Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas
Kundenbindungsprogramm Supercard
Schlussbericht vom 23. Mai 2005
sowie
Anhang vom 28. September 2005
der Kontrolle des Eidgenössischen Datenschutzbeauftragten (EDSB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz (DSG)
Veröffentlicht am 7. November 2005 auf www.edsb.ch
2 Inhaltsverzeichnis Inhaltsverzeichnis..............................................................................................................2
3 5.9.2 Sicherheitsmassnahmen im Einzelnen...................................................................... 27
5.9.3 Beurteilung aus Sicht des EDSB ................................................................................. 28 5.10 Software Lieferant (Debugging) ...................................................................................... 29 5.10.1 Datenzugriff des Software Lieferanten .................................................................... 29 5.10.2 Beurteilung aus Sicht des EDSB ............................................................................... 29 5.11 Sensibilisierung und Schulung von Mitarbeitern............................................................ 30 5.11.1 Ergriffene Massnahmen ........................................................................................... 30 5.11.2 Beurteilung aus Sicht des EDSB ............................................................................... 30 6. Ergebnisse ...................................................................................................................31 6.1 Anmeldung ........................................................................................................................ 31 6.2 Punktesammlung ..............................................................................................................32 6.3 Prämien ............................................................................................................................. 32 6.4 Marketing........................................................................................................................... 33 6.5 Werbung ............................................................................................................................ 33 6.6 Auskunftsrecht .................................................................................................................. 34 6.7 Datenherausgabe bei einer Straftat ................................................................................. 34 6.8 Aufbewahrung und Löschung weiterer Daten ................................................................. 35 6.9 Sicherheit........................................................................................................................... 35 6.10 Software-Lieferant (Debugging) ...................................................................................... 36 6.11 Sensibilisierung und Schulung von Supercard-Mitarbeitern ......................................... 36 7. Schlussfolgerungen ..................................................................................................... 37 7.1 Bezüglich der Kontrolle des Kundenbindungsprogramms Supercard ............................ 37 7.2 Verfahren und weiteres Vorgehen ................................................................................... 37
Anhang vom 28. September 2005 zum Schlussbericht ...................................I
4
Ausgangslage Coop bietet ihren Kunden seit Sommer 2000 ein Treueprämien-Programm an, Supercard genannt. Bei jedem Einkauf können bei Vorweisen der Supercard Prämienpunkte (sog. Su- perpunkte) gesammelt werden. Pro 1.- CHF Einkauf gibt es 1 Superpunkt. Darüber hinaus gibt es wöchentlich Extrapunkte für den Kauf gewisser Produkte. Vereinzelt (derzeit nur bei Inter- discount) werden Preisaktionen angeboten, welche nur mit der Supercard gewährleistet werden. Kunden können die gesammelten Punkte gegen Prämien einlösen. Dafür stehen über 650 Prämienartikel zur Auswahl. Die Prämien sind in einem Prämienkatalog festgehal- ten, der nicht direkt an die einzelnen Haushalte verschickt wird, sondern in jeder Coop-Filiale aufliegt oder per Internet resp. Superbox angeschaut werden kann. Zusätzliche Prämien werden 3-4 Mal jährlich auch noch im sog. Saisonkatalog und via Mailings angeboten. Weiter gibt es monatlich eine „Mitnahme-Prämie“, welche an der Kasse der Coop-Filialen direkt ge- gen einen Punkteabzug bezogen werden kann. Derzeit bestehen ca. 3,3 Millionen Supercard-Konten, wovon ca. 2,3 Millionen aktiv sind. Bei ca. 77% aller Umsätze wird die Supercard gezeigt. Die Kunden haben im Jahr 2004 90% ihrer Superpunkte in Prämien eingelöst. Zur Durchführung des Kundenbindungsprogramms Supercard werden von der Coop, den Programm-Trägern und den Programm-Partnern Daten von Personen, die an diesem Pro- gramm teilnehmen, bearbeitet. Seit Lancierung des Kartenprogramms ist der Benutzerkreis stetig gewachsen. Eine Datenschutzkontrolle gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1) ist daher nicht zuletzt gestützt auf den gros- sen Benutzerkreis sowie gestützt auf die Sensibilität der bearbeiteten Personendaten von Bedeutung.
Umfang der Kontrolle Die Datenschutzkontrolle des EDSB bezog sich auf die Datenabläufe im Rahmen des Kun- denbindungsprogramms Supercard. Die Kontrolle fokussierte sich auf die internen Datenab- läufe zwischen Coop Supercard und den Coop-Unternehmen (Programm-Trägern 1 ) sowie auf die Datenflüsse zwischen Coop Supercard und den Supercard Programm-Partnern 2 . Die Pro- gramm-Partner selbst wurden weder einer näheren Überprüfung unterzogen, noch wurde speziell auf den Datenaustausch mit ausgewählten Programm-Partnern eingegangen.
Chronologie der Kontrolle
Oktober 2004 Beschluss des EDSB zur Durchführung einer Datenschutzkontrolle bei Coop im Rahmen des Kundenbindungsprogramms Supercard.
Dezember 2004 Ankündigung der Kontrolle bei Coop mit der Bitte um Dokumentation über das Kundenbindungsprogramm und Beantwortung von Zusatz- fragen.
Januar 2005 Eingang der Unterlagen und Dokumente von Coop (eingereicht von der Supercard Marketing-Abteilung).
Februar 2005 Durchführung der Datenschutzkontrolle vor Ort am Hauptsitz von Coop in Basel.
1 Zur Coop gehörende Unternehmen, bei denen Punkte gesammelt werden können (z.B. Coop Re- staurants, Coop City, Coop Bau + Hobby, Coop Vitality Apotheke, Bank Coop, Coop Versicherun- gen) 2 Nicht zur Coop gehörende Unternehmen, bei denen Punkte gesammelt werden können (z.B. Swisscom Fixnet, Pneu Egger, Gior Coiffeure, Viseca, Hertz)
5 10. Februar 2005 Der EDSB verschickt per Email erste Änderungsvorschläge zu den All- gemeinen Geschäftsbedingungen (im Folgenden AGB) des Supercard- Programms. 7. März 2005 Die Supercard Marketing-Abteilung teilt dem EDSB per Email mit, dass die Änderungsvorschläge in die neuen AGB integriert worden sind. 24. März 2005 Der EDSB schickt ein Fact Sheet der Datenschutzkontrolle vom 9. Februar 2005 an die Supercard Marketing-Abteilung zur Konsultati- on. Zugleich Bitte um materielle Berichtigung des Fact Sheets sowie Beantwortung noch offener Fragen. 7. April 2005 Eingang der materiellen Berichtigung des Fact Sheets und der Antwor- ten auf die noch offenen Fragen des EDSB (durch die Supercard Mar- keting-Abteilung). 13. April 2005 Der EDSB schickt ein Schema der Datenflüsse im Rahmen von Super- card an die Supercard Marketing-Abteilung mit der Bitte, das Schema zu ergänzen oder zu korrigieren. Die Rückmeldung erfolgt einen Tag später schriftlich. Die Anregungen von Coop werden vom EDSB über- nommen. April-Mai 2005 Analyse und Auswertung der vorliegenden Dokumente und Unterlagen sowie Ausarbeitung des Schlussberichtes durch den EDSB. 23. Mai 2005 Verabschiedung des Schlussberichtes durch den EDSB.
4.2 Kontrolle vom 9. Februar 2005 vor Ort in Basel Am 9. Februar 2005 besichtigte der EDSB die Anlagen und Räumlichkeiten des Supercard- Programms am Hauptsitz von Coop in Basel. Dieser Augenschein vor Ort bildet ebenfalls eine wichtige Grundlage für den vorliegenden Kontrollbericht. 4.2.1 Anwesende Personen Von Seiten Coop waren der Leiter Marketing und der Leiter Technik/Ausbildung Supercard, zwei Vertreter Informatik Supercard sowie eine Vertreterin des Rechtsdienstes Coop anwe- send. Der EDSB war durch eine Juristische Beraterin sowie einen Informatikberater vor Ort vertreten.
4.2.2 Besichtigte Anlagen/Präsentation In chronologischer Abfolge: ¾ Einführung und Präsentation des Supercard-Programms ¾ Besichtigung des Serverraumes von Coop sowie Besichtigung des IT-Testraumes ¾ Erläuterungen zu den Abläufen der Adressherausgabe und Direktwerbung ¾ Besichtigung der Räumlichkeiten der Supercard Marketing-Abteilung
6 4.3 Fact Sheet und beantwortete offene Fragen im Nachgang der Kontrolle Coop Supercard hat vom EDSB eine Zusammenstellung der wesentlichen Grundlagen des Supercard-Programms erhalten, wie es die Mitarbeiter des EDSB gestützt auf die eingereich- ten Unterlagen und der Besichtigung vor Ort verstanden haben (sog. Fact Sheet). Dieses Fact Sheet wurde der Supercard Marketing-Abteilung zur Konsultation unterbreitet, mit Bitte um materielle Berichtigung. Zusätzlich hat der EDSB von sich aus letzte, offene Rückfragen ge- stellt. Die Änderungswünsche sowie die Antworten auf die Rückfragen wurden schriftlich eingereicht. Das bereinigte Fact Sheet sowie die Antworten auf die Rückfragen stellen eben- falls wichtige Grundlagen für den vorliegenden Kontrollbericht dar.
4.4 Schema der Datenflüsse im Rahmen von Supercard Da die Datenflüsse im Rahmen von Supercard sehr komplex ablaufen, wurden sie vom EDSB in einem Schema „visualisiert“. Dieses Schema wurde zur Überprüfung und mit Bitte um wei- tere Anregungen an die Supercard Marketing-Abteilung geschickt und nach erfolgter Rück- meldung angepasst. Das bereinigte Schema liegt dem Kontrollbericht als Basis für die datenschutzrechtliche Beur- teilung zugrunde, welche sich an den effektiven Datenflüssen orientiert.
7 5. Datenschutzrechtliche Beurteilung Im Folgenden wird das Kundenbindungsprogramm Supercard einer datenschutzrechtlichen Beurteilung unterzogen. Dafür wird nach den Datenflüssen vorgegangen und die Daten- schutzkonformität anhand der einzelnen Abläufe innerhalb des Kundenbindungsprogramms geprüft. Zur Erläuterung und visuellen Darstellung der Datenflüsse wurde folgendes Schema erstellt. Die Ziffern der einzelnen Datenflüsse innerhalb des Schemas bilden zugleich die Abfolge in der Behandlung der datenschutzrechtlichen Beurteilung. Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
8 5.1 Kartenbestellung und Änderung von Stammdaten Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.1.1 Untersuchte Datenflüsse Anmeldung (Ziff. 1a) Die Anmeldung für die Teilnahme am Supercard-Programm kann auf verschiedene Arten erfolgen, und zwar via Internet, via Call Center oder via Anmeldebroschüre (Leporello: „Alles was Sie wissen sollten“), welche in den Coop-Filialen aufliegt. Unabhängig davon, wie die Anmeldung erfolgt ist, werden die Stammdaten der Kunden bei Coop Supercard gesammelt und in den Supercard-Stamm-Rechner eingegeben. Die Daten werden auch ins Ausland (an die Firma NEBUS AG, welche den Prämienversand vollzieht sowie das Call Center in Biel be- treibt) und von dort zurück in die Schweiz an den Kartenhersteller (Trüb AG, Aarau) übermit- telt. Datenänderungen (Ziff. 1b) Ein Kunde kann gewisse Stammdaten ändern lassen (wie z.B. die Adresse). Zudem kann ein Kunde auch die Löschung aller Supercard-Daten beantragen (in diesem Fall werden die Da- ten anonymisiert, vgl. dazu ausführlich Ziff. 5.6), was auch als eine Änderung der Stammda- ten betrachtet werden kann. Der Kunde kann für eine Datenänderung über verschiedene Kanäle mit Coop Supercard in Kontakt treten (über das Call Center, via Internet oder über die Superbox). Unabhängig vom gewählten Kommunikationskanal kommen die gewünschten Änderungen schliesslich zu Coop Supercard (für gewisse Änderungen kann es sein, dass eine schriftliche Bestätigung verlangt wird). Da die NEBUS AG ihren Hauptsitz im Ausland hat und auch das Call Center in Biel betreibt, kommt es bei den Datenänderungen zu einem Da- tentransfer ins Ausland. Zusatzkarten (Ziff. 1c) Die Bestellung zusätzlicher Supercards kann via Call Center, Internet oder Superbox erfolgen. Die Bestellungen werden an Coop Supercard weitergeleitet. Die Daten werden ins Ausland an die NEBUS AG und von dort zurück in die Schweiz an den Kartenhersteller Trüb AG in Aa- rau übermittelt.
9 5.1.2 Kartenbestellung und Änderung von Stammdaten im Einzelnen Anmeldung (Ziff. 1a): Die Anmeldung zum Supercard-Programm kann schriftlich durch Ausfüllen des Anmeldeta- lons, welcher in der Informationsbroschüre „Alles was Sie wissen sollten“ enthalten ist und in jeder Coop-Filiale aufliegt oder online per Internet (www.supercard.ch ) erfolgen. Möglich ist auch die mündliche Anmeldung über das Call Center, welches von der NEBUS AG in Biel (je- doch mit Hauptsitz im Ausland) betrieben wird. Die Informationsbroschüre enthält detaillierte Angaben zum Supercard-Prämienprogramm, einen Anmeldetalon, einen Prämienbestell- schein und Angaben zur Bedienung der Superbox. Obligatorische Angaben auf dem Anmel- detalon oder per Internet sind Name und Anschrift. Die Telefonnummer oder Email-Adresse sind nur fakultativ auszufüllen (die Freiwilligkeit dieser zwei Angaben wird mit Klammern (Email) (Tel.Nr.) hervorgehoben). Kunden haben auf dem Anmeldetalon oder bei der online Anmeldung die Wahl, auf persön- lich adressierte Werbung zu verzichten (Opting-out Lösung). Der Verzicht auf persönlich ad- ressierte Informationen kann via Call Center oder direkt im Internet jederzeit auch nachträg- lich noch geltend gemacht werden.
Die Anmeldetalons werden vom Call Center NEBUS AG in Biel in die Supercard-Datenbank eingespeist. Die Stammdaten werden ebenfalls an den Hauptsitz der NEBUS AG und von dort direkt zurück in die Schweiz an den Kartenhersteller (Trüb AG, Aarau) übermittelt. Nach Ein- gang des Anmeldeformulars erhält der neue Supercard-Teilnehmer per Post ein Begleit- schreiben mit den AGB sowie zwei namentlich auf ihn lautende Supercards. Bei der Anmeldung zum Supercard-Programm per Internet fehlt ein entsprechender Link oder Pop-up zu den AGB auf der Anmelde-Website. Wer die AGB vor dem Abschicken der Online-Anmeldung lesen will, muss diese auf der Website von Coop suchen. Wer sich telefo- nisch über das Call Center für das Supercard-Programm anmeldet, erhält auf Rückfragen Antworten und Informationen zum Supercard-Programm. Doch auch hier hat der Kunde kei- nen direkten Zugang zu den AGB. Änderungen der AGB werden den Supercard-Teilnehmern nicht explizit mitgeteilt. Im Begleit- schreiben zur Anmeldung findet sich ein Hinweis darauf, dass die aktuellste Version der AGB immer im Internet zu finden ist. Eine grössere Änderung der AGB könnte gemäss Auskunft von Coop Supercard bei Bedarf via Newsletter, Newsseite im Internet oder in der Coop Zei- tung angekündigt werden. Die AGB wurden letztmalig im März 2005 geändert. Datenänderung (Ziff. 1b): Supercard-Teilnehmer können ihre Stammdaten (ausser Vor- und Nachnamen, hier ist eine Änderung nur auf schriftlichem Weg unter Beilage eines offiziellen Dokumentes, wie z.B. ID, möglich) per Call Center, Internet oder Superbox jederzeit ändern lassen. Änderungen wer- den ebenfalls an die NEBUS AG übermittelt. Zusatzkarte (Ziff. 1c): Supercard-Teilnehmer können mehrere Supercards in Umlauf setzen. So kann mit einer Karte durch mehrere Personen in einem Haushalt gepunktet werden. Die Bestellung von Zusatzkarten läuft via Call Center (NEBUS AG, Biel), Internet oder Superbox. Die Bestellung wird von Coop Supercard an das Prämienversandhaus im Ausland (NEBUS AG) und an den Kartenhersteller in der Schweiz (Trüb AG, Aarau) weitergeleitet.
5.1.3 Beurteilung aus Sicht des EDSB Mit der Anmeldung zum Supercard-Prämienprogramm geben die Coop-Kunden auf freiwilli- ger Basis mit ihrer Einwilligung persönliche Daten (Art. 3 lit. a DSG) bekannt. Dafür erhalten sie eine auf ihren Namen lautende Supercard mit einer persönlichen Supercard-Nummer. Mit
10 der Supercard können bei jedem Einkauf Superpunkte gesammelt werden und diese in Form von Prämien eingelöst werden. Bei der Phase der Anmeldung (sei es per Anmeldetalon, Internet oder Call Center) gibt der Kunde seine Stammdaten in Form von Adressangaben bekannt. Die Angaben der Email- Adresse und der Telefonnummer sind fakultativ. Bezüglich der Stammdaten erfolgt die Da- tenbearbeitung in inhaltlicher Sicht verhältnismässig (Art. 4 Abs. 2 DSG). Auf der Anmeldebroschüre sind die AGB nicht abgedruckt. Es findet sich auch kein Hinweis auf einen Internet-Link zu den AGB. Bei zusätzlichen Fragen zur Supercard im Rahmen der Anmeldung per Anmeldetalon werden die Kunden auf das Verkaufspersonal oder auf den Supercard Konsumentendienst (Call Center) verwiesen. Die AGB werden dem Kunden schrift- lich zugestellt, wenn er sich angemeldet hat und er seine zwei Supercards nach Hause ge- schickt erhält. Somit gibt der Kunde von sich aus bereits Personendaten preis, ohne die Mög- lichkeit zu haben, sich anhand der AGB über den Umfang und Inhalt der Datenbearbeitung Gewissheit zu verschaffen. Ähnlich ist die Situation bei der Anmeldung per Internet. Wer sich per Internet anmeldet, wird nicht aufgefordert, die AGB zu akzeptieren. Auch findet sich auf der Startseite zur Supercard-Anmeldung kein Pop-up, mit dem die AGB aufgerufen werden könnten. Der Kunde muss die AGB im Internet erst suchen gehen. Bereits bei der Besichti- gung der Anlagen vor Ort haben die beiden Mitarbeiter des EDSB auf diese Informationslücke hingewiesen und angeregt, dass eine Lösung gesucht werden müsse, wie die Kunden die AGB bereits einlesen oder zumindest den Hinweis erhalten, wo sie die AGB abrufen können, bevor sie ihre Adressdaten und ihre Einwilligung zur Teilnahme am Supercard- Prämienprogramm abgeben. Die Transparenz der Datenbearbeitung (Art. 4 Abs. 2 DSG) ist in diesem Punkt aus Sicht des EDSB mangelhaft. Bis anhin wurde dies nicht verbessert. Die Kunden haben durch Ankreuzen eines entsprechenden Feldes die Möglichkeit, als Su- percard Inhaber auf persönlich adressierte Informationen zu verzichten (sog. Opting-out). Diese Verzichtsmöglichkeit steht dem Kunden auch noch nachträglich offen. Da man aber bei der Anmeldung per Internet oder bei einer späteren Internet-Datenabfrage (vgl. dazu Ziff. 5.6) auch ankreuzen kann, welche Newsletter man erhalten möchte, müssen bei einem späteren Verzicht auf Werbeinformationen die angeforderten Newsletter separat abgemeldet werden. Auf Anregung des EDSB erfolgte in den neuen AGB vom März 2005 eine diesbezügliche Prä- zisierung. Neu wird in Ziff. 9 Abs. 4 der AGB vom März 2005 explizit unter Aufführung der entsprechenden Website, auf welcher man die Newsletter abmelden kann, auf die Notwen- digkeit der separaten Abmeldung hingewiesen. Ein Kunde hat also (auch nachträglich noch) die Wahlmöglichkeit, ob er auf weiterführende Werbung verzichten möchte (vgl. auch Art. 12 Abs. 2 lit. b DSG). Wird das entsprechende Feld bei der Anmeldung nicht angekreuzt, willigt der Kunde implizit in eine weitere Datennutzung seiner Adressdaten ein (Art. 13 Abs. 1 DSG). In der Anmeldebroschüre oder auf der Website von Coop Supercard finden sich die grundle- genden Informationen zum Ablauf und Inhalt des Prämienprogramms. Es fehlt im Leporello jedoch jeglicher Hinweis, dass die von Coop Supercard im Rahmen des Supercard- Programms erhobenen Personendaten für Marketingzwecke verwendet werden. Da die AGB nicht abgedruckt oder beigelegt sind und auch nicht mit einem Hinweis auf den Internet-Link auf die AGB aufmerksam gemacht wird, fehlt dem Supercard-Teilnehmer diese wichtige In- formation (vgl. die entsprechende Passage der Datennutzung zu Marketingzwecken in Ziff. 9 Abs. 2 der AGB). Somit wird den Kunden bei der schriftlichen Anmeldung der Zweck des Prämienprogramms (vgl. Art. 4 Abs. 3 DSG) nicht gänzlich offen gelegt. Aus Sicht des EDSB muss die Zweckbestimmung des Kundenbindungsprogramms klarer zum Ausdruck kommen. Aus den gleichen Gründen ist für den Kunden auch die Transparenz der Datenbearbeitung (vgl. Art. 4 Abs. 2 DSG) im Zeitpunkt der Anmeldung nicht ausreichend gewährleistet. Da die NEBUS AG von Supercard beauftragt ist, zum einen die Prämien an die Konsumenten zu verschicken, zum anderen aber auch den Supercard Konsumentendienst zu führen, wer- den im Rahmen des Supercard-Prämienprogramms personenbezogene Daten auch ins Aus- land weitergeleitet. Somit erfolgt ein Datentransfer von Personendaten ins Ausland (Art. 6
11 DSG). In den alten AGB vom Februar 2005 stand lediglich folgende Aussage: „Ihre Daten wer- den ferner an Firmen weitergegeben, welche Ihre Daten im Rahmen eines Auftragsverhält- nisses bearbeiten, wobei auch ein Datentransfer ins Ausland erfolgen kann“. Bei der Daten- schutzkontrolle vor Ort haben die beiden Mitarbeiter des EDSB schon darauf hingewiesen, dass ein Datentransfer ins Ausland (und zwar regelmässig und automatisch) tatsächlich er- folgt und nicht nur erfolgen kann. Dieser Datentransfer ins Ausland wurde beim EDSB im Juni 1999 schriftlich gemäss Art. 6 DSG angemeldet. Dennoch hatten die Mitarbeiter des EDSB um Anpassung der AGB gebeten. In der von Coop sowieso geplanten Revision der AGB vom März 2005 wurde diese Anpassung vollzogen. Sie trägt zur Transparenz der Datenbearbei- tung bei (Art. 4 Abs. 2 DSG) und ist aus Sicht des EDSB sehr zu begrüssen.
12 5.2 Punktesammlung Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.2.1 Untersuchte Datenflüsse Wenn ein Kunde bei Coop selber (das wird mit einem Pfeile von Coop zu Coop dargestellt) oder bei einem Supercard Programm-Partner einkauft, erhält er dafür Superpunkte, die er sich auf seinem Supercard-Konto gutschreiben lassen kann (durch Vorweisen der Supercard bei der Bezahlung). Des Weiteren können Superpunkte auch via Superbox oder per Internet gesammelt werden (z.B. Glücksspiel; Geschenk als Superpunkte-Transfer von einem Konto auf ein fremdes Konto). Alle Informationen zu gesammelten Punkten werden an den Super- card-Stamm-Rechner weitergeleitet.
5.2.2 Punktesammlung im Einzelnen Mit dem Supercard-Prämienprogramm kann ein Kunde bei jedem Einkauf durch Vorweisen seiner Supercard Prämienpunkte (=Superpunkte) sammeln. Pro 1.- CHF Einkauf gibt es 1 Su- perpunkt. Darüber hinaus gibt es wöchentlich Extrapunkte sowie spezielle Preisaktionen (z.B. „2 für 1“), bei denen ebenfalls gepunktet werden kann. Die gesammelten Punkte werden auf dem Supercard-Konto des Supercard-Teilnehmers gutgeschrieben und können jederzeit in Form von Prämien (vgl. dazu Ziff. 5.3) eingelöst werden. Für die Verbuchung der gesammelten Superpunkte werden dem Supercard-Stamm-Rechner die folgenden notwendigen Informationen übermittelt: wer erhält die Punkte (Supercard- Nummer), wie viele Punkte, woher kommen die Punkte (welcher Partner oder welche Coop- Filiale), wann ist die Kassentransaktion erfolgt (Zeit und Datum) und wie viel hat der Kunde im Rahmen dieser Kassentransaktion konsumiert (Gesamtsumme des Einkaufs in CHF). Es wer- den aber im Rahmen von Coop Supercard keine Informationen über die einzelnen, gekauften Artikel weitergeleitet. Es finden im Rahmen von Supercard also keine detaillierten Waren- korbanalysen anhand der Kundendaten statt. Detaillierte Informationen über die gekauften Artikel werden aber im Rahmen der normalen Einkaufstransaktionen in Form einer Kopie der Kassenbelege weitergeleitet. Diese normalen Einkaufstransaktionen (bei Vorweisen der Supercard inkl. Supercard-Nummer) sind in einer separaten Datenbank bei Coop festgehalten. Diese Daten werden nur dann eingesehen, falls es zwischen Coop und einem Kunden zu Unstimmigkeiten über die Anzahl der gesammelten Punkte kommt und dies einer Abklärung durch Coop bedarf. Bei einer solchen Suche sollten
13 vom Kunden genaue Angaben (Kaufort, Kaufzeit, am besten auch noch Registrierkasse) er- hältlich sein. Der Datentransfer von Systemen der Programm-Partner zum Supercard-Stamm-Rechner erfolgt in unterschiedlicher Periodizität und wird vertraglich festgelegt. Der Datentransfer von einer Coop-Filialen zum Rechner läuft heute praktisch online ab. Die Supercard- Transaktionen werden in den Coop-Filialen also nicht z.B. bis zum Abend gesammelt und dann gebündelt übermittelt. Mittels Einkäufen per Internet können im „Coop Online Supermarkt“ und im „Wineshop“ (ge- hören beide zur Coop-Gruppe) ebenfalls Superpunkte gesammelt werden. Auch über Coop Online Supermarkt ist keine Warenkorb-Analyse von Supercard-Teilnehmern möglich. Die Datenregistrierung enthält aber Informationen zu Einkaufshäufigkeit und Einkaufsbetrag.
5.2.3 Beurteilung aus Sicht des EDSB Grundsätzlich werden keine Angaben zu detaillierten Warenkörben der Supercard-Kunden ausgewertet. Jedoch werden die detaillierten Einkaufsangaben der Supercard-Kunden im Rahmen der normalen Einkaufstransaktionen in Form einer Kopie der Kassenbogen von Coop gespeichert. Sofern ein Kunde seine Supercard beim Einkauf vorzeigt, enthält diese Kopie auch die entsprechende Supercard-Nummer des Kunden. Die Supercard-Nummer ist zwar pseudonymisiert. Dennoch handelt es sich bei der Supercard-Nummer um ein Perso- nendatum, da ein Kunde anhand dieser Nummer bestimmbar ist und sein Kundenkonto ein- gesehen werden kann (vgl. Art. 3 lit. a DSG). Die Kopie des Kassenbogens enthält demzufolge ein Personendatum, dass von Coop in einer Datenbank gespeichert wird. Auch wenn diese Datenspeicherung nicht im Rahmen des Supercard-Programms erfolgt, sondern im Rahmen der Festhaltung der normalen Kassentransaktionen der Coop-Filialen, werden hier Perso- nendaten von Supercard-Kunden bearbeitet, aus denen auch die detaillierten Warenkörbe ersichtlich sind und welche das Konsumverhalten der Betroffenen widerspiegeln. Diese Kas- senbelege werden in elektronischer Form (sog. Journal) gespeichert und während 1 Monat aufbewahrt 3 . Der detaillierte Warenkorb inkl. Supercard-Nummer ist also während 1 Monat in elektronischer Form bei Coop festgehalten. Auch wenn diese Informationen nicht für das Supercard-Programm ausgewertet werden dürfen, da die Aufbewahrung im elektronischen Journal zweckgebunden und eine Abfrage rein nach Supercard-Nummer nicht möglich ist, muss aus Sicht des EDSB der Kunde über diese umfassende Datenspeicherung bei Coop informiert werden. Eine diesbezügliche Information kann durch eine Erwähnung in den AGB in der Form erfolgen, dass dem Kunden mitgeteilt wird, dass von Coop ein detaillierterer Wa- renkorb im Zusammenhang mit der Supercard-Nummer während 1 Monat unter strenger Zweckbindung – und insbesondere nicht zu personalisierten Marketingzwecken – aufbewahrt wird. Nur so erhält der Kunde volle Transparenz in Bezug auf die von Coop über seine Person bearbeiteten Daten (Art. 4 Abs. 2 DSG).
3 Vgl. zu dieser 1-monatigen Aufbewahrungszeit die Korrekturen im Anhang, Ziff. 2.2.
14 5.3 Prämien Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.3.1 Untersuchte Datenflüsse Hat ein Kunde eine gewisse Anzahl Superpunkte gesammelt, kann er die Punkte in Prämien umtauschen. Die Prämien können via Superbox, Call Center, Internet oder direkt via Coop bestellt werden. Die Bestellungen werden vom Call Center oder bei Coop (Internet/Superbox) gesammelt und an die Prämienversandfirma, vorwiegend die NEBUS AG, weitergeleitet.
5.3.2 Prämienbezug im Einzelnen Anders als bei den gängigen Kundenbindungsprogrammen werden dem Kunden keine Ra- batte gewährt, sondern es können sog. Prämien eingelöst werden. Es stehen über 650 Prä- mienartikel zur Auswahl. Die Prämien sind in einem Prämienkatalog festgehalten, der nicht an die einzelnen Haushalte verschickt wird, sondern in jeder Coop-Filiale aufliegt oder per Internet resp. Superbox abgerufen werden kann. Zusätzliche Prämien werden 3-4 Mal jähr- lich in sog. Saisonkatalogen und Mailings angeboten. Die Prämienbestellung läuft wie folgt ab: Zuerst wird die Bestellung des Supercard-Kunden über das Internet oder die Superbox (= durch den Kunden) oder im Geschenkshop (=durch das Call Center der NEBUS AG in Biel ab Bestelltalon) erfasst. Es erfolgt anschliessend eine Übermittlung der Bestelldaten (Supercard-Nummer/Adressdaten/Artikeldaten) an die NEBUS AG (Einlagerung der Daten in das NEBUS-System). Es findet also ein Datentransfer ins Aus- land statt. Der Eingang der Bestellung löst einen Begleitbrief aus. Der verpackte Artikel wird inkl. Begleitbrief auf einen Lastwagen im Ausland verladen. Die Postlieferung in die Schweiz gelangt an das Postzentrum Frauenfeld. Von dort wird die Prämie per Post dem betreffenden Haushalt zugestellt. Daneben gibt es noch weitere, spezielle Prämienlieferanten. Zu nennen ist hier ebenfalls noch die Swiss, welche Prämien in Form von Flugmeilen vergibt. Auch hier werden Stamm- daten ins Ausland weitergeleitet.
5.3.3 Beurteilung aus Sicht des EDSB Der Datentransfer ins Ausland im Rahmen des Prämienbezuges kommt seit der jüngsten Revision der AGB deutlich zum Ausdruck. Zudem wurde dem EDSB der Datentransfer ins
15 Ausland bereits im Jahr 1999 schriftlich gemeldet (vgl. zum Ganzen auch die Ausführungen in Ziff. 5.1.3). Aus Sicht des EDSB sind beide getroffenen Massnahmen zu begrüssen und tragen zur Transparenz der Datenbearbeitung bei (Art. 4 Abs. 2 DSG).
16 5.4 Marketing Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.4.1 Untersuchte Datenflüsse Die Supercard Marketing-Abteilung kann die erhobenen Daten für Coop interne Marketing- analysen nutzen.
5.4.2 Marketing im Einzelnen Im Rahmen des Supercard-Prämienprogramms werden keine detaillierten Warenkörbe der Kunden erhoben. Entsprechend können Marketingauswertungen anhand der Supercard- Nummer nicht auf Ebene eines einzelnen Produktes durchgeführt werden. Die Stamm- und Programmdaten der Supercard-Teilnehmer sind im sog. „Geschenkshop“ (= Software/Datenbank von Supercard) festgehalten. Ersichtlich ist nicht das Kaufverhalten des einzelnen Kunden, sondern die von ihm seit erstem Einsatz der Supercard angesammelten Punkte (Gesamtpunktezahl) sowie der aktuelle Punktestand (Punktesaldo). Die Einzelangaben zum Einkaufsort und Einkaufszeitpunkt sowie die pro Einkauf generierten Punkte werden einmal im Jahr verdichtet. Sichtbar ist dann im Geschenkshop nur noch das Punktetotal für diese verflossene Jahresperiode. Die Detailangaben zu den Einkäufen werden – wie auch von allen anderen Kunden, die keine Supercard benutzen – in einem sog. Journal elektronisch registriert (also mit oder ohne Su- percard-Nummer) und nach 1 Monat gelöscht 4 . Mit diesem Journal kann keine Suche nach Supercard-Nummern durchgeführt werden. Dieses Journal ist nicht mit dem Geschenkshop verbunden (vgl. zur Datenspeicherung im Journal auch die Ausführungen in Ziff. 5.2.3). Eine Auswertung der Einkäufe im Rahmen von Supercard ist daher nur in Bezug auf Einkaufshäu- figkeit und Einkaufsbetrag möglich. In Bezug auf andere Inhalte erfolgt eine Auswertung nur in anonymisierter Form (vgl. Ziff. 9 Abs. 5 der AGB). (...) 5 .
4 Vgl. dazu die Bemerkungen in Fn. 3 sowie die Korrekturen im Anhang, Ziff. 2.2. 5 Diese Passage betrifft Informationen über den Datenzugriff und wurde aufgrund überwiegender Interessen von Coop an deren Vertraulichkeit für die Publikation aus dem Schlussbericht gestri- chen.
17 Die Marktanalyse erfolgt über zwei spezielle Programme: Business-Objects und Mailing Ge- nerator. Obwohl keine genauen Warenkörbe generiert werden können, lassen sich mit den Supercard-Daten doch Marktanalysen z.B. für Warenumsatz innerhalb einer Coop-Filiale oder Umsatzstärke/Kaufkraft von Supercard-Kunden durchführen. Dies insbesondere auch da- durch, dass im Geschenkshop die Totalpunktezahl seit erstmaligem Einsatz der Supercard ersichtlich ist (...) 6 . Auch über Coop Online Supermarkt ist keine Warenkorb-Analyse von Supercard-Kunden möglich. Die Datenregistrierung enthält aber Informationen zu Einkaufshäufigkeit und Ein- kaufsbetrag. Die Auswertung der Warenkörbe von Online-Bestellungen zu statistischen oder Marketingzwecken läuft in anonymisierter Form ab und untersteht daher nicht den Bestim- mungen des DSG. Den am Supercard-Programm beteiligten Partnerunternehmen steht die Nutzung eines Su- percard-Auswertungsprogramms offen. Entsprechende Auswertungen müssen jedoch über die Supercard Marketing-Abteilung beantragt werden. Die Partnerunternehmen können also von sich aus keine eigenen Auswertungen mit dem kundenspezifischen Auswertungspro- gramm vornehmen. Den Partnerunternehmen ist es vertraglich untersagt, anhand von Supercard-Daten waren- korbspezifische Auswertungen von einzelnen, namentlich bekannten Supercard-Kunden zu erstellen (vgl. Ziff. V.4. Zusammenarbeitsvertrag).
5.4.3 Beurteilung aus Sicht des EDSB Grundsätzlich ist es im Rahmen des Supercard-Programms nicht möglich, detaillierte Waren- korbanalysen der Kunden durchzuführen. Auch über das elektronische Journal werden keine Marktanalysen nach Warenkorbinhalt erhoben (vgl. dazu aber die Bemerkungen unter Ziff. 5.2.3). Die Datenbearbeitung erscheint insofern als inhaltlich verhältnismässig (Art. 4 Abs. 2 DSG). Wie bereits unter Ziff. 5.1.3 erwähnt, kommt die Datenbearbeitung zu Marketingzwe- cken bei der Anmeldung zum Supercard-Programm gar nicht resp. ungenügend zum Aus- druck. Es besteht bei der Anmeldung eine Informationslücke in Bezug auf den Bearbeitungs- zweck der erhobenen Daten (vgl. Art. 4 Abs. 3 DSG). Es kann an dieser Stelle auf die diesbe- züglichen Ausführungen in Ziff. 5.1.3 verwiesen werden.
6 Diese Passage wurde auf Wunsch von Coop für die Publikation aus dem Schlussbericht gestri- chen.
18 5.5 Werbung Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.5.1 Untersuchte Datenflüsse Die im Rahmen von Supercard erhobenen Kundendaten und die Marketingauswertungen erlauben es, die Kundschaft gezielt mit Werbung anzusprechen. Die Supercard Marketing- Abteilung sucht die Kunden, die gewisse Kriterien erfüllen (das wird mit einem Pfeile von Coop zu Coop dargestellt). Diese Kunde erhalten gestützt auf die Auswertung ihrer Daten persönlich adressierte Werbung. Die Anfrage nach den Adressen von Kunden, die gewisse Einkaufskriterien erfüllen, kann auch von einer Partnerfirma ausgehen. In diesem Fall stellt die Coop den Partnerunterneh- men die Kundenadressen für den Werbeversand zur Verfügung. Die persönlich adressierte Werbung wird also von den Partnerunternehmen selbst verschickt.
5.5.2 Werbung im Einzelnen Mit der Teilnahme am Supercard-Prämienprogramm gibt ein Kunde seine Einwilligung, dass er persönlich adressierte Werbung von Coop oder ihren Partnerunternehmen erhält, sofern er nicht ausdrücklich darauf verzichtet. Diese Datenweitergabe wird auch in Ziff. 9 Abs. 6 der Supercard-AGB offen gelegt. Die Partnerunternehmen haben also die Möglichkeit, über Coop Supercard Kundenadressen zu Werbezwecken zu erfragen. Diese Kundenadressen können – mit oder ohne zusätzliche Supercard spezifische Merkmale (wie Intensität der Frequenz, des Umsatzes bzw. der gene- rierten Superpunkte) angereichert – über ein spezielles Bestellformular von Coop eingefor- dert werden. Die Adressen werden den Partnerunternehmen elektronisch von Coop Supercard zur Verfü- gung gestellt (d.h. Email, Diskette oder CD-Rom). Die Partnerunternehmen verpflichten sich vertraglich, diese Adressen nur für den erfragten Werbeversand und nur einmalig zu gebrau- chen. Zusätzlich verpflichten sich die Partnerunternehmen vertraglich, die Anforderungen der Datenschutzgesetzgebung bei der Adressnutzung strikte einzuhalten (vgl. Ziff. V.5.a Zu- sammenarbeitsvertrag). Die Adressen, die sie von Coop Supercard erhalten haben, dürfen von den Partnerunter- nehmen resp. durch von ihnen beauftragte Spezialfirmen mit zusätzlichen Merkmalen (wie
19 Haushaltsgrösse, Hausbesitz, Einkommensklasse) angereichert werden (vgl. Ziff. 5 Adress- nutzungs-RL). Der Adressversand erfolgt in diesen Fällen also selektioniert nach persönlichen Kriterien und somit kundenspezifisch. Zwischen den beauftragten Spezialfirmen und den Partnerunternehmen wird eine Datenschutzvereinbarung abgeschlossen, welche unter- schrieben an Coop Supercard gesendet werden muss. Diese Datenschutzvereinbarung liegt dem EDSB vor. Gemäss Auskunft von Coop Supercard nutzt momentan nur die Coop Versi- cherung die Möglichkeit dieser „Anreicherung“ der Supercard-Daten. Die Daten werden in diesem Fall im Auftrag der Coop Versicherung von der Firma SCHOBER DIRECT MEDIA AG, mit Sitz in Bachenbühlach, mit weiteren kundenspezifischen Daten (wie Haushaltsgrösse, Hausbesitz, Einkommensklasse, Alter etc.) angereichert. Alle Mailings von Partnerunternehmen müssen mit einem geldwerten Nutzen für die Kunden verbunden sein (z.B. Hinweis auf das neueste Angebot der Firma X, bei dessen Kauf XXX Superpunkte anfallen) und optisch und inhaltlich mit der Supercard in Verbindung gebracht werden. An gesperrte Kundenkonten (dies sind Konten, die länger als 12 Monate nicht mehr benutzt wurden; vgl. dazu auch Ziff. 5.8.2) wird keine Werbung mehr versandt. Alle Adressanträge von Coop internen Unternehmen oder Partnerunternehmen laufen über die Supercard Marketing-Abteilung. Diese prüft, ob der geplante Versand sinnvoll ist und die Kriterien für die Adressnutzung (z.B. aktueller Punktesaldo über 10'000; Postleitzahl) nach- vollziehbar sind. Pro Monat darf jede Adresse eines Supercard-Teilnehmers nur 1x für Mai- lings eingesetzt werden (Vermeidung von „Spam“). Bei Coop Supercard wird eine Dokumen- tation aller Mailings, bei denen Supercard-Kundenadressen genutzt wurden, systematisch angelegt. Mailings mit Werbeinformationen laufen über die Post, per Mail oder per Newsletter (bei letz- terem Versand kann im Internet angekreuzt werden, welchen Newsletter man erhalten möchte). Personen mit einem hohen Punktesaldo werden zum Teil von der Supercard Mar- keting-Abteilung selbst mit Mailings auf Prämien aufmerksam gemacht. Es gibt nur wenige Wechsel bei den Programm-Partnern. Die Wechsel werden jeweils per Mail/Newsletter oder in der Coop-Zeitung angekündigt. Wer bei einem neuen Partnerunter- nehmen Superpunkte sammeln möchte, muss entweder seine Karte vorzeigen oder sich beim Partnerunternehmen selbst mit Anschrift und Supercard-Nummer anmelden (z.B. Swisscom Fixnet). Coop selber gibt also keine Kundendaten von sich aus an neue Partnerun- ternehmen weiter (ausser bei einem späteren Adressversand).
5.5.3 Beurteilung aus Sicht des EDSB Für das Direct Marketing durch Partnerunternehmen stellt Coop Supercard den Supercard- Partnern auf Anfrage Adressdaten von Supercard-Kunden zur Verfügung. Die Supercard- Kunden werden in den AGB auf diese Datenweitergabe ihrer Adressen aufmerksam ge- macht. Bei einem Werbeversand muss zudem immer ersichtlich sein, dass die Adressen von Coop Supercard stammen. Die Adressherausgabe ist insofern für den Kunden transparent, und er gibt dazu seine Einwilligung (Art. 4 Abs. 2 und Art. 13 DSG; vgl. zu den AGB aber auch die Bemerkungen unter Ziff. 5.1.3). Zu begrüssen ist aus Sicht des EDSB ferner, dass die Ad- ressherausgabe von der Supercard Marketing-Abteilung überprüft und kontrolliert wird und dass Richtlinien bestehen, dass Adressdaten nur 1 Mal pro Monat genutzt werden dürfen. Damit ist die inhaltliche Verhältnismässigkeit der Adressweitergabe gewahrt (Art. 4 Abs. 2 DSG). Zudem muss jeder Versand mit einem geldwerten Nutzen für den Kunden verbunden sein. Ebenso verpflichten sich die Partnerunternehmen vertraglich, diese Adressen nur für den erfragten Werbeversand und nur einmalig zu gebrauchen sowie die Anforderungen der Datenschutzgesetzgebung bei der Adressnutzung strikte einzuhalten. Diese vertraglichen Absicherungen sind aus Sicht des EDSB sehr zu begrüssen. Ein Supercard-Kunde hat jederzeit die Möglichkeit, nachträglich auf persönlich adressierte Werbung zu verzichten. Aus Sicht des EDSB wäre es begrüssenswert, wenn ein Kunde bei
20 persönlich adressierter Werbung jeweils auf diese nachträgliche Verzichtsmöglichkeit auf- merksam gemacht werden würde. Dies könnte etwa dadurch geschehen, dass am gleichen Ort, an dem im Werbeversand optisch auf Coop Supercard als Adresslieferantin hingewiesen wird, auch gleich ein kurzer Satz mit der Verzichtsmöglichkeit (inkl. Telefonnummer des Call Centers resp. Internet-Link für Verzichtserklärung per Internet) angefügt wird. Hingegen ist die Datenanreicherung durch Spezialfirmen, welche von den Partnerunterneh- men dazu beauftragt werden, gegenüber dem Supercard-Kunden nicht erkennbar. Entgegen dem von Coop auch nach aussen hin so kommunizierten Grundsatz, dass im Rahmen von Supercard keine Warenkörbe generiert werden und Kunden auch nicht gestützt auf diese Warenkörbe mit Werbung bedient werden, dürfen die Partnerunternehmen von sich aus Su- percard-Adressen nach weiteren, kundenspezifischen Merkmalen (wie Haushaltsgrösse, Hausbesitz, Einkommensklasse, Alter etc.) selektionieren und so ein gewähltes Kundenseg- ment gezielt anschreiben. Wie aus den Unterlagen, welche dem EDSB vorliegen, ersichtlich ist, handelt es sich bei den zusätzlichen Merkmalen um ganz spezifische Informationen, wel- che auch auf ein Kundenprofil schliessen lassen könnten. Die Möglichkeit der Adressanreicherung durch externe Spezialfirmen wurde gemäss Aus- kunft der Supercard Marketing-Abteilung erst einmalig durch die Coop Versicherung wahr- genommen. Zusätzlich verlangt Coop Supercard von den Partnerfirmen, dass im Falle einer Adressanreicherung mit der beauftragten Spezialfirma (im vorliegenden Fall die Firma SCHO- BER DIRECT MEDIA AG) eine Datenschutzvereinbarung abgeschlossen wird, welche unter- schrieben an Coop Supercard gesendet werden muss. Sollten in Zukunft weitere Partnerun- ternehmen von dieser Adressanreicherung Gebrauch machen, so muss diese Adressanrei- cherung aus Sicht des EDSB klarer gegenüber dem Kunden kommuniziert werden. Für den Kunden ist derzeit nicht transparent bzw. nicht erkennbar, dass seine Supercard- Personendaten für Marketingzwecke ausgewertet werden und er dann anhand von weiteren Kriterien, die er gegenüber Coop oder den Partnerunternehmen nie offen gelegt hat, gezielt mit Werbung angeschrieben wird. Dies läuft sowohl dem Grundsatz der Transparenz der Da- tenbearbeitung (Art. 4 Abs. 2 DSG) als auch dem Grundsatz der Zweckbindung der Datenbe- arbeitung (Art. 4 Abs. 3 DSG) entgegen. Entweder ist in Zukunft auf die Adressanreicherung zu verzichten, oder die Möglichkeit der Adressanreicherung muss in den AGB zum Ausdruck kommen.
21 5.6 Auskunftsrecht Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.6.1 Untersuchte Datenflüsse Ein Kunde kann sein datenschutzrechtlich garantiertes Recht auf Auskunft (Art. 8 DSG) gel- tend machen, indem er entweder das Call Center (NEBUS AG in Biel) oder Coop Supercard direkt kontaktiert. Ferner hat er die Möglichkeit, seinen Punktesaldo und seine Stammdaten per Superbox oder via Internet abzufragen.
5.6.2 Auskunftsrecht im Einzelnen Der Supercard Konsumentendienst wird durch das Call Center NEBUS AG in Biel betrieben. Alle Mitarbeiter von NEBUS unterzeichnen ein „Revers betreffend Bankgeheimnis“ (im Rah- men von Supercard können auch über die Coop Bank oder die Coop Versicherungen Super- punkte gesammelt werden). Eine weitere Datenschutzerklärung unterzeichnen die Mitarbei- ter von NEBUS firmenintern. (...) 7
Es existieren sog. detaillierte Geschäftsfälle, in denen die Abläufe bei datenschutzrelevanten Fällen (z.B. Auskunftsrecht; Information über Punktestand; Punktetransfer auf anderes Konto; Bestellung Zusatzkarten; Adressdatenänderung) festgehalten sind. Die Geschäftsfälle werden ergänzt durch eine Auflistung (Datenschutz: „Weitergabe von Supercard Kundendaten“), wann und wie Supercard Kundendaten weiter gegeben werden dürfen. Bei Auskunftsgesuchen werden die Kunden von den NEBUS Mitarbeitern immer auch auf die Abfragemöglichkeiten via Superbox oder per Internet aufmerksam gemacht. Dort können die persönlichen Daten vom Kunden selbst abgerufen werden. Kleinere Auskunftsgesuche (ein- zelne Transaktionen oder Punktesaldo) dürfen von den Mitarbeitern der NEBUS AG direkt und mündlich beantwortet werden. Umfassende Auskunftsgesuche (im Sinne: „Welche Daten hat Coop über mich gesammelt?“) werden direkt an die Rechtsabteilung weitergeleitet. Der zuständige Mitarbeiter der Rechts-
7 Diese Passage betrifft Informationen über den Datenzugriff und wurde aufgrund überwiegender Interessen von Coop an deren Vertraulichkeit für die Publikation aus dem Schlussbericht gestri- chen.
22 abteilung erhält von der Supercard Marketing-Abteilung alle Supercard-Daten und klärt zu- sätzlich ab, ob und wo noch andere Daten der betreffenden Person gespeichert sind. Umfas- sende Auskunftsgesuche müssen schriftlich gestellt werden, und zusätzlich muss eine Kopie der ID beigelegt sein. Diese Datenauskunft erfolgt kostenlos. Löschanträge müssen ebenfalls, unter Beilage eines amtlichen Ausweises, schriftlich gestellt werden. Sollten bei einem Kunden Bank- oder Versicherungstransaktionen vorhanden sein, darf durch das Call Center gar keine Auskunft erteilt werden. Diese Kunden müssen via Superbox oder Internet die gewünschten Daten selber abrufen oder sich bei der Versicherung resp. Bank selber erkundigen (das Call Center gibt dem anfragenden Kunden die Telefonnummern be- kannt). Das Auskunfts- und Löschungsrecht wurde zur Zeit der Besichtigung vor Ort im Februar 2005 nicht explizit in den AGB erwähnt. Die beiden Mitarbeiter des EDSB wiesen bereits bei die- sem Treffen darauf hin, dass eine Aufnahme des Auskunfts- und Löschungsrechtes zur Ver- besserung der Transparenz beitragen würde. Diese Anregung hat Coop im März 2005 in der bereits umgesetzten Anpassung der AGB berücksichtigt.
5.6.3 Beurteilung aus Sicht des EDSB Ein Supercard-Kunde hat ausreichend die Möglichkeit, sich über alle Personendaten, welche von Coop über ihn bearbeitet werden, zu informieren. Er kann sich jederzeit per Internet oder per Superbox über sein eigenes Supercard-Konto vergewissern. Kleinere Gesuche kann ein Kunde direkt an das Call Center stellen. Grössere Gesuche muss er schriftlich unter Bei- lage eines amtlichen Ausweises einreichen. Dadurch, dass auf Anregung des EDSB seit März 2005 in den AGB explizit auf das Auskunfts- und Löschungsrecht der Supercard-Kunden hin- gewiesen wird, wird ein Kunde ausdrücklich auf seine Rechte gemäss Art. 8 DSG aufmerk- sam gemacht. Dies ist aus Sicht des EDSB sehr zu begrüssen.
23 5.7 Straftat Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.7.1 Untersuchte Datenflüsse Falls Behörden im Rahmen einer (Straf-)Untersuchung Informationen brauchen (typischer- weise den Kontoinhaber einer Supercard-Nummer), müssen sie sich direkt an die Rechtsab- teilung von Coop wenden.
5.7.2 Weiterleitung von Kundendaten bei Straftaten im Einzelnen Bei Vorlage einer Verfügung der Strafuntersuchungsbehörden gibt die Coop Rechtsabteilung die verlangten Daten heraus. Die Rechtsabteilung überprüft vorgängig die Richtigkeit der Da- ten. Eine solche Datenherausgabe wird dokumentiert und wurde von Coop schon vollzogen. An andere Dritte gibt Coop Supercard keine Supercard-Daten weiter. In den Supercard-AGB wird explizit darauf aufmerksam gemacht, dass „Coop mittels Verfügung einer Strafuntersu- chungsbehörde gezwungen werden kann, ihre Daten in einem Strafverfahren den Strafver- folgungsbehörden zur Verfügung zu stellen“.
5.7.3 Beurteilung aus Sicht des EDSB Der EDSB begrüsst die explizite Erwähnung der Datenherausgabepflicht in einem Strafverfah- ren und hat dazu keine weiteren Bemerkungen.
24 5.8 Aufbewahrung und Löschung weiterer Daten Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.8.1 Untersuchte Datenflüsse Innerhalb des Supercard-Prämienprogramms wird mit verschiedenen Personendaten ope- riert. Für deren Aufbewahrung und Löschung gelten unterschiedliche Regelungen. Die Auf- bewahrungs- und Löschungsfristen sind in den Archivierungs-Richtlinien umschrieben, wel- che von Coop in Zusammenarbeit mit der NEBUS AG erlassen wurden. Diese Archivierungs- Richtlinien liegen dem EDSB vor.
5.8.2 Aufbewahrung und Löschung weiterer Daten im Einzelnen Alle Talons (Neukarten / Zusatzkarten / Adressänderungen / Prämienbestellungen), welche bei der NEBUS AG eingehen, werden dort gesammelt und periodisch an Coop Supercard zurück geschickt. Diese Talons werden dort für 1 Jahr (bis Ablauf des darauffolgenden Kalen- derjahres) aufbewahrt. Nachher werden sie vernichtet. Die Bestelldaten, welche NEBUS er- hält, sind dort während 27 Monaten abrufbar. Danach werden die Daten auf Band gesichert und während 10 Jahren aufbewahrt (geschäftsrelevanter Vorgang im Sinne des Obligationen- rechts). Alle Adress-, Sprachwahl- oder anderen Änderungen nach der Anmeldung werden während eines Jahres (bis Ablauf des darauffolgenden Kalenderjahres) aufbewahrt (z.B. Ad- ressänderungsformulare der Post; Korrespondenz von NEBUS oder von Coop Supercard). Kartenretouren, Anträge auf Kartenlöschung ohne Einfluss auf Punktesaldo, Prämienbestel- lungen sowie allgemeine Korrespondenzen ohne Einfluss auf den Punktesaldo werden eben- falls während eines Jahres (bis Ablauf des darauffolgenden Kalenderjahres) aufbewahrt. Die Originale von amtlichen Ausweispapieren, Erbbescheinigungen etc. (zur Geltendmachung grösserer Auskunftsgesuche oder Löschungsanträge, vgl. Ziff. 5.6.2) werden nicht aufbe- wahrt, sondern kopiert und sofort an den Ausweisinhaber zurück geschickt. Die Kopien sel- ber werden während 10 Jahren aufbewahrt. Ebenfalls 10 Jahre aufbewahrt werden Anträge für Kartenlöschungen mit Auswirkungen auf Punktesaldo, alle Polizeifälle (Datenherausgabe bei Strafuntersuchungen; vgl. Ziff. 5.7), Prämienretouren und dazugehörige Korrespondenz sowie die allgemeine Korrespondenz der NEBUS oder Coop Supercard mit Einfluss auf den Punktesaldo. Für punkteausgebende Partnerunternehmen gelten unterschiedliche Fristen zur Verwaltung ihrer Datenfiles. Diese Fristen liegen dem EDSB nicht vor. Jedoch werden hier in der Regel
25 keine Stammdaten aufbewahrt, sondern nur die Punktetransaktionen mit der Supercard- Nummer. Die Datenfiles, die Coop Supercard von den Partnerunternehmen zur Gutschrift von Supercard-Punkten erhält, werden nach einem Jahr auf CD archiviert. Partnerunterneh- men sind vertraglich verpflichtet, alle Adressdaten nach der zweckgebundenen Nutzung zu vernichten oder an Coop Supercard zurückzuschicken. Kundendaten, welche zur Erstellung oder Nachbestellung und dem anschliessenden Versand der Supercard benötigt werden, werden von der Trüb AG nach 2-3 Tagen physisch gelöscht. Supercard-Konten von Kunden, die ihre Supercard während 12 Monaten nicht mehr benutzt haben, werden gesperrt. Mit der Karte können dann keine Punkte mehr gesammelt oder eingelöst werden, jedoch sind die Kontodaten alle noch erhalten. Bis heute hat noch keine physische Löschung solcher Konten (inkl. Stamm- und Programmdaten) stattgefunden. Ge- mäss Auskunft von Coop Supercard ist die physische Löschung noch in Arbeit. Die Realisie- rung des Löschprozedere sollte gemäss dieser Auskunft bis Ende Jahr umgesetzt sein. Es ist folgender Ablauf vorgesehen: Karten, welche mind. 1 Jahr keinen Umsatz mehr hatten, wer- den per November 2005 auf inaktiv gesetzt. Setzt der Kunde seine Karte wieder ein, erfolgt eine automatische Reaktivierung der Karte (inkl. Rückbuchung aller Punkte und Transaktio- nen). Der Kunde kann die Reaktivierung auch durch Anruf beim Call Center verlangen. Wird eine inaktive Karte während 2 Jahren nicht reaktiviert, wird die Karte physisch gelöscht. Für allfällige spätere Rückforderungen der Kunden werden die Kartennummer (ohne Stammda- ten) und der Saldo vor der Löschung gesichert. Eine spätere Reaktivierung nach Ablauf von 2 Jahren kann dann also nur noch über die Supercard-Nummer erfolgen. Die Nummer ist für die Coop jedoch anonymisiert. Die Kassentransaktionen (von Programmdaten) werden 10 Jahre aufbewahrt. Kassentransak- tionen, welche älter als 1 Jahr sind, werden verdichtet und zusätzlich auf einem Tape gesi- chert. Die elektronischen Kopien der Kassenbelege (von den Coop-Filialen) werden ca. 1 Mo- nat aufbewahrt (vgl. dazu auch Ziff. 5.2.2) 8 . Die beiden Mitarbeiter des EDSB haben nach der Besichtigung der Anlagen vor Ort schriftlich einen Anpassungsvorschlag für die AGB gemacht. Es wurde vorgeschlagen, dass zur Verbes- serung der Transparenz der Datenbearbeitung explizit in den AGB darauf hingewiesen wird, dass Daten, welche im Rahmen des Prämienprogramms Supercard anfallen, bis zu 10 Jahren aufbewahrt werden können. Coop hat diesen Vorschlag in der AGB-Revision von März 2005 umgesetzt. In der Datenschutzerklärung (Ziff. 9 Abs. 5 der AGB) findet sich jetzt folgender Passus: „Die Daten ihrer Bestellungen/Einkäufe werden periodisch saldiert und später ge- löscht. Im weiteren sind wir aufgrund gesetzlicher Bestimmungen verpflichtet, gewisse Un- terlagen (z.B. strafrechtlich relevante Akten) bis zu 10 Jahren aufzubewahren“.
5.8.3 Beurteilung aus Sicht des EDSB Grundsätzlich erscheinen die vorgesehenen Aufbewahrungs- und Löschungsfristen in zeitli- cher Hinsicht verhältnismässig. Der EDSB möchte aber auf folgende Punkte hinweisen: Die Supercard-Nummer als solche ist ein Personendatum (vgl. dazu bereits die Ausführungen in Ziff. 5.2.3). Als Dateninhaberin hat Coop die Verantwortung darüber, was mit den Perso- nendaten – d.h. mit den Supercard-Nummern – passiert. Unerheblich ist dabei, ob diese Da- ten pseudonymisiert sind und somit Dritte (wie Partner) nicht (zumindest nicht direkt) auf die Stammdaten der Kunden zugreifen können. Dennoch erscheint es dem EDSB wichtig, dass sich Coop Supercard dieser Verantwortung bewusst ist und sich bei den Partnerunterneh- men über bestehende und praktizierte Aufbewahrungs- und Löschungsfristen informiert. Der Grundsatz der zeitlichen Verhältnismässigkeit der Datenbearbeitung (Art. 4 Abs. 2 DSG) bedingt, dass für Personendaten eine frühestmögliche Löschung in Betracht gezogen wird.
8 Vgl. dazu die Bemerkungen in Fn. 3 sowie die Korrekturen im Anhang, Ziff. 2.2.
26 Aus diesem Grund erscheint dem EDSB die Aufbewahrungsfrist der Anmeldetalons von 1 Jahr als zu lang. Wir schlagen vor, dass diese Frist auf max. 2 Monate verkürzt wird. Der EDSB begrüsst die Präzisierung in den AGB vom März 2005, welche den Supercard- Kunden offen legt, dass Coop aufgrund gesetzlicher Bestimmungen verpflichtet sein kann, die im Rahmen von Supercard erhobenen Kundendaten bis zu 10 Jahren aufzubewahren. Darüber hinaus regen wir an, dass zusätzlich die für den Kunden relevanten Aufbewahrungs- fristen seiner im Rahmen von Supercard erhobenen Personendaten im Internet abrufbar auf- geführt werden.
27 5.9 Sicherheit Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.9.1 Untersuchte Räume /Anlagen Die Supercard-Daten sind im Supercard-Stamm-Rechner abgespeichert, der sich im Server- raum von Coop am Hauptsitz in Basel befindet. Weitere Daten sind bei der NEBUS AG (Biel und im Ausland), dem Kartenlieferanten (Trüb AG, Aarau), dem Softwarehersteller MDC (mit Sitz im Ausland; vgl. dazu Ziff. 5.10) sowie den Partnerunternehmen gespeichert. Ferner können auch über die Superbox oder per Internet Supercard-Daten abgefragt und bearbeitet werden.
5.9.2 Sicherheitsmassnahmen im Einzelnen Der Serverraum (und Supercard-Stamm-Rechner) ist mit einem Badge und einer PIN vor un- befugtem Zutritt geschützt. Die im Serverraum aufgestellten Rechner sind mit User-ID und Passwort geschützt. Es wird zusätzlich noch ein Alarm ausgelöst, wenn die Türe zum Server- raum länger als 1 Minute geöffnet ist. Die Zutritte zum Serverraum werden protokolliert (Log- File). Diese Protokolle werden regelmässig analysiert. Es existiert ein Backup-Serverraum, der mit den gleichen Sicherungsmassnahmen (Badge/PIN/Alarm sowie User-ID/Passwort) ge- schützt ist. Alle geschäftsrelevanten Daten werden täglich zwei Mal auf Bänder kopiert (Back- up). Die Backups werden nach einer relativ kurzen Zeitspanne (unter 1 Monat) gelöscht. Zutrittsberechtigt sind nur die Administratoren. Mitarbeiter von Coop Supercard haben ohne Begleitung der Administratoren keinen Zutritt zu diesen Räumlichkeiten. Gewisse Datenkommunikationen zum Zentralrechner erfolgen unchiffriert. Gemäss Auskunft von Coop Supercard ist vorgesehen, diese innerhalb der nächsten 12 Monate zu chiffrieren. Die Daten werden auch an Partner (z.T. auch ins Ausland) weitergeleitet. Der EDSB hat keine Angaben über die technischen und organisatorischen Massnahmen, die dort zur Datensi- cherheit von den Partnerunternehmen ergriffen werden. Die Daten von Programm-Partnern über gesammelte Supercard-Punkte werden via FTP und FTPS an Coop übertragen. In Zu- kunft wird nur noch FTPS eingesetzt. Zusätzlich laufen alle Daten immer durch einen Firewall. Die Supercard-Teilnehmer haben die Möglichkeit, ihre Daten über die Superbox abzufragen oder von dort aus Prämien zu bestellen. Für die Superbox-Abfrage reicht es, wenn man seine
28 Supercard in den Scanner hält. Coop empfiehlt jedoch allen Supercard-Teilnehmern, von der Möglichkeit einer Geheimnummer Gebrauch zu machen (Geheimnummer bei Superbox ist fakultativ, nicht vorausgesetzt). Wenn eine Geheimnummer eingerichtet wurde, so muss vor jedem operativen Schritt diese Zahl nochmals eingegeben werden (z.B. für Punkteabfrage, Punktetransfer auf anderes Konto, Prämienbestellung). Ein Missbrauch der Supercard an der Superbox (z.B. bei verlorengegangenen Karten) ist in einem beschränkten Masse dann mög- lich, wenn kein Passwort eingerichtet wurde. Es ist nicht auszuschliessen, dass so Kunden- daten (mit Ausnahme des Vor- und Nachnamens, der nicht per Superbox geändert werden kann) von Dritten geändert werden könnten. Insbesondere können Superpunkte auf ein an- deres Konto transferiert werden. Jedoch kann eine missbräuchliche Transaktion jederzeit von Coop Supercard zurückverfolgt werden. Ferner könnten Prämienbestellungen mit gestohle- nen Karten durch unbefugte Dritte getätigt werden, jedoch würde die (dann eben uner- wünscht bestellte) Prämie an die Adresse des Kartenbesitzers nach Hause geliefert. Die Su- percard-Teilnehmer haben aber jederzeit die Möglichkeit, ihre Karte bei Verlust sperren zu lassen oder sie mit einer eigenen Geheimzahl zu schützen. Bei einer Internetabfrage müssen die Kartennummer und die Geheimzahl eingegeben wer- den. Im Internet kann nur auf die Daten (Stammdaten und Programmdaten) zugegriffen wer- den, wenn auf dem Konto eine Geheimzahl erfasst wurde. Nach 3 Fehlversuchen wird die Kontoabfrage für einige Minuten gesperrt. Die Datenübertragung per Internet erfolgt via https. (...) 9
Alle Funktionen im Rahmen der Supercard Datenbank können nur mittels User-ID und Pass- wort abgerufen werden. Die User-ID ist mit bestimmten Zugriffsberechtigungen verknüpft. Über alle Transaktionen und Zugriffe werden LOG’s geführt. Daneben bestehen sog. Excepti- ons-Reports, welche Missbräuche von Mitarbeitern im Gebrauch der Supercard (z.B. auffällig viele oder hohe Transaktionen innerhalb eines kurzen Zeitraumes) anzeigen.
5.9.3 Beurteilung aus Sicht des EDSB Die Zutrittssicherungen zum Serverraum und Backup-Raum mittels Badge, PIN und Alarm sowie der Schutz der einzelnen Rechner mittels User-ID und Passwort sind aus Gründen der Datensicherheit (Art. 7 DSG) sehr zu begrüssen. (...) 10
Es entzieht sich der Kenntnis des EDSB, ob und falls ja, bis wann das Up-grade der Daten- kommunikation von FTP auf FTPS bereits erfolgt ist resp. erfolgen wird. Dieser Prozess sollte gemäss Auskunft von Coop Supercard bis Ende 2005 umgesetzt sein. Der EDSB geht davon aus, dass dieser Umwandlungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwägung, von sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nachkontrolle zu überprüfen. Zur verbesserten Datensicherheit sollte das individuelle Abrufverfahren an der Superbox oh- ne Geheimnummer nicht möglich sein. Der EDSB schlägt vor, dass bei der Superbox-Abfrage obligatorisch eine 4-stellige Geheimnummer vorausgesetzt wird.
9 Für die Publikation des Schlussberichts zum Schutz des Sicherheitskonzepts wurden sämtliche Passage zu den Räumlichkeiten der Supercard Mitarbeiter aus dem Bericht herausgenommen. Die Datenschutzkontrolle hat gezeigt, dass die Datensicherung in den Räumlichkeiten der Supercard Mitarbeiter den Anforderungen des DSG entspricht. 10 Vgl. dazu die Bemerkungen in Fn. 9.
29 5.10 Software Lieferant (Debugging) Kunde Coop SUPERCARD 8, 9 Karten- Lieferant 8, 9 Prämien Versand 8, 9 Software Lieferant Behörde Internet Superbox Call Center Partner 8, 9 Partner in Ausland 8, 9 1a, 1b, 1c 2 6, 3 1b, 1c, 6 1a, 1b, 1c, 6 1a, 1b, 1c, 6 3 3 1a, 1c 3 10 7 1a, 2 5 3 2, 3 2, 3 5 5 2 1a, 1b, 1c 6, 3 1a, 1b, 1c 6 2, 3 6 1b, 1c 2, 3 2, 4, 5 1a. Anmeldung 1b. Datenänderungen 1c. Zusatzkarten 2. Punktesammlung 3. Prämien 4. Marketing 5. Werbung 6. Auskunftsrecht 7. Straftat 8. Aufbewahrung, Löschung 9. Sicherheit 10. Software Lieferant (Debugging)
5.10.1 Datenzugriff des Software Lieferanten Software Lieferant der Supercard Datenbank ist die Firma MDC AG, mit Sitz im Ausland. Von der MDC AG stammen auch alle weiteren Programme, wie Superbox, Geschenkshop etc, welche im Bereich Supercard eingesetzt werden. Die MDC AG verfügt über eine Test- Datenbank, um die Applikation zu testen und weiter zu entwickeln. Die MDC AG hat aber auch direkten Zugriff auf die Supercard-Datenbank, um gewisse Systemfehler schneller zu finden und direkt beheben zu können. Dieser Zugriff wird selten benützt und auch nur dann, wenn absolut nötig (z.B. wenn ein Problem nicht mit der Test-Datenbank reproduziert wer- den kann). Solche direkten Zugriffe benötigen eine spezielle Bewilligung von Coop und wer- den alle speziell protokolliert. Die Datenübermittlung läuft via FTP. Eine Aufwertung (Up- grade) auf FTPS ist vorgesehen und in ungefähr einem Jahr zu erwarten.
5.10.2 Beurteilung aus Sicht des EDSB Direkte Zugriffe auf die Supercard Datenbank des Software-Lieferanten MDC AG benötigen eine spezielle Bewilligung von Coop und werden alle speziell protokolliert. Die Datenüber- mittlung läuft via FTP, wobei eine Aufwertung (Up-grade) auf FTPS innerhalb der nächsten 12 Monate vorgesehen ist. Beide Massnahmen sind aus Sicht der Datensicherheit (Art. 7 DSG) zu begrüssen. Gleichsam wie bereits unter Ziff. 5.9.3 erwähnt, geht der EDSB davon aus, dass dieser Umwandlungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwä- gung, von sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nach- kontrolle zu überprüfen. Auf Anregung des EDSB wird seit März 2005 in den Supercard-AGB explizit darauf hingewie- sen, dass im Rahmen des Supercard-Programms auch ein Datentransfer ins Ausland erfolgt. Insofern ist der Kunde darüber informiert, dass seine Personendaten – auch im Rahmen der Software-Optimierung oder Fehlerbehebung – ins Ausland transferiert werden können. Die explizite Erwähnung des Datentransfers mit der Nennung der Destinationsländer ist aus Sicht des EDSB zu begrüssen und trägt zur Transparenz der Datenbearbeitung bei (Art. 4 Abs. 2 DSG).
30 5.11 Sensibilisierung und Schulung von Mitarbeitern 5.11.1 Ergriffene Massnahmen In Zusammenarbeit mit NEBUS AG hat Coop Supercard sog. Geschäftsfälle entwickelt, wel- che das Vorgehen von Mitarbeitern bei allen datenschutzrelevanten Vorfällen umschreibt. Ein Muster dieser Geschäftsfälle liegt dem EDSB vor. Die Geschäftsfälle werden laufend up- to-date gehalten und die betroffenen Mitarbeiter (von Coop oder NEBUS AG) darin geschult. Die Geschäftsfälle werden durch eine Auflistung, wann und wie Supercard Kundendaten wei- tergegeben werden dürfen, ergänzt (sog. Datenschutz „Weitergabe von Supercard Kunden- daten“ (inkl. Ablage)). Diese Auflistung wird den betroffenen Mitarbeitern ebenfalls ausge- händigt und geschult. Die Dokumentablage wird vom Leiter Ausbildung Supercard regelmäs- sig überprüft. Die Mitarbeiter der NEBUS AG erhalten eine Grundschulung, welche von Coop Supercard in Zusammenarbeit mit der NEBUS AG entwickelt wurde. Diese Schulung wird laufend ange- passt, und bei Bedarf erfolgt eine Nachschulung/Orientierung durch Supercard Mitarbeiter bei der NEBUS. Das Call Center wird auch laufend durch Anrufe von sog. Mystery-Callers überprüft. Werden dabei Lücken entdeckt, wird nachgeschult. Alle Mitarbeiter von NEBUS unterzeichnen ein „Revers betreffend Bankgeheimnis“ (im Rah- men von Supercard können auch über Coop Bank oder Coop Versicherungen Superpunkte gesammelt werden). Eine weitere Datenschutzerklärung unterzeichnen die Mitarbeiter von NEBUS firmenintern. Die Mitarbeiter von Coop Supercard unterschreiben eine Coop interne Geheimhaltungserklärung. Diese Geheimhaltungserklärung liegt dem EDSB vor.
5.11.2 Beurteilung aus Sicht des EDSB Der EDSB begrüsst die von Coop Supercard in Zusammenarbeit mit der NEBUS AG ergriffe- nen Sensibilisierungsmassnahmen im Rahmen des Supercard-Kundenbindungsprogramms sehr und hat dazu keine weiteren Bemerkungen.
31 6. Ergebnisse Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die durchgeführte Kontrolle vom 9. Februar 2005 gemäss Art. 29 DSG, gelangt der EDSB zu einer durchwegs positiven Gesamtbeurteilung. Die Datenschutzkontrolle hat gezeigt, dass die im Rahmen von Supercard vorgenommene Datenbearbeitung grundsätzlich da- tenschutzkonform verläuft. Trotz dieser überwiegend positiven Beurteilung ist der EDSB in seiner Datenschutzkontrolle auch auf Sachverhalte gestossen, welche aus datenschutzrecht- licher Sicht einer Anpassung resp. Änderung bedürfen. Ausgehend von diesem Gesamtbild erlässt der EDSB zuhanden von Coop mit Sitz in Basel seine Gesamtbeurteilung in folgender Form: • Feststellungen; • Anpassungs- resp. Verbesserungsvorschläge; oder • Empfehlungen im Sinne des Art. 29 Abs. 3 DSG.
6.1 Anmeldung In inhaltlicher Hinsicht erfolgt die Erhebung der Stammdaten verhältnismässig (Art. 4 Abs. 2 DSG). Dem Kunden bleibt bei der Anmeldung sowie während der gesamten Dauer der Teil- nahme am Kundenbindungsprogramm die Wahlmöglichkeit, auf weitere persönlich adres- sierte Werbung zu verzichten. Durch die vom EDSB angeregte und von Coop umgesetzte Präzisierung in den AGB wird nun deutlich, dass allfällige Newsletter separat abgemeldet werden müssen. Ein Kunde hat also (auch nachträglich noch) die Wahlmöglichkeit, ob er auf weiterführende Werbung verzichten möchte (vgl. auch Art. 12 Abs. 2 lit. b DSG). Wird das entsprechende Feld bei der Anmeldung nicht angekreuzt, willigt der Kunde implizit in eine weitere Datennutzung seiner Adressdaten ein (Art. 13 Abs. 1 DSG). Der Datentransfer der Stammdaten ins Ausland wird nun aufgrund der Anpassung der AGB ebenfalls besser ersichtlich (zum verbleibenden Problem, dass die AGB bei der Anmeldung nicht einsehbar sind vgl. die Empfehlung Nr. 1 des EDSB). Zu begrüssen ist in diesem Zu- sammenhang ebenfalls, dass der Datentransfer ins Ausland dem EDSB bereits im Jahr 1999 gemeldet wurde. Aus datenschutzrechtlicher Sicht mangelhaft erscheit hingegen – trotz den aufgeführten In- formationen zu Supercard in der Anmeldebroschüre – die Transparenz der Datenbearbeitung sowie die Zweckbestimmung bei der Anmeldung. Sowohl auf der Anmeldebroschüre als auch auf der entsprechenden Website zur Anmeldung per Internet fehlt einem Kunden, der am Supercard-Programm teilnehmen will, die Einsicht in die geltenden AGB. Diese werden ihm erst mit dem Begleitbrief und den beiden Supercards zugestellt, also dann, wenn er den Anmeldetalon zur Teilnahme am Supercard-Programm bereits ausgefüllt und unterschrieben sowie seine Stammdaten übermittelt hat. Somit gibt der Kunde von sich aus bereits Perso- nendaten preis, ohne die Möglichkeit zu haben, sich anhand der AGB über den Umfang und Inhalt der Datenbearbeitung Gewissheit zu verschaffen. Für den Supercard-Kunden ist nicht ersichtlich, für welche Zwecke Coop seine Daten erhebt (Marketingzwecke). Ähnlich ist die Situation bei der Anmeldung per Internet. Wer sich per Internet anmeldet, wird nicht aufge- fordert, die AGB zu akzeptieren. Auch findet sich auf der Startseite zur Supercard-Anmeldung kein Pop-up, mit dem die AGB aufgerufen werden könnten. Der Kunde muss die AGB im In- ternet erst suchen. Bereits bei der Besichtigung der Anlagen vor Ort haben die beiden Mitar- beiter des EDSB auf diese Informationslücke hingewiesen und angeregt, dass eine Lösung gesucht werden müsse, wie die Kunden die AGB bereits einlesen können oder zumindest den Hinweis erhalten, wo sie die AGB abrufen können, bevor sie ihre Adressdaten und ihre Einwilligung zur Teilnahme am Supercard-Prämienprogramm abgeben. Die Transparenz der
32 Datenbearbeitung (Art. 4 Abs. 2 DSG) ist in diesem Punkt aus Sicht des EDSB mangelhaft. Bis anhin wurde dies nicht verbessert. Empfehlung Nr. 1: Der EDSB erlässt die Empfehlung, dass bei der Anmeldung per Anmeldetalon entweder die AGB in voller Länge abgedruckt wer- den oder zumindest ein direkter Link auf die Website des Super- card-Programms aufgeführt wird, auf der man die AGB einsehen kann. Bei der Anmeldung per Internet sind die AGB ebenfalls entweder in ganzer Länge aufzuführen (mit einem entsprechen- den Dialogfeld „akzeptieren/nicht akzeptieren“) oder es ist auf der Anmeldeseite ein Pop-up zu installiert, welches direkt zu den AGB führt.
6.2 Punktesammlung Im Rahmen des Supercard-Kundenbindungsprogramms werden keine Warenkörbe auf Ebene Einzelprodukt analysiert. Die detaillierten Einkaufsangaben der Supercard-Kunden werden jedoch im Rahmen der normalen Einkaufstransaktionen in Form einer elektronischen Kopie der Kassenbogen (sog. Journal) von Coop gespeichert. Sofern ein Kunde seine Supercard beim Einkauf vorzeigt, enthält diese Kopie auch die entsprechende Supercard-Nummer des Kunden. Die Supercard-Nummer an sich ist zwar pseudonymisiert. Dennoch handelt es sich bei der Supercard-Nummer um ein Personendatum, da ein Kunde anhand dieser Nummer bestimmbar ist und sein Kundenkonto eingesehen werden kann (vgl. Art. 3 lit. a DSG). Die Kopie des Kassenbogens enthält demzufolge ein Personendatum, dass von Coop während 1 Monat 11 in einer Datenbank gespeichert wird. Auch wenn diese Datenspeicherung nicht im Rahmen des Supercard-Programms erfolgt und zweckgebunden ist, werden hier Personen- daten von Supercard-Kunden bearbeitet, aus denen auch die detaillierten Warenkörbe er- sichtlich sind. Über diese Datenbearbeitung müssen die Supercard-Kunden von Coop infor- miert werden. Empfehlung Nr. 2: 12
Der EDSB erlässt die Empfehlung, dass den Kunden in den AGB mitgeteilt wird, dass bei Vorzeigen der Supercard von Coop ein detaillierter Warenkorb während 1 Monats unter strenger Zweck- bindung – und insbesondere nicht zu Marketingzwecken – auf- bewahrt wird. Nur so erhält der Kunde volle Transparenz in Bezug auf die von Coop über seine Person bearbeiteten Daten (Art. 4 Abs. 2 DSG).
6.3 Prämien Der Datentransfer ins Ausland im Rahmen des Prämienbezuges kommt seit der jüngsten Revision der AGB deutlich zum Ausdruck. Zudem wurde dem EDSB der Datentransfer ins Ausland bereits im Jahr 1999 schriftlich angemeldet (vgl. zum Ganzen auch die Ausführungen
11 Vgl. dazu die Bemerkungen in Fn. 3 sowie die Korrekturen im Anhang, Ziff. 2.2. 12 Vgl. zu Empfehlung Nr. 2 die Bemerkungen in Fn. 3 sowie Korrekturen im Anhang, Ziff. 2.2.
33 in Ziff. 5.1.3). Aus Sicht des EDSB sind beide getroffenen Massnahmen zu begrüssen und tragen zur Transparenz der Datenbearbeitung bei (Art. 4 Abs. 2 DSG).
6.4 Marketing Da es im Rahmen des Supercard-Programms grundsätzlich nicht möglich ist, detaillierte Wa- renkorbanalysen der Kunden zu Marketingzwecken durchzuführen, erscheint die Datenbear- beitung in diesem Punkt als inhaltlich verhältnismässig (Art. 4 Abs. 2 DSG). Der EDSB hat be- züglich des Marketings an sich keine Anpassungsvorschläge. Jedoch sei an dieser Stelle auf die Empfehlung Nr. 1 bezüglich der Offenlegung der Marketingauswertung bei der Anmel- dung hingewiesen.
6.5 Werbung Für das Direct Marketing durch Partnerunternehmen stellt Coop Supercard den Supercard- Partnern auf Anfrage Adressdaten von Supercard-Kunden zur Verfügung. Die Supercard- Kunden werden in den AGB auf diese Datenweitergabe ihrer Adressen aufmerksam ge- macht. Bei einem Werbeversand muss zudem immer ersichtlich sein, dass die Adressen von Coop Supercard stammen. Die Adressherausgabe ist – unter Voraussetzung, dass der Kunde die Möglichkeit hatte, die AGB bei der Anmeldung einzusehen (vgl. Empfehlung 1) – für den Kunden transparent, und er gibt dazu seine Einwilligung (Art. 4 Abs. 2 und Art. 13 DSG). Die Adressherausgabe erfolgt auch in inhaltlicher Hinsicht verhältnismässig (vgl. Art. 4 Abs. 2 DSG), da alle Adressanträge durch Coop Supercard geprüft und frei gegeben werden und die Kundenadressen nur 1 Mal pro Monat für ein Mailing verwendet werden dürfen. Zu begrüs- sen ist aus Sicht des EDSB auch, dass bei einer Adressherausgabe an Partnerfirmen der Werbeversand inhaltlich und optisch mit Coop Supercard in Verbindung gebracht sowie den Kunden ein geldwerter Nutzen gewährt werden muss. Ebenso verpflichten sich die Partner- unternehmen vertraglich, diese Adressen nur für den erfragten Werbeversand und nur ein- malig zu gebrauchen sowie die Anforderungen der Datenschutzgesetzgebung bei der Ad- ressnutzung strikte einzuhalten. Diese vertraglichen Absicherungen sind aus Sicht des EDSB sehr zu begrüssen. Anpassungs-/Verbesserungsvorschlag Nr. 1: Der EDSB schlägt jedoch vor, dass bei einem Werbeversand im- mer auch auf die Möglichkeit der nachträglichen Verzichtserklä- rung aufmerksam gemacht wird. Dies könnte etwa dadurch reali- siert werden, dass am gleichen Ort, an dem bei Werbeversänden auf Coop Supercard optisch hingewiesen wird, ein kurzer Satz (inkl. Angabe der Telefonnummer des Call Centers resp. Internet- Link für Verzichtserklärung im Internet) angefügt wird, der den Kunden auf diese Möglichkeit hinweist.
Coop Supercard erlaubt den Partnerunternehmen, Adressdaten von Supercard-Kunden, wel- che sie vorgängig von Coop beantragt und erhalten haben, durch Spezialfirmen mit zusätzli- chen Informationen anreichern zu lassen. Diese Datenanreicherung ist gegenüber den Su- percard-Kunden nicht transparent. Insbesondere dürfen die Partnerunternehmen, entgegen dem von Coop auch nach aussen hin so kommunizierten Grundsatz, dass im Rahmen von Supercard keine Warenkörbe generiert werden und Kunden auch nicht gestützt auf diese Warenkörbe mit Werbung bedient werden, von sich aus Supercard-Adressen nach weiteren, kundenspezifischen Merkmalen (wie Haushaltsgrösse, Hausbesitz, Einkommensklasse, Alter etc.) selektionieren und so ein gewähltes Kundensegment gezielt anschreiben. Wie aus den Unterlagen, welche dem EDSB vorliegen, ersichtlich wird, handelt es sich bei den zusätzli-
34 chen Merkmalen um ganz spezifische Informationen, welche auf ein Kundenprofil schliessen lassen könnten. Gemäss Aussagen von Coop Supercard wird eine solche Adressanreiche- rung derzeit nur von der Coop Versicherung in Auftrag gegeben. Zusätzlich wird von Coop Supercard die Vorlage eine Datenschutzvereinbarung zwischen der beauftragten Spezialfir- ma und dem Partnerunternehmen verlangt. Dennoch ist es für den Kunden derzeit nicht transparent bzw. nicht erkennbar, dass seine Supercard-Personendaten für Marketingzwe- cke ausgewertet und er dann anhand von weiteren Kriterien, die er gegenüber Coop oder den Partnerunternehmen nie offen gelegt hat, gezielt mit Werbung angeschrieben wird. Dies läuft sowohl dem Grundsatz der Transparenz der Datenbearbeitung (Art. 4 Abs. 2 DSG) als auch dem Grundsatz der Zweckbindung der Datenbearbeitung (Art. 4 Abs. 3 DSG) entgegen. Empfehlung Nr. 3: Der EDSB erlässt die Empfehlung, dass in Zukunft entweder die Möglichkeit der Adressanreicherung in den AGB für die Super- card-Kunden klarer zum Ausdruck kommen muss oder auf die Adressanreicherung durch beauftragte Spezialfirmen ganz zu verzichten ist. Für eine Präzisierung der Adressanreicherung in den AGB empfiehlt der EDSB folgende Formulierung: „Ihre Daten werden nur innerhalb der Coop-Gruppe und an Supercard Part- nerfirmen (Firmen ausserhalb der Coop-Gruppe, welche Super- punkte ausgeben) weitergegeben. Supercard Partnerfirmen ha- ben die Möglichkeit, Ihre Daten an professionelle Adresshändler weiterzugeben, um sie mit weiteren Merkmalen (wie Haushalts- grösse, Hausbesitz, Einkommensklasse, Alter etc.) anreichern zu lassen“ (Ziff. 9 Abs. 6 AGB).
6.6 Auskunftsrecht Ein Supercard-Kunde hat ausreichend die Möglichkeit, sich über alle Personendaten, welche von Coop im Rahmen des Supercard-Programms über ihn erhoben werden, zu informieren. Er kann sich über sein eigenes Supercard-Konto jederzeit per Internet oder per Superbox vergewissern. Kleinere Auskunftsgesuche kann ein Kunde direkt beim Call Center stellen. Grössere Gesuche muss er schriftlich unter Beilage eines amtlichen Ausweises einreichen. Dadurch, dass auf Anregung des EDSB seit März 2005 in den AGB explizit auf das Auskunfts- und Löschungsrecht aufmerksam gemacht wird, kann ein Kunde seine Rechte gemäss Art. 8 DSG besser geltend machen. Dies ist aus Sicht des EDSB sehr zu begrüssen.
6.7 Datenherausgabe bei einer Straftat Personendaten von Supercard-Kunden werden von der Coop Rechtsabteilung nur dann an eine Strafverfolgungsbehörde weitergegeben, wenn eine Verfügung vorliegt und vorgängig die Richtigkeit der Daten überprüft wurde. An andere Dritte gibt Coop Supercard keine Su- percard-Daten weiter. In den Supercard-AGB wird explizit auf die allfällige Pflicht zur Daten- herausgabe im Rahmen eines Strafverfahrens aufmerksam gemacht. Der EDSB begrüsst die explizite Erwähnung der Herausgabepflicht in den AGB und hat dazu keine weiteren Bemer- kungen.
35 6.8 Aufbewahrung und Löschung weiterer Daten Grundsätzlich erscheinen die vorgesehenen Aufbewahrungs- und Löschungsfristen in zeitli- cher Hinsicht verhältnismässig. Anpassungsbedarf besteht bei der Aufbewahrungsfrist der Anmeldetalons. Anpassungs-/Verbesserungsvorschlag Nr. 2: Der EDSB schlägt vor, dass die Frist zur Aufbewahrung der An- meldetalons von 1 Jahr auf max. 2 Monate verkürzt wird.
Der EDSB begrüsst die Präzisierung in den AGB vom März 2005, welche den Supercard- Kunden offen legt, dass Coop aufgrund gesetzlicher Bestimmungen verpflichtet sein kann, die im Rahmen von Supercard erhobenen Kundendaten bis zu 10 Jahren aufzubewahren. Anpassungs-/Verbesserungsvorschlag Nr. 3: Der EDSB schlägt vor, dass darüber hinaus die für den Kunden re- levanten Aufbewahrungsfristen seiner im Rahmen von Supercard erhobenen Personendaten im Internet abrufbar aufgeführt wer- den.
Der EDSB möchte an dieser Stelle nochmals betonen, dass die Supercard-Nummer als solche ein Personendatum darstellt (vgl. dazu bereits die Ausführungen in Ziff. 5.2.3). Als Dateninha- berin hat Coop die Verantwortung darüber, was mit den Personendaten – d.h. mit den Su- percard-Nummern – passiert. Unerheblich ist dabei, ob diese Daten pseudonymisiert sind und somit Dritte (wie Partner) nicht (zumindest nicht direkt) auf die Stammdaten der Kunden zugreifen können. Es erscheint dem EDSB wichtig, dass sich Coop Supercard als Dateninha- berin dieser Verantwortung bewusst ist und weist darauf hin, dass es im Interesse von Coop Supercard liegt, dass die Bearbeitung dieser Personendaten durch Dritte (d.h. Partnerunternehmen) datenschutzkonform erfolgt. Anpassungs-/Verbesserungsvorschlag Nr. 4: Der EDSB fordert daher Coop Supercard dazu auf, sich bei den Partnerunternehmen nach bestehenden und praktizierten Auf- bewahrungs- und Löschungsfristen zu informieren und falls nötig korrigierend einzugreifen.
6.9 Sicherheit Die Zutrittssicherungen zum Serverraum und Backup-Raum mittels Badge, PIN und Alarm sowie der Schutz der einzelnen Rechner mittels User-ID und Passwort sind aus Gründen der Datensicherheit (Art. 7 DSG) sehr zu begrüssen. (...) 13
13 Für die Publikation des Schlussberichts zum Schutz des Sicherheitskonzepts wurden sämtliche Passage zu den Räumlichkeiten der Supercard Mitarbeiter aus dem Bericht herausgenommen, vgl. dazu auch die Bemerkungen in Fn. 9.
36 Anpassungs-/Verbesserungsvorschlag Nr. 5: (...) 14
Das von Coop Supercard geplante Up-grade der Datenkommunikation von FTP auf FTPS ge- stützt auf Art. 7 DSG ist sehr zu begrüssen. Der EDSB geht davon aus, dass dieser Umwand- lungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwägung, von sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nachkontrolle zu überprü- fen. Zur verbesserten Datensicherheit sollte das individuelle Abrufverfahren an der Superbox oh- ne Geheimnummer nicht möglich sein. Anpassungs-/Verbesserungsvorschlag Nr. 6: Der EDSB schlägt vor, dass bei der Superbox-Abfrage obligato- risch eine 4-stellige Geheimnummer vorausgesetzt wird.
6.10 Software-Lieferant (Debugging) Direkte Zugriffe auf die Supercard Datenbank des Software-Lieferanten MDC AG mit Sitz im Ausland benötigen eine spezielle Bewilligung von Coop und werden darüber hinaus speziell protokolliert. Die Datenübermittlung läuft via FTP, wobei eine Aufwertung (Up-grade) auf FTPS innerhalb dieses Jahres vorgesehen ist. Der EDSB geht davon aus, dass dieser Umwandlungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwägung, von sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nachkontrolle zu überprüfen.
Auf Anregung des EDSB wird seit März 2005 in den Supercard-AGB explizit darauf hingewie- sen, dass im Rahmen des Supercard-Programms auch ein Datentransfer ins Ausland erfolgt. Insofern ist der Kunde darüber informiert, dass seine Personendaten – auch im Rahmen der Software-Optimierung oder Fehlerbehebung – ins Ausland transferiert werden können. Die explizite Erwähnung des Datentransfers ins Ausland unter Nennung des Destinationslandes ist aus Sicht des EDSB zu begrüssen und trägt zur Transparenz der Datenbearbeitung bei (Art. 4 Abs. 2 DSG).
6.11 Sensibilisierung und Schulung von Supercard-Mitarbeitern Der EDSB begrüsst die von Coop Supercard im Rahmen des Supercard- Kundenbindungsprogramms ergriffenen Sensibilisierungsmassnahmen sehr und regt an, diese auch in Zukunft so weiterzuführen.
14 Für die Publikation des Schlussberichts zum Schutz des Sicherheitskonzepts wurden sämtliche Passage zu den Räumlichkeiten der Supercard Mitarbeiter aus dem Bericht herausgenommen, vgl. dazu auch die Bemerkungen in Fn. 9.
37 7. Schlussfolgerungen 7.1 Bezüglich der Kontrolle des Kundenbindungsprogramms Supercard Im Rahmen des Kundenbindungsprogramms Supercard werden Personendaten von einem Grossteil der Schweizer Bevölkerung (es bestehen mehr als 2 Mio. aktive Supercard-Konten) bearbeitet. Die durchgeführte Datenschutzkontrolle konnte dem EDSB einen vertieften Ein- blick in die Abwicklung und die Datenflüsse liefern. Die von Coop zur Verfügung gestellten Unterlagen und Dokumentationen haben es dem EDSB erlaubt, die im Rahmen von Super- card vollzogene Bearbeitung von Personendaten einer vertieften Prüfung und detaillierten Analyse zu unterziehen und damit die Einhaltung der Datenschutzbestimmungen zu überprü- fen. Dem EDSB hat sich ein überwiegend positives Gesamtbild der Datenbearbeitung präsentiert. Wo Anpassungs- oder Änderungsbedarf besteht, hat dies der EDSB mit Begründung erläu- tert.
7.2 Verfahren und weiteres Vorgehen Im Rahmen des Kundenbindungsprogramms Supercard werden seit dem Jahr 2000 grosse Mengen Kundendaten erfasst und zu Marketing- sowie statistischen Zwecken ausgewertet. Gestützt auf die dem EDSB vorliegenden Zahlen – Supercard führt mehr als 2 Millionen aktive Kundenkonten – kann davon ausgegangen werden, dass sich das Kundenbindungsprogramm in den letzten fünf Jahren etabliert hat und von einem Grossteil der Schweizer Bevölkerung in Anspruch genommen wird. In Anbetracht des grossen Benutzerkreises und der Sensibilität der bearbeiteten Personendaten erwies sich die nun erstmalig erfolgte umfassende Überprü- fung von Supercard bezüglich der Einhaltung der Datenschutzbestimmungen als sehr auf- schlussreich und bedeutungsvoll. Aus besagten Gründen besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für diese Art der Datenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Da- tenschutzkontrolle bei Coop Supercard und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDSB daher den vorliegenden Kontrollbericht betref- fend das Kundenbindungsprogramm Supercard in einer angepassten Version (und bezüglich Namensnennungen anonymisiert) der Öffentlichkeit zugänglich machen und ihn auf seiner Website (www.edsb.ch ) publizieren. Selbstverständlich erfolgt die Publikation unter dem Vor- behalt, dass keine aus Sicht von Coop vertraulichen Daten, welche Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. Coop (Hauptsitz Basel) wird daher aufgefordert, den Kontrollbericht auf solche vertraulichen Inhalte hin zu überprüfen und dem EDSB mit Frist von 30 Tagen entsprechend schriftliche Rückmeldung zu erstatten. Der vorliegende Kontrollbericht enthält eine Reihe von Feststellungen sowie Anpassungs- resp. Verbesserungsvorschläge, welche vom EDSB auf Basis der durchgeführten Kontrolle verfasst wurden. Coop wird gebeten, vorliegenden Kontrollbericht sowie die darin enthalte- nen Feststellungen und Vorschläge zur Kenntnis zu nehmen und dem EDSB mit Frist von 30 Tagen darüber zu informieren, ob von Seiten Coop irgendwelche Bemerkungen dazu vorliegen und ob, und wenn ja, mit welchen Massnahmen und innerhalb welcher Frist die Vorschläge des EDSB umgesetzt werden. Darüber hinaus enthält der vorliegende Kontrollbericht Empfehlungen im Sinne des Art. 29 Abs. 3 DSG, welche sich an Coop, Hauptsitz, Thiersteinerallee 12, Postfach, 4002 Basel, rich- ten. Coop teilt dem EDSB mit Frist von 30 Tagen mit, ob sie diese Empfehlungen akzep- tiert oder nicht. Falls die Empfehlungen abgelehnt oder nicht befolgt werden, kann der EDSB die Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).
38
Bern, den 23. Mai 2005
EIDGENÖSSISCHER DATENSCHUTZBEAUFTRAGTER Der Beauftragte:
Hanspeter Thür
I Anhang vom 28. September 2005 zum Schlussbericht
Der EDSB hat am 28. September 2005 die Datenschutzkontrolle gemäss Art. 29 DSG über das Kundenbindungsprogramm Supercard für abgeschlossen erklärt.
Empfehlung Nr. 1: Der EDSB erlässt die Empfehlung, dass bei der Anmeldung per Anmeldetalon entweder die AGB in voller Länge abgedruckt wer- den oder zumindest ein direkter Link auf die Website des Super- card-Programms aufgeführt wird, auf der man die AGB einsehen kann. Bei der Anmeldung per Internet sind die AGB ebenfalls entweder in ganzer Länge aufzuführen (mit einem entsprechen- den Dialogfeld „akzeptieren/nicht akzeptieren“) oder es ist auf der Anmeldeseite ein Pop-up zu installiert, welches direkt zu den AGB führt.
Stellungnahme Coop: Aus Platzgründen ist es Coop nicht möglich, die AGB auf die Anmeldetalons zu drucken. Daher wird Coop auf dem Anmeldetalon den Link zu den AGB aufführen. Umsetzung: nach Verbrauch der alten Formulare (ca. Ende 2005) Bei der Anmeldung per Internet werden die AGB neu eingeblendet und ein Dialog- feld „akzeptieren/nicht akzeptieren“ eingefügt. Umsetzung: September 2005
Reaktion EDSB: Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
II 2.2 Punktesammlung
Empfehlung Nr. 2: Der EDSB erlässt die Empfehlung, dass den Kunden in den AGB mitgeteilt wird, dass bei Vorzeigen der Supercard von Coop ein detaillierter Warenkorb während 1 Monats unter strenger Zweck- bindung – und insbesondere nicht zu Marketingzwecken – auf- bewahrt wird. Nur so erhält der Kunde volle Transparenz in Bezug auf die von Coop über seine Person bearbeiteten Daten (Art. 4 Abs. 2 DSG).
Stellungnahme Coop: Die Empfehlung 2 basiert auf Sachverhalten, die nachträglich von Coop korrigiert wurden: Das elektronische Kassenjournal wird auf dem Ladenrechner für 1 Monat abge- speichert. Auf dem sog. Gen. Rechner (=Rechner pro Verkaufsregion) werden die- se Daten 10 Jahre aufbewahrt (gemäss Vorgaben des Obligationenrechts, ge- schäftsrelevanter Vorgang). Im EKPS (Elektronischen Kassenprüfsystem) werden diese Daten 3 Monaten aufbewahrt. Mit diesen Daten werden keine individualisier- ten Warenkorbanalysen durchgeführt. Coop schlägt zur Gewährleistung der Transparenz folgende neue Formulierung in den AGB vor: „Von Gesetzes wegen muss eine Kopie des Kassenbons (inkl. Super- card Nummer) während 10 Jahren elektronisch aufbewahrt werden. Auch diese Kopie wird nicht zu einer individualisierten Warenkorbanalyse benutzt“. Umsetzung: September 2005.
Reaktion EDSB: Empfehlung wird umgesetzt. Coop wertet diese Belege nicht zu Marketingzwecken aus. Es besteht auch keine Möglichkeit, die Belege nach Supercard-Nummern automatisiert abzufragen. Der EDSB geht bezüglich der veränderten, berichtigten Situation der Aufbewah- rungszeit der elektronischen Kassenbelege davon aus, dass eine automatisierte Abfrage nach der Supercard-Nummer eines Kunden nicht möglich ist. Ausgehend von dieser Prämisse erachtet der EDSB mit der Erwähnung der längsten Aufbe- wahrungszeit von 10 Jahren in den AGB die Empfehlung Nr. 2 als umgesetzt. Es sind keine weiteren Schritte nötig.
2.3 Werbung
Anpassungs-/Verbesserungsvorschlag Nr. 1: Der EDSB schlägt jedoch vor, dass bei einem Werbeversand im- mer auch auf die Möglichkeit der nachträglichen Verzichtserklä- rung aufmerksam gemacht wird. Dies könnte etwa dadurch reali- siert werden, dass am gleichen Ort, an dem bei Werbeversänden auf Coop Supercard optisch hingewiesen wird, ein kurzer Satz
III (inkl. Angabe der Telefonnummer des Call Centers resp. Internet- Link für Verzichtserklärung im Internet) angefügt wird, der den Kunden auf diese Möglichkeit hinweist.
Stellungnahme Coop: Coop wird diesen Hinweis bei den gedruckten Werbemitteln (Mailings etc.) in Zu- kunft einbauen. Im Internet ist der Hinweis bei jedem Newsletter bereits vorhan- den.
Reaktion EDSB: Anpassung wird umgesetzt. Es sind keine weiteren Schritte nötig.
Empfehlung Nr. 3: Der EDSB erlässt die Empfehlung, dass in Zukunft entweder die Möglichkeit der Adressanreicherung in den AGB für die Super- card-Kunden klarer zum Ausdruck kommen muss oder auf die Adressanreicherung durch beauftragte Spezialfirmen ganz zu verzichten ist. Für eine Präzisierung der Adressanreicherung in den AGB empfiehlt der EDSB folgende Formulierung: „Ihre Daten werden nur innerhalb der Coop-Gruppe und an Supercard Part- nerfirmen (Firmen ausserhalb der Coop-Gruppe, welche Super- punkte ausgeben) weitergegeben. Supercard Partnerfirmen ha- ben die Möglichkeit, Ihre Daten an professionelle Adresshändler weiterzugeben, um sie mit weiteren Merkmalen (wie Haushalts- grösse, Hausbesitz, Einkommensklasse, Alter etc.) anreichern zu lassen“ (Ziff. 9 Abs. 6 AGB).
Stellungnahme Coop: Coop wird die Möglichkeit der Datenanreicherung durch Partnerunternehmen als Ergänzung in die AGB aufnehmen. Umsetzung: September 2005
Reaktion EDSB: Empfehlung wird umgesetzt. Es sind keine weiteren Schritte nötig.
2.4 Aufbewahrung und Löschung weiterer Daten
Anpassungs-/Verbesserungsvorschlag Nr. 2: Der EDSB schlägt vor, dass die Frist zur Aufbewahrung der An- meldetalons von 1 Jahr auf max. 2 Monate verkürzt wird.
IV Stellungnahme Coop: Die verkürzte Aufbewahrungsfrist kommt Coop entgegen. Entsprechende interne Anweisungen werden angepasst und die zuständigen Personen informiert.
Reaktion EDSB: Anpassung wird umgesetzt. Keine weiteren Schritte nötig.
Anpassungs-/Verbesserungsvorschlag Nr. 3: Der EDSB schlägt vor, dass darüber hinaus die für den Kunden re- levanten Aufbewahrungsfristen seiner im Rahmen von Supercard erhobenen Personendaten im Internet abrufbar aufgeführt wer- den.
Stellungnahme Coop: Coop möchte auf die Umsetzung dieser Anpassung verzichten, da sich Kunden noch nie nach Aufbewahrungsfristen erkundigt hatten und die Anpassung mit ei- nem relativ hohen Aufwand für Coop verbunden wäre (= neue Internetseite, wel- che gewartet werden müsste).
Reaktion EDSB: Anpassung wird nicht umgesetzt. Da die Forderung des EDSB nach mehr Transpa- renz und Offenlegung der Aufbewahrungsfristen mit der Ergänzung der AGB be- züglich Empfehlung 2 (Deklaration der längsten 10-jährigen Aufbewahrungsfrist) grundsätzlich erfüllt wird, haben wir dazu keine Einwände.
Anpassungs-/Verbesserungsvorschlag Nr. 4: Der EDSB fordert daher Coop Supercard dazu auf, sich bei den Partnerunternehmen nach bestehenden und praktizierten Auf- bewahrungs- und Löschungsfristen zu informieren und falls nötig korrigierend einzugreifen.
Stellungnahme Coop: Coop wird die Aufbewahrungs- und Löschungsfristen bei Partnerunternehmen er- fragen. Sollten gewisse Daten zu lange aufbewahrt werden, wird Coop bei den Partnerunternehmen entsprechend intervenieren.
Reaktion EDSB: Anpassung wird umgesetzt. Es sind keine weiteren Schritte nötig.
V 2.5 Sicherheit
Anpassungs-/Verbesserungsvorschlag Nr. 5: (...) 15
Stellungnahme Coop: (...) 16
Reaktion EDSB: (...) 17
Anpassungs-/Verbesserungsvorschlag Nr. 6: Der EDSB schlägt vor, dass bei der Superbox-Abfrage obligato- risch eine 4-stellige Geheimnummer vorausgesetzt wird.
Stellungnahme Coop: Trotz ausreichender Information der Kunden durch Coop konnte bisher nicht er- reicht werden, dass die Mehrheit der Supercard-Kunden ihre Supercard mit einer Geheimnummer absichern. Zudem wäre die Einführung einer obligatorischen Ge- heimnummer sehr komplex und teuer. Auch bestehen bereits heute sehr viele An- fragen von Kartennutzern, die ihre PIN vergessen haben. Der administrative Auf- wand wäre bei einer 100% Abdeckung im Verhältnis zum möglichen Nutzen ex- trem hoch. Daher sieht Coop von einem PIN-Zwang ab. Sollte in Zukunft mit der Karte eine grössere Erweiterung des Funktionsumfangs zu erwarten sein, so will Coop die Massnahme noch einmal überprüfen.
Reaktion EDSB: Anpassung wird nicht umgesetzt. Der EDSB kann den vorgebrachten Argumenten folgen. Sollte sich jedoch der Funktionsumfang der Superbox-Abfrage einmal ändern (insb. falls in Zukunft ein- mal Warenkörbe generiert werden könnten und diese über die Superbox abrufbar sind), muss Coop die PIN zwingend voraussetzen. Da der Funktionsumfang heute beschränkt ist und der Kunde in den AGB aufgefordert wird, die Superbox mit ei- ner 4-stelligen Geheimzahl zu schützen, haben wir dazu keine weiteren Einwände.
15 Für die Publikation des Schlussberichts zum Schutz des Sicherheitskonzepts wurden sämtliche Passage zu den Räumlichkeiten der Supercard Mitarbeiter aus dem Bericht herausgenommen, vgl. dazu auch die Bemerkungen in Fn. 9. 16 Vgl. dazu die Bemerkungen in Fn. 15 und Fn. 9. 17 Vgl. dazu die Bemerkungen in Fn. 15 und Fn. 9.
VI 2.6 Umsetzung der bei der Kontrolle vor Ort angekündigten Anpassungen
2.6.1 Umsetzung aller Verbindungen auf FTPS (Ziff. 5.9.3 Schlussbericht) Die Umstellung aller Verbindungen auf FTPS wird auf Sommer 2006 realisiert. Der EDSB erwartet von Coop, dass er zu gegebener Zeit über die Realisierung der Um- stellung informiert wird.
2.6.2 Definitive Löschung der Stammdaten (Ziff. 5.8.2 Schlussbericht) Coop hat aufgrund der Anregung des EDSB noch einmal überprüft, wann und wie Daten von nicht mehr eingesetzten Supercards gelöscht werden können. Momentan werden „inaktive“ Konten nicht gelöscht, sondern nur die Punkte ab- gebucht und die Karte auf einen speziellen Status gesetzt. Dies ermöglicht den Kunden jederzeit eine Reaktivierung – inkl. Rückbuchung aller abgebuchten Punkte – ihrer Karte (durch den Einsatz der Karte an der Kasse oder via Antrag beim Call Center). Diese kundenfreundliche Lösung wird denn auch rege in Anspruch ge- nommen. Wären diese Karten – welche offensichtlich noch im Umlauf sind – phy- sisch gelöscht, würden sich die betroffenen Kunden sicherlich ans Call Center wenden, was zu einem erheblichen Mehraufwand und zu unzufriedenen Kunden führen würde. Coop hat daher beschlossen, die erste physische Löschung im Herbst 2006 durch- zuführen. Coop geht davon aus, dass bis dahin nur noch wenige der zu löschen- den Karten noch einmal eingesetzt werden. In Zukunft wird dann 1x pro Jahr (ca. 10 Monate nach dem inaktiv setzen) jeweils eine physische Löschung durchge- führt. Dem EDSB erscheint die skizzierte Lösung der Löschung von Stammdaten von nicht mehr eingesetzten Supercards angemessen und verhältnismässig. Der EDSB geht davon aus, dass die erste Löschung im Herbst 2006 erfolgt und Coop den EDSB zur gegebenen Zeit davon in Kenntnis setzt.
Bern, den 28. September 2005
EIDGENÖSSISCHER DATENSCHUTZBEAUFTRAGTER Der Beauftragte:
Hanspeter Thür