Geschäftsbedingungen an. Mit<br />
meiner Unterschrift willige ich ein, dass meine Antragsdaten sowie Daten, die<br />
sich aus der Verwaltung der Bonuspunkte ergeben, gemäß<br />
B<strong>und</strong>esdatenschutzgesetz von der danova GmbH gespeichert, verarbeitet <strong>und</strong><br />
genutzt werden.“<br />
Die zweite im Antragsformular der Eutin City Card abgedruckte Einwilligungserkärung<br />
befindet sich rechts unten in einem ebenfalls grau hinterlegten Kasten, jedoch ohne<br />
Überschrift. Sie hat den folgenden Wortlaut:<br />
„Damit ich aktuell informiert werden kann, willige ich ein, dass die danova<br />
GmbH die oben angegebenen Daten sowie Daten, die sich aus der Verwaltung<br />
der Bonuskarte ergeben, für Marktforschung <strong>und</strong> Marketingzwecke der<br />
teilnehmenden Akzeptanzstellen nutzt. Die Liste der Akzeptanzstellen ist bei<br />
der danova GmbH, Anschrift, erhältlich.<br />
❑ Hier ankreuzen, falls nicht<br />
Diese Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich der<br />
K<strong>und</strong>enkarte bestehende Vertragsverhältnis jederzeit für die Zukunft<br />
widerrufen.“
8.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
- 62 -<br />
Die Schriftform ist durch die Unterschrift des K<strong>und</strong>en auf dem Antragsformular gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die Möglichkeit, das fehlende Einverständnis durch Ankreuzen des entsprechenden<br />
Kästchens zu erklären, ist nicht ausreichend.<br />
8.2.1.2 Freie Entscheidung<br />
Dass die Erteilung der Einwilligung dem K<strong>und</strong>en freigestellt ist, ergibt sich nur mittelbar<br />
daraus, dass dem K<strong>und</strong>en eine Widerrufsmöglichkeit eingeräumt wird.<br />
Es fehlt aber der erforderliche ausdrückliche Hinweis auf die Freiwilligkeit der Einwilligung<br />
sowie auf die Folgen der Verweigerung einer solchen Erklärung.<br />
Als freiwillig kann allerdings die Zustimmung in den Erhalt von Werbeinformationen über<br />
Telefon oder SMS bezeichnet werden. Zusätzlich zur freien Angabe der Telefon- oder<br />
Mobilfunknummer wird der K<strong>und</strong>e gefragt, ober er per Telefon bzw. SMS besondere Infos<br />
erhalten möchte. Zur Auswahl werden zwei jeweils mit „Ja“ bzw. „Nein“ gekennzeichnete<br />
Felder angegeben. Aus der direkten Frage, der Möglichkeit, diese Frage zu verneinen <strong>und</strong><br />
dem Hinweis, dass es sich bei der Angabe der Telefon- oder Mobilfunknummer um eine<br />
freiwillige handelt, kann der K<strong>und</strong>e zweifelsfrei schließen, dass auch die Zustimmung zur<br />
Nutzung dieser Daten zum Erhalt der gewünschten Informationen nicht für die Teilnahme<br />
erforderlich ist.<br />
Eine freie Entscheidung des K<strong>und</strong>en erfolgt auch insgesamt bzgl. der Angabe der freiwilligen<br />
Angaben, die als solche im Formular kenntlich gemacht sind. Über das Formular werden eine<br />
Vielzahl freiwilliger Angaben erhoben, die auch die Lebenssituation <strong>und</strong> Interessen des<br />
K<strong>und</strong>en erfragen. Insgesamt sind dies folgende Daten:<br />
Geburtsdatum<br />
Telefon<br />
Mobiltelefon<br />
E-Mail<br />
Name, Geschlecht <strong>und</strong> Geburtsdatum der Kinder<br />
Wohnsituation (Wohnung, Haus, Eigentum, Miete, Garten, Wohnfläche)<br />
Hobbies (mehrere Kategorien zur Auswahl)<br />
„In diesen Bereichen würde ich gerne punkten“ (16 Branchen zur Auswahl)<br />
8.2.1.3 Information des K<strong>und</strong>en<br />
Darüber, dass die danova GmbH verantwortliche Stelle für die Verarbeitung der<br />
K<strong>und</strong>endaten ist, wird der K<strong>und</strong>e im Antragsformular hinreichend informiert. Dass daneben<br />
aber auch die Partnerunternehmen Daten der K<strong>und</strong>en speichern <strong>und</strong> auch für Werbezwecke<br />
nutzen, ergibt sich nur aus Ziff. 7 der Allgemeinen Geschäftsbedingungen. Ein Hinweis<br />
hierauf ist aber auch in der Einwilligungserklärung erforderlich.
- 63 -<br />
Über die Identität der teilnehmenden Partnerunternehmen wird der K<strong>und</strong>e hinreichend<br />
informiert. Die aktuell teilnehmenden Unternehmen sind auf der Rückseite der<br />
Antragsbroschüre abgedruckt <strong>und</strong> in der Einwilligungserklärung wird der K<strong>und</strong>en auf die<br />
Möglichkeit hingewiesen, eine aktuelle Teilnehmerliste bei der danova GmbH anzufordern.<br />
Welche Datenkategorien im Rahmen des Bonusprogramms verarbeitet werden, erfährt der<br />
K<strong>und</strong>e dagegen nicht mit hinreichender Genauigkeit. Betroffen sind hier die Programmdaten,<br />
die in der Einwilligungserklärung völlig unbestimmt als „Daten, die sich aus der Verwaltung<br />
der Bonuskarte ergeben“ beschrieben werden <strong>und</strong> auch in den Allgemeinen<br />
Geschäftsbedingungen nicht wesentlich genauer benannt sind (dort heißt es „die den<br />
Bonuspunkten zu Gr<strong>und</strong>e liegenden Geschäfte“). Welche Datenkategorien hiervon erfasst<br />
sind, ist nicht verständlich. Insbesondere wird nicht klar, ob nur solche Daten verarbeitet<br />
werden, die für die Rabattverwaltung zwingend erforderlich sind, oder darüber hinausgehend<br />
auch weitere Daten wie etwa die Waren- oder Dienstleistungsgruppe.<br />
Auch die Vorgänge der Datenverarbeitung sind, zumindest hinsichtlich der<br />
Datenverarbeitung durch die Partnerunternehmen, nicht hinreichend bestimmt dargestellt.<br />
Wie oben bereits festgestellt, muss die Tatsache, dass auch die Partnerunternehmen<br />
K<strong>und</strong>endaten speichern <strong>und</strong> nutzen, aus der Einwilligung ersichtlich sein.<br />
Über die Zwecke der Datenverarbeitung wird der K<strong>und</strong>e in der Einwilligungserklärung<br />
hinreichend informiert.<br />
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung <strong>und</strong> auch in den<br />
Allgemeinen Geschäftsbedingungen, dort auch unter Angabe des Ansprechpartners.<br />
Ein Hinweis auf die Betroffenenrechte erfolgt in den Allgemeinen Geschäftsbedingungen.<br />
8.2.1.4 Irreführung des K<strong>und</strong>en durch die Gestaltung der Einwilligungserklärungen<br />
Die Gestaltung der Einwilligungserklärungen auf dem Anmeldeformular birgt die Gefahr der<br />
Irreführung des K<strong>und</strong>en. Dazu trägt Entscheidend dafür ist, dass hier zwei verschiedene<br />
Einwilligungserklärungen verwendet werden <strong>und</strong> nur die weniger weit reichende<br />
Einwilligungserklärung deutlich als solche gekennzeichnet wird. Dies kann dazu führen, dass<br />
die zweite Einwilligungserklärung, aus der sich die Verarbeitung zu Werbezwecken ergibt,<br />
<strong>und</strong> die nur mit einem „Opt-Out“ versehen ist, nicht als Einwilligungserklärung erkannt<br />
werden kann.<br />
Gr<strong>und</strong>sätzlich ist die Verwendung mehrerer unterschiedlicher Erklärungen für<br />
unterschiedliche Zwecke aus datenschutzrechtlicher Sicht zu begrüßen, da dies die<br />
Transparenz für den K<strong>und</strong>en <strong>und</strong> die Ausübung seiner Wahlfreiheit i.d.R. erhöht. Dies setzt<br />
aber voraus, dass die Erklärung optisch als gleichbedeutend dargestellt werden <strong>und</strong> der K<strong>und</strong>e<br />
deutliche Möglichkeiten erhält, die unterschiedlichen Erklärungen gesondert abzugeben.<br />
Im vorliegenden Fall ist die Verwendung zweier verschiedener Einwilligungserklärungen<br />
jedoch nicht verständlich. Offensichtlich soll es sich bei der erstgenannten Erklärung um die<br />
Einwilligung in die Verwendung der Daten zum Zweck der Programmabwicklung <strong>und</strong> bei der<br />
zweitgenannten um die Einwilligung zu Werbe- <strong>und</strong> Marktforschungszwecken handeln.<br />
Dieser Unterschied dürfte dem durchschnittlichen K<strong>und</strong>en ohne besondere Kenntnisse des<br />
<strong>Datenschutz</strong>rechts nicht bewusst <strong>und</strong> verständlich sein. Dessen Verwirrung wiederum ist
- 64 -<br />
verständlich, da zum einen die erste Einwilligung keine Zweckangabe erhält <strong>und</strong> außerdem<br />
im Fall ihrer Beschränkung auf den Zweck der Rabattabwicklung überflüssig ist. Die<br />
unterschiedlichen Zwecke der Einwilligungserklärungen sollten daher deutlich herausgestellt<br />
werden.<br />
Neben dem reinen Unverständnis kann die Kombination beider Einwilligungserklärungen<br />
ohne eine genaue Differenzierung ihrer beiden Anwendungsbereiche aber auch<br />
Fehlvorstellungen des K<strong>und</strong>en hervorrufen. Ursächlich hierfür ist der Hinweis in der ersten<br />
Einwilligung, dass die Daten gemäß B<strong>und</strong>esdatenschutzgesetz verarbeitet würden. Für die<br />
Verarbeitung zum Zweck der Rabattabwicklung trifft dies auch zu; deshalb ist hierfür ja auch<br />
keine Einwilligung des K<strong>und</strong>en erforderlich. Ist dem K<strong>und</strong>en jedoch der Geltungsbereich<br />
dieser Einwilligung nicht klar, kann er diese Aussage auch auf die zweite Einwilligung<br />
beziehen, denn es ist nach der Darstellung der Erklärungen durchaus möglich, dass die zweite<br />
Einwilligung nur einen Unterfall der ersten, allgemeinen Einwilligung, darstellt <strong>und</strong> damit die<br />
Aussagen der ersten auch für die zweite Einwilligung gelten. Geht der K<strong>und</strong>e also davon aus,<br />
dass auch die Verarbeitung für Werbezwecke gemäß B<strong>und</strong>esdatenschutzgesetz erfolgt, so<br />
befindet er sich in einem Irrtum. Denn Gr<strong>und</strong>lage für diese Verarbeitung ist gerade nicht das<br />
BDSG, sondern vielmehr seine Einwilligungserklärung, weshalb der Zusatz „die<br />
Verarbeitung erfolgt gemäß B<strong>und</strong>esdatenschutzgesetz“ für eine Einwilligung in eine<br />
Verarbeitung über dessen Grenzen hinaus als unzulässig angesehen wird (vgl. hierzu oben).<br />
8.2.1.5 Hervorhebung im Schriftbild<br />
Die Einwilligungserklärung in die Datenverarbeitung zu Werbezwecken ist außerdem nicht in<br />
der erforderlichen Weise drucktechnisch hervorgehoben. Zwar ist der Text mit einem grauen<br />
Kasten hinterlegt, aber diese Hervorhebung reicht allein nicht aus. Um diese weitergehende<br />
Einwilligung gegenüber der anderen Einwilligung hervorzuheben, müsste die<br />
Werbeeinwilligung deutlich auffälliger als die andere Einwilligung gestaltet werden. Genau<br />
das Gegenteil ist hier jedoch der Fall. Während die Einwilligung in die Verarbeitung zu<br />
Rabattzwecken mit einer deutlich herausgestellten Überschrift versehen ist, enthält die<br />
Werbeeinwilligung keine Überschrift. Auf den ersten Blick muss der Betrachter somit<br />
annehmen, das Formular enthalte nur eine Einwilligungserklärung, so dass die Gefahr des<br />
Übersehens der zweiten Einwilligung besonders groß ist.<br />
8.2.2 Einzelne Vorgänge der Datenverarbeitung<br />
8.2.2.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten<br />
Für die Erhebung der freiwilligen Angaben <strong>und</strong> Stammdaten durch das Partnerunternehmen<br />
ist die Einwilligungserklärung, abgesehen von den allgemeinen Mängeln dieser Erklärung,<br />
ausreichend. Der Vorgang der Erhebung des Partnerunternehmens wird zwar nur in den<br />
Allgemeinen Geschäftsbedingungen beschrieben, aber da der K<strong>und</strong>e das erhebende<br />
Partnerunternehmen selbst aufsucht <strong>und</strong> dort seine Karte erhält, genügt dieser Hinweis.<br />
Etwas anderes ergibt sich jedoch für die Erhebung der Programmdaten zu Werbezwecken. Da<br />
über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser<br />
Vorgang nicht auf die Einwilligung des K<strong>und</strong>en gestützt werden.<br />
8.2.2.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber
- 65 -<br />
Der Vorgang der Übermittlung ist zwar nicht in der Einwilligungserklärung beschrieben,<br />
ergibt sich jedoch aus den Allgemeinen Geschäftsbedingungen, Ziff. 7. Da dem K<strong>und</strong>en<br />
bewusst ist, dass diese Daten beim Systembetreiber gespeichert werden, ist der Hinweis hier<br />
ausreichend.<br />
Etwas anderes gilt jedoch für die Übermittlung der Programmdaten zu Werbezwecken. Da<br />
über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser<br />
Vorgang nicht auf die Einwilligung des K<strong>und</strong>en gestützt werden.<br />
8.2.2.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Gleiches gilt auch für die Speicherung der K<strong>und</strong>endaten durch die danova GmbH.<br />
Hinsichtlich der freiwilligen Angaben <strong>und</strong> der Stammdaten ist die Einwilligung ausreichend,<br />
hinsichtlich der Programmdaten kann die Einwilligung diesen Vorgang nicht legitimieren.<br />
8.2.2.2.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Wegen der Zweckbeschreibung in der Einwilligungserklärung <strong>und</strong> in den Allgemeinen<br />
Geschäftsbedingungen wäre eine Bildung von K<strong>und</strong>enprofilen <strong>und</strong> deren Auswertung nicht<br />
zulässig.<br />
8.2.2.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen<br />
Eine Speicherung <strong>und</strong> Verarbeitung der K<strong>und</strong>endaten wird nur in den Allgemeinen<br />
Geschäftsbedingungen erwähnt, die Einwilligungserklärung erwähnt diesen Vorgang nicht.<br />
Hinsichtlich der Programmdaten kommt die Einwilligungserklärung bereits aus oben<br />
genannten Gründen nicht als Gr<strong>und</strong>lage für die Verarbeitung in Betracht.<br />
Eine wirksame Einwilligung liegt auch hinsichtlich der übrigen K<strong>und</strong>endaten nicht vor, da der<br />
Vorgang der Datenverarbeitung durch Partnerunternehmen nicht ausdrücklich in der<br />
Einwilligungserklärung aufgeführt wird.<br />
Als gesetzliche Gr<strong>und</strong>lage für die Speicherung <strong>und</strong> Verarbeitung durch das<br />
Partnerunternehmen kommt § 28 Abs. 1 Nr. 2 BDSG in Betracht. Diese Vorschrift legitimiert<br />
die Verwendung solcher K<strong>und</strong>endaten zu Werbezwecken, die zum Zweck der Erfüllung des<br />
zu Gr<strong>und</strong>e liegenden Vertrages zulässig erhoben werden. Außerdem sind die<br />
Partnerunternehmen auf Gr<strong>und</strong> gesetzlicher Gr<strong>und</strong>lage nur befugt, die Daten ihrer eigenen<br />
K<strong>und</strong>en zu Werbezwecken zu verwenden, so dass eine Verwendung fremder K<strong>und</strong>endaten<br />
unzulässig ist.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen der Eutin City Card sind<br />
folgende datenschutzrechtliche Verstöße festzustellen:<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Gestaltung der Einwilligung als Opt-Out,<br />
- fehlender Hinweis in der Einwilligungserklärung auf die Datenspeicherung <strong>und</strong> -nutzung
- 66 -<br />
durch die Partnerunternehmen zu Werbezwecken,<br />
- unzureichende Beschreibung der Programmdaten,<br />
- Irreführung des K<strong>und</strong>en durch die Gestaltung der Einwilligungserklärungen,<br />
- fehlende optische Hervorhebung der Einwilligung zu Werbezwecken.
9. Pforzheim Card<br />
- 67 -<br />
Die danova GmbH bietet auch in Pforzheim eine ähnlich K<strong>und</strong>enkarte wie die Eutin City<br />
Card an, die Pforzheim Card. Die Funktionsweise ist dieselbe wie die der Eutin City Card.<br />
Bonuspunkte können bei allen Partnerunternehmen gesammelt <strong>und</strong> auch eingelöst werden.<br />
Die Verwaltung der Bonuspunkte erfolgt durch die danova GmbH.<br />
9.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch das Partnerunternehmen<br />
Die Beantragung der Pforzheim Card erfolgt durch ein vom K<strong>und</strong>en ausgewähltes<br />
Partnerunternehmen über ein Antragsformular. D.h. die dort abgefragten Daten werden durch<br />
das Partnerunternehmen erhoben.<br />
Als Pflichtangaben werden lediglich Name <strong>und</strong> Anschrift des K<strong>und</strong>en erhoben. In diesem<br />
Umfang ist die Datenerhebung auf Gr<strong>und</strong>lage des § 28 Abs. 1 Nr. 1 BDSG zulässig.<br />
- Erhebung des Namens, Geschlechts <strong>und</strong> Geburtsdatums der Kinder<br />
Auch für die Pforzheim Card werden auf freiwilliger Basis Name, Geschlecht <strong>und</strong><br />
Geburtsdatum der Kinder erhoben. Zur Bewertung siehe oben.<br />
- Übermittlung der Stammdaten an den Systembetreiber, Speicherung<br />
Auch die Übermittlung der Stammdaten an den Systembetreiber <strong>und</strong> die Speicherung durch<br />
diesen ist zulässig.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen registriert die Akzeptanzstelle bei der<br />
Gewährung von Bonuspunkten die Daten des Antragstellers <strong>und</strong> die zu Gr<strong>und</strong>e liegenden<br />
Geschäfte.<br />
Soweit sich die Erfassung des zu Gr<strong>und</strong>e liegenden Geschäfts auf die für die<br />
Rabattabwicklung erforderlichen Daten beschränkt, ist die Datenerhebung gemäß § 28 Abs. 1<br />
Nr. 1 BDSG zulässig.<br />
- Übermittlung an den Systembetreiber<br />
Gleiches gilt insoweit für die ebenfalls gemäß Ziff. 7 der Allgemeinen Geschäftsbedingungen<br />
vorgesehene Übermittlung der Daten an den Systembetreiber <strong>und</strong> die Speicherung der Daten<br />
bei diesem.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Die Geschäftsbedingungen sind in dieser Hinsicht mit denen der Eutin Card identisch.
- 68 -<br />
9.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Ausweislich der Ziff. 7 der Allgemeinen Geschäftsbedingungen findet auch eine Nutzung der<br />
Daten für Zwecke der Werbung <strong>und</strong> Marktforschung, <strong>und</strong> zwar durch Systembetreiber <strong>und</strong><br />
Partnerunternehmen statt.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
9.2.1 Allgemeine Beurteilung der Einwilligungserklärungen<br />
Auch das Antragsformular für die Pforzheim Card enthält zwei verschiedene<br />
Einwilligungserklärungen.<br />
Der Text der ersten Einwilligungserklärung lautet:<br />
„Ich bestätige durch meine Unterschrift die Richtigkeit der obigen Angaben<br />
<strong>und</strong> erkenne die beiliegenden Allgemeinen Geschäftsbedingungen an. Mit<br />
meiner Unterschrift willige ich frei widerruflich ein, dass die danova<br />
GmbH die oben angegebenen Daten sowie Daten, die sich aus der<br />
Verwaltung der Bonuspunkte ergeben, speichert <strong>und</strong> im Rahmen des<br />
Bonuspunkte-Programms verarbeitet.“<br />
Die zweite im Antragsformular der Pforzheim Card abgedruckte Einwilligungserklärung hat<br />
den folgenden Wortlaut:<br />
„Damit ich aktuell informiert werden kann, willige ich ein, dass die danova<br />
GmbH die oben angegebenen Daten sowie Daten, die sich aus der Verwaltung<br />
der Bonuskarte ergeben, für Marktforschung <strong>und</strong> Marketingzwecke der<br />
teilnehmenden Akzeptanzstellen nutzt. Die Liste der Akzeptanzstellen ist bei<br />
der danova GmbH, Anschrift, erhältlich. ❑ Hier ankreuzen, falls nicht<br />
Diese Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich<br />
der K<strong>und</strong>enkarte bestehende Vertragsverhältnis jederzeit für die Zukunft<br />
widerrufen.“<br />
9.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist durch die Unterschrift des K<strong>und</strong>en auf dem Antragsformular gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die Möglichkeit, das fehlende Einverständnis durch Ankreuzen des entsprechenden<br />
Kästchens zu erklären, ist nicht ausreichend.<br />
9.2.1.2 Freie Entscheidung<br />
Dass die Erteilung der Einwilligung dem K<strong>und</strong>en freigestellt ist, ergibt sich nur mittelbar<br />
daraus, dass dem K<strong>und</strong>en eine Widerrufsmöglichkeit eingeräumt wird. Es fehlt aber der<br />
erforderliche ausdrückliche Hinweis auf die Freiwilligkeit der Einwilligung sowie auf die
- 69 -<br />
Folgen der Verweigerung einer solchen Erklärung.<br />
Als freiwillig kann allerdings die Zustimmung in den Erhalt von Werbeinformationen über<br />
Telefon oder SMS bezeichnet werden. Zusätzlich zur freien Angabe der Telefon- oder<br />
Mobilfunknummer wird der K<strong>und</strong>e gefragt, ober er per Telefon bzw. SMS besondere Infos<br />
erhalten möchte. Zur Auswahl werden zwei jeweils mit „Ja“ bzw. „Nein“ gekennzeichnete<br />
Felder angegeben. Aus der direkten Frage, der Möglichkeit, diese Frage zu verneinen <strong>und</strong><br />
dem Hinweis, dass es sich bei der Angabe der Telefon- oder Mobilfunknummer um eine<br />
freiwillige handelt, kann der K<strong>und</strong>e zweifelsfrei schließen, dass auch die Zustimmung zur<br />
Nutzung dieser Daten zum Erhalt der gewünschten Informationen nicht für die Teilnahme<br />
erforderlich ist.<br />
Eine freie Entscheidung des K<strong>und</strong>en liegt auch insgesamt in der Angabe der freiwilligen<br />
Angaben, die als solche im Formular kenntlich gemacht sind. Über das Formular werden eine<br />
Vielzahl freiwilliger Angaben erhoben, die auch die Lebenssituation <strong>und</strong> Interessen des<br />
K<strong>und</strong>en erfragen. Insgesamt sind dies folgende Daten:<br />
Geburtsdatum<br />
Telefon<br />
Mobiltelefon<br />
E-Mail<br />
Name, Geschlecht <strong>und</strong> Geburtsdatum der Kinder<br />
Wohnsituation (Wohnung, Haus, Eigentum, Miete, Garten, Wohnfläche)<br />
Hobbies (mehrere Kategorien zur Auswahl)<br />
„In diesen Bereichen würde ich gerne punkten“ (24 Branchen zur Auswahl)<br />
9.2.1.3 Information des K<strong>und</strong>en<br />
Darüber, dass die danova GmbH verantwortliche Stelle für die Verarbeitung der<br />
K<strong>und</strong>endaten ist, wird der K<strong>und</strong>e im Antragsformular hinreichend informiert. Dass daneben<br />
aber auch die Partnerunternehmen Daten der K<strong>und</strong>en speichern <strong>und</strong> auch für Werbezwecke<br />
nutzen, ergibt sich nur aus Ziff. 7 der Allgemeinen Geschäftsbedingungen. Ein Hinweis<br />
hierauf ist aber auch in der Einwilligungserklärung erforderlich.<br />
Über die Identität der teilnehmenden Partnerunternehmen wird der K<strong>und</strong>e hinreichend<br />
informiert. Die aktuell teilnehmenden Unternehmen sind auf der Rückseite der<br />
Antragsbroschüre abgedruckt <strong>und</strong> in der Einwilligungserklärung wird der K<strong>und</strong>en auf die<br />
Möglichkeit hingewiesen, eine aktuelle Teilnehmerliste bei der danova GmbH anzufordern.<br />
Welche Datenkategorien im Rahmen des Bonusprogramms verarbeitet werden, erfährt der<br />
K<strong>und</strong>e dagegen nicht mit hinreichender Genauigkeit. Betroffen sind hier die Programmdaten,<br />
die in der Einwilligungserklärung völlig unbestimmt als „Daten, die sich aus der Verwaltung<br />
der Bonuskarte ergeben“ beschrieben werden <strong>und</strong> auch in den Allgemeinen<br />
Geschäftsbedingungen nicht wesentlich genauer benannt sind (dort heißt es „die den<br />
Bonuspunkten zu Gr<strong>und</strong>e liegenden Geschäfte“). Welche Datenkategorien hiervon erfasst<br />
sind, ist nicht verständlich. Insbesondere wird in nicht klar, ob nur solche Daten verarbeitet<br />
werden, die für die Rabattverwaltung zwingend erforderlich sind, oder darüber hinausgehend<br />
auch weitere Daten wie etwa die Waren- oder Dienstleistungsgruppe.<br />
Auch die Vorgänge der Datenverarbeitung sind, zumindest hinsichtlich der
- 70 -<br />
Datenverarbeitung durch die Partnerunternehmen, nicht hinreichend bestimmt dargestellt.<br />
Wie oben bereits festgestellt, muss die Tatsache, dass auch die Partnerunternehmen<br />
K<strong>und</strong>endaten speichern <strong>und</strong> nutzen, aus der Einwilligung ersichtlich sein.<br />
Über die Zwecke der Datenverarbeitung wird der Teilnehmer hinreichend informiert.<br />
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung <strong>und</strong> auch in den<br />
Allgemeinen Geschäftsbedingungen, dort auch unter Angabe des Ansprechpartners.<br />
Ein Hinweis auf die Betroffenenrechte erfolgt in den Allgemeinen Geschäftsbedingungen.<br />
9.2.1.4 Keine Irreführung des K<strong>und</strong>en durch die Gestaltung der<br />
Einwilligungserklärungen<br />
Durch die hier verwendeten Einwilligungserklärungen ist eine Irreführung des K<strong>und</strong>en, wie<br />
sie bei Lektüre des Anmeldeformulars der Eutin City Card entstehen kann, ausgeschlossen. In<br />
zwei verschiedenen Punkten ist die Rabatteinwilligung der Pforzheim Card anders gestaltet<br />
als die der Eutin City Card, <strong>und</strong> diese Unterschiede wirken sich auf die Verständlichkeit der<br />
Einwilligungen in erheblicher Weise aus.<br />
Zum einen enthält die erste Einwilligungserklärung der Pforzheim Card im Gegensatz zu der<br />
bei der Eutin City Card verwendeten eine ausdrückliche Zweckangabe. Eine Verarbeitung<br />
soll danach im Rahmen des Bonuspunkte-Programms stattfinden. Zum Bonuspunkte-<br />
Programm im engeren Sinne gehört nur die Gutschrift, Verwaltung <strong>und</strong> Auszahlung der<br />
Rabatte, nicht aber die Werbung <strong>und</strong> Marktforschung. Durch diese Zweckangabe ist eine<br />
deutliche Abgrenzung zur Werbeeinwilligung erfolgt.<br />
Zum zweiten fehlt in der Rabatteinwilligung der Pforzheim Card die irreführende<br />
Formulierung „Daten werden gemäß B<strong>und</strong>esdatenschutzgesetz verarbeitet“.<br />
9.2.1.5 Hervorhebung im Schriftbild<br />
Auch die Hervorhebung der Werbeeinwilligung ist auf dem Formular der Pforzheim Card<br />
wesentlich besser gelungen als bei der Eutin City Card.<br />
Beide Erklärungen sind weiß hinterlegt <strong>und</strong> mit einem blauen Streifen umrandet. Da die<br />
Werbeeinwilligung mehr Text beinhaltet als die Rabatteinwilligung, nimmt die<br />
Werbeeinwilligung einen größeren Umfang ein. Beide Erklärungen befinden sich<br />
nebeneinander in einem gesonderten Abschnitt unter der Überschrift „Einverständnis-<br />
Erklärung, die logisch zu beiden Erklärungen gehört, wenngleich optisch auf den ersten Blick<br />
nur die direkt unter der Überschrift abgedruckte Rabatteinwilligung zu der Überschrift<br />
zugeordnet wird.<br />
9.2.2. Einzelne Vorgänge der Datenverarbeitung<br />
9.2.2.1 Erhebung der freiwilligen Angaben sowie bestimmter Stammdaten <strong>und</strong><br />
Programmdaten<br />
Für die Erhebung der freiwilligen Angaben <strong>und</strong> Stammdaten durch das Partnerunternehmen<br />
ist die Einwilligungserklärung, abgesehen von den allgemeinen Mängeln dieser Erklärung,<br />
ausreichend. Der Vorgang der Erhebung des Partnerunternehmens wird zwar nur in den
- 71 -<br />
Allgemeinen Geschäftsbedingungen beschrieben, aber da der K<strong>und</strong>e das erhebende<br />
Partnerunternehmen selbst aufsucht <strong>und</strong> dort seine Karte erhält, ist dieser Hinweis<br />
ausreichend.<br />
Etwas anderes ergibt sich jedoch für die Erhebung der Programmdaten zu Werbezwecken. Da<br />
über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser<br />
Vorgang nicht auf die Einwilligung des K<strong>und</strong>en gestützt werden.<br />
9.2.2.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber<br />
Der Vorgang der Übermittlung ist zwar nicht in der Einwilligungserklärung beschrieben,<br />
ergibt sich jedoch aus den Allgemeinen Geschäftsbedingungen, Ziff. 7. Da dem K<strong>und</strong>en<br />
bewusst ist, dass diese Daten beim Systembetreiber gespeichert werden, ist der Hinweis hier<br />
ausreichend.<br />
Etwas anderes ergibt sich jedoch für die Übermittlung der Programmdaten zu Werbezwecken.<br />
Da über die Zusammensetzung dieser Daten nicht hinreichend aufgeklärt wurde, kann dieser<br />
Vorgang nicht auf die Einwilligung des K<strong>und</strong>en gestützt werden.<br />
9.2.2.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Gleiches gilt auch für die Speicherung der K<strong>und</strong>endaten durch die danova GmbH.<br />
Hinsichtlich der freiwilligen Angaben <strong>und</strong> der Stammdaten ist die Einwilligung ausreichend,<br />
hinsichtlich der Programmdaten kann die Einwilligung diesen Vorgang nicht legitimieren.<br />
9.2.2.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Hier gelten die Ausführungen zur Eutin City Card.<br />
9.2.2.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen<br />
Eine Speicherung <strong>und</strong> Verarbeitung der K<strong>und</strong>endaten wird nur in den Allgemeinen<br />
Geschäftsbedingungen erwähnt, die Einwilligungserklärung erwähnt diesen Vorgang nicht.<br />
Hinsichtlich der Programmdaten kommt die Einwilligungserklärung bereits aus oben<br />
genannten Gründen nicht als Gr<strong>und</strong>lage für die Verarbeitung in Betracht.<br />
Eine wirksame Einwilligung liegt auch hinsichtlich der übrigen K<strong>und</strong>endaten nicht vor, da der<br />
Vorgang der Datenverarbeitung durch Partnerunternehmen nicht ausdrücklich in der<br />
Einwilligungserklärung aufgeführt wird.<br />
Als gesetzliche Gr<strong>und</strong>lage für die Speicherung <strong>und</strong> Verarbeitung durch das<br />
Partnerunternehmen kommt § 28 Abs. 1 Nr. 2 BDSG in Betracht. Diese Vorschrift legitimiert<br />
die Verwendung solcher K<strong>und</strong>endaten zu Werbezwecken, die zum Zweck der Erfüllung des<br />
zu Gr<strong>und</strong>e liegenden Vertrages zulässig erhoben werden. Außerdem sind die<br />
Partnerunternehmen auf Gr<strong>und</strong> gesetzlicher Gr<strong>und</strong>lage nur befugt, die Daten ihrer eigenen<br />
K<strong>und</strong>en zu Werbezwecken zu verwenden, so dass eine Verwendung fremder K<strong>und</strong>endaten<br />
unzulässig ist.<br />
Zusammenfassung:
- 72 -<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen der Pforzheim Card sind<br />
folgende datenschutzrechtliche Verstöße festzustellen:<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Gestaltung der Einwilligung als Opt-Out,<br />
- fehlender Hinweis in der Einwilligungserklärung auf die Datenspeicherung <strong>und</strong> -nutzung<br />
durch die Partnerunternehmen zu Werbezwecken,<br />
- unzureichende Beschreibung der Programmdaten,
- 73 -<br />
10. Dürens große K<strong>und</strong>enkarte<br />
Die Stadtwerke Düren GmbH gibt für ihre K<strong>und</strong>en eine K<strong>und</strong>enkarte, „Dürens große<br />
K<strong>und</strong>enkarte“ heraus. Bei den teilnehmenden Partnerunternehmen - hauptsächlich lokale<br />
Einzelhändler - können unter Vorlage der K<strong>und</strong>enkarte Rabatte in Form von so genannten<br />
evivo Punkten gesammelt werden. Ein evivo Punkt hat einen festen Gegenwert von 0,01<br />
Euro, die Anzahl der zu gewährenden Punkte legen die Partnerunternehmen in eigenem<br />
Ermessen fest. Verwaltet werden die Rabattgutschriften durch den evivoCard Rabattverein<br />
e.V., der auch in zahlreichen anderen Städten 17 in Zusammenarbeit mit den lokalen<br />
Energieversorgungsunternehmen K<strong>und</strong>enkartensysteme betreibt. Zur Unterstützung bedient<br />
sich der evivoCard Rabattverein eines technischen Systemdienstleisters, der die K<strong>und</strong>endaten<br />
zur technischen Abwicklung des K<strong>und</strong>enkarten-Systems speichert <strong>und</strong> verarbeitet.<br />
Inhaber der K<strong>und</strong>enkarte können ihr erworbenes Rabattguthaben entweder zur Verrechnung<br />
in allen teilnehmenden Partnerunternehmen einsetzen oder es sich bei der Stadtwerke Düren<br />
GmbH in bar auszahlen lassen.<br />
10.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch die Stadtwerke Düren GmbH<br />
Die Anmeldung eines K<strong>und</strong>en zur Teilnahme am K<strong>und</strong>enbindungssystem erfolgt über ein<br />
Anmeldeformular bei der Stadtwerke Düren GmbH. Die mittels des Formulars abgefragten<br />
Informationen werden somit durch die Stadtwerke Düren erhoben.<br />
Als Pflichtangaben werden neben der K<strong>und</strong>ennummer folgende Daten erhoben:<br />
Name<br />
Anschrift<br />
Geburtsdatum<br />
Die Erhebung des vollständigen Geburtsdatums ist aus den bereits genannten Gründen nicht<br />
zulässig. Die Stadtwerke Düren GmbH kann sich nicht darauf berufen, dass die Kenntnis<br />
erforderlich ist, um Teilnehmer eindeutig zu identifizieren bzw. um Teilnehmer eines<br />
bestimmten (jugendlichen) Alters auszuschließen. Die K<strong>und</strong>en sind über ihre K<strong>und</strong>ennummer<br />
bereits hinreichend identifiziert. Zum anderen erfolgt durch die Beschränkung der Teilnahme<br />
auf die K<strong>und</strong>en der Stadtwerke gleichzeitig ein Ausschluss nicht geschäftsfähiger Personen.<br />
- Übermittlung der Stammdaten an den evivoCard Rabattverein e.V.<br />
Da die Verwaltung des Bonuspunktekontos durch den evivoCard Rabattverein erfolgt, ist<br />
davon auszugehen, dass auch die Stammdaten der Teilnehmer zum Zweck der<br />
Kontoverwaltung an den Rabattverein übermittelt werden, auch wenn dieser Vorgang in den<br />
Allgemeinen Teilnahmebedingungen <strong>und</strong> den Hinweisen zum <strong>Datenschutz</strong> nicht ausdrücklich<br />
erwähnt wird. Eine solche Übermittlung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.<br />
17 Z.B. in Brühl.
- 74 -<br />
- Speicherung <strong>und</strong> Verarbeitung durch den evivoCard Rabattverein e.V.<br />
Gleiches gilt für die Speicherung <strong>und</strong> Verarbeitung der Stammdaten durch den evivoCard<br />
Rabattverein.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Beim Einsatz der K<strong>und</strong>enkarte werden folgende Programmdaten durch das kontaktierte<br />
Partnerunternehmen erhoben:<br />
Preis<br />
Rabattbetrag<br />
Ort <strong>und</strong> Datum des Kaufs<br />
Da diese Daten zur Abrechnung der Rabattpunkte <strong>und</strong> zur nachträglichen Überprüfung der<br />
Richtigkeit der Abrechnung erforderlich sind, ist deren Erhebung gemäß § 28 Abs. 1 Nr. 1<br />
BDSG zulässig.<br />
- Übermittlung an den evivoCard Rabattverein e.V.<br />
Auch eine Übermittlung dieser Daten an den evivoCard Rabattverein ist zulässig.<br />
- Speicherung der Programmdaten durch den evivoCard Rabattverein e.V.<br />
Gleiches gilt für eine Speicherung der Programmdaten durch den evivoCard Rabattverein.<br />
- Übermittlung der Stamm- <strong>und</strong> Programmdaten an ein externes<br />
Dienstleistungsunternehmen<br />
Laut Ziff. 4.1 der Allgemeinen Teilnahmebedingungen sowie Ziff. 2 der Hinweise zum<br />
<strong>Datenschutz</strong> werden die Stamm- <strong>und</strong> Programmdaten zur technischen Abwicklung der<br />
Rabattverwaltung an ein vom evivoCard Rabattverein <strong>und</strong> der Stadtwerke Düren GmbH<br />
beauftragtes Dienstleistungsunternehmen weitergeleitet.<br />
Die Tätigkeit des Dienstleistungsunternehmens kann in datenschutzrechtlicher Hinsicht auf<br />
zweierlei Art <strong>und</strong> Weise ausgestaltet sein.<br />
Zum einen kann es sich dabei um eine unselbständige Hilfsleistung handeln.<br />
<strong>Datenschutz</strong>rechtlich wäre dies als eine Auftragsdatenverarbeitung gemäß § 11 BDSG zu<br />
qualifizieren. Die Weitergabe der Daten an das Dienstleistungsunternehmen wäre dann keine<br />
Übermittlung im Sinne des § 3 Abs. 4 BDSG, die einer Erlaubnis gemäß § 4 Abs. 1 BDSG<br />
bedürfte.<br />
Zum anderen käme aber auch eine selbständige von eigenen Interessen bestimmte Tätigkeit<br />
des beauftragten Unternehmens in Betracht, die über die bloße Hilfsfunktion der<br />
Datenverarbeitung im Auftrag hinausgeht. In diesem Fall wäre für die Übermittlung eine<br />
Erlaubnis erforderlich, die hier aufgr<strong>und</strong> der Erforderlichkeit für die Rabattabwicklung in §<br />
28 Abs. 1 Nr. 1 BDSG gesehen werden könnte. Das Dienstleistungsunternehmen wäre dann<br />
aber selbst auch verantwortliche Stelle im Sinne des § 3 Abs. 7 BDSG, mit der Folge, dass<br />
der Betroffene gemäß § 4 Abs. 3 Nr. 1 BDSG über dessen Identität zu unterrichten wäre. Eine<br />
solche Unterrichtung ist hier nicht erfolgt.
- 75 -<br />
Die Bezeichnung des beauftragten Unternehmens als technischen Systemdienstleisters sowie<br />
die Beschreibung dessen Tätigkeit als technische Abwicklung des K<strong>und</strong>enkartensystems<br />
deutet darauf hin, dass es sich hierbei um eine Datenverarbeitung im Auftrag gemäß § 11<br />
BDSG handelt.<br />
10.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Ausweislich der Hinweise zum <strong>Datenschutz</strong> werden die K<strong>und</strong>endaten durch die Stadtwerke<br />
Düren GmbH zu Zwecken der Marktforschung <strong>und</strong> zur Versendung von Informationen per<br />
Post genutzt.<br />
10.2.1 Vorgänge, die aufgr<strong>und</strong> gesetzlicher Gr<strong>und</strong>lage zulässig sind<br />
Weitergabe (Übermittlung) von Daten an das Partnerunternehmen, über das die<br />
Anmeldung erfolgt ist<br />
Stammdaten <strong>und</strong> freiwillige Angaben werden ausdrücklich nicht an die Partnerunternehmen<br />
übermittelt.<br />
Die Programmdaten werden den Partnerunternehmen in anonymisierter Form für<br />
Abrechnungszwecke zur Verfügung gestellt. Wegen der Beschränkung auf den Zweck der<br />
Abrechnung ist davon auszugehen, dass den Partnerunternehmen nur die Programmdaten über<br />
ihre eigenen Geschäfte mit den Teilnehmern übermittelt werden. Dieser Vorgang ist zulässig.<br />
10.2.2 Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
10.2.2.1 Allgemeine Beurteilung der Einwilligungserklärung<br />
Auf dem Anmeldeformular für Dürens große K<strong>und</strong>enkarte ist die folgende Erklärung<br />
abgedruckt:<br />
„Ihre Zustimmung<br />
Bitte beachten Sie die beiliegenden Teilnahmebedingungen <strong>und</strong> Hinweise zum<br />
<strong>Datenschutz</strong>. Die Verwaltung Ihrer Daten (Basisdaten, freiwillige Angaben<br />
<strong>und</strong> Rabattdaten) erfolgt durch einen von der SWD <strong>und</strong> dem evivoCard<br />
Rabattverein e.V. beauftragten technischen Systemdienstleister. Mit Ihrer<br />
Unterschrift erklären Sie sich mit der Übermittlung, Speicherung <strong>und</strong> Nutzung<br />
Ihrer Daten gemäß den beiliegenden <strong>Datenschutz</strong>hinweisen <strong>und</strong> den<br />
allgemeinen Teilnahmebedingungen einverstanden.<br />
Werbung <strong>und</strong> Marktforschung (bitte durchstreichen, falls nicht einverstanden):<br />
Ich möchte ausgewählte Informationen von der SWD <strong>und</strong> den<br />
Partnerunternehmen per Post erhalten. Ich bin damit einverstanden, dass meine<br />
Daten gemäß den beiliegenden <strong>Datenschutz</strong>hinweisen hierfür <strong>und</strong> zu Zwecken<br />
der Marktforschung von der SWD genutzt werden. Mein Einverständnis kann<br />
ich jederzeit gemäß § 28 Abs. 3 B<strong>und</strong>esdatenschutzgesetz gegenüber der SWD,<br />
Anschrift, widerrufen.
- 76 -<br />
Datum, Unterschrift (unbedingt erforderlich zur Teilnahme am<br />
K<strong>und</strong>enkartensystem)“<br />
10.2.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist durch die Unterschrift erfüllt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die vorliegende Streichoption genügt den oben dargestellten Anforderungen nicht.<br />
10.2.2.1.2 Freie Entscheidung<br />
Eindeutig ergibt sich die Freiwilligkeit der Einwilligung in die Nutzung für Werbung <strong>und</strong><br />
Marktforschung nur aus den Hinweisen zum <strong>Datenschutz</strong>. Dort wird auch auf die Folgen der<br />
Verweigerung <strong>und</strong> des Widerrufs hingewiesen.<br />
Aus dem Text der Einwilligungserklärung kann der K<strong>und</strong>e nur mittelbar auf die Freiwilligkeit<br />
der Erklärung schließen, <strong>und</strong> zwar einmal durch die Möglichkeit zum Streichen des<br />
Erklärungstextes <strong>und</strong> zum anderen durch den Hinweis auf die Widerrufsmöglichkeit. Dies<br />
allein reicht jedoch noch nicht aus. Wegen der zentralen Bedeutung der Freiwilligkeit dürfen<br />
in diesen Punkt keine Unklarheiten oder Ungenauigkeiten zu Lasten des Betroffenen<br />
verbleiben. Ein ausdrücklicher Hinweis ist daher erforderlich. Gleiches gilt auch für den<br />
Hinweis auf die Folgen der Verweigerung.<br />
10.2.2.1.3 Information des K<strong>und</strong>en<br />
Die hier verwandte Einwilligungserklärung besteht wie bei den letzten zwei beschriebenen<br />
K<strong>und</strong>enkartensystemen ebenfalls aus zwei verschiedenen Bestandteilen. Hier ist ebenfalls<br />
davon auszugehen, dass der erste Abschnitt sich lediglich auf die Verarbeitung von Daten<br />
zum Zweck der Rabattabwicklung bezieht. Diese Einwilligung ist überflüssig, da wie oben<br />
festgestellt die zu diesem Zweck durchzuführenden Verarbeitungsvorgänge aufgr<strong>und</strong><br />
gesetzlicher Befugnis zulässig sind. Es ist im Hinblick auf diese Erklärung lediglich zu<br />
prüfen, ob damit der Informationspflicht des § 4 Abs. 3 BDSG Genüge getan ist.<br />
Bei der zweiten Erklärung handelt es sich dagegen um eine „echte“, konstitutive<br />
Einwilligungserklärung, deren Wirksamkeit Zulässigkeitsvoraussetzung für die Verarbeitung<br />
von Daten zum Zweck der Werbung <strong>und</strong> Marktforschung ist.<br />
Wer in datenschutzrechtlicher Hinsicht verantwortliche Stelle für die Datenverarbeitung im<br />
Rahmen des K<strong>und</strong>enkartensystems ist, wird aus der Einwilligungserklärung selbst nicht<br />
deutlich. Genannt werden dort die Stadtwerke Düren GmbH, der evivoCard Rabattverein <strong>und</strong><br />
die Partnerunternehmen. Hinsichtlich der Programmabwicklung, für die sich eine<br />
Informationspflicht aus § 4 Abs. 3 Nr. 1 BDSG ergibt, werden die Aufgaben der Stadtwerke<br />
Düren GmbH <strong>und</strong> des Rabattvereins nicht dargestellt. Der K<strong>und</strong>e erfährt nicht, ob eines dieser<br />
Unternehmen seine personenbezogenen Daten erhebt <strong>und</strong> verarbeitet, ob diese Vorgänge<br />
durch beide gleichermaßen oder nur durch eines der Unternehmen erfolgen. Eine solche<br />
Information ist aber erforderlich <strong>und</strong> sollte, wenn wie hier eine gesonderte Erklärung für die<br />
Vorgänge zur Rabattabwicklung vorgesehen ist, sich auch direkt aus dieser Erklärung
ergeben.<br />
- 77 -<br />
Aber auch die Allgemeinen Teilnahmebedingungen <strong>und</strong> die Hinweise zum <strong>Datenschutz</strong> sind<br />
in dieser Hinsicht nicht wesentlich aufschlussreicher. Ziff. 1 der Hinweise zum <strong>Datenschutz</strong><br />
beschreibt die Vorgänge der Datenerhebung <strong>und</strong> -speicherung, erwähnt aber nicht, durch wen<br />
diese Schritte durchgeführt werden. Ziff. 1.1 der Allgemeinen Teilnahmebedingungen<br />
benennt den evivoCard Rabattverein als Verwalter der Rabattgutschriften <strong>und</strong> legt somit auch<br />
eine verantwortliche Verarbeitung der dafür erforderlichen K<strong>und</strong>endaten durch diesen nahe,<br />
ohne dass dieser Umstand jedoch ausdrücklich erwähnt wird. Es fehlt überdies die präzise<br />
Angabe der Identität des Rabattvereins, da weder eine Anschrift noch eine sonstige<br />
Kontaktmöglichkeit des Rabattvereins angegeben ist.<br />
Hinsichtlich der Verantwortlichkeit für die Werbenutzung ist die Einwilligungserklärung<br />
deutlicher. Zweifelsfrei ergibt sich daraus zumindest, dass die Stadtwerke Düren zu diesen<br />
Zwecken die K<strong>und</strong>endaten nutzt.<br />
Daneben wird aber die Funktion der Partnerunternehmen missverständlich dargestellt. Der<br />
erste Satz der Einwilligung zu Werbe- <strong>und</strong> Marktforschungszwecken lässt vermuten, dass<br />
dafür die K<strong>und</strong>endaten auch durch die Partnerunternehmen verarbeitet werden, was jedoch<br />
nach den Hinweisen zum <strong>Datenschutz</strong> nicht der Fall ist.<br />
Offen bleibt nach der gesamten Darstellung in der Einwilligungserklärung, den Hinweisen<br />
zum <strong>Datenschutz</strong> <strong>und</strong> den Allgemeinen Teilnahmebedingungen, ob die Partnerunternehmen<br />
die beim Einsatz der K<strong>und</strong>enkarte anfallenden Programmdaten selbst erheben.<br />
Über die Identität der teilnehmenden Partnerunternehmen wird der K<strong>und</strong>e durch eine<br />
Aufzählung in der Antragsbroschüre sowie einen Hinweis in den Allgemeinen<br />
Teilnahmebedingungen hinreichend aufgeklärt.<br />
Über die zur Rabattabwicklung verarbeiteten Datenkategorien wird der K<strong>und</strong>e nicht<br />
vollständig aufgeklärt. Erforderlich wäre eine Aufzählung der Bestandteile der Rabattdaten<br />
bereits in der Einwilligungserklärung. Die Auflistung in den Hinweisen zum <strong>Datenschutz</strong> ist<br />
zwar hilfreich, jedoch nicht ausreichend.<br />
Gravierender ist die Ungenauigkeit der Beschreibung in der Einwilligung zu Werbezwecken.<br />
Hier werden die zu verarbeitenden Daten nur als „meine Daten“ bezeichnet. Es bleibt dabei<br />
unklar, ob sich dies auf die oben genannten Kategorien bezieht. Da dem K<strong>und</strong>en der Umfang<br />
der Datenverarbeitung zu Werbe- <strong>und</strong> Marktforschungszwecken in der Regel weniger<br />
bewusst ist als der Umfang der zur Abwicklung des Programms zwingend erforderlichen<br />
Daten, wäre an dieser Stelle erst recht eine präzise Aufklärung erforderlich.<br />
Über die Vorgänge der Datenverarbeitung informiert die Einwilligungserklärung für die<br />
Rabattabwicklung insofern unzureichend, als die Stelle, die die dort aufgeführten Maßnahmen<br />
durchführt, nicht genannt ist. Der Mangel liegt in dem fehlenden Hinweis auf die<br />
verantwortliche Stelle.<br />
Im Hinblick auf die Nutzung zum Zweck der Werbung <strong>und</strong> Marktforschung sind die<br />
Vorgänge hinreichend dargestellt. Unzureichend ist allerdings die Beschreibung des<br />
Werbezwecks als „Information“. Hierdurch wird der suggestive Charakter der Werbung<br />
verschleiert <strong>und</strong> die geplante Maßnahme beschönigend mit dem positiv besetzten Begriff der<br />
Information umschrieben.
- 78 -<br />
Ein Hinweis auf das Widerrufsrecht ist in der Einwilligungserklärung enthalten, wenn auch<br />
hier das Zitat des § 28 Abs. 3 BDSG irreführend ist. Es handelt sich dabei um einen Verweis<br />
auf die alte Rechtslage, da das Widerspruchsrecht nach der Novellierung im Jahr 2001 in § 28<br />
Abs. 4 <strong>und</strong> nicht mehr in Abs. 3 enthalten ist. Zudem handelt es sich hier nicht um einen<br />
Widerspruch gegen die Nutzung zu Werbezwecken im engeren Sinne, sondern vielmehr um<br />
einen Widerruf der erteilten Einwilligung.<br />
10.2.2.1.4 Hervorhebung im Schriftbild<br />
Die Hervorhebung der Einwilligung in die Nutzung zu Werbezwecken im Schriftbild ist hier,<br />
auch im Hinblick auf die erste Einwilligungserklärung, hinreichend erfolgt. Insgesamt<br />
befinden sich die Einwilligungen in einem gesonderten umrahmten Feld unter der deutlich<br />
hervorgehobenen Überschrift „Ihre Zustimmung“. Auch die optische Trennung der zweiten<br />
von der ersten Einwilligung ist durch eine Leerzeile <strong>und</strong> die nachfolgende Überschrift<br />
„Werbung <strong>und</strong> Marktforschung“ ausreichend realisiert.<br />
10.2.2.2 Einzelne Vorgänge der Datenverarbeitung<br />
10.2.2.2.1 Erhebung der freiwilligen Angaben sowie des Geburtsdatums<br />
Die Erhebung des Geburtsdatums ist wegen des fehlenden Hinweises auf die Freiwilligkeit<br />
der Angabe nicht durch die Einwilligung des K<strong>und</strong>en gedeckt.<br />
Darüber hinausgehend ist die Einwilligung des K<strong>und</strong>en eine hinreichende Gr<strong>und</strong>lage für die<br />
Erhebung der freiwilligen Angaben. Ein Hinweis auf die Freiwilligkeit erfolgt.<br />
Als freiwillige Angaben werden folgende Informationen erfragt:<br />
- Haushaltsgröße<br />
- Haus- oder Wohnungstyp (Mietwohnung, Eigentumswohnung, Einfamilienhaus,<br />
Sonstiges)<br />
- „Womit heizen Sie?“ (Mehrere Angaben zur Auswahl)<br />
- „Welche besonderen Interessen haben Sie?“ (Spiel & Sport, Kino, Stadtfeste,<br />
Konzerte etc, Ausstellungen)<br />
- „Wofür geben Sie Ihr Geld am liebsten aus?“ (Mehrere Kategorien zur Auswahl)<br />
10.2.2.2.2 Speicherung, Verarbeitung <strong>und</strong> Nutzung durch die Stadtwerke Düren<br />
GmbH<br />
Ausdrücklich beschrieben ist in der Einwilligungserklärung nur eine Nutzung von<br />
K<strong>und</strong>endaten durch die Stadtwerke Düren GmbH. Der K<strong>und</strong>e erfährt dagegen nicht, ob <strong>und</strong><br />
vor allem welche Daten die Stadtwerke Düren GmbH erhebt <strong>und</strong> speichert. Hinsichtlich der<br />
Stammdaten <strong>und</strong> freiwilligen Angaben, die mittels des Antragsformulars erhoben werden,<br />
wird dem K<strong>und</strong>en, der das Anmeldeformular gewöhnlich bei der Stadtwerke Düren GmbH<br />
abgibt, bewusst sein, dass die mitgeteilten Daten von der Stadtwerke Düren GmbH erhoben<br />
<strong>und</strong> gespeichert werden. In dieser Hinsicht ist die Beschreibung in der<br />
Einwilligungserklärung ausreichend.<br />
Nicht ausreichend ist die Beschreibung aber in Bezug auf die Programmdaten. Der K<strong>und</strong>e<br />
weiß in der Regel nicht, dass die Stadtwerke Düren GmbH auch die Programmdaten erhält
- 79 -<br />
<strong>und</strong> für Werbezwecke nutzt. Ein entsprechender Hinweis erfolgt zwar in den Hinweisen zum<br />
<strong>Datenschutz</strong>, aus Gründen der Transparenz muss dieser aber bereits in der<br />
Einwilligungserklärung enthalten sein.<br />
10.2.2.2.3 Weitergabe an ein externes Dienstleistungsunternehmen<br />
Nach der Beschreibung in den Hinweisen zum <strong>Datenschutz</strong> werden die K<strong>und</strong>endaten zum<br />
Zweck der Übersendung von Werbeinformationen an externe Dienstleistungsunternehmen<br />
übermittelt, wo sie nach Durchführung der Marketingaktion gelöscht werden. Soweit es sich<br />
um eine Auftragsdatenverarbeitung gemäß § 11 BDSG handelt, ist die Weitergabe der Daten<br />
zulässig.<br />
10.2.2.2.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Eine Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen wäre auf Gr<strong>und</strong> der Zweckbeschreibung<br />
der Einwilligungserklärung nicht zulässig.<br />
10.2.2.2.5 Verarbeitung <strong>und</strong> Nutzung durch das Partnerunternehmen<br />
Nach der Darstellung in den Hinweisen zum <strong>Datenschutz</strong> verfügen die Partnerunternehmen<br />
nicht über einen eigenen Bestand von personenbezogenen K<strong>und</strong>endaten. Stammdaten <strong>und</strong><br />
freiwillige Angaben werden demnach nicht an die Partnerunternehmen übermittelt. Die<br />
Programmdaten werden diesen nur anonymisiert zum Zweck der Abrechnung zur Verfügung<br />
gestellt.<br />
Eine Verarbeitung <strong>und</strong> Nutzung von personenbezogenen Daten der Teilnehmer findet danach<br />
durch die Partnerunternehmen nicht statt. Nach dieser Darstellung werden Werbemaßnahmen<br />
für die Partnerunternehmen durch die Stadtwerke Düren GmbH durchgeführt.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des Bonussystems Dürens große<br />
K<strong>und</strong>enkarte sind folgende datenschutzrechtliche Mängel festzustellen:<br />
- Erhebung des Geburtsdatums<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Verwendung der so genannten Streichlösung,<br />
- Fehlender ausdrücklicher Hinweis in der Erklärung auf die Freiwilligkeit der<br />
Einwilligung,<br />
- Fehlende Information über die verantwortliche Stelle für die Programmabwicklung,<br />
- Fehlende Information über die Datenverarbeitung für die Programmabwicklung,<br />
- Fehlende Information über die zu verarbeitenden Datenkategorien.<br />
11. evivoCard (Dortm<strong>und</strong>)<br />
Auch der Dortm<strong>und</strong>er Energieversorger Dortm<strong>und</strong>er Energie <strong>und</strong> Wasser (im Folgenden
- 80 -<br />
DEW genannt) gibt für seine K<strong>und</strong>en in Zusammenarbeit mit dem evivoCard Rabattverein<br />
e.V. eine K<strong>und</strong>enkarte, die evivoCard, heraus. Die Funktionsweise dieser Karte entspricht der<br />
von Dürens großer K<strong>und</strong>enkarte.<br />
11.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
Im Hinblick auf die Verwendung personenbezogener Daten der K<strong>und</strong>en zum Zweck der<br />
Rabattgewährung kann hier vollständig auf die Ausführungen zu Dürens großer K<strong>und</strong>enkarte<br />
verwiesen werden.<br />
Einziger Unterschied zu Dürens großer K<strong>und</strong>enkarte ist, dass im Antragsformular für die<br />
evivoCard Dortm<strong>und</strong> der DEW das Geburtsdatum des Antragstellers nicht als Pflichtangabe<br />
verlangt wird. Dies untermauert die Annahme, dass die Kenntnis des vollständigen<br />
Geburtsdatums nicht zur Abwicklung des Rabattprogramms erforderlich ist.<br />
Ob die Erhebung der Programmdaten in vollem Umfang zulässig ist, kann an dieser Stelle<br />
nicht beurteilt werden, da Anmeldeformular <strong>und</strong> Allgemeine Teilnahmebedingungen keinen<br />
Aufschluss auf die Zusammensetzung dieser Daten geben.<br />
Die Information des K<strong>und</strong>en nach § 4 Abs. 3 Nr. 1 BDSG über die verantwortliche Stelle für<br />
die Datenverarbeitung zum Zweck der Rabattabwicklung ist auch hier unzureichend, soweit<br />
der evivoCard Rabattverein betroffen ist. Eine Einwilligungserklärung für diesen Zweck, wie<br />
sie im Rahmen von Dürens großer K<strong>und</strong>enkarte verwendet wird, liegt hier nicht vor. Aus den<br />
Allgemeinen Teilnahmebedingungen erfährt der K<strong>und</strong>e nicht, welche Daten der Rabattverein<br />
verarbeitet; eine Adresse des Rabattvereins wird ebenfalls nicht angegeben.<br />
11.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Auch im Rahmen der evivoCard Dortm<strong>und</strong> findet eine Verwendung der erlangten<br />
K<strong>und</strong>endaten zu Zwecken der Werbung <strong>und</strong> Marktforschung statt.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
11.2.1 Allgemeine Beurteilung der Einwilligungserklärungen<br />
Das Anmeldeformular für die evivoCard Dortm<strong>und</strong> enthält die folgende<br />
Einwilligungserklärung:<br />
„<strong>Datenschutz</strong><br />
Durch meine Unterschrift bestätige ich die Richtigkeit der obigen Angaben. Ich bin daran<br />
interessiert von DEW regelmäßig Informationen zu erhalten. Ich bin damit einverstanden,<br />
dass meine Daten innerhalb von DEW sowie an Beauftragte übermittelt, gespeichert <strong>und</strong><br />
verarbeitet werden <strong>und</strong> in Zusammenarbeit mit den Partnerunternehmen für<br />
Marketingaktionen, insbesondere zu Zwecken der Marktforschung, genutzt werden können.<br />
Mein Einverständnis kann ich jederzeit durch eine schriftliche Widerrufung gegenüber DEW<br />
zurückziehen. Darüber hinaus gelten die allgemeinen Teilnahmebedingungen evivoCard.“<br />
Gegenüber Dürens großer K<strong>und</strong>enkarte unterscheidet sich die hier vorliegende Einwilligung<br />
hauptsächlich dadurch, dass es für die evivoCard Dortm<strong>und</strong> keine Hinweise zum <strong>Datenschutz</strong><br />
gibt. Es sind daher für den K<strong>und</strong>en einzig die Informationen aus dem Antragsformular <strong>und</strong>
- 81 -<br />
den Allgemeinen Teilnahmebedingungen verfügbar.<br />
11.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist erfüllt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Die Einwilligungserklärung ist auf dem Antragsformular gesondert zu unterzeichnen.<br />
Hierdurch wird sichergestellt, dass es sich bei dieser Erklärung um eine bewusste Aktivität<br />
des Betroffenen handelt.<br />
11.2.1.2 Freie Entscheidung<br />
Auf die Freiwilligkeit dieser Erklärung wird der K<strong>und</strong>e jedoch nicht hingewiesen. Mittelbar<br />
ergibt sich die Freiwilligkeit seiner Erklärung zum einen aus der Widerrufsbelehrung <strong>und</strong><br />
zum anderen daraus, dass die Unterschrift zur Erklärung des Antrags bereits erfolgt ist <strong>und</strong> es<br />
sich bei dem zweiten Abschnitt des Formulars um zusätzliche Angaben handelt.<br />
Zur Vermeidung von Missverständnissen ist jedoch auch hier ein ausdrücklicher Hinweis auf<br />
die Freiwilligkeit bezüglich der Erklärung erforderlich.<br />
11.2.1.3 Information des K<strong>und</strong>en<br />
DEW als verantwortliche Stelle ist in der Einwilligung hinreichend bezeichnet. Daneben<br />
wird aber die Funktion der Partnerunternehmen nicht deutlich. Die Formulierung „in<br />
Zusammenarbeit mit den Partnerunternehmen“ lässt vermuten, dass diese auch<br />
personenbezogene Daten zum Zweck der Nutzung für Werbung <strong>und</strong> Marktforschung erhalten.<br />
Ob dies tatsächlich der Fall ist, ist weder aus der Einwilligungserklärung noch aus den<br />
Allgemeinen Teilnahmebedingungen zu erfahren. Auch der evivo Card Rabattverein wird<br />
nicht in der Einwilligung genannt.<br />
Die Information über die verwendeten Datenkategorien ist unzureichend. Aufschluss über<br />
die Zusammensetzung der Programmdaten erhält der K<strong>und</strong>e an keiner Stelle.<br />
Die Vorgänge der Datenverarbeitung sind im Hinblick auf die Partnerunternehmen nicht<br />
verständlich wiedergegeben. Wie oben ausgeführt, wird nicht deutlich, ob diese K<strong>und</strong>endaten<br />
erhalten <strong>und</strong> verarbeiten.<br />
Auch die Zwecke der Datenverarbeitung sind hier nicht präzise benannt. Die Formulierung<br />
„insbesondere zu Zwecken der Marktforschung“ impliziert eine Nutzung auch zu anderen<br />
Zwecken, über die der K<strong>und</strong>e im Ungewissen bleibt. Außerdem wird hier ebenso wie bei<br />
Dürens großer K<strong>und</strong>enkarte der Zweck der Werbung beschönigend als „Information“<br />
dargestellt. Darüber hinaus wird nicht deutlich, ob der K<strong>und</strong>e solche Informationen nur über<br />
den Geschäftsbereich von DEW oder aber auch über Produkte <strong>und</strong> Dienstleistungen der<br />
Partnerunternehmen erhalten soll.<br />
Ein Hinweis auf das Widerrufsrecht erfolgt in der Einwilligungserklärung, jedoch umfasst<br />
dies nicht die Darstellung der Folgen des Widerrufs. Auf Gr<strong>und</strong> des unterbliebenen Hinweises
- 82 -<br />
auf die Freiwilligkeit der Einwilligung <strong>und</strong> die Verweigerungsfolgen, wiegt dieses<br />
Versäumnis besonders schwer.<br />
Eine Aufklärung über das Auskunftsrecht des K<strong>und</strong>en erfolgt nicht. Gleiches gilt für einen<br />
Hinweis auf die Löschung der Daten.<br />
11.2.1.4 Hervorhebung im Schriftbild<br />
Die Erklärung ist hier nicht im Schriftbild hervorzuheben, da sie nicht zusammen mit anderen<br />
Erklärungen abgegeben wird.<br />
11.2.2 Einzelne Vorgänge der Datenverarbeitung<br />
11.2.2.1 Erhebung der freiwilligen Angaben<br />
Freiwillige Angaben des K<strong>und</strong>en werden auf dem Formular an zwei verschiedenen Stellen<br />
abgefragt. Auf dem „Antragsteil“ werden folgende Angaben erbeten:<br />
Geburtsdatum<br />
Telefon<br />
Fax<br />
E-Mail<br />
Bereits bezogene K<strong>und</strong>enkarten<br />
Haushaltstyp (Einpersonenhaushalt, Mehrpersonenhaushalt incl. Anzahl der Personen)<br />
Art der Wohnung (Miete, Hauseigentum, Eigentumswohnung, Baujahr)<br />
Auf die Freiwilligkeit dieser Angaben wird der K<strong>und</strong>e hinreichend hingewiesen, wenn auch<br />
der Hinweis wenig verbraucherfre<strong>und</strong>lich gestaltet ist. Diejenigen Angaben, die als<br />
Pflichtangaben erhoben werden, sind mit einem * gekennzeichnet. Unterhalb der<br />
Angabenzeilen findet sich in kleinerem Schriftbild der Hinweis „Sämtliche Angaben, bis auf<br />
die * gekennzeichneten Felder, sind freiwillig.“ Im Vergleich zu anderen Lösungen,<br />
beispielsweise der häufig verwendeten Überschrift „Freiwillige Angaben“ ist dieser Hinweis<br />
wenig auffällig <strong>und</strong> kann somit dazu führen, dass die Felder in Unkenntnis der Freiwilligkeit<br />
ausgefüllt werden.<br />
Im zweiten Teil des Formulars werden weitere Angaben des K<strong>und</strong>en erfragt. Hier werden<br />
bestimmte Themenfelder aus unterschiedlichen Bereichen vorgegeben, aus denen der K<strong>und</strong>e<br />
solche auswählen kann, zu denen er regelmäßig informiert werden möchte. Es ist hier zwar<br />
nicht ersichtlich, ob sich die Kennzeichnung der Pflichtangaben, die im oberen farblich<br />
besonders hinterlegten „Antragsteil“ vorgenommen wurde, auch auf diese Angaben bezieht.<br />
Da hier dem K<strong>und</strong>en aber eine Auswahlmöglichkeit eröffnet wird <strong>und</strong> die Überschrift die<br />
Formulierung „Ich wünsche Informationen“ enthält, ist die Freiwilligkeit dieser Angaben für<br />
den K<strong>und</strong>en hinreichend deutlich zu erkennen.<br />
11.2.2.2 Speicherung, Verarbeitung <strong>und</strong> Nutzung durch DEW<br />
Die Einwilligung des K<strong>und</strong>en ist für diese Verwendung unzureichend, da über die<br />
Datenkategorien, die hier verwendet werden sollen, nicht aufgeklärt wurde. Insbesondere gilt<br />
dies für die Programmdaten. Hier weiß der K<strong>und</strong>e zum einen nicht, wie sich diese Daten<br />
zusammensetzen, zum anderen weiß er nicht, ob DEW diese Daten überhaupt erlangt.
- 83 -<br />
11.2.2.3 Weitergabe an ein externes Dienstleistungsunternehmen<br />
Laut der Einwilligungserklärung werden die K<strong>und</strong>endaten an externe<br />
Dienstleistungsunternehmen übermittelt. Hierbei handelt es sich um eine<br />
Auftragsdatenverarbeitung gemäß § 11 BDSG, in deren Rahmen auch die Weitergabe der<br />
Daten zulässig ist.<br />
11.2.2.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Aufgr<strong>und</strong> der Zweckbeschreibung in der Einwilligungserklärung wäre eine Bildung <strong>und</strong><br />
Auswertung von K<strong>und</strong>enprofilen nicht zulässig.<br />
11.2.2.5 Verarbeitung <strong>und</strong> Nutzung durch das Partnerunternehmen<br />
Ob die Partnerunternehmen über einen eigenen Datenbestand verfügen, wird aus den<br />
Unterlagen nicht deutlich. Wegen dieser Unbestimmtheit wäre eine Verwendung von<br />
personenbezogenen K<strong>und</strong>endaten durch die Partnerunternehmen zum Zweck der Werbung<br />
<strong>und</strong> Marktforschung nicht zulässig.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des Bonussystems evivo Card<br />
Dortm<strong>und</strong> sind folgende datenschutzrechtliche Mängel festzustellen:<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Fehlender ausdrücklicher Hinweis in der Erklärung auf die Freiwilligkeit der<br />
Einwilligung,<br />
- Fehlende Information über die zu verarbeitenden Datenkategorien,<br />
- Fehlende Information über die Vorgänge der Datenverarbeitung,<br />
- Unpräzise Beschreibung der Zwecke der Datenverarbeitung.
12. SÜCard (Coburg)<br />
- 84 -<br />
In Coburg betreibt die SÜC Energie <strong>und</strong> H2O GmbH das Bonusprogramm SÜCard. Mittels<br />
der SÜCard, die entweder als kontoungeb<strong>und</strong>ene Karte oder aber als EC-Karte oder sonstige<br />
Bankkarte mit initialisierter SÜCard-Funktion erhältlich ist, kann der Teilnehmer bei den<br />
angeschlossenen Akzeptanzstellen beim Erwerb von Waren oder Dienstleistungen einen<br />
Rabatt in Form von Bonuspunkten erlangen. Ein Bonuspunkt entspricht einem festen<br />
Gegenwert von 0,01 Euro.<br />
Die angeschlossenen Partnerunternehmen erfüllen im Rahmen des Bonusprogramms<br />
unterschiedliche Funktionen. Zum einen gewähren die Akzeptanzstellen den Teilnehmern<br />
Rabatte, zum anderen können dort auch Rabattgutschriften eingelöst werden. An der SÜCard<br />
sind sowohl Akzeptanzstellen beteiligt, die beide Funktionen erfüllen als auch solche, die<br />
jeweils nur entweder Rabatte gewähren oder auszahlen. Eine Auszahlung der Rabattgutschrift<br />
erfolgt bei der Akzeptanzstelle durch Verrechnung auf einen für einen Einkauf oder eine<br />
andere Leistung zu zahlenden Preis.<br />
Die SÜCard ist in jeder erhältlichen Form als Chipkarte gestaltet. Auf dem Chip werden die<br />
gesammelten <strong>und</strong> eingelösten Bonuspunkte gespeichert. Gleichzeitig erfolgt eine Meldung<br />
der Vorgänge an die SÜC Energie <strong>und</strong> H2O GmbH.<br />
12.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch die SÜC Energie <strong>und</strong> H2O GmbH<br />
Die Beantragung der SÜCard erfolgt mittels eines Formulars, das bei der SÜC Energie <strong>und</strong><br />
H2O GmbH abgeben wird bzw. an diese per Post geschickt wird. Die Erhebung der dort<br />
angegebenen Daten erfolgt somit durch die SÜC Energie <strong>und</strong> H2O GmbH.<br />
Als Pflichtangaben werden folgende Daten erhoben:<br />
Name<br />
Anschrift<br />
Diese Erhebung ist gemäß § 28 Abs. 1 Nr. 1 BDSG zulässig.<br />
- Speicherung durch den Systembetreiber<br />
Gleiches gilt für die Speicherung der Stammdaten durch die SÜC Energie <strong>und</strong> H2O GmbH.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Die Erhebung der beim Einsatz der SÜCard anfallenden Programmdaten erfolgt durch die<br />
kontaktierten Partnerunternehmen. Welche Daten anlässlich einer Bonusgutschrift oder<br />
Bonusauszahlung erhoben werden, ergibt sich aus den Unterlagen (Antragsformular,<br />
Teilnahmebedingungen) nicht.
- 85 -<br />
- Übermittlung an den Systembetreiber <strong>und</strong> Speicherung durch diesen<br />
Genauso wenig ist aus den Unterlagen zu erfahren, welche Daten über die Gewährung <strong>und</strong><br />
Einlösung von Bonuspunkten an den Systembetreiber übermittelt <strong>und</strong> dort gespeichert<br />
werden.<br />
Eine Speicherung der für das Bonussystem verwandten Daten findet getrennt von den Daten<br />
des Zahlungsverkehrs - bezüglich der SÜCard mit Zahlungsfunktion - statt.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Das Antragsformular <strong>und</strong> die Teilnahmebedingungen für die SÜCard enthalten keine<br />
Hinweise auf das Auskunftsrecht der Teilnehmer <strong>und</strong> die Löschung der K<strong>und</strong>endaten.<br />
Erwähnung findet lediglich die Möglichkeit, den jeweiligen Bestand an Bonuspunkten zu<br />
erfragen, in dem sich allerdings der Auskunftsanspruch des Betroffenen nicht erschöpft.<br />
12.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Im Rahmen des Bonusprogramms ist auch eine Verwendung der K<strong>und</strong>endaten zu Zwecken<br />
der Werbung <strong>und</strong> Marktforschung vorgesehen.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
12.2.1 Allgemeine Beurteilung der Einwilligungserklärung<br />
Das Antragsformular für die SÜCard enthält die folgende Erklärung:<br />
„Mit meiner Unterschrift willige ich ein, dass die SÜC Energie <strong>und</strong> H2O<br />
GmbH die oben angegebenen Daten sowie Daten, die sich aus der Verwaltung<br />
der Bonuspunkte ergeben, speichern, verarbeiten <strong>und</strong> für Marktforschungs-<br />
<strong>und</strong> Werbezwecke auch der Akzeptanzstellen der SÜCard nutzen dürfen. Ich<br />
habe jederzeit das Recht, diese Einwilligung zu widerrufen.“<br />
Datum, Unterschrift<br />
Diese Erklärung befindet sich unterhalb einer anderen Erklärung, in der der K<strong>und</strong>e die<br />
Teilnahmebedingungen der SÜCard anerkennt, <strong>und</strong> die ebenfalls gesondert zu unterschreiben<br />
ist.<br />
12.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Auch dieses Erfordernis wird durch die gesonderte Unterschrift des K<strong>und</strong>en erfüllt.<br />
12.2.1.2 Freie Entscheidung
- 86 -<br />
Der mittelbare Hinweis auf die Freiwilligkeit der Entscheidung, der sich aus der<br />
Widerrufsbelehrung ergibt, ist hier nicht ausreichend.<br />
12.2.1.3 Information des K<strong>und</strong>en<br />
Über die SÜC Energie <strong>und</strong> H2O GmbH als verantwortliche Stelle wird der K<strong>und</strong>e<br />
hinreichend informiert.<br />
Ein ausreichender Hinweis auf eine Übersicht der teilnehmenden Partnerunternehmen<br />
findet sich in den Teilnahmebedingungen.<br />
Nicht ausreichend informiert wird der K<strong>und</strong>e dagegen darüber, welche seiner Daten im<br />
Rahmen der SÜCard verarbeitet werden. Die Programmdaten werden wenig präzise als<br />
„Daten, die sich aus der Verwaltung der Bonuspunkte ergeben“ bezeichnet.<br />
Die Vorgänge der Datenverarbeitung sind hinsichtlich der Verwendung für Werbezwecke<br />
hinreichend deutlich beschrieben. Gleiches gilt für die Zwecke der Datenverarbeitung.<br />
Der Hinweis auf das Widerrufsrecht des K<strong>und</strong>en ist dagegen unzureichend. Zum einen wird<br />
kein Ansprechpartner benannt, gegenüber dem der Widerruf erklärt werden kann, zum<br />
anderen fehlt ein Hinweis auf die Folgen des Widerrufs für die Teilnahme am<br />
Bonusprogramm.<br />
Einen Hinweis auf das Auskunftsrecht des Betroffenen <strong>und</strong> die Löschung der Daten<br />
enthalten die Unterlagen (Antragsformular <strong>und</strong> Teilnahmebedingungen) nicht.<br />
12.2.1.4 Hervorhebung im Schriftbild<br />
Eine besondere Hervorhebung der Einwilligungserklärung ist im vorliegenden Formular nicht<br />
erforderlich, da diese nicht zusammen mit anderen Erklärungen abgegeben wird.<br />
12.2.2 Einzelne Vorgänge der Datenverarbeitung<br />
12.2.2.1 Erhebung der freiwilligen Angaben<br />
Mittels des Antragsformulars werden folgende freiwillige Angaben der K<strong>und</strong>en erhoben:<br />
Geburtsdatum<br />
Telefonnummer<br />
E-Mail-Adresse<br />
Auf die Freiwilligkeit dieser Angaben wird in ausreichender Weise durch eine<br />
Kennzeichnung der Pflichtangaben mit einem * hingewiesen (siehe dazu auch oben<br />
evivoCard Dortm<strong>und</strong>).<br />
12.2.2.2 Übermittlung von K<strong>und</strong>endaten an den Systembetreiber<br />
Im Anforderungsprofil klären: Entweder werden die Daten von vornherein auch zu<br />
Werbezwecken vom Partnerunternehmen an den Systembetreiber übermittelt oder aber der<br />
Zweck der Übermittlung beschränkt sich auf die Rabattabwicklung. Dann findet anschließend
- 87 -<br />
eine Zweckänderung beim Systembetreiber statt.<br />
12.2.2.3 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Die Einwilligungserklärung ist für diesen Vorgang nur hinsichtlich der Stammdaten <strong>und</strong><br />
freiwilligen Angaben hinreichend beschrieben. Bezüglich der Programmdaten reicht die<br />
Einwilligungserklärung nicht aus, da diese Daten nicht präzise benannt werden.<br />
12.2.2.4 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Für die Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen wäre die Zweckbeschreibung in der<br />
Einwilligungserklärung nicht ausreichend.<br />
12.2.2.5 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen<br />
Eine Verwendung der K<strong>und</strong>endaten durch die Partnerunternehmen ist in der<br />
Einwilligungserklärung <strong>und</strong> in den Teilnahmebedingungen nicht vorgesehen.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des Bonussystems SÜCard sind<br />
folgende datenschutzrechtliche Mängel festzustellen:<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Es fehlt ein ausdrücklicher Hinweis auf die Freiwilligkeit der Einwilligung.<br />
- Es fehlt eine ausreichende Information über die zu verarbeitenden Datenkategorien.
13. GiessenCard<br />
- 88 -<br />
Die Giessencard wird von der Giessencard Betreibergesellschaft mbH angeboten.<br />
Bonuspunkte können vom Karteninhaber bei den angeschlossenen Partnerunternehmen<br />
gesammelt <strong>und</strong> dort auch durch Verrechnung auf den für die jeweilige Leistung zu zahlenden<br />
Preis eingelöst werden. Die Bedingungen für die Gewährung von Bonuspunkten legen die<br />
Partnerunternehmen selbst fest. Der Wert eines Bonuspunkts beträgt 0,25 Cent.<br />
13.1 Datenverwendung zum Zweck der Abwicklung des Rabattprogramms<br />
- Erhebung von Stammdaten durch das Partnerunternehmen<br />
Mittels eines Antragsformulars erhebt die Giessencard Betreibergesellschaft mbH folgende<br />
Stammdaten des Betroffenen:<br />
Name<br />
Anschrift<br />
Geburtsdatum<br />
Telefonnummer<br />
E-Mail-Adresse<br />
Familienstand (ledig, verheiratet, Paar, Kinderzahl)<br />
Die zwingende Erhebung von Geburtsdatum sowie der Angaben zum Familienstand ist nicht<br />
zulässig. Hinsichtlich der Kontaktadressen sollte dem K<strong>und</strong>en die Wahl zwischen der Angabe<br />
der Telefonnummer oder der E-Mail-Adresse angeboten werden.<br />
- Speicherung durch den Systembetreiber<br />
Gleiches gilt für die Speicherung der Daten.<br />
- Erhebung der Programmdaten durch das Partnerunternehmen<br />
Zur Abwicklung des Bonusprogramms werden auch Programmdaten erhoben <strong>und</strong> von der<br />
Giessencard Betreibergesellschaft mbH gespeichert <strong>und</strong> verarbeitet. Dies ergibt sich auch aus<br />
einer Erklärung, die der K<strong>und</strong>e über das Antragsformular abgibt. Dort heißt es:<br />
„Mit meiner Unterschrift willige ich frei widerruflich ein, dass die Giessencard<br />
Betreibergesellschaft mbH die oben angegebenen Daten, die sich aus der<br />
Verwaltung der Bonuspunkte ergeben, speichert <strong>und</strong> verarbeitet. Die umseitig<br />
abgedruckten Geschäftsbedingungen erkenne ich an.“<br />
Richtig müsste es offenbar heißen „sowie die Daten, die sich aus der Verwaltung der<br />
Bonuspunkte ergeben“, da die auf dem Anmeldeformular angegebenen Daten sich nicht aus<br />
der Verwaltung der Punkte ergeben. Um die Bonuspunkte verwalten zu können, ist die<br />
Kenntnis bestimmter, im Anforderungsprofil beschriebener Daten erforderlich. Welche<br />
Programmdaten im Rahmen der Giessencard erhoben werden, ist aus den Unterlagen<br />
(Antragsformular <strong>und</strong> AGB) nicht ersichtlich <strong>und</strong> wurde auf Nachfrage bei der Giessencard<br />
Betreibergesellschaft mbH auch nicht mitgeteilt. Eine Erhebung, die über das erforderliche<br />
Maß hinausgeht, also insbesondere auch die jeweils zugehörigen Waren oder
Dienstleistungen umfasst, ist nicht zulässig.<br />
- Übermittlung an den Systembetreiber<br />
- 89 -<br />
In diesem Rahmen ist auch die Übermittlung der Programmdaten an die Giessencard<br />
Betreibergesellschaft mbH zulässig.<br />
- Speicherung der Programmdaten durch den Systembetreiber<br />
Gleiches gilt für die Speicherung der Daten durch die Giessencard Betreibergesellschaft mbH.<br />
- Gewährleistung der Rechte der Betroffenen<br />
Das Antragsformular <strong>und</strong> die Teilnahmebedingungen für die Giessencard enthalten keine<br />
Hinweise auf das Auskunftsrecht der Teilnehmer <strong>und</strong> die Löschung der K<strong>und</strong>endaten.<br />
Erwähnung findet lediglich die Möglichkeit, den jeweiligen Bestand an Bonuspunkten zu<br />
erfragen, in dem sich allerdings der Auskunftsanspruch des Betroffenen nicht erschöpft.<br />
13.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Im Rahmen der Giessencard ist auch eine Verwendung der K<strong>und</strong>endaten zu Zwecken der<br />
Werbung <strong>und</strong> Marktforschung vorgesehen.<br />
Vorgänge, die auf der Einwilligung des K<strong>und</strong>en beruhen<br />
13.2.1 Allgemeine Beurteilung der Einwilligungserklärung<br />
Das Antragsformular der Giessencard enthält die folgende Erklärung:<br />
„Damit ich zu den oben angekreuzten Themen aktuell informiert werden kann,<br />
willige ich ein, dass die Giessencard Betreibergesellschaft mbH die oben<br />
angegebenen Daten sowie Daten, die sich aus der Verwaltung der Bonuspunkte<br />
ergeben, speichert <strong>und</strong> verarbeitet <strong>und</strong> für Marktforschungs- <strong>und</strong> Werbezwecke<br />
auch seiner Mitgliedsunternehmen nutzt. Die Liste der Mitgliedsunternehmen<br />
ist bei der Giessencard Betreibergesellschaft mbH erhältlich. Diese<br />
Einwilligungserklärung kann ich ohne Einfluss auf das hinsichtlich der<br />
K<strong>und</strong>enkarte bestehende Vertragsverhältnis jederzeit für die Zukunft<br />
widerrufen.“<br />
13.2.1.1 Form der Einwilligungserklärung<br />
- Schriftform<br />
Die Schriftform ist gewahrt.<br />
- Bewusste Erklärung durch aktives Tun<br />
Durch eine gesonderte Unterschrift dieser Erklärung ist die Einwilligung als ein echtes „Opt-<br />
In“ ausgestaltet, das den Anforderungen im Rahmen von <strong>K<strong>und</strong>enbindungssysteme</strong>n genügt.<br />
13.2.1.2 Freie Entscheidung
- 90 -<br />
Die Trennung von der eigentlichen Beantragung der K<strong>und</strong>enkarte macht deutlich, dass es sich<br />
bei der Einwilligung in die Verwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung um<br />
eine freie Entscheidung des Betroffenen handelt, die von der Teilnahme am Bonusprogramm<br />
unabhängig ist. Mittelbar ergibt sich dies auch aus der Belehrung über das Widerrufsrecht.<br />
Ein ausdrücklicher Hinweis auf die Freiwilligkeit fehlt hier jedoch. Dies gilt nicht nur für die<br />
Abgabe der Einwilligungserklärung, sondern insbesondere auch für die Angabe der in diesem<br />
Abschnitt erfragten Informationen zu den Interessen des K<strong>und</strong>en. Somit verbleiben für den<br />
Antragsteller Zweifel an der Freiwilligkeit der Datenangabe des gesamten Abschnitts.<br />
13.2.1.3 Information des K<strong>und</strong>en<br />
Über die Giessencard Betreibergesellschaft mbH als verantwortliche Stelle wird der K<strong>und</strong>e<br />
hinreichend informiert.<br />
Gleiches gilt für die teilnehmenden Partnerunternehmen. Diese sind auf der Homepage der<br />
Giessencard im Internet ersichtlich <strong>und</strong> außerdem wird der Antragsteller in der zweiten<br />
Einwilligungserklärung auf die Möglichkeit hingewiesen, eine Liste der Partnerunternehmen<br />
bei der Betreibergesellschaft zu erhalten.<br />
Welche Datenkategorien im Rahmen des Bonusprogramms verwendet werden, wird dem<br />
K<strong>und</strong>en dagegen nur unzureichend mitgeteilt. Die zur Beschreibung der Programmdaten<br />
verwendete Formulierung „Daten, die sich aus der Verwaltung der Bonuspunkte ergeben“ ist<br />
nicht aussagekräftig. Hier ist eine Aufzählung der tatsächlich verwendeten Datenkategorien<br />
erforderlich.<br />
Die Datenverarbeitungsvorgänge <strong>und</strong> die Zwecke der Datenverarbeitung sind in der<br />
zweiten Einwilligungserklärung, die die Verwendung zu Zwecken der Werbung <strong>und</strong><br />
Marktforschung betrifft, hinreichend präzise beschrieben.<br />
In der ersten Einwilligungserklärung fehlt dagegen die Zweckbeschreibung der<br />
Datenverarbeitung. Es ist zu vermuten, dass diese Einwilligung für den Zweck der<br />
Abwicklung des Bonusprogramms gelten soll. Die hierfür vorgesehene Datenverarbeitung ist<br />
bereits auf gesetzlicher Gr<strong>und</strong>lage zulässig, so dass es keiner Einwilligung des Betroffenen<br />
bedarf.<br />
Ein Hinweis auf die Widerrufsmöglichkeit ist vorhanden, dieser schließt auch die Belehrung<br />
über die Folgen des Widerrufs ein. Ein Ansprechpartner wird zwar explizit für die Ausübung<br />
des Widerrufsrechts nicht angegeben, aus dem Gesamtzusammenhang kann der Betroffene<br />
aber zweifelsfrei erkennen, dass der Widerruf gegenüber der Giessencard<br />
Betreibergesellschaft zu erklären ist.<br />
Ein Hinweis auf das Auskunftsrecht <strong>und</strong> die Löschung der Daten erfolgt nicht.<br />
13.2.1.4 Hervorhebung im Schriftbild<br />
Die Einwilligungserklärung bedarf keiner besonderen Hervorhebung im Schriftbild, da sie<br />
gesondert von der Beantragung der Giessencard abgegeben wird.
- 91 -<br />
13.2.2 Einzelne Vorgänge der Datenverarbeitung<br />
13.2.2.1 Erhebung der freiwilligen Angaben<br />
Für die Erhebung der auf dem zweiten Abschnitt des Formulars abgefragten Angaben liegt<br />
keine wirksame Einwilligung des Betroffenen vor. Es fehlt an einem eindeutigen Hinweis auf<br />
die Freiwilligkeit dieser Angaben.<br />
Gleiches gilt auch für die auf dem ersten Abschnitt erhobenen Angaben „Geburtsdatum,<br />
Telefonnummer, E-Mail-Adresse, Familienstand“. Da diese Informationen zusammen mit den<br />
Pflichtangaben auf dem eigentlichen Antragsteil des Formulars abgefragt werden, wiegt das<br />
Versäumnis eines eindeutigen Hinweises auf die Freiwilligkeit hier noch schwerer als<br />
bezüglich der anderen Angaben. Im ersten Teil ist die Freiwilligkeit nicht nur zweifelhaft,<br />
sondern nach allen Umständen muss der K<strong>und</strong>e sogar davon ausgehen, dass es sich um<br />
Pflichtangaben handelt.<br />
13.2.2.2 Speicherung <strong>und</strong> Verarbeitung durch den Systembetreiber<br />
Der Vorgang der Speicherung <strong>und</strong> Verarbeitung durch die Betreibergesellschaft ist in<br />
ausreichender Deutlichkeit beschrieben. Es fehlt hier jedoch an einer präzisen Aufklärung der<br />
verarbeiteten Datenkategorien.<br />
13.2.2.3 Erstellung von K<strong>und</strong>enprofilen / Data Mining<br />
Für die Bildung <strong>und</strong> Auswertung von K<strong>und</strong>enprofilen wäre die Zweckbeschreibung in der<br />
Einwilligungserklärung nicht ausreichend.<br />
13.2.2.4 Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen<br />
Eine Speicherung <strong>und</strong> Verarbeitung durch das Partnerunternehmen ist dem Antragsformular<br />
<strong>und</strong> den AGB nicht zu entnehmen. Als verarbeitende Stelle wird ausschließlich die<br />
Betreibergesellschaft genannt, wenngleich auch eine Verarbeitung für die Werbezwecke der<br />
Partnerunternehmen stattfindet. Die Einwilligungserklärung kann aber nur so verstanden<br />
werden, dass eine Verarbeitung für die Zwecke des Partnerunternehmens durch die<br />
Betreibergesellschaft <strong>und</strong> nicht durch das Partnerunternehmen selbst durchgeführt wird.<br />
Eine Verarbeitung der K<strong>und</strong>endaten durch die Partnerunternehmen wäre demnach von einer<br />
Einwilligung des K<strong>und</strong>en nicht gedeckt <strong>und</strong> somit unzulässig.<br />
Zusammenfassung:<br />
Hinsichtlich der Verarbeitung von K<strong>und</strong>endaten im Rahmen des Bonussystems Giessencard<br />
sind folgende datenschutzrechtliche Mängel festzustellen:<br />
- Erhebung des Geburtsdatums, Familienstands <strong>und</strong> zweier Kontaktmöglichkeiten<br />
zusätzlich zur Anschrift (Telefonnummer <strong>und</strong> E-Mail).<br />
Die Einwilligung ist aufgr<strong>und</strong> folgender Mängel unwirksam:<br />
- Es fehlt eine hinreichende Information über die zu verarbeitenden Datenkategorien.<br />
- Es fehlt ein Hinweis auf die Freiwilligkeit bezüglich der „freiwilligen Angaben“ im
Antragsformular.<br />
- 92 -
- 93 -<br />
Teil 2: K<strong>und</strong>enkarten im Zwei-Parteien-Verhältnis<br />
K<strong>und</strong>enkarten, die Unternehmen nur für eigene K<strong>und</strong>en anbieten, sind auf dem deutschen<br />
Markt weit verbreitet. Eine Fülle von Handelsunternehmen betreiben eigene<br />
<strong>K<strong>und</strong>enbindungssysteme</strong>, die in den meisten Fällen auf einer Bonuskarte basieren.<br />
Wegen der Fülle des Angebots beschränkt sich die folgende Darstellung auf einige<br />
herausragende bzw. wegen ihres Verbreitungsgrades bedeutsame Beispiele. Andere<br />
K<strong>und</strong>enkartensysteme werden nach Gruppen ausgewertet.<br />
1. Shell CLUBSMART<br />
Ein im positiven Sinne herausragendes Beispiel für die Gestaltung eines kartenbasierten<br />
Bonussystems im Hinblick auf die Aufklärung der K<strong>und</strong>en liefert das im Jahr 2003 eröffnete<br />
Programm Shell Clubsmart.<br />
Teilnehmer dieses Programms erhalten eine Shell Clubsmart Karte, mit der sie an allen<br />
teilnehmenden Shell-Tankstellen Bonuspunkte auf Leistungen wie Kraftstoffe, Shopartikel<br />
oder Autowäschen sammeln können. Die Bonuspunkte werden von der Shell & DEA Oil<br />
GmbH verwaltet <strong>und</strong> können bei den teilnehmenden Tankstellen in Prämien eingelöst werden.<br />
1.1 Datenverwendung zur Programmabwicklung<br />
Als Stammdaten des K<strong>und</strong>en wird mittels Antragsformular neben Namen <strong>und</strong> Anschrift auch<br />
das Geburtsdatum <strong>und</strong> die Telefonnummer als Pflichtangabe erhoben. Die zwingende<br />
Erhebung des Geburtsdatums erfolgt nach Angaben der Shell & DEA Oil GmbH in den<br />
<strong>Datenschutz</strong>hinweisen zum Zweck der Prüfung, ob der Antragsteller das 16. Lebensjahr<br />
vollendet hat. Die Erhebung ist unzulässig.<br />
Als Programmdaten werden Angaben zu Art <strong>und</strong> Umfang der bezogenen Waren <strong>und</strong>/oder<br />
Dienstleistungen erhoben. Die Kenntnis der genauen Daten über die erworbene Ware bzw.<br />
Dienstleistung ist nach der Konzeption der Bonuspunktevergabe offenbar erforderlich, da sich<br />
die Berechnung der Bonuspunkte nicht nach dem Umsatz richtet, sondern für bestimmte<br />
Waren bzw. bestimmte Dienstleistungen eine zuvor definierte Anzahl von Punkten gewährt<br />
wird. So erhält der K<strong>und</strong>e beispielsweise beim Erwerb des Kraftstoffs „V-Power“ mehr<br />
Punkte als beim Bezug anderer Kraftstoffe, auch der Kauf von Motoröl oder die Fahrt durch<br />
die Waschanlage wird mit einer höheren Punktegutschrift belohnt als z.B. der Kauf von<br />
Kraftstoff oder Shopartikeln. Schließlich ist es im Rahmen von Sonderaktionen möglich, für<br />
den Kauf bestimmter Artikel, etwa aus dem Shop, eine gesondert festgelegte Punktegutschrift<br />
zu erlangen.<br />
1.2 Datenverwendung zum Zweck der Werbung <strong>und</strong> Marktforschung<br />
Die Verwendung der K<strong>und</strong>endaten zu Zwecken der Werbung <strong>und</strong> Marktforschung findet auf<br />
der Gr<strong>und</strong>lage einer Einwilligung des K<strong>und</strong>en statt. Das Anmeldeformular enthält dazu<br />
folgende Erklärung:
„<strong>Datenschutz</strong>erklärung<br />
- 94 -<br />
Ihre Daten werden von der Shell & DEA Oil GmbH (SDO), Shell Clubsmart<br />
Service Center, 22284 Hamburg, entsprechend den beiliegenden Hinweisen<br />
zum <strong>Datenschutz</strong> verarbeitet <strong>und</strong> genutzt. Mit Ihrer Unterschrift geben Sie<br />
SDO Ihr Einverständnis, dass Ihre vorstehend angegebenen Daten sowie die<br />
Daten im Sinne von Ziffer 1.2 der <strong>Datenschutz</strong>hinweise<br />
1. von SDO zu internen Marktforschungszwecken im Sinne von Ziffer 1.3<br />
der <strong>Datenschutz</strong>hinweise verarbeitet <strong>und</strong> genutzt werden dürfen,<br />
2. von SDO an mit SDO verb<strong>und</strong>ene Unternehmen übermittelt werden dürfen<br />
<strong>und</strong> diese Ihre Daten gemäß Ziffer 3 der <strong>Datenschutz</strong>hinweise zu<br />
Marktforschungszwecken verarbeiten <strong>und</strong> nutzen dürfen,<br />
3. von SDO dazu verarbeitet <strong>und</strong> verwendet werden dürfen, Ihnen<br />
ausgewählte Informationen gemäß Ziffer 3 der <strong>Datenschutz</strong>hinweise per<br />
Post, per SMS <strong>und</strong> per E-Mail (E-Mail-Newsletter) zu übersenden, sofern<br />
Sie oben Ihre Mobilfunknummer <strong>und</strong>/oder E-Mail-Adresse angegeben<br />
haben,<br />
4. von SDO an mit SDO verb<strong>und</strong>ene Unternehmen übermittelt werden dürfen<br />
<strong>und</strong> diese Ihre Daten dazu verwenden dürfen, Ihnen ausgewählte<br />
Informationen gemäß Ziffer 3 der <strong>Datenschutz</strong>hinweise per Post, per SMS<br />
<strong>und</strong> per E-Mail (E-Mail-Newsletter) zu übersenden, sofern Sie oben Ihre<br />
Mobilfunknummer <strong>und</strong>/oder E-Mail-Adresse angegeben haben.<br />
Es steht Ihnen frei, Ihr Einverständnis auch teilweise zu geben, indem Sie nicht<br />
Zutreffendes streichen. Sofern Sie die Einwilligung nicht erteilen, wird die<br />
Datenverarbeitung auf das für die ordnungsgemäße Abwicklung der Shell<br />
Clubsmart Programms Notwendige beschränkt.<br />
Ihr Einverständnis können Sie jederzeit gegenüber der Shell & DEA Oil<br />
GmbH, 22284 Hamburg, widerrufen.“<br />
Diese Einwilligungserklärung in Verbindung mit den <strong>Datenschutz</strong>hinweisen, die gemeinsam<br />
mit den Teilnahmebedingungen auf einem gesonderten Blatt abgedruckt sind, erfüllt nahezu<br />
alle Anforderungen des § 4a BDSG in vorbildlicher Weise.<br />
Die Einwilligungserklärung erfordert eine gesonderte Unterschrift des K<strong>und</strong>en <strong>und</strong> ist darüber<br />
hinaus durch eine Umrandung <strong>und</strong> Fettdruck hervorgehoben.<br />
Einzig die gewählte Streichlösung erfüllt nicht die Anforderungen an ein derart komplexes<br />
<strong>und</strong> im Hinblick auf Datenverarbeitungsmaßnahmen umfangreiches System, wie es Shell<br />
Clubsmart darstellt. Geeignet wäre hier beispielsweise eine Lösung, nach der der K<strong>und</strong>e die<br />
vorgegebenen Varianten einzeln durch Ankreuzen genehmigen kann.<br />
Die in der Einwilligungserklärung <strong>und</strong> den <strong>Datenschutz</strong>hinweisen enthaltene Information für<br />
den K<strong>und</strong>en bietet dagegen kaum Anlass zur Kritik. Der K<strong>und</strong>e wird in verständlicher <strong>und</strong><br />
strukturierter Form über alle wesentlichen Punkte informiert. Lediglich die Beschreibung der<br />
Programmdaten, bei Shell Clubsmart bezeichnet als „Prämiendaten“, ist nicht hinreichend
- 95 -<br />
präzise. Es wird dem K<strong>und</strong>en nicht deutlich, welche Angaben mit der Art der bezogenen<br />
Ware bzw. Dienstleistung gemeint sind, d.h. ob der genaue Artikel oder eine übergeordnete<br />
Gruppenbezeichnung erhoben wird.<br />
Nicht verbraucherfre<strong>und</strong>lich ist weiterhin die Bezeichnung der Werbemaßnahmen in der<br />
<strong>Datenschutz</strong>erklärung <strong>und</strong> in der Erklärung zur Werbeansprache als „Informationen“.<br />
Demgegenüber ist die Beschreibung der Vorgänge <strong>und</strong> Zwecke der Datenverarbeitung in<br />
den <strong>Datenschutz</strong>hinweisen ausführlich <strong>und</strong> deutlich gestaltet. Wörtlich heißt es dort in Ziffer<br />
1.3:<br />
„Sofern Sie SDO auf dem Anmeldeformular die dahin gehende Einwilligung<br />
erteilen, speichern, verarbeiten <strong>und</strong> nutzen SDO oder von SDO hiermit<br />
beauftragte Dienstleister Ihre sämtlichen gemäß vorstehenden Ziffern 1.1 <strong>und</strong><br />
1.2 erhobenen Daten außerdem, um für interne Marktforschungszwecke von<br />
SDO Ihr Kaufverhalten auszuwerten <strong>und</strong> K<strong>und</strong>enprofile zu erstellen, damit<br />
SDO ihr Angebot künftig Ihren Bedürfnissen entsprechend gestalten kann.“<br />
Auf Gr<strong>und</strong>lage dieser Zweckbeschreibung ist die Bildung <strong>und</strong> Auswertung von<br />
K<strong>und</strong>enprofilen zum Zweck der Verbesserung des Leistungsangebots der SDO zulässig. Der<br />
K<strong>und</strong>e ist über die Tatsache der Profilbildung <strong>und</strong> Auswertung sowie über die dafür<br />
verwendeten Daten, von der Ungenauigkeit bei der Beschreibung der Programmdaten<br />
abgesehen, hinreichend informiert.<br />
Die Erhebung <strong>und</strong> Verarbeitung der freiwilligen Angaben erfolgt ebenfalls auf Gr<strong>und</strong>lage<br />
der freien Entscheidung des K<strong>und</strong>en. Eine entsprechende Kennzeichnung der Angaben als<br />
freiwillig erfolgt in der Überschrift des entsprechenden Abschnitts. Als freiwillige Angaben<br />
werden folgende Daten erhoben:<br />
Familienstand<br />
Anzahl <strong>und</strong> Geburtsdatum der Kinder<br />
Art der Beziehung zu Shell & DEA Oil (K<strong>und</strong>e, Mitarbeiter Tankstelle/Shell & DEA<br />
Oil)<br />
Benutzte Fahrzeuge<br />
Fabrikat <strong>und</strong> Baujahr des PKW<br />
Gefahrene Kilometer pro Jahr<br />
Die <strong>Datenschutz</strong>hinweise enthalten darüber hinaus ausführliche Informationen zur<br />
Datenverarbeitung durch Dritte, die auch Auftragsdatenverarbeiter einschließt. Die<br />
Verarbeitung der K<strong>und</strong>endaten durch Unternehmen, die mit SDO verb<strong>und</strong>en sind, kann der<br />
K<strong>und</strong>e durch Nichtstreichung in der Einwilligungserklärung gesondert autorisieren. Gemäß<br />
Ziff. 1.1 der Allgemeinen Teilnahmebedingungen sind die mit SDO verb<strong>und</strong>enen<br />
Unternehmen die teilnehmenden Akzeptanzstellen des Clubsmart Programms, bei denen es<br />
sich hauptsächlich um Tankstellen der SDO handelt.
2. Bahn Comfort<br />
- 96 -<br />
Bahn Comfort ist ein Service-Angebot für Vielfahrer der Deutschen Bahn AG. Teilnehmern<br />
dieses Programms bietet die Deutsche Bahn zahlreiche Service-Leistungen an, etwa eine<br />
exclusive Sitzplatzreservierung, einen gesonderten Sitzplatzbereich in den Zügen des<br />
Fernverkehrs oder den Zutritt zu den DB Lounges. Voraussetzung für die Teilnahme an<br />
diesem Programm ist eine vorherige Qualifikation des Bahnk<strong>und</strong>en.<br />
Automatisch qualifiziert sind sämtliche Inhaber einer BahnCard 100. Qualifizieren können<br />
sich aber auch Inhaber einer BahnCard 50 oder einer BahnCard 25, wenn sie es schaffen,<br />
innerhalb von 12 Monaten mindestens 2000 bahn.comfort-Punkte zu sammeln. Diese Punkte<br />
können für Fahrkarten der Deutschen Bahn ab einem Wert von 5 Euro erworben werden. Für<br />
jeden Euro des Fahrkartenpreises wird je ein bahn.comfort-Punkt gutgeschrieben. Eine<br />
Gutschrift kann nur dann erfolgen, wenn der K<strong>und</strong>e beim Fahrkartenkauf seinen<br />
Sammelwunsch äußert <strong>und</strong> die Nummer seiner BahnCard angibt. Erreicht der Punktestand die<br />
Marke von 2000 Punkten, so erhält der BahnCard-K<strong>und</strong>e automatisch eine entsprechende<br />
BahnCard 25 oder 50 comfort zugesandt, die zur Inanspruchnahme der Service-Leistungen<br />
berechtigt. Den so erworbenen Status behält der BahnCard K<strong>und</strong>e für die nächsten 12<br />
Monate. Nach Ablauf dieser Zeit kann der Status nur verlängert werden, wenn der K<strong>und</strong>e in<br />
den zurückliegenden 12 Monaten erneut 2000 bahn.comfort-Punkte erworben hat.<br />
2.1 Datenverwendung zur Abwicklung des Programms<br />
Um die Berechtigung eines BahnCard-K<strong>und</strong>en zur Teilnahme am Bahn Comfort Programm<br />
überprüfen zu können, ist die Kenntnis der Höhe der erworbenen bahn.comfort-Punkte<br />
erforderlich.<br />
2.2 Datenverwendung zu Zwecken der Werbung <strong>und</strong> Marktforschung<br />
Im Rahmen des Bahn Comfort Programms werden K<strong>und</strong>endaten auch zum Zweck der<br />
Marktforschung <strong>und</strong> zur Ansprache des K<strong>und</strong>en genutzt. Diese Nutzung ist den Fragen zum<br />
<strong>Datenschutz</strong> auf den Webseiten der Deutschen Bahn AG, Frage 4, zu entnehmen. Dort heißt<br />
es :<br />
„Zur weiteren Verbesserung <strong>und</strong> Durchführung des bahn.comfort-<br />
Serviceprogramms <strong>und</strong> der dazugehörigen Services werden ... Daten<br />
gespeichert. Alle diese Daten dienen dazu, unsere Angebote noch besser an<br />
Ihrem persönlichen Bedarf auszurichten.“<br />
Diese Zielsetzung erfordert Marktforschungsmaßnahmen der Deutschen Bahn AG auf<br />
Gr<strong>und</strong>lage der vorhandenen K<strong>und</strong>endaten. Aus Frage 1 ergibt sich, dass zu den<br />
Serviceleistungen des Bahn Comfort Programms auch die bahn.comfort-Kommunikation<br />
gehört (z.B. Punkteübersicht, aktuelle Programmangebote). Die Mitteilung von<br />
Programmangeboten ist als Werbemaßnahme anzusehen.
- 97 -<br />
Für diese Zwecke werden gemäß Frage 4 der Fragen zum <strong>Datenschutz</strong> folgende Reisedaten<br />
der erworbenen Fahrkarte erhoben:<br />
Ticketart<br />
Kaufdatum <strong>und</strong> Ort<br />
Preis<br />
Gültigkeitsbeginn<br />
Start- <strong>und</strong> Zielbahnhof<br />
Als Gr<strong>und</strong>lage für die Erhebung dieser Daten kommt lediglich § 28 Abs. 1 Nr. 2 BDSG in<br />
Betracht. Von der Rechtsgr<strong>und</strong>lage des § 28 Abs. 1 Nr. 1 BDSG ist nur die Erhebung <strong>und</strong><br />
Verarbeitung der Angaben „Kaufdatum <strong>und</strong> Ort“ sowie „Preis“ gedeckt, da für die<br />
Berechnung der bahn.comfort-Punkte der Preis der Fahrkarte maßgeblich ist <strong>und</strong> die<br />
genannten Daten somit ausreichen, um die korrekte Punktegutschrift nachzuvollziehen. Die<br />
Zulässigkeit der Verarbeitung beschränkt sich nach dieser Vorschrift außerdem auf den<br />
Zweck der Programmabwicklung. Für eine weitergehende Datenerhebung <strong>und</strong> -verarbeitung<br />
liegt eine Einwilligung nicht vor, so dass allein auf § 28 Abs. 1 Nr. 2 BDSG abgestellt werden<br />
kann.<br />
Die Voraussetzungen dieser Vorschrift sind vorliegend nicht erfüllt. Der Verarbeitung der<br />
oben aufgeführten Daten stehen regelmäßig schutzwürdige Interessen der BahnCard-<br />
K<strong>und</strong>en entgegen. Anhand dieser Daten, insbesondere des Starts- <strong>und</strong> Zielbahnhofs können<br />
Profile des K<strong>und</strong>en, einschließlich Bewegungsprofile, gebildet werden. Da es sich bei den<br />
K<strong>und</strong>en, die bahn.comfort-Punkte sammeln, regelmäßig um Vielfahrer handelt, können<br />
besonders aussagekräftige Profile gewonnen werden. Zwar kann der K<strong>und</strong>e vor jedem<br />
Fahrkartenkauf selbst entscheiden, ob er für diese Fahrt Punkte sammeln möchte <strong>und</strong> dafür<br />
seine BahnCard-Nummer mitteilt oder ob er lieber „anonym“ fahren möchte, doch reicht<br />
diese Entscheidungsmöglichkeit des K<strong>und</strong>en zur Wahrung seiner Interessen nicht aus. Denn<br />
der K<strong>und</strong>e, der weder eine Teilnahme bzw. die Qualifikation zur Teilnahme beantragt hat<br />
noch eine Einwilligung in die Verarbeitung seiner Daten erklärt hat, hat i.d.R. keine Kenntnis<br />
über den Umfang der zu erhebenden Daten <strong>und</strong> ihre weitere Verwendung. Es fehlt in diesem<br />
Zusammenhang an der gemäß § 4 Abs. 3 BDSG erforderlichen Information des K<strong>und</strong>en<br />
insbesondere über die Zweckbestimmung der Erhebung, Verarbeitung oder Nutzung. Allein<br />
die Veröffentlichung von Informationen über Datenverarbeitung im Internet ist nicht als<br />
ausreichend anzusehen.
3. Apothekenkarten<br />
- 98 -<br />
K<strong>und</strong>enkarten sind auch im Bereich der Apotheken weit verbreitet. Eine Vielzahl von<br />
Apotheken bieten ihren K<strong>und</strong>en eine K<strong>und</strong>enkarte an, die mit diversen Serviceleistungen<br />
verb<strong>und</strong>en ist.<br />
Im Rahmen dieser K<strong>und</strong>enprogramme speichern die Apotheken regelmäßig Angaben zur<br />
Person des Teilnehmers sowie sämtliche vom Teilnehmer erworbenen Medikamente. Auf<br />
Gr<strong>und</strong>lage dieser Daten bietet die Apotheke zum einen eine jährliche Aufstellung sämtlicher<br />
Aufwendungen des K<strong>und</strong>en zum Nachweis beim Finanzamt sowie eine Auflistung der<br />
Zuzahlungen als Nachweis für die Krankenkasse an. Darüber hinaus prüft die Apotheke die<br />
Verträglichkeiten der verordneten oder selbst erworbenen Medikamente untereinander <strong>und</strong><br />
gibt den K<strong>und</strong>en bei Bedarf Auskunft über in der Vergangenheit bezogene Medikamente,<br />
Wirkstärken oder Ähnliches. Schließlich gewähren die Apotheken ihren Kartenk<strong>und</strong>en<br />
gewöhnlich einen Rabatt, meist in Höhe von 3%, auf alle Artikel, die nicht der Preisbindung<br />
unterliegen.<br />
3.1 Zulässigkeit der Erhebung der Daten<br />
3.1.1 Stammdaten der K<strong>und</strong>en<br />
Um eine Apotheken-K<strong>und</strong>enkarte zu bekommen, muss ein K<strong>und</strong>e i.d.R. bei der Apotheke<br />
einen entsprechenden Antrag stellen. Bei dieser Gelegenheit werden meist Name <strong>und</strong><br />
Anschrift des K<strong>und</strong>en, häufig auch weitere Daten wie etwa Geburtsdatum, Telefonnummer,<br />
Angaben zur Krankenversicherung erhoben.<br />
Die Zulässigkeit der Erhebung dieser Daten richtet sich nach § 28 Abs. 1 Nr. 1 BDSG. Es<br />
handelt sich bei den erfragten Stammdaten des K<strong>und</strong>en um gewöhnliche personenbezogene<br />
Daten, die nicht zu den in § 3 Abs. 9 BDSG genannten besonders sensiblen Daten gehören.<br />
Hinsichtlich Name <strong>und</strong> Anschrift ist die Erforderlichkeit der Kenntnis zum Zweck der<br />
Kartenabwicklung offensichtlich. Zweifel ergeben sich jedoch im Hinblick auf die<br />
Erforderlichkeit der weiteren Angaben wie Geburtsdatum oder auch Angaben zur<br />
Krankenkasse. Einige Apotheken verlangen in ihrem Antragsformular ausdrücklich nur die<br />
Angabe von Name <strong>und</strong> Adresse, einleitend zur Abfrage weiterer Daten (Geburtsdatum,<br />
Telefonnummer, Krankenkasse, Rezeptgebührenbefreiung) wird der K<strong>und</strong>e darauf<br />
hingewiesen, dass diese Angaben freiwillig <strong>und</strong> für den Erhalt der K<strong>und</strong>enkarte nicht<br />
erforderlich seien. Für die Erfüllung der Zwecke der K<strong>und</strong>enkarte, d.h. die Vornahme der<br />
angebotenen Serviceleistungen, ist es ausreichend, wenn der K<strong>und</strong>e durch Name <strong>und</strong><br />
Anschrift sowie ggf. zusätzlicher Angaben wie z.B. Geburtsjahr identifiziert werden kann. Da<br />
die Karte nur zur Beratung <strong>und</strong> Information des K<strong>und</strong>en genutzt wird, ist die Kenntnis von<br />
weiteren Daten, etwa Krankenkassendaten, die zu Abrechnungszwecken benötigt würden,<br />
nicht erforderlich.<br />
3.1.2 Arzneimitteldaten<br />
Daten über den Erwerb von Arzneimitteln erhebt die Apotheke auf zweierlei Art <strong>und</strong> Weise.<br />
Erwirbt der K<strong>und</strong>e ein Arzneimittel auf Gr<strong>und</strong> ärztlicher Verordnung, so erhebt die Apotheke
- 99 -<br />
durch Entgegennahme des Rezepts die darauf enthaltenen Daten. Die Erhebung dieser Daten<br />
ist gemäß § 2 Abs. 1 Nr. 3 der Verordnung über verschreibungspflichtige Arzneimittel<br />
zulässig, um eine ordnungsgemäße Rezeptabwicklung <strong>und</strong> die eindeutige Identifikation des<br />
K<strong>und</strong>en zu ermöglichen. Auch zum Zweck der Abrechnung nach § 300 SGB V ist die<br />
patientenbezogene Erhebung der Daten zulässig.<br />
Die Erhebung der Arzneimitteldaten ist zum Zweck der Vertragserfüllung gegenüber dem<br />
K<strong>und</strong>en auch zulässig, wenn der K<strong>und</strong>e Medikamente ohne eine Verordnung des Arztes<br />
erwirbt.<br />
3.2 Zulässigkeit der Speicherung <strong>und</strong> Nutzung<br />
3.2.1 Stammdaten<br />
Die Zulässigkeit der Speicherung <strong>und</strong> Nutzung der Stammdaten beurteilt sich ebenfalls nach<br />
§ 28 Abs. 1 Nr. 1 BDSG, d.h. die Speicherung ist zulässig, soweit die Daten zulässig erhoben<br />
wurden.<br />
3.2.2 Arzneimitteldaten<br />
Arzneimitteldaten gehören zu den in § 3 Abs. 9 BDSG genannten Ges<strong>und</strong>heitsdaten, deren<br />
Erhebung, Verarbeitung <strong>und</strong> Nutzung nur nach den Voraussetzungen des § 28 Abs. 6-9<br />
BDSG oder bereichsspezifischer Vorschriften zulässig ist.<br />
Als gesetzliche Befugnis zur Speicherung <strong>und</strong> Nutzung der Arzneimitteldaten kommt § 28<br />
Abs. 7 Satz 2 BDSG in Betracht. Danach ist die Verarbeitung <strong>und</strong> Nutzung von Daten zum<br />
Zweck der Ges<strong>und</strong>heitsvorsorge, der medizinischen Diagnostik, der Ges<strong>und</strong>heitsversorgung<br />
oder Behandlung oder für die Verwaltung von Ges<strong>und</strong>heitsdiensten zulässig, soweit dies die<br />
Geheimhaltungspflichten der Daten verarbeitenden Personen zulassen.<br />
Die Speicherung von Arzneimitteln, die auf Gr<strong>und</strong> ärztlicher Verordnung bezogen wurden, ist<br />
bei gesetzlich Krankenversicherten zum Zweck der Abrechnung gemäß § 300 SGB V<br />
erforderlich. Zum Zweck der ordnungsgemäßen Rezeptabwicklung <strong>und</strong> der eindeutigen<br />
Identifikation des K<strong>und</strong>en ist eine Speicherung der Daten nur dann zulässig, wenn die<br />
Kenntnis der Daten hierfür noch erforderlich ist. Dagegen kann eine Erforderlichkeit für die<br />
k<strong>und</strong>enbezogene Speicherung der Daten über den Erwerb nicht verordneter Medikamente<br />
gr<strong>und</strong>sätzlich nicht erkannt werden. Für die Durchführung des Vertrags mit dem K<strong>und</strong>en ist<br />
eine Speicherung dann nicht erforderlich, wenn dieser sofort vollständig abgewickelt wird,<br />
was i.d.R. der Fall ist.<br />
Für weitere Zwecke, insbesondere für die Beratung der K<strong>und</strong>en, ist eine Speicherung der<br />
Daten dagegen nicht zulässig. Sämtliche bereichsspezifischen Regelungen über die Erhebung<br />
von Patientendaten mittels Rezepten wie etwa § 2 Abs. 1 Nr. 3 der Verordnung über<br />
verschreibungspflichtige Arzneimittel oder § 9 Abs. 1 Nr. 1 der BtM-<br />
Verschreibungsverordnung sehen zwar vor, dass auf Verordnungsblättern Name, Vorname,<br />
Geburtsdatum <strong>und</strong> Anschrift des Patienten enthalten sein sollen. Diesem Erfordernis liegt<br />
jedoch immer nur die Zweckbestimmung der Rezeptabwicklung <strong>und</strong> Identifizierung des<br />
Patienten, nicht aber dessen Beratung durch die Apotheke zu Gr<strong>und</strong>e. Noch deutlicher wird<br />
dies in § 17 Abs. 6a Nr. 5 der Apothekenbetriebsordnung, der für die Aufzeichnung von<br />
Name, Vorname, Geburtsdatum <strong>und</strong> Adresse des Patienten beim Erwerb von<br />
Blutzubereitungen <strong>und</strong> Ähnlichem ausdrücklich den Verwendungszweck der Rückverfolgung
der Charge vorsieht.<br />
- 100 -<br />
Auch die Voraussetzungen des § 28 Abs. 7 BDSG sind für die Zweckrichtung der Beratung<br />
des K<strong>und</strong>en nicht erfüllt. Zur Verbesserung der medizinischen Versorgung der K<strong>und</strong>en ist<br />
die Speicherung der Arzneimitteldaten zwar hilfreich, da so eine von den Apotheken auch<br />
angebotene Überprüfung von Unverträglichkeiten verschiedener bezogener Medikamente<br />
vorgenommen werden kann. Erforderlich zum Zweck der Ges<strong>und</strong>heitsvorsorge ist diese<br />
Leistung jedoch nicht. Es obliegt gr<strong>und</strong>sätzlich den Sorgfalts- <strong>und</strong> Aufklärungspflichten der<br />
verordnenden Ärzte <strong>und</strong> der Apotheker, auf Unverträglichkeiten <strong>und</strong> Wechselwirkungen von<br />
Medikamenten zu achten <strong>und</strong> sich bei Verordnung oder Herausgabe einer Arznei zu<br />
vergewissern, dass andere Medikamente, die die Wirkung negativ beeinflussen, nicht<br />
eingenommen werden. Die K<strong>und</strong>enkarte ist ein Mittel, um dieses Verfahren zu unterstützen<br />
<strong>und</strong> zu optimieren, zwingend erforderlich hierfür ist sie jedoch nicht.<br />
Eine Speicherung der Arzneidaten ist daher nicht durch § 28 Abs. 7 BDSG legitimiert.<br />
Auch § 28 Abs. 8 Satz 1 BDSG kommt als Rechtsgr<strong>und</strong>lage für die Nutzung der<br />
Arzneimitteldaten im Rahmen der K<strong>und</strong>enkarte nicht in Betracht. Nach dieser Vorschrift<br />
dürfen die besonderen Arten personenbezogener Daten, also auch Ges<strong>und</strong>heitsdaten, unter<br />
den Voraussetzungen des Absatzes 6 Nr. 1-4 oder des Absatzes 7 Satz 1 auch für einen<br />
anderen Zweck übermittelt oder genutzt werden. Die Speicherung von Ges<strong>und</strong>heitsdaten<br />
erlaubt diese Vorschrift dagegen nicht. Im Falle des Arzneimittelbezugs auf Gr<strong>und</strong> ärztlicher<br />
Verordnung ist die Speicherung der Rezeptdaten - also auch der Arzneimitteldaten - zwar zu<br />
Abrechnungszwecken zulässig, so dass hier § 28 Abs. 8 Satz 1 BDSG für die Nutzung der<br />
gespeicherten Daten zu einem anderen Zweck in Betracht käme. Der andere Zweck im Sinne<br />
des § 28 Abs. 8 BDSG muss sich jedoch ebenfalls im Rahmen der Zweckbestimmungen der<br />
Absätze 6 <strong>und</strong> 7 halten, auf die Absatz 8 verweist. Anderenfalls würde die durch detaillierte<br />
Zweckbestimmungen vorgenommene Einschränkungen der Verarbeitung sensibler Daten in<br />
den Absätzen 6 <strong>und</strong> 7 vollständig aufgehoben <strong>und</strong> damit gegenstandslos 18 .<br />
Da somit eine gesetzliche Speicherungs- <strong>und</strong> Nutzungsbefugnis zu den mit der K<strong>und</strong>enkarte<br />
verfolgten Zwecken nicht besteht, ist die Verarbeitung <strong>und</strong> Nutzung der Arzneimitteldaten<br />
nur mit Einwilligung des K<strong>und</strong>en zulässig 19 .<br />
In der Praxis betreiben viele Apotheken K<strong>und</strong>enkarten, ohne dass der K<strong>und</strong>e eine<br />
Einwilligung in die Verarbeitung seiner Daten erteilt. Die Verarbeitung der Arzneimitteldaten<br />
des K<strong>und</strong>en sowie der Stammdaten, die nicht im Sinne des § 28 Abs. 1 Nr. 1 BDSG zur<br />
Abwicklung der Kartenfunktionen erforderlich sind, ist unzulässig.<br />
3.3 Offenbarung der Daten an Dritte<br />
Eine Weitergabe der K<strong>und</strong>endaten an Dritte ist gewöhnlich nicht vorgesehen, meist wird der<br />
K<strong>und</strong>e darauf hingewiesen, dass eine solche nicht erfolgt. Bei Apothekenkarten ist zu<br />
beachten, dass sich die Zulässigkeit einer Weitergabe bzw. Offenbarung der K<strong>und</strong>endaten an<br />
Dritte nicht ausschließlich nach den Vorschriften des BDSG richtet, sondern dass daneben<br />
auch die - teilweise restriktivere - berufliche Schweigepflicht gemäß § 203 StGB zu<br />
beachten ist. Diese strafrechtliche Norm verbietet jegliche unbefugte Offenbarung von<br />
K<strong>und</strong>endaten durch Apotheker an Dritte. Anders als im BDSG erfolgt eine Offenbarung auch<br />
18 Dazu eingehend Simitis in: Simitis, BDSG, § 28 Rn 345 f.<br />
19 So im Ergebnis auch LfD Niedersachsen unter: www.lfd.niedersachsen.de „<strong>Datenschutz</strong> in Apotheken“.
- 101 -<br />
dann, wenn ein Auftragnehmer mit der Verarbeitung von Daten betraut wird <strong>und</strong> in diesem<br />
Zusammenhang Kenntnis von den Daten erlangt. Hier liegt zwar keine Übermittlung im Sinne<br />
des BDSG, wohl aber eine Offenbarung im Sinne des § 203 StGB vor, die einer Befugnis -<br />
i.d.R. einer Einwilligung des K<strong>und</strong>en - bedarf.<br />
3.4 Einwilligung<br />
Neben den allgemeinen Anforderungen des § 4a Abs. 1 BDSG ist bei der Einwilligung in die<br />
Datenverwendung im Rahmen der Apotheken-K<strong>und</strong>enkarten zusätzlich § 4a Abs. 3 BDSG zu<br />
beachten. Soweit besondere Arten personenbezogener Daten im Sinne des § 3 Abs. 9<br />
BDSG erhoben, verarbeitet oder genutzt werden, verlangt diese Vorschrift, dass sich die<br />
Einwilligung ausdrücklich auf diese Daten beziehen muss.<br />
Die in der Praxis verwandten Einwilligungserklärungen weisen häufig zahlreiche Mängel<br />
auf. Dies beginnt häufig bereits damit, dass die im Rahmen der K<strong>und</strong>enkarte verarbeiteten<br />
Daten, insbesondere die Arzneimitteldaten, nicht genannt werden. Auch die Zwecke der<br />
Verarbeitung werden selten beschrieben. So wird insbesondere nicht deutlich, ob die Daten<br />
auch für Zwecke der Werbung oder Marktforschung genutzt werden. Formulierungen in den<br />
Antragsformularen wie „Verbesserung Ihrer Beratung“ deuten auf eine Nutzung zu<br />
Werbezwecken hin. Des weiteren fehlt oftmals eine Belehrung über das Widerrufsrecht des<br />
K<strong>und</strong>en.<br />
In manchen Fällen finden sich in den Einwilligungserklärungen auch gänzlich<br />
unverständliche Hinweise darauf, dass die Verarbeitung der Daten entsprechend § 3 BDSG<br />
vorgenommen wird, z.B. mit folgender Formulierung:<br />
„Ich bin damit einverstanden, dass meine persönlichen Daten entsprechend<br />
§ 3 des B<strong>und</strong>esdatenschutzgesetzes gespeichert werden.“<br />
Ein solcher Hinweis ist in gleich zweifacher Hinsicht irreführend. Zum einen enthält § 3<br />
BDSG keine Befugnis zur Verarbeitung von Daten, sondern in seinem Absatz 9 lediglich eine<br />
Beschreibung derjenigen Daten, die als besonders sensibel gelten <strong>und</strong> somit besonderen o.g.<br />
Bestimmungen der Verarbeitung unterliegen. Zum anderen ruft der Hinweis auf eine<br />
Verarbeitung der Daten entsprechend gesetzlicher Vorschriften die Fehlvorstellung hervor,<br />
die Verarbeitung würde sich im zulässigen Rahmen dieser Vorschriften halten, was jedoch<br />
unzutreffend ist, da die Einwilligung gerade eine Datenverarbeitung über den gesetzlichen<br />
Rahmen hinaus legitimiert (siehe dazu oben).<br />
Unklar ist schließlich, ob das Einverständnis des K<strong>und</strong>en zur Speicherung <strong>und</strong> Nutzung seiner<br />
Arzneimitteldaten eine Bedingung für die Teilnahme an dem K<strong>und</strong>enkartensystem der<br />
Apotheke darstellt. Der Bezug der K<strong>und</strong>enkarte unter Beschränkung auf die Inanspruchnahme<br />
des Rabatts für die nicht preisgeb<strong>und</strong>enen Waren wäre nämlich möglich, ohne dass hierfür<br />
Arzneimitteldaten gespeichert werden müssen. Eine solche Möglichkeit wird dem K<strong>und</strong>en in<br />
keinem der untersuchten Programme eingeräumt, so dass nach dem Gr<strong>und</strong>satz der<br />
k<strong>und</strong>enunfre<strong>und</strong>lichsten Auslegung 20 davon auszugehen ist, dass die Erklärung der<br />
Einwilligung zwingende Voraussetzung für den Erhalt der K<strong>und</strong>enkarte ist. Hier wird eine<br />
Kopplung vorgenommen, die zumindest für die Rabattkomponente der K<strong>und</strong>enkarte nicht<br />
erforderlich <strong>und</strong> damit nicht zulässig ist.<br />
20 Vgl. Heidemann-Peuser, DuD 2002, 389 ff..
- 102 -<br />
Unterstützung findet diese Annahme in der üblicherweise gewählten Gestaltungsform solcher<br />
Erklärungen. I.d.R. fehlt jeglicher Hinweis auf die Freiwilligkeit dieser Erklärung, es wird<br />
dem K<strong>und</strong>en gewöhnlich nicht einmal anheim gestellt, die Einwilligungserklärung vollständig<br />
oder in Teilen zu streichen.
4. Übrige K<strong>und</strong>enkarten<br />
- 103 -<br />
Eine Fülle weiterer K<strong>und</strong>enkarten werden in fast allen Branchen angeboten. Die Verarbeitung<br />
von K<strong>und</strong>endaten zu Zwecken der Werbung <strong>und</strong> Marktforschung, die über Name <strong>und</strong> Adresse<br />
hinausgehen, ist im Rahmen dieser Programme nur mit einer Einwilligung des K<strong>und</strong>en<br />
zulässig. Da bei dem Betrieb eines kartenbasierten K<strong>und</strong>enbindungssystems regelmäßig auch<br />
die Programmdaten erfasst <strong>und</strong> gespeichert werden, ist eine Einwilligung stets erforderlich,<br />
sofern eine Nutzung zu Werbezwecken stattfindet. In der Praxis sind verschiedene Lösungen<br />
zu finden, mit denen eine entsprechende Einwilligung des K<strong>und</strong>en eingeholt wird.<br />
4.1 Erklärung der Einwilligung durch „Opt-In“<br />
Einige Anbieter von K<strong>und</strong>enkarten sehen in den Antragsformularen eine Erklärung des<br />
K<strong>und</strong>en in Form eines „Opt-In“ vor. Der K<strong>und</strong>e muss bei einer solchen Lösung eine<br />
Erklärung entweder ankreuzen oder gesondert unterschreiben. Die so ausgestalteten<br />
Einwilligungserklärungen sind verbraucherfre<strong>und</strong>lich, weil hier oftmals eine relativ<br />
umfangreiche Information des K<strong>und</strong>en erfolgt <strong>und</strong> diesem die erforderliche Wahlfreiheit<br />
eingeräumt wird.<br />
4.1.1 Hallhuber Plus Card<br />
Ein Beispiel hierfür ist die Hallhuber Pluscard, die K<strong>und</strong>enkarte des<br />
Bekleidungsunternehmens Hallhuber GmbH. Mit dieser Karte wird der Einkauf der<br />
Teilnehmer auf einem Bonuskonto erfasst <strong>und</strong> nach Ablauf eines Jahres in Form eines<br />
Gutscheins ausgezahlt, sofern der Teilnehmer in diesem Zeitraum einen Mindestumsatz in<br />
Höhe von 250,00 Euro erreicht hat. Die Auszahlung eines prozentualen Rabatts erfolgt<br />
gestaffelt nach Umsatz des K<strong>und</strong>en in Höhe von 3, 5 oder 10%.<br />
Auf dem Anmeldeformular für die Hallhuber Pluscard wird folgende Einwilligungserklärung<br />
verwendet:<br />
„❏ Ich willige in die Nutzung meiner nachfolgenden Daten sowie der<br />
Bonusdaten (Waren, Preis, Ort <strong>und</strong> Datum des Warenerwerbs) zu<br />
Werbe- <strong>und</strong> Marktforschungszwecken durch Hallhuber GmbH <strong>und</strong><br />
Dritte gemäß <strong>und</strong> entsprechend den anwendbaren<br />
datenschutzrechtlichen Vorschriften ein (auch ohne eine solche<br />
Einwilligung kann die Mitgliedschaft gewährt werden).“<br />
Diese Einwilligungserklärung enthält zwar Mängel, aber andererseits auch positive Elemente.<br />
Zu bemängeln ist der Hinweis auf eine Verarbeitung der Daten gemäß datenschutzrechtlicher<br />
Vorschriften sowie der fehlende Hinweis auf die Identität der Dritten, die K<strong>und</strong>endaten<br />
nutzen. Außerdem fehlt ein Hinweis auf die Widerrufbarkeit der Einwilligung. Positiv ist<br />
dagegen die Bezeichnung der genutzten Daten <strong>und</strong> der Hinweis auf die Freiwilligkeit der<br />
Erklärung hervorzuheben. Letzteres wird durch die Form der Einwilligungserklärung<br />
unterstrichen. Da auf diese Weise die Freiwilligkeit deutlich unterstrichen wird, wiegt der<br />
fehlende Hinweis auf die Widerrufbarkeit der Einwilligung weniger schwer als in Fällen, in<br />
denen bereits der Hinweis auf die Freiwilligkeit der Erklärung fehlt.
4.1.2 Douglas Card<br />
- 104 -<br />
Ein weiteres Beispiel ist die Douglas Card. Das Antragsformular wurde vor einiger Zeit in<br />
Zusammenarbeit mit der zuständigen <strong>Datenschutz</strong>aufsichtsbehörde geändert <strong>und</strong> enthält<br />
nunmehr folgende Formulierung 21 :<br />
„Einwilligung zur Werbung:<br />
Ja, ich möchte von der Parfümerie Douglas GmbH Hagen regelmäßig Werbung<br />
(COME IN Magazin, Mailings, E-Mails) erhalten. Zur individuellen Beratung<br />
bin ich damit einverstanden, dass meine o.g. persönlichen Daten (Name,<br />
Anschrift, Geburtsdatum) sowie meine Einkaufsdaten (Produkte,<br />
Warengruppen) gespeichert, verarbeitet <strong>und</strong> genutzt werden. Meine Daten<br />
werden nicht an Dritte weitergegeben.<br />
Diese Einwilligung kann jederzeit widerrufen werden.“<br />
Unter dieser Erklärung ist eine gesonderte Unterschrift des K<strong>und</strong>en vorgesehen. Sowohl im<br />
Hinblick auf die Freiwilligkeit - hier fehlt lediglich ein ausdrücklicher Hinweis auf die<br />
Verweigerungsfolgen, aus der Gestaltung der Erklärung ergibt sich aber mittelbar, dass die<br />
Teilnahme nicht von der Einwilligung in Werbung abhängig ist - als auch im Hinblick auf den<br />
Informationsgehalt ist die Erklärung deutlich formuliert. Nicht ausreichend ist die gewählte<br />
Formulierung allerdings für den Zweck der Auswertung der K<strong>und</strong>endaten. Berichten aus<br />
Fachzeitschriften ist zu entnehmen, dass eine solche Auswertung zu Marketingzwecken<br />
stattfindet. So berichtet Philippi in Card-Forum: „Dass es auch anders geht, zeigt seit vielen<br />
Jahren die Parfümeriekette Douglas. Die Daten der mehr als 1,5 Millionen<br />
K<strong>und</strong>enkartenbesitzer werden laufend erfasst, aktualisiert <strong>und</strong> Marketingaktivitäten<br />
ausgewertet. Die „Douglas Card“ gehört damit zu den professionellsten K<strong>und</strong>enkarten<br />
Europas“ 22 . Ein Hinweis auf die Auswertung der K<strong>und</strong>endaten ist in der<br />
Einwilligungserklärung enthalten, <strong>und</strong> zwar ergibt sich diese Vorgehensweise aus der<br />
Formulierung „zur individuellen Beratung“. Damit geht die Information bei der Douglas Card<br />
weit über den Informationsgehalt anderer Anbieter hinaus, genügen kann diese Formulierung<br />
dem Informationsbedürfnis des K<strong>und</strong>en jedoch nicht. Ein durchschnittlicher K<strong>und</strong>e hat<br />
gewöhnlich keine Kenntnis <strong>und</strong> keine Vorstellung darüber, auf welcher<br />
Informationsgr<strong>und</strong>lage ein Unternehmen seine K<strong>und</strong>en „individuell berät“. Kaum ein K<strong>und</strong>e<br />
verbindet mit dieser Formulierung, dass für die Auswahl der zu beratenden K<strong>und</strong>en <strong>und</strong> für<br />
den Inhalt der Beratung u.U. das gesamte Konsumprofil des K<strong>und</strong>en herangezogen werden<br />
kann.<br />
4.2 Erklärung unter Verwendung der Streichlösung<br />
Häufiger anzufinden ist eine Erklärung des K<strong>und</strong>en, die gemeinsam mit der Unterschrift unter<br />
den Antrag abgeben wird <strong>und</strong> die dem K<strong>und</strong>en die Streichung nicht gewünschter Passagen<br />
bzw. der gesamten Klausel freistellt. Auch bei dieser Variante wird der K<strong>und</strong>e über die<br />
Freiwilligkeit seiner Erklärung belehrt, wenngleich auch nicht in so auffälliger Weise wie bei<br />
einer echten „Opt-In-Lösung“. Gleichfalls erfolgt i.d.R. eine recht umfangreiche Information<br />
des K<strong>und</strong>en.<br />
21 Da die Änderung vor kurzer Zeit erfolgt ist, können sich noch alte Formulare im Handel befinden.<br />
22 Philippi, Card-Forum 06/2002, S. 41.
Peek & Cloppenburg K<strong>und</strong>enkarte<br />
- 105 -<br />
Ein Beispiel hierfür ist die Peek & Cloppenburg K<strong>und</strong>enkarte der Bekleidungsfirma Peek<br />
& Cloppenburg KG. Die Funktionsweise dieses Systems entspricht der der Hallhuber<br />
Pluscard, die Höhe des jeweils am Jahresende gewährten Bonus variiert bei dieser Karte von<br />
1 - 5 %, gestaffelt nach Umsatz des K<strong>und</strong>en.<br />
Das Antragsformular für die Peek & Cloppenburg Karte enthält folgende Erklärung:<br />
„Ja, ich möchte die Vorteile der Peek & Cloppenburg K<strong>und</strong>enkarte in<br />
Zukunft nutzen. Daher bin ich einverstanden (falls nicht zutreffend, bitte<br />
streichen):<br />
- dass mir Informationen <strong>und</strong> Werbung an meine o.g. E-Mail-Adresse<br />
zugesandt werden.<br />
- dass meine persönlichen Daten sowie Datum <strong>und</strong> Betrag meiner Käufe<br />
von Peek & Cloppenburg zu Zwecken der Marktforschung <strong>und</strong><br />
Werbung (keine Telefonwerbung) gespeichert <strong>und</strong> genutzt werden<br />
können.<br />
Mir ist bekannt, dass die Erteilung meiner vorstehenden Einwilligungen<br />
freiwillig ist <strong>und</strong> ich diese jederzeit gegenüber der Peek & Cloppenburg<br />
KG, Berliner Allee 2, 40212 Düsseldorf, widerrufen kann. Wenn ich die<br />
Einwilligungen nicht erteile oder sie widerrufe, hat dies keine<br />
Auswirkungen auf meine Teilnahme am K<strong>und</strong>enkartenprogramm.“<br />
Zu kritisieren ist diese Einwilligungserklärung einzig wegen der dort verwandten<br />
Streichlösung. Die Aufklärung des K<strong>und</strong>en über die Freiwilligkeit seiner Angaben, Widerruf<br />
<strong>und</strong> Verweigerungsfolgen erfolgt dagegen umfassend <strong>und</strong> eindeutig.<br />
4.3 Vorformulierte Erklärung auf dem Antragsformular ohne<br />
Verweigerungsmöglichkeit<br />
Einige Antragsformulare drucken eine Einwilligungserklärung ab, die der K<strong>und</strong>e mit<br />
Unterzeichnung des Formulars anerkennt, geben dem K<strong>und</strong>en jedoch keine Möglichkeit, die<br />
Erklärung der Einwilligung zu versagen. Solche Erklärungen sind darüber hinaus zumeist<br />
sehr kurz gefasst <strong>und</strong> somit wenig informativ.<br />
4.3.1 VIF-Card der Ludwig Görtz GmbH<br />
Ein Beispiel für diese Variante ist das Antragsformular für die so genannte VIF-Card („Very<br />
Important Feet) der Firma Ludwig Görtz GmbH. Die Funktionsweise dieser Karte entspricht<br />
dem System der Hallhuber Pluscard bzw. der Peek & Cloppenburg Karte. Der K<strong>und</strong>e erhält<br />
nach Ende eines Jahres, sofern er einen Umsatz von mindestens 100 Euro erreicht hat, einen<br />
Rabatt in Höhe von 2 - 5 %.<br />
Das entsprechende Antragsformular ist wie folgt formuliert:<br />
„Ja, ich möchte gerne VIF werden <strong>und</strong> die K<strong>und</strong>enkarte bekommen.<br />
Deshalb sage ich Ihnen auch, wer ich bisher war: ∗<br />
∗ Ich bin damit einverstanden, dass diese Daten elektronisch gespeichert
- 106 -<br />
werden. Sie werden von Görtz nicht an Dritte weitergegeben.“<br />
Diese Erklärung genügt weder den Anforderungen an Transparenz <strong>und</strong> Information noch an<br />
die Gewährleistung der Wahlfreiheit des K<strong>und</strong>en. Es ist davon auszugehen, dass die<br />
verarbeiteten Datenkategorien nicht vollständig aufgeführt werden, da die Görtz GmbH<br />
offensichtlich auch Daten über den Einsatz der K<strong>und</strong>enkarte erhebt <strong>und</strong> speichert, was jedoch<br />
in der Einwilligungserklärung keine Erwähnung findet. Außerdem fehlt jeglicher Hinweis auf<br />
die Zwecke, zu denen die Daten gespeichert <strong>und</strong> genutzt werden.<br />
Darüber hinaus wird der K<strong>und</strong>e in keiner Weise darüber aufgeklärt, ob er die Einwilligung<br />
auf freiwilliger Basis erklärt oder ob die Erklärung Bedingung für seine Teilnahme ist. Da<br />
die Möglichkeit der Verweigerung oder des Widerrufs in keiner Weise eröffnet wird, ist nach<br />
dem Gr<strong>und</strong>satz der k<strong>und</strong>enunfre<strong>und</strong>lichsten Auslegung davon auszugehen, dass die Erklärung<br />
der Einwilligung eine Bedingung für die Teilnahme darstellt, was gegen das Kopplungsverbot<br />
verstoßen würde. Stellt die Erklärung keine Bedingung für die Teilnahme dar, dann wäre die<br />
Einwilligungserklärung ebenfalls unwirksam, <strong>und</strong> zwar in diesem Fall wegen fehlender<br />
Aufklärung des K<strong>und</strong>en über die Freiwilligkeit.<br />
4.3.2 Ikea Familiy Card<br />
In diese Kategorie fällt auch die Einwilligungserklärung für die K<strong>und</strong>enkarte des<br />
Einrichtungshauses Ikea, die so genannte Ikea Familiy Card. Hier fällt der Text der<br />
Einwilligungserklärung zwar informativer im Hinblick auf die Verwendung der Daten aus,<br />
jedoch gilt dies nicht für die Information des K<strong>und</strong>en über die Freiwilligkeit seiner Erklärung.<br />
Folgender Text ist auf dem Kartenantrag oberhalb des Unterschriftsfeldes abgedruckt:<br />
„ICH BIN EINVERSTANDEN.<br />
Ja, ich möchte zukünftig über aktuelle Entwicklungen, Produkte <strong>und</strong><br />
Leistungen von Ikea informiert werden <strong>und</strong> bin damit einverstanden, dass<br />
meine oben angegebenen Daten zu Zwecken der Vertrags- <strong>und</strong><br />
K<strong>und</strong>enbetreuung sowie -information <strong>und</strong> Werbezwecken von der Ikea<br />
Deutschland GmbH & Co. KG sowie von Ikea Information Services AB <strong>und</strong><br />
allen angeschlossenen Vertragsunternehmen verarbeitet <strong>und</strong> genutzt werden.<br />
Meine Daten werden nicht an sonstige Dritte weitergegeben. Die<br />
Mitgliedschaft kann jederzeit beidseitig gekündigt werden.“<br />
In dieser Erklärung fehlt jeglicher Hinweis auf die Freiwilligkeit der Einwilligung. Zwar<br />
suggerieren die Formulierungen „Ich bin einverstanden“ <strong>und</strong> „Ja, ich möchte ...“ zunächst<br />
einen entsprechenden freien Willen des K<strong>und</strong>en, doch ist dem Formular nicht zu entnehmen,<br />
ob <strong>und</strong> in welcher Weise bzw. mit welchen Folgen ein K<strong>und</strong>e diese Erklärung verweigern<br />
kann. Mit gleicher Begründung wie für die VIF Card ist daher diese Einwilligung als<br />
unwirksam anzusehen.<br />
Auch die Information des K<strong>und</strong>en ist in dieser Erklärung nicht hinreichend präzise <strong>und</strong><br />
umfänglich. Es ist zu vermuten, dass es sich bei der Ikea Information Services AB um ein<br />
ausländisches, <strong>und</strong> zwar ein schwedisches, Unternehmen handelt, ein entsprechender Hinweis<br />
hierauf fehlt jedoch. Ebenso bleibt unklar, um welche angeschlossenen Vertragsunternehmen<br />
es sich handelt <strong>und</strong> ob diese selbständig oder im Auftrag von Ikea tätig werden. Eine<br />
entsprechende Information ist gemäß § 4 Abs. 3 Nr. 3 BDSG erforderlich.
- 107 -<br />
4.4 Einwilligung in Allgemeinen Geschäftsbedingungen<br />
Schließlich gibt es Einwilligungen, die gemeinsam mit den Allgemeinen Geschäfts- oder<br />
Teilnahmebedingungen erklärt werden. Im Antragsformular findet sich in solchen Fällen nur<br />
ein Hinweis auf die umseitig oder an anderer Stelle einsehbaren Geschäftsbedingungen. In<br />
diesen Bedingungen wird u.a. auch die Verarbeitung der Daten im Rahmen des<br />
K<strong>und</strong>enbindungssystems beschrieben. Die Unterzeichnung des Antrags drückt gleichzeitig<br />
die Anerkennung der Bedingungen aus.<br />
Ein Beispiel für diese Lösung stellt die Einwilligung für die Bahr Card, das Bonussystem<br />
der Baumarktkette Max Bahr, dar. Die Bahr Card ist entweder ohne Zahlungsfunktion als<br />
reine Bonuskarte oder als Kreditkarte mit Zahlungsfunktion in Kooperation mit der WestLB<br />
erhältlich. Mittels dieser Karten kann der Teilnehmer Bonuspunkte beim Bezug von Waren in<br />
den Bahr Baumärkten erwerben, die in Prämien eingelöst werden können.<br />
Das Antragsformular für die Bahr Card teilt sich in einen Abschnitt für die Bahr Card ohne<br />
Zahlungsfunktion <strong>und</strong> einen weiteren Abschnitt für die Bahr Card mit Zahlungsfunktion.<br />
Entsprechend regeln die Geschäftsbedingungen im ersten Abschnitt die Allgemeinen<br />
Bedingungen der Bahr Card <strong>und</strong> in den folgenden Abschnitten die Bedingungen für die<br />
Nutzung der Bahr Card mit Zahlungsfunktion.<br />
Ein K<strong>und</strong>e, der eine Bahr Card ohne Zahlungsfunktion beantragt, unterschreibt auf seinem<br />
Antrag die folgende Erklärung:<br />
„Unterschrift (Bahr Card ohne Zahlungsfunktion)<br />
Ich habe die umseitige Einwilligung in die Datenübermittlung sowie die umseitigen<br />
Allgemeinen Geschäftsbedingungen gelesen <strong>und</strong> erkenne diese hiermit an.“<br />
Umseitig findet sich eine Erklärung zur Datenverarbeitung lediglich in Abschnitt IV. Sonstige<br />
Bedingungen. Darunter ist in Fettdruck die folgende Erklärung abgedruckt:<br />
„Einwilligung in die Datenübermittlung<br />
Ich/wir ermächtige(n) die WestLB, das im Kartenantrag genannte<br />
kontoführende Institut über diesen Kartenvertrag zwecks Bearbeitung sowie<br />
zur weiteren Betreuung im Rahmen des Kartenvertrages zu unterrichten.<br />
Zugleich ermächtige(n) ich/wir das im Kartenantrag genannte Kreditinstitut,<br />
bei dem die Beträge abgebucht werden (kontoführendes Institut), gegenüber<br />
der WestLB, die im Zusammenhang mit der Ausstellung <strong>und</strong> Benutzung der<br />
Bahr Card erforderlichen Bankauskünfte zur Feststellung des<br />
Bonitätsrahmens zu erteilen. Damit Max Bahr seine Leistungen gegenüber<br />
den Karteninhabern optimieren kann, werden Max Bahr die im Kartenantrag<br />
angegebenen Daten <strong>und</strong> etwaige Änderungen sowie alle im Zusammenhang<br />
mit dem Einsatz der Karte anfallenden Daten durch die WestLB zur internen<br />
Verarbeitung zum Zwecke der Werbung oder der Marktforschung zur<br />
Verfügung gestellt. Die WestLB wird die Daten nicht an sonstige Dritte<br />
weitergeben. Ich bin damit einverstanden, dass die WestLB an Max Bahr die<br />
für die Werbung oder Marktforschung erforderlichen Angaben zur dortigen
- 108 -<br />
Datenverarbeitung <strong>und</strong> Nutzung übermittelt. Übermittelt werden dürfen<br />
neben den in dem Kartenantrag angegebenen Daten die beim Einsatz der<br />
Karte von der WestLB erfassten <strong>und</strong> verarbeiteten Daten (Name <strong>und</strong> Adresse<br />
des Karteninhabers; Kartennummer, Gesamtbetrag des mit der Karte<br />
getätigten Umsatzes; Datum <strong>und</strong> Ort der Benutzung der Karte). In diesem<br />
Rahmen entbinde(n) ich/wir die WestLB zugleich vom Bankgeheimnis.“<br />
Diese Erklärung kann sich offensichtlich nur auf die Datenverarbeitung im Rahmen der Bahr<br />
Card mit Zahlungsfunktion beziehen. Die WestLB wird als Vertragspartner der Bahr Card<br />
ohne Zahlungsfunktion an keiner Stelle im Antragsformular bzw. in den Allgemeinen<br />
Bedingungen für die Bahr Card genannt. Der K<strong>und</strong>e, der die Bahr Card ohne<br />
Zahlungsfunktion beantragt, kann damit nicht annehmen, dass die unter Punkt IV<br />
aufgeführten Angaben, die ausschließlich das Verhältnis zwischen WestLB, dem<br />
kontoführenden Institut <strong>und</strong> Max Bahr beschreiben, auch für ihn gelten. Der Verweis im<br />
Antragsformular auf die umseitige Einwilligung in die Datenübermittlung geht somit fehl.<br />
Auch der übrige Teil der Bedingungen, insbesondere der für die Karte ohne Zahlungsfunktion<br />
gültige Abschnitt I, enthält keine Aussage zur Datenverarbeitung im Rahmen der Karte ohne<br />
Zahlungsfunktion. Eine Einwilligung des K<strong>und</strong>en in die Verarbeitung seiner Daten im<br />
Rahmen der Bahr Card ohne Zahlungsfunktion liegt damit nicht vor.<br />
Die Einwilligung hinsichtlich der Bahr Card mit Zahlungsfunktion ist dagegen ausreichend.<br />
Es erfolgt auf dem Antragsformular ein Hinweis auf die umseitige Einwilligung in die<br />
Datenübermittlung, die innerhalb der Darstellung der Allgemeinen Geschäftsbedingungen<br />
durch Fettdruck hinreichend hervorgehoben ist. Mit Anerkennung dieser Bedingung erklärt<br />
sich der K<strong>und</strong>e mit einer umfangreichen Datenübermittlung von der WestLB als Kreditinstitut<br />
an Max Bahr einverstanden. Zum Zweck der Nutzung für Werbe- <strong>und</strong><br />
Marktforschungszwecke werden laut Einwilligungserklärung sämtliche im Kartenantrag<br />
angegebenen <strong>und</strong> die im Zusammenhang mit dem Einsatz der Karte anfallenden Daten durch<br />
die WestLB an Max Bahr übermittelt. Im Kartenantrag sind zahlreiche Angaben des K<strong>und</strong>en -<br />
etwa zu Einkommen <strong>und</strong> Beruf - enthalten, die für die Abwicklung des Bonusprogramms<br />
ohne Belang sind. Aufgr<strong>und</strong> der Einwilligung ist jedoch deren Verwendung auch im<br />
Bonusprogramm zulässig.<br />
4.5 Fehlende Einwilligung<br />
Einige K<strong>und</strong>enkartensysteme sehen keine gesonderte Einwilligung des Teilnehmers in die<br />
Verarbeitung seiner Daten vor.<br />
Ein Beispiel hierfür ist die e∗club card des Bekleidungsunternehmens Esprit. Mit dieser<br />
Karte können Teilnehmer in den beteiligten Filialen Rabattpunkte, so genannte e∗points in<br />
Höhe von 3% des Umsatzes erwerben <strong>und</strong> in einem Einkaufsgutschein einlösen.<br />
Das für die Anmeldung verwandte Formular enthält keine Erklärung des K<strong>und</strong>en zur<br />
Datenverarbeitung bzw. zu Allgemeinen Geschäftsbedingungen. Auf der Rückseite des<br />
Formulars befinden sich Erklärungen zur Funktionsweise des Systems <strong>und</strong> unter Punkt 4<br />
folgender Hinweis zum <strong>Datenschutz</strong>:<br />
„<strong>Datenschutz</strong><br />
Alle personenbezogenen Daten werden nur für interne Zwecke verwendet
- 109 -<br />
<strong>und</strong> für Direct Mailings in Bezug auf Esprit Produkte. Sie werden nur an<br />
Dritte weitergegeben, soweit es zur Verwaltung des e∗club Systems<br />
notwendig ist.“<br />
Dieser Hinweis genügt weder dem Informationsbedürfnis des K<strong>und</strong>en noch den<br />
Anforderungen an die Entscheidungsbefugnis des K<strong>und</strong>en über die Verarbeitung seiner<br />
Daten.
- 110 -<br />
Teil 3: Zusammenfassung der Einzeldarstellungen<br />
Zusammenfassend ist festzustellen, dass sämtliche der untersuchten <strong>K<strong>und</strong>enbindungssysteme</strong>,<br />
insbesondere diejenigen im Mehr-Parteien-Verhältnis, datenschutzrechtliche Mängel<br />
aufweisen.<br />
Dies beginnt bereits bei der Datenerhebung. Für die meisten K<strong>und</strong>enbindungsprogramme<br />
werden als Pflichtangaben K<strong>und</strong>endaten erhoben, deren Kenntnis nicht erforderlich ist.<br />
Häufig sind dies Geburtsdatum, Telefonnummer, oftmals auch E-Mail-Adresse. Dass es auch<br />
anders geht, beweisen einige City Cards. Für die Beantragung der Eutin City Card, die<br />
Pforzheim City Card, die evivo Card (Dortm<strong>und</strong>) <strong>und</strong> die SÜCard (Coburg) ist lediglich die<br />
Angabe von Name <strong>und</strong> Anschrift erforderlich.<br />
Auch beim Einsatz der K<strong>und</strong>enkarte in den Partnerunternehmen werden häufig mehr Daten<br />
erhoben, als erforderlich ist, ohne dass der K<strong>und</strong>e über eine Einwilligung die Möglichkeit hat,<br />
die Erhebung der nicht erforderlichen Daten zu regulieren. Es handelt sich dabei um die<br />
Angaben zur gekauften Ware oder in Anspruch genommenen Dienstleistung, die im Rahmen<br />
vieler <strong>K<strong>und</strong>enbindungssysteme</strong> erhoben werden (oftmals auch unter dem Oberbegriff einer<br />
Waren- oder Dienstleistungsgruppe), deren Kenntnis aber häufig zur ordnungsgemäßen<br />
Abwicklung des Programms nicht erforderlich ist.<br />
Abgesehen von dem Bonusprogramm der Sparda Bank nutzen alle K<strong>und</strong>enkartenanbieter die<br />
anfallenden Daten zu Zwecken der Werbung <strong>und</strong> Marktforschung. Für die Verwendung<br />
dieser Daten wird in allen Fällen eine Einwilligung des K<strong>und</strong>en eingeholt.<br />
Die in der Praxis verwendeten Einwilligungserklärungen sind jedoch in allen Fällen mit<br />
Mängeln behaftet. Die vorgef<strong>und</strong>enen Mängel sind ganz unterschiedlicher Art <strong>und</strong> Qualität.<br />
Da die Einwilligungserklärung aber das zentrale Element für die Information des K<strong>und</strong>en <strong>und</strong><br />
für die Ausübung seiner Wahlfreiheit darstellt, sind diesbezügliche Mängel nie als gering <strong>und</strong><br />
unbeachtlich anzusehen.<br />
Einige Einwilligungserklärungen weisen allerdings erhebliche Mängel auf. Als<br />
schwerwiegender Verstoß ist die Verletzung des Kopplungsverbots der Einwilligung<br />
anzusehen. Sowohl das Bonusprogramm Vodafone Stars als auch das Programm S-Points der<br />
Sparkassen Wuppertal, Essen <strong>und</strong> Bonn machen die Teilnahme des K<strong>und</strong>en von seiner<br />
Einwilligung in die Nutzung von personenbezogenen Daten zu Werbe- <strong>und</strong><br />
Marktforschungszwecken abhängig. Hierdurch wird der K<strong>und</strong>e seiner Entscheidungsfreiheit<br />
gänzlich beraubt, so dass die Einwilligungserklärung unwirksam ist.<br />
In eine ähnliche Richtung, jedoch weniger schwerwiegend, tendieren<br />
Einwilligungserklärungen, die dem K<strong>und</strong>en nur die Möglichkeit geben, der<br />
Datenverarbeitung zu Werbezwecken durch „Opt-Out“ auszuschließen. Hier ist die<br />
Entscheidungsfreiheit des K<strong>und</strong>en zwar formell gewahrt, jedoch wird deren Ausübung dem<br />
K<strong>und</strong>en unverhältnismäßig erschwert. Es findet eine Risikoverteilung zu Lasten des K<strong>und</strong>en<br />
statt. Das Risiko einer fehlenden Erklärung des K<strong>und</strong>en wird hierdurch dem K<strong>und</strong>en <strong>und</strong><br />
nicht dem Unternehmen auferlegt. Dies bedeutet, dass der K<strong>und</strong>e, der sich bei der Anmeldung<br />
regelmäßig einem umfangreichen Formular gegenüber sieht, sorgfältig prüfen muss, welche<br />
Erklärungen er - u.U. auch durch schlichtes Untätigwerden - abgibt <strong>und</strong> entsprechende<br />
Gegenmaßnahmen treffen muss, wenn er mit der voreingestellten Erklärung nicht
- 111 -<br />
einverstanden ist. Wegen dieser Lastenverteilung sind sämtliche dieser „Opt-Out-Lösungen“<br />
als datenschutzrechtlich unzureichend anzusehen.<br />
Aber auch in diesem Bereich gibt es Abstufungen. Die „Opt-Out-Lösung“ ist generell in zwei<br />
unterschiedlichen Varianten vertreten. Einige Einwilligungserklärungen, wie etwa die von<br />
Happy Digits, sind mit einer zusätzlichen Aufforderung an den K<strong>und</strong>en versehen, die<br />
Erklärung zu streichen, wenn er mit dieser nicht einverstanden sei. Meist ist diese<br />
Aufforderung durch Fettdruck hervorgehoben, aber dennoch in den Einwilligungstext<br />
integriert <strong>und</strong> somit leicht zu übersehen. Außerdem muss der K<strong>und</strong>e, um sein fehlendes<br />
Einverständnis auszudrücken, die psychologische Hürde überwinden, die vom Anbieter<br />
vorgegebenen Bedingungen durchzustreichen.<br />
<strong>Datenschutz</strong>- <strong>und</strong> verbraucherfre<strong>und</strong>licher stellt sich dem gegenüber die Variante des<br />
„Auskreuzens“ dar, die etwa von Payback verwendet wird. Durch die gesonderte<br />
Widerspruchsmöglichkeit bringt zum einen der Anbieter hinreichend deutlich zum Ausdruck,<br />
dass er die fragliche Klausel dem K<strong>und</strong>en zur Disposition stellt, es verbleiben somit weder<br />
Zweifel beim K<strong>und</strong>en noch die für die Streichlösung geltende psychologische Barriere. Zum<br />
anderen ist auch die Gefahr des Übersehens durch den K<strong>und</strong>en gemindert, wenngleich nicht<br />
gänzlich ausgeräumt.<br />
Die wegen der Verteilung der Erklärungslast zu fordernde Lösung des „Opt-In“ ist bei den<br />
Anbietern von K<strong>und</strong>enkarten wenig verbreitet. Einzig die Städte-Karten „evivo Card“<br />
(Dortm<strong>und</strong>), „SÜCard“ (Coburg) <strong>und</strong> die Giessencard verwenden diese Lösung.<br />
Die zweite gr<strong>und</strong>legende Funktion der Einwilligungserklärung besteht in der Schaffung von<br />
Transparenz durch Information des Teilnehmers über die wesentlichen Punkte der<br />
Datenverarbeitung. Auch in diesem Bereich sind viele Defizite festzustellen.<br />
Allgemein ist festzustellen, dass die Texte der Erklärungen häufig sehr kurz gefasst sind<br />
<strong>und</strong> für ausführlichere Hinweise auf die Teilnahmebedingungen oder gesonderte Hinweise<br />
zum <strong>Datenschutz</strong> verwiesen wird. Dies ist gr<strong>und</strong>sätzlich nicht schädlich, sondern eher zu<br />
begrüßen. Die Einwilligungserklärung sollte dem K<strong>und</strong>en ermöglichen, sich in kurzer Zeit ein<br />
klares Bild über die geplante Verarbeitung seiner personenbezogenen Daten zu verschaffen.<br />
Lange Texte können da durchaus hinderlich sein. Dennoch muss die Einwilligungserklärung<br />
einen Mindestgehalt an Information enthalten, der bei den meisten Erklärungen in der Praxis<br />
nicht erreicht wird.<br />
Voraussetzung für einen Verweis auf Teilnahmebedingungen <strong>und</strong> Hinweise zum<br />
<strong>Datenschutz</strong> ist zunächst, dass diese Dokumente dem K<strong>und</strong>en im Zeitpunkt der Erklärung<br />
seiner Einwilligung tatsächlich bekannt sind bzw. ihm in der Weise zugänglich sind, dass er<br />
diese ohne unverhältnismäßigen Aufwand zur Kenntnis nehmen kann. Die meisten Anbieter<br />
drucken ihre Teilnahmebedingungen <strong>und</strong> <strong>Datenschutz</strong>hinweise gemeinsam mit dem<br />
Antragsformular ab oder weisen auf Einsichtsmöglichkeiten hin. Unzureichend sind in dieser<br />
Hinsicht jedoch die Anmeldung für das Programm Happy Digits <strong>und</strong> die Online-Anmeldung<br />
für das Bonusprogramm S-Points. Dem Antragsformular für Happy Digits liegen keine<br />
Teilnahmebedingungen bei, es erfolgt lediglich der Hinweis, dass die Teilnahmebedingungen<br />
mit Versand der Karte zugestellt werden oder per Faxabruf angefordert werden können. Das<br />
Internet-Anmeldeformular für S-Points enthält keinen Link auf die Teilnahmebedingungen,<br />
diese sind auf den Webseiten des S-Points-Programms schwer zugänglich.<br />
In diesen Fällen kann zur Bewertung des Informationsgehalts ausschließlich auf die
- 112 -<br />
Einwilligungserklärung abgestellt werden. Aber selbst wenn ergänzend die<br />
Teilnahmebedingungen bzw. Hinweise zum <strong>Datenschutz</strong> als Informationsgr<strong>und</strong>lage<br />
herangezogen werden können, ergibt sich selten eine komplette Beschreibung der<br />
Verarbeitung personenbezogener Daten.<br />
In der Einwilligungserklärung fehlt häufig eine genaue Beschreibung der zu<br />
verarbeitendenden K<strong>und</strong>endaten, insbesondere der Programmdaten, die beim Einsatz der<br />
Karte erhoben werden.<br />
Unzureichend beschrieben sind häufig auch die Vorgänge der Datenverarbeitung. Hierbei<br />
wird insbesondere das Zusammenspiel zwischen Systembetreiber <strong>und</strong> den<br />
Partnerunternehmen nicht vollständig deutlich. Die Frage, ob <strong>und</strong> welche K<strong>und</strong>endaten die<br />
Partnerunternehmen speichern <strong>und</strong> weiter verarbeiten, bleibt oftmals offen.<br />
Zu bemängeln ist weiterhin, dass der K<strong>und</strong>e in einigen Einwilligungserklärungen nicht mit<br />
hinreichender Deutlichkeit auf die Freiwilligkeit seiner Erklärung hingewiesen wird. Noch<br />
seltener findet sich eine Darstellung der Folgen einer Verweigerung für die Teilnahme am<br />
Programm.<br />
Die Zwecke der Datenverarbeitung werden in den meisten Fällen in ausreichender Weise<br />
beschrieben. Nur selten wird zur Beschreibung von Werbemaßnahmen auf irreführende <strong>und</strong><br />
beschönigende Formulierungen wie „Beratung“ oder „Information“ zurückgegriffen. Nicht<br />
ausreichend sind die in der Praxis vertretenen Zweckbeschreibungen jedoch für Maßnahmen,<br />
die über eine reine Werbeansprache oder eine Marktanalyse ohne K<strong>und</strong>en hinausgehen, d.h.<br />
die Bildung <strong>und</strong> die Auswertung von personenbezogenen K<strong>und</strong>enprofilen. In einigen<br />
Programmen werden diese Zielrichtungen zumindest angedeutet. Formulierungen wie<br />
„individuelle Beratung“, „individuelle Angebote“ lassen erkennen, dass das Konsumverhalten<br />
der K<strong>und</strong>en erfasst <strong>und</strong> als Gr<strong>und</strong>lage für eine gezielte Werbeansprache herangezogen wird.<br />
Ausreichend sind diese Formulierungen jedoch nicht; erforderlich ist vielmehr ein<br />
ausdrücklicher Hinweis darauf, das die K<strong>und</strong>endaten zur Bildung von K<strong>und</strong>enprofilen<br />
verarbeitet werden. Das einzige K<strong>und</strong>enbindungsprogramm, welches hierfür eine<br />
ausreichende Zweckbeschreibung verwendet, ist das Programm Shell Clubsmart der Shell &<br />
DEA Oil GmbH. In den <strong>Datenschutz</strong>hinweisen heißt es dazu: „ ... speichern, verarbeiten <strong>und</strong><br />
nutzen Shell & DEA Oil GmbH oder beauftragte Dienstleister Ihre sämtlichen gemäß<br />
vorstehenden Ziffern erhobenen Daten außerdem, um für interne Marktforschungszwecke von<br />
Shell & DEA Oil GmbH Ihr Kaufverhalten auszuwerten <strong>und</strong> K<strong>und</strong>enprofile zu erstellen,<br />
damit Shell & DEA Oil ihr Angebot künftig Ihren Bedürfnissen entsprechend gestalten kann“.