Kundenkarten und Datenschutz
- Autor: Niklas Drexler
- Letzte Aktualisierung: 03.07.2023
- Kategorie: Datensicherheit
Jeder kennt sie und fast jeder nutzt sie - Kundenkarten sind beim Einkaufen heute Standard. Sie versprechen treuen Kunden viele Vorteile. Kundenloyalität soll so belohnt werden. Aber der Kunde "zahlt" diese Vergünstigungen mit seinen Daten. Doch was heißt das für die DSGVO?
Die Kundenkarte ist für Handelsunternehmen ein beliebtes Instrument, um Kunden zu werben und an sich zu binden. Der Kunde sammelt Punkte und erhält im Gegenzug Geld- oder Sachprämien. Das vielleicht bekannteste Bonussystem in Deutschland ist Payback. Viele Unternehmen setzen zudem eigenen Kundenkarten ein. In Summe geht es es aber allen Unternehmen dabei nicht (nur) um Kundenbindung, sondern um ein systematisches Sammeln, Auswerten und Nutzen von Kundendaten. Und sofort ist die DSGVO im Spiel!
Bei jedem Kartenantrag werden Kundendaten erhoben, sie sind für die praktische Abwicklung des Loyalitätsprogramm erforderlich. Meistens wollen die Unternehmen jedoch mehr. Durch die Kombination von freiwilligen Angaben im Kartenantrag und den Daten, die bei Kartennutzung gespeichert werden, lassen sich Nutzungs- und Kundenprofile erstellen. Und diese Profile sind unter bestimmten Umständen sogar vermarktbar.
Doch was gilt gemäß DSGVO jetzt?
Kundenkarten enthalten personenbezogene Daten und fallen damit unmittelbar in den Anwendungsbereich der DSGVO. Danach dürfen Daten ohne explizite Kunden-Einwilligung nur für originäre Kartenzwecke (hier: Bonussystem) erhoben werden. Ansonsten sind explizite Einwilligungserklärungen erforderlich. Dafür gelten die Anforderungen nach Art. 7 DSGVO (Nachweispflicht, Verständlichkeit, Freiwilligkeit, Widerrufsmöglichkeit usw.). Auch Informations- und Auskunftsrechte nach Art. 13 DSGVO - z.B. bzgl. der Verarbeitung der Daten - sind zu berücksichtigen.
Neu - neben der Einwilligungs-Nachweisbarkeit - ist aber das Recht auf Datenübertragbarkeit. Jeder Kunde kann vom ausgebenden Unternehmen der Karte die ihn betreffenden Daten verlangen, um sie anderen Anbietern zu übergeben. Wahrscheinlich keinem Kunde wirklich bewusst.
