Bitte löschen Sie:
· Spalte Einkaufsdatum: die Uhrzeit
· Spalte Filale: die Filiale (Bundesland genügt, daher zB statt 3023 3XXX).
· Spalte Artikelbezeichnung: Artikelbezeichnung
Was ist zu tun, wenn ein Kunde die teilweise Löschung seiner Daten aus einem Kundenbindungsprogramm verlangt?
Die DSB hat am 23.07.2019 DSB-D123.822/0005-DSB/2019 eine Entscheidung zu einer Beschwerde wegen Verletzung des Rechts auf (partielle) Löschung (Art 17 DSGVO) gefällt.
Eine partielle Löschung muss nicht erfolgen, wenn dann die Verarbeitung nicht mehr betrieben werden kann.
Jedem Verantwortlichen ist zuzugestehen, im Rahmen der Privatautonomie und der Erwerbsfreiheit Daten in bestimmter Art und Weise zu verarbeiten, sofern er dadurch nicht (übermäßig) in die Rechte und Freiheiten der betroffenen Personen eingreift.
Bei einem Kundenbindungsprogramm, an dem eine betroffene Person „freiwillig“ und „in informierter Weise“ teilnimmt, kann eine betroffene Person nicht durch selektive Löschersuchen verhindern, dass beliebige Datenfelder verarbeitet werden. Einer betroffenen Person ist kein Recht zuzugestehen, an einem Kundenbindungsprogramm des Verantwortlichen unter einseitiger Festlegung der zu verarbeitenden Datenkategorien teilzunehmen.
Eine betroffene Person hat im Sinne von „take it or leave it“ die Verarbeitung ihrer Daten zu akzeptieren, wenn sie die angebotenen Vorteile (Rabatte, Aktionen) genießen will. Die Daten über das Einkaufsverhalten stehen in einem „Austauschverhältnis“ zur Teilnahmemöglichkeit. Dies zumindest bei der Verarbeitung der Daten auf vertraglicher Grundlage oder im Rahmen einer Einwilligung. Bei anderer Rechtsgrundlage wird dies differenzierter zu sehen sein, und kommt es auf die Beeinträchtigung der Interessen der betroffenen Personen an.
Die Beschwerde bei der DSB
Mit Schreiben vom 20.8.2018 hat der Beschwerdeführer beim Verantwortlichen eine Löschung von Detaildaten seiner Einkäufe beantragt.
Der Verantwortliche hat dem Betroffenen mitgeteilt, dass dies technisch nicht möglich sei. Eine partielle Löschung einzelner Datenfelder aus den Systemen ist nicht möglich.
Am 24. November 2018 wandte sich der Betroffene an die Datenschutzbehörde und behauptete u.a. eine Verletzung des Rechts auf Löschung.
Im Rahmen der Stellungnahme erklärt die Verantwortliche, dass
„sie in ganz Österreich ein Kundenbindungsprogramm, den N***-Stammkundenklub, betreibe. Als Leistung würden Rabatte, Gutschriften und Aktionen auf den Einkauf gewährt werden, wenn vor dem Zahlungsvorgang die Kundenkarte vorgezeigt werde. Dafür sei erforderlich, dass sich ein Kunde für die N***-Stammkundenklubkarte registriere.“
Die Verantwortliche hat dem Betroffenen die Löschung seiner Daten angeboten; dieser hat aber auf die Löschung einzelner Datenfelder beharrt.
Der Beschwerdeführer wollte die Löschung folgender Datenkategorien bei der Verantwortlichen:
„Punkt 3 – Verarbeitung personenbezogener Daten im Rahmen des Kundenkontos“ und
„Punkt 4 – Verarbeitung personenbezogener Daten im Rahmen der Online-Nutzung des Kundenkontos“
Seiner Ansicht nach ist für die Gewährung der Vorteile und Rabatte die Verarbeitung des detaillierten Kaufverhaltens nicht notwendig.
Die Verantwortliche nahm dazu Stellung und teilte mit, dass „die jeweils zum einzelnen Kunden verarbeiteten Informationen in einheitlich definierten Datenfeldern in einer relationalen Datenbank gespeichert seien, die aus vielen zusammenhängenden Tabellen bestehen würden. Dabei würden jeweils objektbezogene Informationen, wie etwa Artikelinformation, Warengruppen, Kundeninformation und Mailings in Tabellen gespeichert und einzelne Attribute dieser Tabellen (Datenfelder und Spalten) hierbei in Beziehung gestellt und verbunden werden. Auf dieser Datenbank seien wiederum mehrere Applikationen basierend, wie auch die Kundendatenbank, das Buchhaltungssystem und das Warenwirtschaftssystem. Letzteres ermögliche eine exaktere Planung bei Filialzuteilungen (welche Filiale bekommt wann welchen Artikel in welcher Stückzahl) und bei Rabatten, die sich entweder auf Filiale, Rayon oder Bundesland beschränken, oder sich über das gesamte Bundesgebiet erstrecken würden.“
Es ist auch technisch nicht möglich, für jeden Kunden einzeln einzustellen, welche Daten im Rahmen des Bezahlprozesses erhoben werden würden. So führte der Verantwortliche aus:
„Eine Änderung dieser Prozesse hätte schwerwiegende technische und rechtliche Auswirkungen, weil diese „Kassa-Daten“ etwa auch für das sogenannte „elektronische Journal“ der Beschwerdegegnerin herangezogen und gespeichert werden würden, welches gemäß gesetzlicher Vorgaben der BAO und der RKSV die zweite Kassarolle ersetze.“
Die Verantwortliche hat im Kundenbindungsprogramm „Sperrkennzeichen“ vorgesehen. Bei Aktivierung desselben erhalten die Kunden keine personalisierten
Rabatte mehr, sondern nicht-personalisierte, allgemeine Zusendungen mit generellen Rabattaktionen.
Dieses Sperrkennzeichen ist beim Betroffenen aktiviert worden.
Die „differenzierte“ Entscheidung der DSB
Die DSB verweist auf den „Leistungsumfang“ der Stammkundenkarte, wobei die Informationen den Betroffenen mE sehr klar und verständlich zur Kenntnis gebracht werden. Ob diese Informationen auch gelesen werden, ist für die rechtliche Beurteilung unerheblich, bezweifle ich jedoch:
2. Leistungsumfang bei der N*** Stammkundenklubkarte
Im Folgenden beschreiben wir den Leistungsumfang unserer N*** Stammkundenklubkarte.
2.1. Rabatte, Gutschriften und Aktionen
Als Leistung in Ihrem Kundenkonto gewähren wir Ihnen Rabatte, Gutschriften und Aktionen auf Ihren Einkauf. Diese können sich auf einzelne Artikel, bestimmte Sortimente oder den gesamten Einkauf beziehen und können allen oder nur einer bestimmten Personengruppe zur Verfügung gestellt werden. Erforderlich dafür ist, dass Sie vor dem Zahlungsvorgang Ihre Kundenkarte vorzeigen, die von unseren Mitarbeitern digital erfasst wird. Informationen dazu erhalten Sie aus unserer Werbung oder in der Filiale. Die nationalen oder regionalen Aktionen sind zeitlich begrenzt und können in Abhängigkeit zum Wert Ihres Einkaufs stehen.
2.2. Werbung
Werbung ist jede Maßnahme, die auf die Absatzförderung (fremder) Produkte zielt. Bei entsprechender Zustimmung übermitteln wir Werbung für Produkte, Waren oder Dienstleistungen per E-Mail, Post oder am Kassabon. Sollten Sie sich für die E-Mail als Kommunikationskanal entschieden haben, erhalten Sie nach der Verarbeitung Ihrer Daten von uns nochmals eine gesonderte Bestätigungs-E-Mail. Erst nach Anklicken auf den darin enthaltenen Link erhalten Sie Werbe-E-Mails. […]
2.6. Personalisierte Datenauswertung (Profiling)
Anhand der personalisierten Datenauswertung sind wir in der Lage, Ihr Kaufverhalten automatisiert zu verarbeiten. Durch die Bewertung Ihrer Kundendaten wie etwa der Postleitzahl können wir unsere Leistungen zielgerichteter und spezifischer anbieten. […]
5. Verarbeitung personenbezogener Daten im Rahmen der Werbung
Durch Ihre Einwilligungserklärung in den Empfang von Werbung möchten wir Sie über aktuelle Produkte, Services, Gewinnspiele und Aktionen benachrichtigen.
Profiling: Um Ihnen zielgerichtete und spezifische Informationen und Werbung über aktuelle Produkte, Services, Gewinnspiele, Kundenbefragungen und Aktionen zukommen zu lassen, die Ihrem Kaufverhalten entsprechen, analysieren wir Ihre Einkaufsdaten, Ihre Teilnahme an unseren Werbeaktionen und Ihr Nutzungsverhalten unserer elektronischen Medien. Dazu werten wir folgende Daten aus:
Stammdaten: Name, Wohnort, Alter, Geschlecht.
Kaufverhalten: Kaufort (Filiale), Produkt und Produktkategorie, Nutzung von Angeboten und Aktionen beim Kauf der Waren/Produkte, Teilnahmedauer/Häufigkeit und Ähnlichkeitsfeststellung mit anderen unserer Kunden.
Sollten Sie sich für eine postalische Benachrichtigung entschieden haben, verarbeiten wir Ihren Namen, Vornamen, Ihre Anschrift sowie Ihr Geburtsdatum.
Sollten Sie sich für eine Benachrichtigung per E-Mail entschieden haben, verarbeiten wir Ihre zuvor verifizierte E-Mail-Adresse sowie Ihr Geburtsdatum, sofern angegeben. Ihr Geburtsdatum verarbeiten wir um Ihnen einen Geburtstagsvorteil zukommen lassen zu können bzw. weil wir Sie über die Verfügbarkeit eines solchen Geburtstagsgeschenkes informieren möchten.
Diese Datenverarbeitung beruht auf Art 6 Abs 1 lit a DSGVO und Art 7 DSGVO und dient dem Empfang von Werbung.
6. Verarbeitung personenbezogener Daten zur personalisierten Datenauswertung
Sofern Sie sich nicht vom Profiling abgemeldet haben, werden wir Ihr online Nutzerverhalten durch automatisierte Verarbeitung Ihrer personenbezogenen Daten zu Ihrem Kaufverhalten bewerten. Wir speichern Ihre Informationen in Bezug auf Ihr Kaufverhalten. Durch diese Datenverarbeitung möchten wir unsere Leistungen verbessern. Dazu werten wir folgende Daten aus:
Stammdaten: Name, Wohnort, Alter, Geschlecht.
Kaufverhalten: Kaufort (Filiale), Produkt und Produktkategorie, Nutzung von Angeboten und Aktionen beim Kauf der Waren/Produkte, Teilnahmedauer/Häufigkeit und Ähnlichkeitsfeststellung mit anderen unserer Kunden.
Diese Datenverarbeitung beruht auf Art 22 Abs 2 lit c, 6 Abs 1 lit a, 7 DSGVO und dient der personalisierten Datenauswertung. […]
8. Dauer der Speicherung
Ihre Daten zum Kaufverhalten werden zwei Jahre, die daraus gewonnenen Profiling-Daten fünf Jahre und Ihre Jahresumsätze werden sieben Jahre gespeichert. Wir löschen alle Ihre personenbezogenen Daten grundsätzlich nach dem Austritt aus dem Kundenprogramm (Ende der Vertragsbeziehung), spätestens nach Erlöschen aller gesetzlichen Aufbewahrungspflichten.“
Eine Suche im Internet mit einem Volltexteintrag von Passagen aus dieser Datenschutzinformation legt uU den Verantwortlichen offen. Sie können es selbst versuchen.
Wie oben erwähnt, wollte der Betroffene eine „selektive“ oder „partielle“ Löschung von Daten, die vom Verantwortlichen im Rahmen des Kundenbindungsprogramms verarbeitet wurden. Er wollte eine Löschung seiner „Detaildaten der Einkäufe“, wobei er sich dabei ganz explizit auf bestimmte Datenfelder des Verantwortlichen bezogen hat, zB:
Einkaufsinformationen im Details
Bitte löschen sie:
· Spalte Einkaufsdatum: die Uhrzeit
· Spalte Filiale: die Filiale (Bundesland genügt, daher zB statt 3023 3XXX).
· Spalte Artikelbezeichnung: Artikelbezeichnung
Die DSB verweist darauf, dass das in § 1 Abs 3 Z 2 DSG enthaltene Recht auf Löschung nach Art 17 DSGVO zu beurteilen ist.
„Partielle“ Löschung als Betroffenenrecht?
Die DSB verweist darauf, dass in einer (nicht rechtskräftigen) Entscheidung vom 5.12.2018 (Überschießende Löschung aus Datenbank einer Kreditauskunftei und Antrag auf Berichtung DSB-D123.211/0004-DSB/2018) auch über die Frage des partiellen Löschens entschieden wurde.
Es steht außer Zweifel, dass es dem Betroffenen bei einem antragsbezogenen Recht – wie jenem nach § 27 Abs. 1 Z 2 DSG 2000 – freistehen muss, als „Minus“ auch die Löschung bloß eines Teiles der Daten zu begehren (partielles Löschungsrecht).
Auch der OGH hat in einer Entscheidung zu § 28 Abs 2
DSG 2000 das Recht auf partielles Löschen bejaht, da dies ein bloßes Minus darstelle:
„... Widerspruch .., steht es dem Betroffenen frei, als
bloßes Minus die Löschung bloß eines Teils der Eintragung zu begehren“) [...]dass bestimmte personenbezogene Daten (also auch Teile eines Datensatzes) eines Betroffenen nicht mehr dem Anspruch
der Richtigkeit oder Aktualität entsprechen können, während dies für andere Datenteile noch der Fall sein kann. In diesem Fall muss es möglich sein, auch nur Teile des Datensatzes zu löschen, um
den Grundsätzen [...] weiterhin zu entsprechen.
Die DSB führt aus, dass diese Rechtsprechung im Rahmen der DSGVO fortgesetzt wird, und daher ein partielles Löschen prinzipiell gefordert werden kann.
Verpflichtung zur Umsetzung des partiellen Löschens?
Die DSB ist der Ansicht, dass sich ein Verantwortlicher im Rahmen der eigenen Rechenschaftspflicht der Einhaltung seiner durch die DSGVO auferlegten Pflichten nicht dadurch entziehen kann, indem er derart ungeeignete technische und organisatorische Maßnahmen trifft, die es ihm u.a. verunmöglichen, den Anträgen von betroffenen Personen zu entsprechen.
Daher hat der Verantwortliche grundsätzlich auch die Verpflichtung, partielles Löschen zu ermöglichen. Es kann jedoch unter bestimmten Umständen auch zulässig sein, die Daten noch weiter zu verarbeiten.
Das Prüfschema, das die DSB dazu entwickelt hat
· Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sind
· der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken der gegenständlichen Verarbeitung
gegenüberzustellen. Daraus ergibt sich dann die Verpflichtung, technische und organisatorische Maßnahmen zu treffen, um den partiellen Anträgen des Beschwerdeführers entsprechen zu können.
Hat das Verweigern einer partiellen Löschung eine Auswirkung auf das wirtschaftliche Fortkommen des Betroffenen, dann hat der Verantwortliche eine Möglichkeit zu schaffen, die partielle Löschung von Daten zu ermöglichen, insbes. wenn die Verarbeitung nicht auf Basis eines Vertrages oder der Einwilligung, sondern des berechtigten Interesses erfolgt (so ist mE der Bescheid der DSB vom 05.12.2018, Kreditauskunftei – partielles Löschen zu verstehen; dieser ist nicht veröffentlicht, da er nicht rechtskräftig ist).
Im konkreten Fall hat die Verantwortliche angeboten, die Daten zur Gänze zu löschen. Dadurch wäre es dem Betroffenen nicht mehr möglich gewesen, am Kundenbindungsprogramm teilzunehmen. Da die Vorteile, die mit dem Kundenbindungsprogramm verbunden sind, keinen derartigen wirtschaftlichen Vorteil darstellen, führen sie zu einer Benachteiligung jener Kunden, die nicht am Programm teilnehmen.
Die DSB verweist darauf, dass das Grundrecht auf Schutz der personenbezogenen Daten nicht nur ein Abwehrrecht darstellt, und sich jemand wehren kann, wenn seine Daten verarbeitet werden, sondern dass die betroffene Person auch im Rahmen der informationellen Selbstbestimmung eigenständig – innerhalb bestimmter Grenzen – selbst darüber bestimmen kann, wie mit den Daten umgegangen werden kann. Die DSB verweist dazu auf zwei Bescheide (D130.033/0003-DSB 2019 und den unveröffentlichten Bescheid D122.931/0003-DSB/2018).
Bei einem Bonusprogramm ist es systemimmanent, dass bestimmte Informationen über die „Vertragspartner“ und im Gegenzug dafür Rabatte, Gutschriften und Aktionen zur Verfügung gestellt werden, gesammelt werden. Die DSB spricht in diesem Zusammenhang von einer „Einwilligung“, wobei mE wohl eher davon auszugehen ist, dass es sich hier um eine vertragliche Gestaltung handelt, und die betroffene Person mit den Daten für die Rabatte und Aktionsangebote „bezahlt“, und sogar ein Austauschverhältnis gegeben ist.
Die DSB führt weiters aus, dass für die Einwilligung ein ausreichender Grad an Informiertheit notwendig ist, und verweist dazu auf ErwG 32 Satz 1: „Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung.“
Eine weitere „Voraussetzung“ nach Ansicht der DSB sind ausreichende Garantien zum Schutz
der Rechte und Freiheiten der betroffenen Personen (vgl. Art 24 Abs 1 DSGVO; Verpflichtung angemessene technische und organisatorische
Maßnahmen zu setzen).
Transparenz schafft Klarheit und Grundlage für die Rechtmäßigkeit.
Wenn daher den betroffenen Personen im Rahmen einer ausreichenden Datenschutzinformation vor Vertragsabschluss oder Einwilligung die nötigen Informationen zur Verfügung gestellt werden, welche Daten in welcher Form und für welche Zwecke verarbeitet werden, dann können die betroffenen Personen bewusst in die Verarbeitung ihrer Daten „einwilligen“.
Da daher die Verantwortliche ausreichend informiert hat, bevor die Daten erhoben und verarbeitet wurden, und auch ein Sperrkennzeichen im System vorgesehen hat. Dadurch ist es möglich, einem Profiling zu widersprechen.
Die DSB verweist auch darauf, dass die Bestimmungen der DSGVO nach Art 1 Abs 2 iVm ErwG 4 zweiter Satz nicht nur zum Schutz der Betroffenen dient, sondern auf einen angemessenen Ausgleich mit weiteren Rechten und Freiheiten abzielt.
Wenn eine partielle Löschung aus dem Bonusprogramm gefordert werden würde, führt dies dazu, dass die Verantwortliche ihr Bonusprogramm, die Ausgestaltung desselben im Rahmen der Privatautonomie sowie im Rahmen der Erwerbsfreiheit nicht betreiben könnte.
Die DSB kommt daher zum Schluss:
Im konkreten Fall ist dem Beschwerdeführer kein Recht zuzugestehen, am N***-Kundenclub unter einseitiger Festlegung der zu verarbeitenden Datenkategorien teilzunehmen und es ist daher von keiner Verletzung im Recht auf Löschung nach Art. 17 DSGVO auszugehen.
09.12.2019, Autor:
Michael Schweiger
Kommentar schreiben