Welche Anforderungen stellt die Datenschutz-Grundverordnung (DSGVO) an Kundenbindungs- und Treueprogramme? Antwort auf diese Frage gibt ein aktueller Bußgeld-Bescheid der französischen Datenschutzbehörde CNIL. Diese erlegte dem Einzelhandelsriesen Carrefour und der angeschlossenen Carrefour Banque eine Geldbuße von insgesamt mehr als 3 Mio. € Geldbuße auf wegen Datenschutzmängeln ihres Kundenbindungsprogramms.

Die CNIL betonte in ihrer Entscheidung (1), dass Carrefour sich während des Verfahrens kooperativ gezeigt und erhebliche Ressourcen eingesetzt habe, um notwendige Änderungen vorzunehmen. Mutmaßlich hat sich das Bußgeld auch deshalb im unteren Bereich des Bußgeldrahmens gehalten (bis zu 2% bzw 4% des weltweiten Umsatzes gemäß Artikel 82 DSGVO). Bei einem weltweiten Jahresumsatz von rund 72,4 Milliarden Euro in 2019 hätte die Behörde auch ein weit höheres Bußgeld verhängen können. Die Entscheidung beleuchtet eine Reihe interessanter struktureller Probleme bei der Gestaltung von Treueprogrammen und verdient daher eine genauere Untersuchung.

Vor Start eines Treueprogramms – Die Datenschutz-Folgenabschätzung

Interessenterweise befasste sich die CNIL in ihrer Entscheidung nicht mit der Frage, ob Carrefour eine Datenschutz-Folgenabschätzung (DSFA) hätte vornehmen müssen. Eine solche vertiefte Datenschutz-Prüfung ist gemäß Artikel 35 der DSGVO immer dann erforderlich, wenn eine Datenverarbeitung voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten betroffener Personen führen. Jedenfalls die deutschen Aufsichtsbehörden sehen eine DSFA als notwendig an, wenn ein ein Unternehmen mithilfe von Treueprogrammen Informationen zum Einkaufsverhalten der Kunden erfasst und umfassende Kundenprofile erstellt (2). Auch wenn Carrefour eine DSFA nicht für erforderlich gehalten hätte, ist es jedenfalls sinnvoll, auch diese Entscheidung schriftlich zu dokumentieren.

Das datenschutzrechtliche Prüfprogramm bei Kundenbindungsprogrammen

An der Entscheidung der CNIL lässt sich gut das Prüfungsprogramm der Datenschutzbehörde ablesen. Die wesentlichen Prüfungspunkte ergeben sich aus Artikel 5 DSGVO – gewissermaßen das “Cheat-Sheet” für ein Datenschutz-Audit. Im Einzelnen sind dies:

  • Transparenz
  • Rechtmäßigkeit (hier insbesondere: Einwilligungsflicht für nicht notwendige Cookies)
  • Speicherbegrenzung
  • die Gewährleistung der Betroffenenrechte
  • Fairness

Weitere potentielle Datenschutzrisiken bei der Gestaltung von Kundendinbungsprogrammen ergeben sich aus der Pflicht zur Datenminimierung und Zweckbegrenzung. Die CNIL stützte ihr Bußgeld auf folgende Erwägungen:

Verstöße gegen die Informationspflicht (Artikel 13 der DSGVO)

Nutzer der Unternehmens-Websites sowie Teilnehmer des Treueprogramms wurden nicht mit der gebotenen Transparenz über die Datenverarbeitungsvorgänge informiert. Die Informationen waren nicht leicht zugänglich und in langen Dokumenten enthalten, die auch andere Informationen enthielten. Die Angaben waren darüber hinaus allgemein und ungenau formuliert, manchmal mit unnötig komplizierten Formulierungen. Es fehlten Angaben zu den Aufbewahrungsfristen der Daten, zu Datenübermittlungen außerhalb der Europäischen Union und zur Rechtsgrundlage der Verarbeitungen.

Verstöße in Bezug auf Cookies (Artikel 82 des französischen Datenschutzgesetzes)

Beim Besuch der Website wurden mehrere Cookies automatisch auf dem Endgerät des Nutzers platziert, ohne dass der Benutzer seine Zustimmung gegeben hatte. Einige dieser Cookies dienten Werbezwecken, sodass Carrefour die Zustimmung hätte einholen müssen.

Nichteinhaltung der Verpflichtung zur Begrenzung der Aufbewahrungsfrist (Artikel 5 (1) lit. e der DSGVO)

Im Rahmen des Treuepgramms speichert Carrefour erhebliche Mengen an Daten von inaktiven Kunden: die Daten von mehr als 28 Millionen inaktiver Kunden, die seit fünf bis zehn Jahren die Angebote des Unternehmens nicht mehr genutzt hatten, waren in der Datenbank gespeichert. Dasselbe galt für 750.000 Nutzer der Website carrefour.fr, die fünf bis zehn Jahre lang inaktiv waren.

Die CNIL stellte fest, dass die vom Unternehmen gewählte Speicherfrist (4 Jahre nach dem letzten Einkauf) unangemessen sei. Angesichts der Konsumgewohnheiten der Kunden, welche regelmäßig bei Carrefour einkauften, übersteige diese Frist das notwendige Maß.

Nichteinhaltung der Verpflichtung zur Erleichterung der Ausübung von Rechten (Artikel 12 der GDPR)

Carrefour verlangte einen Identitätsnachweis zur Bearbeitung von Betroffenenrechtsanfragen (z.B: Datenauskunft gem. Art. 15 DSGVO), obgleich es keinen Zweifel an der Identität der anfragenden Personen gab. Aus diesem Grund konnte Carrefour solche Anfragen nicht in der gesetzlichen Frist von einem Monat beantworten (Art. 12 DSGVO). Darüber hinaus habe das Unternehmen verschiedene Anfragen auf Datenlöschung und Widersprüche gegen die Werbung per E-Mail und SMS nicht bearbeitet.

Nichteinhaltung der Verpflichtung zur Verarbeitung von Daten nach Treu und Glauben (Artikel 5 der DSGVO)

Die Teilnehmer des Treueprogramms seien nicht ordnungsgemäß über die zwischen Carrefour und der angeschlossenen Carrefour Banque ausgetauschten Daten informiert worden. Teilnehmer mussten ein Kästchen ankreuzen, in dem sie sich damit einverstanden erklärten, dass Carrefour Banque ihren Nachnamen, ihren Vornamen und ihre E-Mail-Adresse an Carrefour übermittelt. Obwohl Carrefour Banque ausdrücklich darauf hinwies, dass keine weiteren Daten übermittelt würden, wurden z. B. auch die Postanschrift, die Telefonnummer und Anzahl der Kinder übertragen.

 

Fußnoten:

(1) CNIL fines Carrefour France 2,25 million € and Carrefour Banque 800,000 €, 26. November 2020, https://www.cnil.fr/en/cnil-fines-carrefour-france-2-25-million-eu-and-carrefour-banque-800000-eu
(2) “Liste der Verarbeitungstätigkeiten, für die eine DSFA durchzuführen ist“, Datenschutz-Konferenz, Version 1.1 vom 17.10.2018, abzurufen unter https://www.lda.bayern.de/de/thema_dsfa.html