Eidgenössischer Datenschutzbeauftragter Préposé fédéral à la protection des données Incaricato federale per la protezione dei dati Incumbensà federal per la protecziun da datas
Kundenbindungsprogramm M-CUMULUS Zusammenfassung des Schlussberichtes des Eidgenössischen Datenschutzbeauftragten (EDSB) vom 23. Mai 2005
Migros bietet ihren Kundinnen und Kunden seit dem 1. November 1997 ein Bonusprogramm an, M-CUMULUS genannt. Bei jedem Einkauf können mittels Vorweisen der CUMULUS-Karte Punkte gesammelt werden (je 1 Punkt pro 1.- CHF Umsatz). Der Punktestand wird alle zwei Monate zusammengezählt, und pro 500 Punkte erhalten die Kunden per Post einen CUMU- LUS-Bon im Wert von 5.- CHF. Ab einer gewissen Umsatzgrösse gibt es zusätzliche Treue- punkte. Daneben lanciert Migros regelmässig Bonus-Punkte-Aktionen, bei denen mehrfache oder zusätzliche Punkte gesammelt werden können. Unabhängig vom Punktestand werden auch regelmässig Rabatt-Coupons verschickt. Die Migros-Kunden können ihre Bons inner- halb der Migros und diversen Migros-Unternehmen wie Bargeld einsetzen. Im Gegenzug da- zu erlauben Kunden, die am Bonusprogramm teilnehmen, der Migros, detaillierte Informatio- nen über ihre Einkäufe zu sammeln und für Marketingzwecke auszuwerten. Auch erhalten M-CUMULUS-Teilnehmende gestützt auf ihre Einkaufsdaten konkrete Angebote und Informa- tionen aus dem Migros-Sortiment, sofern sie nicht ausdrücklich darauf verzichten. Das Kun- denbindungsprogramm M-CUMULUS wurde vor rund 8 Jahren lanciert. Ein Grossteil der Schweizer Bevölkerung macht vom CUMULUS-Punktesammeln und dem Einlösen der CU- MULUS-Bons und Rabattcoupons Gebrauch. Im Rahmen seiner Tätigkeit als Aufsichtsbehörde über die Datenbearbeitung im Privatbereich (vgl. Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG; SR 235.1]) hat der EDSB im Jahr 2005 bei Migros eine umfassende Datenschutzkontrolle vorgenommen. Die Durchführung der Kontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises so- wie der Sensibilität der bearbeiteten Personendaten von Bedeutung. Die Kontrolle des EDSB bezog sich auf die Datenabläufe im Rahmen des Kundenbindungs- programms M-CUMULUS. Sie untersuchte insbesondere die internen Datenabläufe zwischen M-CUMULUS und den Migros-Unternehmen (Programm-Trägern) sowie die Datenflüsse zwi- schen der Migros und den Programmpartnern. Letztere wurden weder einer näheren Über- prüfung unterzogen, noch wurde speziell auf den Datenaustausch mit ausgewählten Pro-
2
grammpartnern eingegangen. M-CUMULUS trägt als erste schweizerische Organisation das Datenschutzgütesiegel GoodPriv@cy, das von der Schweizerischen Vereinigung für Quali- tätsmanagement verliehen wird. Der EDSB begrüsst es sehr, dass sich die Migros selbstver- pflichtend dem Datenschutzgütesiegel unterstellt hat und dass jährliche Audits durchgeführt werden. Die Datenschutzkontrolle fokussierte jedoch auf die Analyse der Datenflüsse im Rahmen des M-CUMULUS-Programms. Da die Aufsichtsfunktion des EDSB im Rahmen der Zertifizierungsverfahren erst in der laufenden Revision des Datenschutzgesetzes geregelt wird, wurde diese Zertifizierung für die vorliegende Datenschutzprüfung nicht berücksichtigt. Im Vorfeld der Kontrolle wurden Unterlagen eingeholt und Fragen gestellt. Im Februar 2005 erfolgte dann eine Sachverhaltsabklärung vor Ort in den Räumlichkeiten von M-CUMULUS sowie der CUMULUS-Infoline. Zusammen mit M-CUMULUS Marketing Services und der Da- tenschutzbeauftragten des Migros-Genossenschafts-Bund (MGB) hat der EDSB die verschie- denen Prozesse identifiziert und die entsprechenden Datenflüsse in einem Schema visuali- siert (vgl. Ziff. 4.4 des Schlussberichtes). Das Schema liegt als Basis der datenschutzrechtli- chen Beurteilung zugrunde, welche sich an den effektiven Datenflüssen orientiert. Aufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf die durchgeführte Kontrolle vom 2. Februar 2005 gelangt der EDSB zu einer positiven Ge- samtbeurteilung. Die Datenschutzkontrolle hat gezeigt, dass die im Rahmen von M- CUMULUS vorgenommene Datenbearbeitung grundsätzlich datenschutzkonform ver- läuft. Trotz dieser überwiegend positiven Beurteilung ist der EDSB in seiner Kontrolle auch auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Änderung oder einer Anpassung resp. Verbesserung bedürfen. Insgesamt wurden aus diesem Grund zwei datenschutzrechtliche Empfehlungen gemäss Art. 29 Abs. 3 DSG und sieben Anpassungs- resp. Verbesserungsvorschläge erlassen.
Der EDSB empfiehlt, dass • die Zweckumschreibung bezüglich der Warenkorbanalysen und Marketingauswer- tungen in den AGB präziser und für den Kunden transparenter formuliert werden (Empfehlung Nr. 1) • entweder in der Anmeldebroschüre oder den AGB auf einen Spezialversand, welcher trotz Erklärung der Kunden, auf weitere Informationen oder Angebote der Migros oder ihrer Partnerunternehmen zu verzichten, zugestellt wird, hingewiesen oder die- ser Spezialversand in Zukunft ganz unterlassen wird (Empfehlung Nr. 2)
3
Der EDSB regt im Sinne von Änderungs- resp. Verbesserungsvorschlägen an, dass • in den AGB klarer zum Ausdruck kommt, dass Kundinnen und Kunden über M- CUMULUS nicht nur Werbung von Migros selber erhalten, sondern auch von Partner- unternehmen (Anpassungs-/Verbesserungsvorschlag Nr. 1) • zur verbesserten Aufklärung der Kunden in den AGB explizit auf das Auskunftsrecht hingewiesen wird (Anpassungs-/Verbesserungsvorschlag Nr. 2) • aus dem gleichen Grund in den AGB auf das Recht der Betroffenen auf Löschung der von Migros gesammelten Daten explizit hingewiesen wird (Anpassungs- /Verbesserungsvorschlag Nr. 3) • im standardisierten Löschformular von M-CUMULUS klargestellt wird, dass nur die Personalien gelöscht, die bereits gesammelten Einkaufsdaten aber anonymisiert und nicht gelöscht werden (Anpassungs-/Verbesserungsvorschlag Nr. 4) • die Kunden besser über die effektiven Aufbewahrungsfristen der gesammelten Daten informiert werden, indem die relevanten Fristen umschrieben und im Internet abruf- bar aufgeführt werden (Anpassungs-/Verbesserungsvorschlag Nr. 5) • (...) 1
• in den AGB die Destinationsländer einer Datenübermittlung ins Ausland namentlich aufgeführt werden (Anpassungs-/Verbesserungsvorschlag Nr. 7)
Migros akzeptiert die zwei Empfehlungen des EDSB und hat entsprechende Anpassungen der AGB vollzogen. In den AGB wird nun darauf hingewiesen, dass gestützt auf die Einkaufs- daten von Kunden Warenkorbanalysen durchgeführt werden, welche das Konsumverhalten sowie persönliche Kundenprofile widerspiegeln (Umsetzung der Empfehlung Nr. 1). Zusätz- lich hat Migros von sich aus einen Hinweis in die AGB aufgenommen, dass die jeweils aktuell gültigen AGB im Internet abrufbar sind (www.m-cumulus.ch ). Des Weiteren wird Migros in Zukunft auf jeglichen Versand von Informationen an Kundinnen und Kunden, die keine Wer- bung wünschen, verzichten (Umsetzung der Empfehlung Nr. 2). Der EDSB erachtet mit diesen von Migros eingeleiteten Massnahmen seine Empfehlungen als umgesetzt. Zudem hat Migros die Vorschläge Nr. 1, 4 sowie 5 akzeptiert und hat die nötigen Schritte zur Umsetzung der Anpassungs- resp. Verbesserungsvorschläge vollzogen. In den AGB wird nun darauf hingewiesen, dass Kunden auch CUMULUS-Angebote Dritter erhalten, sofern sie nicht auf Werbung verzichten (Umsetzung Anpassungs-/Verbesserungsvorschlag Nr. 1). Im Formu- lar zur Löschung der Daten bei einem Ausstieg aus dem M-CUMULUS-Programm wurde prä-
1 Aufgrund überwiegender Geheimhaltungsinteressen von Seiten der Migros wurde Vorschlag Nr. 6 zur Datensicherheit aus dem Schlussbericht entfernt. Der EDSB ist in seiner Datenschutzkontrolle
4
zisiert, dass sich die Löschung auf die Personalien des CUMULUS-Kontos und nicht auf die Warenkörbe resp. das Konto an sich bezieht (Umsetzung Anpassungs- /Verbesserungsvorschlag Nr. 4). Im Internet hat Migros nun unter der Rubrik „Datenschutz“ alle Aufbewahrungsfristen der CUMULUS-Einkaufsdaten offen gelegt (Umsetzung Anpas- sungs-/Verbesserungsvorschlag Nr. 5). Zu den Vorschlägen Nr. 2, 3 und 7 hat Migros Vorbehalte angebracht, zu denen gemeinsam mit dem EDSB Lösungen gefunden werden konnten. Da den Kundinnen und Kunden das Auskunfts- und Löschungsrecht kostenlos und unbürokratisch gewährt wird, verzichtet Migros auch zugunsten der Lesbarkeit auf eine explizite Erwähnung dieser Rechte in den AGB. Dafür wird das Auskunfts- und Löschungsrecht der CUMULUS-Kundschaft neu im Inter- net unter der Rubrik Datenschutz und/oder in den FAQ hingewiesen. Ferner wird in den AGB nun auch darauf hingewiesen, dass im Rahmen der Teilnahme am M-CUMULUS-Programm ein Datentransfer ins Ausland erfolgen kann. Dem Schlussbericht des EDSB wurde ein Anhang angefügt, der die Stellungnahmen und Antworten von Seiten Migros zur Datenschutzkontrolle sowie die Reaktionen des EDSB dar- auf widerspiegeln.
Der EDSB hat die Datenschutzkontrolle im Rahmen des Kundenbindungsprogramms M- CUMULUS am 28. September 2005 für abgeschlossen erklärt.
Der vollständige Bericht ist in deutscher Sprache über das Internet abrufbar (www.edsb.ch ).
in Bezug auf die Datensicherheit zum Schluss gekommen, dass die ergriffenen Sicherheitsmass- nahmen angemessen (Art. 7 DSG) und somit datenschutzkonform sind.