Datenschutz in der Kundenbindung. Erstellung einer "Ticket-Card" im Rahmen der DSGVO

Inhaltsverzeichnis

Abkürzungsverzeichnis

Einleitung

1. Programmstruktur
1.1 Form
1.2Beteiligte
1.3Rechtsgrundlagen
1.4Anmeldeform
1.5Datendifferenzierung
1.6Verwaltung
1.7Ticket-Card
1.8Mindestalter

2. Einwilligung
2.1 Freiwilligkeit
2.2Bestimmt- und Informiertheit
2.3Unmissverständlichkeit
2.4Bedingungen aus Art

3. Ticket-Card-Anmeldungsentwurf

4. Fazit

Literaturverzeichnis

Anhang [FEHLT MANGELS BILDRECHTEN]

Abkürzungsverzeichnis

Abbildung in dieser Leseprobe nicht enthalten

Einleitung

Für Unternehmen liegt ein hoherWirtschaftswert darin, Kunden langfristig zu binden, indemauf ihre Wünsche und Bedürfnisse möglichst individuelleingegangen wird.

VorliegendeHausarbeit befasst sich mit den datenschutzrechtlichen Rahmenbedingungenzumfiktiven Projekt der E-AG, einem Konzert- und Festivalveranstalter, der zur Kundengewinnung und -bindung mit verschiedenen Kooperationspartnern ein Rabattprogramm erstellen möchte, in dessen Rahmen Kunden mit der sog. Ticket-Card Rabatte erhalten und eine Datenverarbeitung zu Werbezwecken möglich ist.

Das Vorhaben wirdhinsichtlich derAnforderungen der ab 25.05.2018 geltenden DSGVO geprüft. Ziel ist es, die Leitfrage zu beantworten, ob das geplante Ticket-Card Programm unter der DSGVO zulässig ist und wenn ja, unter welchen Voraussetzungen.

Anspruch ist ein funktionsfähiges Programm, das in seiner Gestaltung über hohe Rechtssicherheit verfügt und durch hohe Transparenz und Kundenfreundlichkeit imageförderlich für die E-AG und ihre Partner ist.

Im ersten Schritt wird die Programmstruktur durchgrundlegende Fragen zu dessen Aufbau und Funktionsweise beantwortet und Gestaltungsoptionen der E-AG ermittelt, um ein fundamentales Verständnis über die relevanten Abläufe undderen rechtlichen Zusammenhang zu verschaffen.

Nachfolgend behandelt der zweite Schritt die Anforderungen der DSGVO an eine wirksame Einwilligungserklärung, um zu verdeutlichen, worauf die E-AG hierbei zu achten hat.

Der dritte Schritt liefert denEntwurf eines schriftlichen Anmeldeformulars, welcher versucht den Ansprüchen der DSGVO und nicht zuletzt den eigenengerecht zu werden, um zu präsentieren, wie das Einwilligungsersuchen der E-AG aussehen könnte. Anschließend wird die Relevanz der Datenschutzhinweise und Teilnahmebedingungen erläutert und unter Zuhilfenahme ersterer der DeutschlandCard erklärt, inwieweit sich die E-AG an diesen orientieren kann und an welchen Stellen Erweiterungsbedarf herrscht. Zuletzt wird die Hausarbeit durch ein Fazit beendet, das zusammenfassend die Leitfrage beantwortet.

1. Programmstruktur

1.1 Form

Die attraktivste Lösung scheint das praxisbewährte Bonusprogramm i.V.m. einer Kundenkarte (der Ticket-Card) zu sein, bei dem das Einkaufsverhalten der Kunden durch das Sammeln von Bonuspunkten belohnt wird, die sich ab einem bestimmten Schwellenwert gegen Prämien einlösen lassen.¹ Es hält die Teilnehmer von der Konkurrenz ab, sofern sie nicht auf die Bonuspunkte verzichten wollen und die Möglichkeit diese auch in Partnerunternehmen zu sammeln führt zu gegenseitigem Kundengewinn.²

1.2 Beteiligte

Beteiligt sind die E-AG als Systembetreiber, die Kooperationspartner und die teilnehmenden Kunden. Zwischen Systembetreiber und Kooperationspartnern liegt ein Kooperationsvertrag (Gesellschaftsvertrag §705 BGB) vor.³ Der teilnehmende Kunde hat nur ein Vertragsverhältnis zum Systembetreiber, i.F.v. einem typengemischten Prämienvertrag (lat. sui generis) zugunsten Dritter gem. §§ 241, 311, 328 BGB.⁴

1.3 Rechtsgrundlagen

- Art.6 I lit.b legitimiert eine Datenverarbeitung, wenn sie zur Vertragserfüllung erforderlich ist, wasi.R.d. Bonusprogramms diesemeint, welche zur reinen Programmabwicklung notwendig sind.
- Art.6 lit.a legitimiert eine Datenverarbeitung, wenn der Betroffene in diese eingewilligt hat. Somit kann die E-AG auch weitere Daten erheben und für Werbezwecke verarbeiten.
- Art.6 lit.f legitimiert eine Datenverarbeitung, wenn berechtigte Interessen des Verantwortlichen oder eines Dritten die Datenverarbeitung erforderlich machen, solange keine überwiegenden Interessen des Betroffenen entgegenstehen. Ein berechtigtes Interesse kann laut EG47 die Direktwerbung sein, sofern der Betroffene durch seine Kundenbeziehung zum Verantwortlichen eine Verarbeitung seiner Daten vernünftigerweise erwarten kann. Schwer vorstellbar ist es dabei, dass zugeschnittene Werbung, die auf Prognosenmittels Analyseverfahren basiert, davon umfasst ist und eine solche der Interessenabwägung standhalten würde. Somit ist die Rechtsgrundlage nicht vollständig auf das Vorhaben der E-AG anwendbar. Zur Förderung der eigenen Rechtssicherheit und der kundenfreundlichen Gestaltung, sollte die E-AG von ihr absehen und das Vorhaben auf die Einwilligung des Betroffenen stützen.

1.4 Anmeldeform

Anmeldemöglichkeiten sollen sein:

- Schriftformulare, die beim Partner ausliegen und an die E-AG weitergeleitet werden.
- Online mittels Eingabemaske im Browser.
- Telefonisch per Kundenhotline.

1.5 Datendifferenzierung

-Stammdaten sind zur reinen Programmabwicklung erforderlich und werden bei der Anmeldung von der E-AG erhoben. Hierzu gehören Anrede, Name, Anschrift⁵ und das Geburtsdatum, wobei auch die umstrittene Erhebung letzteres i.R.d. Bonusprogramms ein zulässiges Mittel zur Identifizierungist.⁶

-Konsumdaten geben an, wann und wo bei welchem Kooperationspartner, zu welchem Preis, welche Waren oder Dienstleistungen gekauft wurden und wie viel Bonuspunkte dabei entstanden sind.⁷ Sie werden beim Einkauf unter Nutzung der Ticket-Card erhoben. Fraglich ist, ob sie auch zur reinen Programmabwicklung erforderlich sind. Wenn sich ein Kunde über falsche Buchungen beschwert, könnte dies zwecks Nachvollziehbarkeit der Fall sein. Entscheidend ist die Gestaltung der Bonusgewährung, die das rechtliche Dürfen beeinflusst: Richten sich die Bonuspunkte alleine nach dem Umsatz, so sind keine Information über die Ware selbst notwendig. Werden allerdings besondere Boni (doppelte Punkte etc.) auf bestimmte Produkte, zu bestimmten Zeiten oder an bestimmten Orten (z.B. bei Neueröffnung) gewährt, dann ist auch die konkrete Ware oder Dienstleistung zur nachvollziehbaren Punktevergabe erforderlich.⁸ Somit würden in jedem Fall die gesamten Konsumdaten erhoben. Die Einwilligung führt dann zur Erweiterung des Verarbeitungsspielraums, indem die Konsumdaten auch für Werbezwecke analysiert werden dürfen. Hier kann die E-AG frei entscheiden, wobei die zweite Variante wirtschaftlich vorteilhafter ist, indem gezielter der Absatz von bestimmten Waren oder Dienstleistungen gefördert werden kann.

Wenn aus Teilen der Konsumdaten Informationen über den Gesundheitszustand des Betroffenen hervorgehen, sind sie gem. Art.4 Nr.15 und EG35 Gesundheitsdaten und i.S.d. Art.9 I personenbezogene Daten besonderer Kategorie. Auf genaue Bezeichnungen entsprechender Waren oder Dienstleistungen sollte die E-AG somit verzichten, auch wenn ihre Erhebung gem. Art.9 II lit.a mit ausdrücklicher Einwilligung grds. zulässig wäre, was im Rahmen eines Bonusprogramms auf viele Kunden aber eher abschreckend wirken würde.

-Freiwillige Angabenkann die E-AG i.R.d. Einwilligung erheben. Auch hier sollte von der Verarbeitung personenbezogener Daten besonderer Kategorie abgesehen werden. Außerdem gilt der Datenminimierungsgrundsatz aus Art.5 I lit.c, der die Frage aufwirft, wann das notwendige Maß zur Zweckerreichung von zugeschnittener Werbung erreicht ist. Hier herrscht etwas Rechtsunsicherheit, da man prinzipiell argumentieren könnte, dass je mehr Daten man vom Betroffenen hat, desto individueller die Werbung ausfallen kann. Es ist aber schwer vorstellbar, dass solch maßlose Handhabung i.S.d. Gesetzgebers ist und die Norm so ausgelegt werden kann. Somit ist der E-AG zu raten, sich zunächst auf wenige, aber wirksameZusatzangaben wie Familienstand, Anzahl der Kinder und das Geburtsjahr des jüngsten Kindes, sowie das ungefähre Haushaltseinkommenzu beschränken.⁹

-Potentialdaten werden durch sog. Data-Mining¹⁰ anhandgegebener Daten generiert. Diese automatisierte statistische Analyseleitet dabei mögliche Bedürfnisse und Interessen des Kunden ab.¹¹ Hiersind die Vorschriften zum Profiling zu betrachten, welches in Art.4 Nr.4 als jede automatisierte Verarbeitung personenbezogener Daten bestimmt ist, die der Bewertung persönlicher Aspekte dient. Aus der nicht abschließenden Aufzählung dieser Aspekte sindfür das Bonusprogramm relevant: persönliche Vorlieben, Interessen, Verhalten, Aufenthaltsort und Ortwechsel. Bewertungumfasstdabei die Analyse oder Vorhersage und liegt somit vor, wenn die generierten Daten auf Interpretation beruhen.¹² Somit sind die Profilingtatbestände erfüllt und die E-AG steht gem. Art.35 III lit.a in der Pflicht eine Folgenabschätzung durchzuführen.¹³ Weiterhin gilt esArt.22 I zu beachten, der dem Betroffenen das Recht gibt, nicht einer ausschließlich auf automatisierter Verarbeitung - einschließlich Profiling - beruhenden Entscheidung unterworfen zu sein, die ihr gegenüber rechtliche Wirkung entfaltet oder eine ähnlich erhebliche Beeinträchtigung verursacht. Die Verwendung im Bonusprogramm zu Zwecken der personalisierten Werbung wird mangels rechtlicher Entscheidungswirkung und erheblicher Beeinträchtigung jedoch nicht von Art.22 I beeinflusst.¹⁴ Zudemwäre eine Legitimation durch ausdrückliche Einwilligung des Betroffenen gem. Art.22 II lit.c möglich. In jedem Fall muss die E-AG denBetroffenen gem. Art.13 II lit.f und EG60 auf das stattfindendeProfiling und den damit verbundenen Einzelheiten hinweisen, um eine faire und transparente Verarbeitung zu gewährleisten.¹⁵

1.6 Verwaltung

Gespeichert sind die Daten in Kundenprofilen im sog. Datawarehouse, das als zentrale Datenverwaltung fungiert.¹⁶ Eskann in die E-AG, innerhalb eines getrennten Unternehmensorganismus, eingegliedert werden. Wichtig ist gem. Art.5 I lit.b und lit.f die zweckmäßige und vertrauliche Datenverarbeitung, indem es zu keiner Dateneinspeisung in andere Unternehmensabläufe kommt.Fraglich ist auch, ob der Systembetreiber alleine Zugriff auf die Datenbank hat, gemeinsamer Zugriff mit den Partnern herrscht oder eine Weiterleitung der Datensätze an diese stattfindet. Die eingangs genannten Ansprüchedrängen hier zur erstenVariante. Zudem gilt gem. Art.5 I lit.c der Datenminimierungsgrundsatz, der die Datenverarbeitung auf das notwendige Maß beschränkt haben will, womit hier keine solcheZugänglichmachung erlaubt sein kann, wenn siezur Zweckerreichung nicht notwendig ist. Alternativmaßnahmeni.S.d. Ultima Ratio Prinzips sind stets vorzuziehen.¹⁷ Das wäre der Fall, wenn die E-AG den verfolgten Zweck i.F.v. Werbemaßnahmen i.R.d. Bonusprogramms für die Partner übernimmt.¹⁸ Zudem minimiert diese Lösung das Risiko einer Datenpanne, indem weniger Angriffsfläche gegeben ist. Somit wäre es der ratsamste der genannten Lösungswege.

1.7 Ticket-Card

Die Ticket-Card selbst trägt nur einen ID-Code, der beim Einkauf gescannt und zurProfilzuordnung genutzt wird. Konsumdaten werden beim Einkauf unter Verwendung der Ticket-Card direkt an den Systembetreiber übermittelt. Eine eindeutige Identifikation des Kunden ist erst mit zusätzlichen Daten des Systembetreibers möglich. Solange diese räumlich und technisch getrennt sind, ist der ID-Codei.S.d. Art.4 Nr.5 pseudonymisiert und dient nach EG28 der Risikosenkung für den Betroffenen (z.B. bei Verlust der Ticket- Card), sowie der Einhaltung datenschutzrechtlicher Pflichten derE-AG.¹⁹

[...]

¹ Forschepoth, Datenschutz bei Kundenkarten und Online-Bonusprogrammen S.11.

² Haag, Direktmarketing mit Kundendaten aus Bonusprogrammen S.13.

³ Haag, Direktmarketing S.42.

⁴ Haag, Direktmarketing S.54.

⁵ Haag, Direktmarketing S.55.

⁶ Forschepoth, Datenschutz bei Kundenkarten S.29.

⁷ Haag, Direktmarketing S.56.

⁸ Haag, Direktmarketing S.156.

⁹ Siehe "freiwillige Angaben" in Anhang Nr.1.

¹⁰ Grützner / Jakob, Compliance von A-Z, "Data-Mining".

¹¹ Haag, Direktmarketing S.58-59.

¹² Deuster, PinG 2016, 75, 76.

¹³ Redeker, IT-Recht, Rdnr. 1397.

¹⁴ Martini, in: Paal / Pauly, Art.22, Rdnr. 23.

¹⁵ Ernst, in: Paal / Pauly, Art.4, Rdnr. 39.

¹⁶ Grützner / Jakob, Compliance von A-Z, "Datawarehouse".

¹⁷ Härting, DSGVO, Rdnr. 98.

¹⁸ Forschepoth, Datenschutz bei Kundenkarten S.16.

¹⁹ Ernst, in: Paal / Pauly, Art.4, Rdnr. 42-43.