Zwei Millionen Euro – so hoch ist die Strafe, die der Jö-Bonusclub gemäß einem Bescheid der Datenschutzbehörde zahlen muss. Der Grund: Das Kundenbindungsprogramm von Rewe (Billa, Bipa, Penny, Adeg), OMV und weiteren neun Partnern hat nach Ansicht der Behörde bei der Konzeption seiner Einwilligungserklärungen geschlampt – und dann unerlaubt Informationen von seinen Kunden zum sogenannten Profiling genutzt.

Damit bestünde ein Verstoß gegen die seit 2018 geltende Datenschutzgrundverordnung (DSGVO), lautet das noch nicht rechtskräftige Urteil, gegen das der Club Beschwerde einlegen möchte. Konkret beanstandet die Datenschutzbehörde nach STANDARD-Informationen die Formatierung auf der Webseite des Clubs sowie auf Anmeldeformularen, die an Kundinnen und Kunden verteilt wurden.

So war bei der Einverständniserklärung, die Nutzerinnen und Nutzer ausfüllen konnten, nicht immer eindeutig ersichtlich, dass sie Profiling zustimmen. Das hatte der Bonusclub zwar nach einem ersten Verfahren eingesehen und auch geändert – allerdings wurden dennoch die Daten von rund 2,3 Millionen Personen weiterhin verarbeitet. Beim Urteil wurden mehrere Faktoren als strafmildernd berücksichtigt, darunter das erschwerte Geschäft durch die Pandemie und der Umstand, dass der Bonusclub in den letzten Jahren rote Zahlen schrieb.

Besonderes Risiko

Beim Profiling handelt es sich um die Verwertung gesammelter personenbezogener Daten, um beispielsweise gezielte Werbekampagnen zu starten oder das Sortiment je nach Erkenntnissen über das Kaufverhalten einer großen Zahl von Kunden anzupassen. Die Datenschutzbehörde sieht ein besonderes Risiko darin, da bestimmte Aspekte einer Person bewertet und eine Vorhersage über ihr Verhalten in der Zukunft getroffen werden kann. Werden diese Daten an Dritte weitergegeben, könne das zu Problemen für Betroffene führen. Beim Jö-Bonusclub wird eine weitreichende Zustimmung gegeben, da alle Partner die gesammelten Informationen verwenden können. Nutzer, die sich im Zeitraum vom Mai 2019 bis März 2020 über die Webseite oder einen Flyer des Clubs anmeldeten, wurden demnach unzureichend informiert. Normalerweise setzt die DSGVO eine Auskunft in einer "leicht zugänglichen", klaren und einfachen Sprache vor – dies sei nicht befolgt worden. Beispielsweise wurde erst auf die Verarbeitung personenbezogene Daten verwiesen, nachdem User eine entsprechende Box mit einem "Ja" oder "Nein" versahen und hinunterscrollten, anstatt bereits vor der Zustimmung informiert zu werden.

Bei den direkt sichtbaren Optionen wurde auf den Erhalt von "exklusiven Vorteilen und Aktionen" verwiesen – und so die Datenverwertung zunächst verschwiegen. Insgesamt sei der Eindruck vermittelt worden, Nutzer würden Rabatte und Gutscheine bekommen – tatsächlich habe es sich aber um eine Einwilligung zum Profiling gehandelt, die nicht deutlich genug hervorgehoben wurde.

Daten weiter genutzt

Auch beim physischen Flyer des Bonusclubs, der mittlerweile – wie auch die Webseite – angepasst wurde, sieht die Datenschutzbehörde eine Verletzung. So sei dieses so entworfen worden, dass das am Ende des Formulars platzierte Feld für eine Unterschrift den Anschein erweckte, man würde sich damit für den Bonusclub selbst anmelden, tatsächlich wurde aber eine Einwilligung zum Profiling eingeholt. Über die Webseite und die Formulare seien demnach insgesamt bei rund 2,3 Millionen Personen Zustimmungen hierfür eingeholt worden. "Die Daten wurden trotz der fehlenden Wirksamkeit der Einwilligung weiterverarbeitet – obwohl die Behörde den Bonusclub darauf hingewiesen hatte, dass die Einwilligung nicht der DSGVO entspricht", sagt Marco Blocher von der Datenschutz-NGO Noyb zum STANDARD.

So hätte der Jö-Bonusclub sämtliche Kunden informieren und eine neue Einwilligung holen müssen – oder das Profiling einstellen. "Dass die Daten einfach weiterhin zum Profiling verwendet wurden, ist ein gravierender Verstoß gegen die DSGVO." Ein Sprecher des Jö-Bonusclubs sagt auf Anfrage des STANDARD, dass es bei der Strafe lediglich um eine aus Ansicht der Datenschutzbehörde falsch gestaltete Einwilligung gehe. "Wir werden gegen diesen Bescheid Beschwerde einlegen", heißt es. "Was wir bemerkenswert finden, ist, dass die Behörde kritisiert, dass wir die Behörde nicht vorab um Auskunft gebeten hätten." Das habe man getan, sie sei aber verweigert worden.

Die Datenschutzbehörde wollte das Verfahren auf Anfrage nicht kommentieren, man spreche nur mit Verfahrensteilnehmenden. (Muzayen Al-Youssef, 2.8.2021)