20081128 minimale_einwilligungsklauselzukreditkarten

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 058 462 43 95, Fax 058 465 99 96 www.edoeb.admin.ch

Minimale Einwilligungsklausel zu Kreditkarten Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat beschlossen, eine mi- nimale Standardklausel mit den datenschutzrelevanten Elementen zu formulieren, welche in den allgemeinen Geschäftsbedingungen der Kreditkartenherausgeberinnen aufgeführt sein müssen. Wie ihr Name schon sagt, enthält die Minimalklausel nur diejenigen Elemente, welche das Bundesgesetz über den Datenschutz (DSG) erfordert. Beim Ausarbeiten dieser minimalen Standardklausel hat sich der EDÖB am Ziel orientiert, eine mög- lichst kurze Klausel zur Verfügung zu stellen, welche gleichzeitig im Hinblick auf das Gesetz vollstän- dig und für die Karteninhaber einfach verständlich ist. In diesem Zusammenhang wurden folgende weitere Leitlinien befolgt: Die schon durch das Gesetz geregelten Elemente werden in der Klausel nicht wiederholt und der Text wird nicht durch Elemente belastet, welche sich von selbst verstehen (z.B. die für die Kartenproduktion erforderlichen Datenbearbeitungen). In der minimalen Standardklausel sind diejenigen Bearbeitungen aufgeführt, welche im Bereich der Kreditkarten am weitesten verbreitet sind. Die Herausgeberinnen werden ihre jeweilige Klausel ver- vollständigen müssen, wenn ihre Bearbeitungen weiter gehen als durch die Minimalklausel abgedeckt. 1 Minimale Standardklausel

1. Die Herausgeberin kann die zum Zwecke der Ausstellung und Benutzung der Karte erforderli- chen Informationen beim Arbeitgeber, bei den durch den vorliegenden Vertrag betroffenen Banken, bei Betreibungsämtern, Einwohnerkontrollen, Vormundschaftsämtern, Kreditauskunf- teien und insbesondere bei der ZEK (Zentralstelle für Kreditinformation) ... einholen. Gemeint sind damit Informationen wie die aktuelle Adresse, Zahlungsfähigkeit, Bevormundung ... (Liste gegebenenfalls ergänzen)
2. Bei der Benutzung der Karte erhält die Herausgeberin nur diejenigen Informationen, welche sie benötigt, um die Rechnung zuhanden des Karteninhabers auszustellen. Der Inhaber der Karte wird hiermit darüber informiert, dass die Rechnungen gemäss einem weltweiten Stan- dard für vier Gruppen von Produkten bzw. Dienstleistungen detaillierter sind: Kauf von Kraft- stoff, Kauf von Flugtickets, Hotelrechnungen sowie Rechnungen für die Miete von Motorfahr- zeugen.
3. Die Herausgeberin kann der ZEK jede Kartensperrung mitteilen, welche aufgrund von Zah- lungsrückständen oder missbräuchlicher Verwendung erfolgt. Die ZEK kann diese Informatio- nen ihren anderen Mitgliedern (Unternehmen, die im Sektor Konsumkredit, Leasing oder Kre- ditkarten aktiv sind – Mitgliederliste über Internet verfügbar unter http://www.zek.info/public/dokumente/ZEKFolderB1.pdf) zur Verfügung stellen, wenn diese die Angaben benötigen, um mit dem Karteninhaber einen Vertrag abzuschliessen oder abzuwi- ckeln.

2/5

4. Der Karteninhaber akzeptiert, dass auch bei Transaktionen in der Schweiz die Daten über die weltweiten Kreditkartennetze zur Kartenherausgeberin geleitet werden.
5. Wenn der Karteninhaber nicht ausdrücklich widerspricht, kann die Herausgeberin folgende In- formationen mit dem Ziel bearbeiten, Produkte und Dienstleistungen zu entwickeln, welche geeignet sind, den Karteninhaber zu interessieren:

• Daten betreffend das Transaktionsvolumen oder die Transaktionsart
• ...

6. Die Kartenherausgeberin kann für die Bearbeitung des Kartenantrages sowie für die Abwick- lung der Kartenbeziehung und der Transaktionen Dritte in der Schweiz und im Ausland beauf- tragen, soweit dies die schweizerische Gesetzgebung erlaubt und insbesondere unter Garan- tie eines angemessenen Datenschutzes.
7. Im Zusammenhang mit spezifischen vom Karteninhaber gewählten Kartenprogrammen kann die Herausgeberin ihren Partnern die zur Durchführung dieser Programme erforderlichen Da- ten zur Verfügung stellen. Wenn ein Partner nicht der schweizerischen Datenschutzgesetzge- bung oder einer Gesetzgebung unterstellt ist, welche ein angemessenes Datenschutzniveau gewährleistet, darf eine Datenbekanntgabe nur dann stattfinden, wenn die Datenempfänger sich verpflichten, ein angemessenes Datenschutzniveau zu gewährleisten.
8. Falls die Zahlungen des Karteninhabers gegenüber der Herausgeberin im Lastschriftverfahren erfolgen, kann die Herausgeberin der entsprechenden Bank die erforderlichen Daten betref- fend den Kunden, die Karte sowie die kumulierten Beträge der Ausgaben bekanntgeben. 2 Erläuterungen 2.1 Punkte, die in der Klausel aufgeführt sein müssen Datenbeschaffung
9. Die Herausgeberin kann die zum Zwecke der Ausstellung und der Benutzung der Karte erforderli- chen Informationen beim Arbeitgeber, bei den durch den vorliegenden Vertrag betroffenen Banken, den Betreibungsämtern, den Einwohnerkontrollen, den Vormundschaftsämtern, den Kreditauskunftei- en und insbesondere der ZEK (Zentralstelle für Kreditinformation) ... (Liste gegebenenfalls ergänzen) einholen. Gemeint sind damit Informationen wie aktuelle Adresse, Zahlungsfähigkeit, Bevormundung ... (Liste gegebenenfalls ergänzen). Der Karteninhaber muss wissen, bei wem die Herausgeberin im Zusammenhang mit der Ausstellung und Benutzung der Karte Informationen beschafft. Alle Kategorien von Datenquellen müssen in der Klausel aufgeführt sein. Die Informationsstelle für Konsumkredit (IKO) kann aus Transparenzgründen zwar erwähnt werden. Dies ist aber nicht unbedingt erforderlich, da die Interaktionen mit der IKO ge- setzlich vorgesehen sind. Die ZEK hingegen muss erwähnt werden, weil sie nicht mit der IKO iden- tisch ist. Was die Kategorien von Datenquellen betrifft, so finden sich in der Standardklausel diejeni- gen, welche in den untersuchten bestehenden Klauseln aufgeführt sind. Die Herausgeberin wird ihre Liste dann ergänzen müssen, wenn nicht alle Kategorien figurieren.

3/5

Die vorgeschlagene Liste der Kategorien von Personendaten enthält die wichtigsten Elemente. Für den Fall, dass andere Kategorien von Personendaten beschafft werden, ist die Liste zu ergänzen. Die Zwecke der Datenverwendung, d.h. die Ausstellung und Verwendung der Kreditkarte, sind genü- gend präzise. Die Einwilligung der Betroffenen kann daher in dieser Beziehung als aufgeklärt betrach- tet werden. Datenflüsse von den Akzeptanzstellen zur Kartenherausgeberin 2. Bei der Benutzung der Karte erhält die Herausgeberin nur diejenigen Informationen, welche sie benötigt, um die Rechnung zuhanden des Karteninhabers auszustellen. Der Inhaber der Karte wird hiermit darüber informiert, dass die Rechnungen gemäss einem weltweiten Standard für vier Gruppen von Produkten bzw. Dienstleistungen detaillierter sind: Kauf von Kraftstoff, Kauf von Flugtickets, Hotel- rechnungen sowie Rechnungen für Miete von Motorfahrzeugen. Der im Text der Klausel erwähnte „weltweite Standard“ existiert de facto, aber die entsprechenden Datenflüsse entsprechen nicht den Erwartungen des Karteninhabers. Deshalb muss er darüber infor- miert werden. Bekanntgabe an die ZEK 3. Die Herausgeberin kann der ZEK jede Kartensperrung mitteilen, welche aufgrund von Zahlungs- rückständen oder missbräuchlicher Verwendung erfolgt. Die ZEK kann diese Informationen ihren an- deren Mitgliedern (Unternehmen, die im Sektor Konsumkredit, Leasing oder Kreditkarten aktiv sind – Mitgliederliste über Internet verfügbar unter http://www.zek.info/public/dokumente/ZEKFolderB1.pdf ) zur Verfügung stellen, wenn diese die Angaben benötigen, um mit dem Karteninhaber einen Vertrag abzuschliessen oder abzuwickeln. Die Datenbekanntgabe betreffend Kartensprerrung an die ZEK muss in der Einwilligungsklausel er- wähnt werden, denn in dieser Einwilligung liegt der Rechtfertigungsgrund für die Datenbekanntgabe. Diese Bekanntgabe ist im Gegensatz zu Bekanntgaben an die IKO nicht gesetzlich vorgesehen. Sie ist auch nicht durch Art. 13 Abs. 2 lit. c DSG gedeckt, weil diese Bestimmung nur die Bekanntgabe von der ZEK an ihre Mitglieder und Kunden betrifft. Weltweites Datennetz 4. Der Karteninhaber akzeptiert, dass auch bei Transaktionen in der Schweiz die Daten über die welt- weiten Kreditkartennetze zur Kartenherausgeberin geleitet werden. Die Transaktionsdaten werden über Datennetze geleitet, die praktisch die gesamte Erde abdecken und damit auch durch Länder führen, welche über keine gleichwertige Datenschutzgesetzgebung verfügen. Der EDÖB geht jedoch davon aus, dass die Kreditkartenfirmen die technischen und organi- satorischen Massnahmen ergriffen haben, welche zum Schutz der Daten ihrer Kunden erforderlich sind. Dieser Punkt der Klausel hat rein informativen Charakter (weil es ja keine Wahlmöglichkeit betreffend den Weg der Daten gibt). Dennoch ist es nützlich, diese Information aufzunehmen, um die betroffene Person in Kenntnis zu setzen.

4/5

2.2 Punkte, die dann in der Klausel aufgeführt sein müssen, wenn die He- rausgeberin die betreffende Bearbeitung vornimmt Datenbearbeitung zu Marketingzwecken 5. Wenn der Karteninhaber nicht ausdrücklich widerspricht, kann die Herausgeberin folgende Informa- tionen mit dem Ziel bearbeiten, Produkte und Dienstleistungen zu entwickeln, welche geeignet sind, den Karteninhaber zu interessieren:

• Daten betreffend das Transaktionsvolumen oder die Transaktionsart.
• ...(Liste gegebenenfalls ergänzen) Dieser Punkt betrifft nur die Werbung, welche nicht ausschliesslich auf Adressierungselementen ba- siert, sondern ebenfalls eine Analyse anderer Daten umfasst. Im Fall von Werbung, für die lediglich die Adressdaten verwendet werden, ist die Information über das Widerspruchsrecht der Karteninhaber nicht erforderlich, weil dieses als bekannt vorausgesetzt werden kann. Die betroffene Person hat ebenfalls die Möglichkeit, sich der Datenverwendung für Werbezwecke, welche eine Analyse der Daten umfassen, zu widersetzen. In praktischer Hinsicht bedeutet dies, dass die Herausgeberin nicht nur über die Datenverwendung informieren muss, sondern auch über die Widerspruchsmöglichkeit. Die Herausgeberin muss in einer abschliessenden Liste die Kategorien der verwendeten Daten auf- zählen. Datenbearbeitung im Auftrag

6. Die Kartenherausgeberin kann für die Bearbeitung des Kartenantrages sowie für die Abwicklung der Kartenbeziehung und der Transaktionen Dritte in der Schweiz und im Ausland beauftragen, soweit dies die schweizerische Gesetzgebung erlaubt und insbesondere, indem ein angemessener Daten- schutz garantiert wird. Gemäss Art. 4 Abs. 4 DSG muss auch der Datentransfer ins Ausland für die jeweils betroffene Person erkennbar sein. Eine entsprechende Klausel in den allgemeinen Geschäftsbedingungen hat die an- gemessene Information der betroffenen Personen zum Ziel. Die Datenbearbeitung durch Dritte (Outsourcing) darf ausschliesslich unter den in Art. 10a DSG auf- geführten Bedingungen stattfinden. Wenn Personendaten geschäftsbedingt in einen ausländischen Staat weitergegeben werden, dessen Gesetzgebung kein adäquates Datenschutzniveau gewährleis- tet, müssen vorgängig insbesondere für einen angemessenen Schutz im Ausland ausreichende ver- tragliche Garantien vereinbart werden (Art. 6 Abs. 2 lit. a DSG). Der EDÖB muss über diese vertragli- chen Garantien informiert werden (Art. 6 Abs. 3 DSG).

5/5

2.3 Punkte, die in der Klausel aufgeführt werden können Besondere Kartenprogramme 7. Im Zusammenhang mit spezifischen vom Karteninhaber gewählten Kartenprogrammen kann die Herausgeberin ihren Partnern die zur Durchführung dieser Programme erforderlichen Daten zur Ver- fügung stellen. Wenn ein Partner nicht der schweizerischen Datenschutzgesetzgebung oder einer Gesetzgebung unterstellt ist, welche ein angemessenes Datenschutzniveau gewährleistet, darf eine Datenbekanntgabe nur dann stattfinden, wenn die Datenempfänger sich verpflichten, ein angemesse- nes Datenschutzniveau zu gewährleisten. Wir sind der Meinung, dass diese Klausel in Zusatzbedingungen zu den spezifischen Kartenprogram- men aufgeführt werden sollte (z.B. Prämienprogramme etc.). Eine solche Lösung würde es den direkt betroffenen Personen ermöglichen, detaillierte Informationen über den an dem Programm teilneh- menden Unternehmen zu erhalten. Wenn jedoch der Herausgeber der Kreditkarte keine speziellen Bedingungen bereitstellt, ist es zumindest notwendig, die obige Klausel in den allgemeinen Ge- schäftsbedingungen (unter der Kategorie Datenschutz oder Sonstiges) aufzuführen. Lastschriftverfahren (LSV) 8. Falls die Zahlungen des Karteninhabers gegenüber der Herausgeberin im Lastschriftverfahren er- folgen, kann die Herausgeberin der entsprechenden Bank die erforderlichen Daten betreffend den Kunden, die Karte sowie die kumulierten Beträge der Ausgaben bekannt geben. Zwecks besserer Lesbarkeit sollte dieser Punkt in demjenigen Teil der Allgemeinen Geschäftsbedin- gungen aufgeführt sein, welcher von den Zahlungsmethoden handelt. Wenn eine Kartenherausgebe- rin keinen besonderen Teil zu den Zahlungsmethoden wünscht, so kann er diesen Punkt auch in der Datenschutzklausel aufführen. Dieses Vorgehen erschwert jedoch die Lesbarkeit und stellt für diejeni- gen Karteninhaber einen Mangel an Transparenz dar, welche die Option LSV nicht wählen.