Datenschutzrechtliche Fragen zur Einführung eines Membership-Programms

Im Rahmen einer aktuellen Beratung eines Mandanten wurden zentrale Fragen zu möglichen datenschutzrechtlichen Problemen bei der Einführung eines Membership-Programms aufgeworfen. Diese werden im Folgenden beantwortet, sowie die Vor- und Nachteile der verschiedenen Lösungswege aufgezeigt. Darüber hinaus sollten in dem uns vorliegenden Fall bereits bestehende Kunden-Accounts in neue Membership-Konten umgewandelt werden. Die dabei bestehenden Möglichkeiten werden im zweiten Teil dieses Beitrags unter Berücksichtigung datenschutzrechtlicher Aspekte behandelt.

  1. Einführung eines Loyalty- oder Membership Programms

Bei einem Membership-Programm können Kunden Punkte unter anderem durch das Einkaufen im Shop oder im Store sammeln. Dabei werden personenbezogene Daten verarbeitet, insbesondere Name, E-Mail-Adresse, Kundennummer, Punktestand, Transaktions- und Kaufdaten. Es sind somit die Vorschriften des Datenschutzrechts zu beachten (anders als beispielsweise bei einer physischen Punkte- oder Stempelkarte, die ohne personenbezogene Daten auskommt).

Die Daten werden zu Zwecken der Kundenbindung, Auswertung des Kaufverhaltens, Schaffung von Kaufanreizen durch Benefits und zu Zwecken der Direktwerbung, beispielsweise für E-Mail-Werbung genutzt. An diesen Zwecken sind die weiteren Ausführungen zu messen.

a) Rechtsgrundlagen

Personenbezogene Daten dürfen nur verarbeitet werden, wenn eine der Rechtsgrundlagen gemäß Art. 6 Abs. 1 DSGVO greift. Für die Verarbeitung der genannten personenbezogenen Daten im Membership-Programm kommen drei mögliche Rechtsgrundlagen in Betracht:

  • Einwilligung des Kunden

Gemäß Art. 6 Abs. 1 lit. a DSGVO ist die Verarbeitung rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten gegeben hat (sog. Opt-In-Lösung). Die Einwilligung muss aktiv erfolgen (z.B. „ich bin damit einverstanden, dass…”). Außerdem muss diese freiwillig abgegeben werden und sie unterliegt einem Kopplungsverbot. Das bedeutet, dass die Erstellung des Kunden-Kontos nicht an eine Einwilligung zur Datenverarbeitung im Membership-Programm geknüpft werden darf. Es müssten also weiterhin Kunden-Accounts ohne Membership möglich sein, da sonst eine faktische Kopplung gegeben wäre.

  • Mitgliedschaftsvertrag

Die Verarbeitung ist gemäß Art. 6 Abs. 1 lit. b DSGVO rechtmäßig, wenn sie für die Erfüllung eines Vertrags erforderlich ist. Üblicherweise wird ein Membership-Programm als vertragliches Verhältnis ausgestaltet. Dabei erwirbt der Kunde die Mitgliedschaft im Rahmen eines sogenannten „Mitgliedschaftsvertrags” durch eine aktive Handlung bei der Registrierung. Einer der Vorteile ist, dass kein „Freiwilligkeitserfordernis“ wie bei der Einwilligung vorausgesetzt wird. Insbesondere sollte hierbei auf das Wording und die Gestaltung des Registrierungsprozesses geachtet werden.

  • Berechtigte Interessen

Darüber hinaus ist die Verarbeitung rechtmäßig, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erfolgt im Sinne des Art. 6 Abs. 1 lit. f DSGVO. Dem kann ein Betroffener gemäß Art. 21 Abs. 1 DSGVO jederzeit widersprechen (sog. Opt-Out-Lösung), wenn seine Interessen im Rahmen einer Abwägung gegenüber den Interessen des Verantwortlichen überwiegen. Der Vorteil dieser Lösung, ist die automatische Teilnahme jedes Kunden an dem Membership-Programm. Ein rechtliches Risiko besteht jedoch darin, dass die Datenverarbeitung gerade zur Wahrung der berechtigten Interesses „erforderlich” sein muss. Die Erbringung eines solchen Nachweises könnte problematisch sein.

b) Nutzung für Direktwerbung

Sollen die Daten auch für die Zusendung von Direktwerbung, insbesondere E-Mail-Werbung, genutzt werden, wäre auch hierfür eine gesonderte Rechtsgrundlage erforderlich.

Dabei ist zu unterscheiden:

– Bei Neukunden wäre insbesondere an eine Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, im Rahmen eines Double-Opt-In-Verfahrens (Newsletter-Anmeldung) zu denken.

– Bei Bestandskunden, die bereits Artikel im Shop bestellt haben, wäre der Versand von E-Mail-Werbung auch ohne vorherige Einwilligung zulässig, wenn die nachfolgenden vier Anforderungen (§ 7 Abs. 3 UWG) erfüllt werden:

  • E-Mail-Adresse bei Warenkauf erhoben
  • Werbung nur für ähnliche Waren
  • Empfänger hat Werbung nicht widersprochen (Opt-out)
  • Hinweis bei Datenerhebung und in jeder Mail auf Widerspruchsrecht

c) Weitere datenschutzrechtliche Vorgaben:

  • Datenschutzhinweise

Gemäß Art. 12, 13 DSGVO sind betroffenen Personen zum Zeitpunkt der Erhebung personenbezogener Daten bestimmte Pflichtinformationen bereitzustellen. Insbesondere ist über Art, Zweck und Rechtsgrundlage der Datenverarbeitung zu informieren. Aus diesem Grund sollte die Datenschutzerklärung um einen entsprechenden Abschnitt ergänzt werden.

  • Datenschutzgrundsätze

Bei der Erstellung des Programms sind die Datenschutzgrundsätze gemäß Art. 5 Abs. 1 DSGVO zu beachten. Wichtig ist insbesondere der Grundsatz der Datenminimierung, wonach nur diejenigen Daten verarbeitet werden dürfen, die zur Erreichung des Zwecks wirklich erforderlich sind.

  • Technische und organisatorische Maßnahmen, insbesondere Pseudonymisierung

Es müssen geeignete technische und organisatorische Maßnahmen implementiert werden, um die Daten angemessen zu schützen. Soweit möglich, sollten die Mitgliederprofile insbesondere pseudonymisiert verarbeitet werden.

  • Datenschutzfolgenabschätzung

Wichtig: Hat ein Datenverarbeitungsvorgang voraussichtlich besonders hohe Risiken für die betroffenen Personen, so ist gemäß Art. 35 Abs. 1 DSGVO eine sogenannte Datenschutz-Folgenabschätzung (DSFA) durchzuführen. Nach Art. 35 Abs. 3 lit. a DSGVO soll insbesondere bei Verarbeitungen, die eine „systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen” betreffen und ihrerseits „als Grundlage für Entscheidungendienen, die „Rechtswirkung” entfalten, eine solche DSFA durchgeführt werden.

Hier soll das Kaufverhalten von Kunden ausgewertet werden, um daraus automatisierte Entscheidungen beispielsweise über Benefits, Rabatte etc. zu treffen. Vor diesem Hintergrund haben die deutschen Datenschutzbehörden die Einführung von Kundenbindungsprogrammen auf die sogenannte „Muss Liste” für Konstellationen, in denen eine DSFA durchgeführt werden muss, aufgenommen (Offizielles Kurzpapier der DSK (bayern.de). Inhalt und Umfang der DSFA ist in Art. 35 Abs. 7 DSGVO festgelegt. Bei Durchführung der DSFA ist gemäß Art. 35 Abs. 2 DSGVO der Datenschutzbeauftragte einzubinden.

Nr. Maßgebliche Beschreibung der Verarbeitungstätigkeit Typische Einsatzfelder Beispiele
14 Erstellung umfassender Profile über die Bewegung und das Kaufverhalten von Betroffenen Erfassung des Kaufverhaltens unterschiedlicher Personenkreise zur Profilbildung und Kundenbindung unter Zuhilfenahme von Preisen, Preisnachlässen und Rabatten. Ein Unternehmen verwendet Kundenkarten, welche das Einkaufsverhalten der Kunden erfassen. Als Anreiz zur Verwendung der Kundenkarte erhält der Kunde mit jedem Einkauf Treuepunkte. Mithilfe der gewonnenen Daten erstellt der Anbieter umfassende Kundenprofile.
  1. Umwandlung von bestehenden Kunden-Accounts zu Loyalty Memberships

Ursprünglich wurden die personenbezogenen Daten in Kunden-Accounts (z.B. Namen, E-Mail-Adressen, Kundennummern) zum Zweck der Bereitstellung des Accounts sowie der Durchführung von Bestellungen erhoben. Nun sollen die Daten auch zu anderen Zwecken, nämlich der Auswertung des Kaufverhaltens, Berechnung eines Punktestandes, Gewährung von Beneftis etc. genutzt werden. Die Migration bestehender Kunden-Accounts in das Membership-Programm stellt somit eine Zweckänderung dar, die an die zusätzlichen Voraussetzungen des Art. 6 Abs. 4 DSGVO geknüpft sind.

Dies kann auf zwei verschiedenen Wegen gelöst werden:

a) Opt in gemäß Art. 6 Abs. 4 Hs. 1 DSGVO

Eine Zweckänderung kann auf Grundlage der Einwilligung der betroffenen Person durch manuellen Opt-In-Prozess erfolgen. Die Inhaber von Kunden-Accounts müssten also um aktive Zustimmung zur Nutzung ihrer Daten im Membership-Programm gebeten werden. Diese Lösung ist zwar rechtlich sicher, praktisch jedoch kaum umsetzbar. Die Einwilligung müsste von jedem einzelnen Kunden eingeholt werden und dabei freiwillig im Sinne des Erwägungsgrundes 32 DSGVO erfolgen. Soll jedoch jedes bereits bestehende Kundenkonto in ein Membership-Konto umgewandelt werden, so wird der Kunde keine echte Wahlfreiheit haben. Zudem kann eine Einwilligung gemäß Art. 7 Abs. 3 DSGVO jederzeit widerrufen werden. Es müsste also weiterhin ein Kunden-Account ohne Membership Funktion angeboten werden, für diejenigen Kunden, die nicht zustimmen oder ihre Einwilligung widerrufen.

b) Opt out gemäß Art. 6 Abs. 4 Hs. 2 lit. a – e DSGVO

Die Zweckänderung kann auch ohne Einwilligung zulässig sein, wenn eine umfassende Interessenabwägung zu dem Ergebnis kommt, dass die Verarbeitung zu dem neuen Zweck mit dem alten Zweck „vereinbar” ist. Hierbei sind die Kriterien des Art. 6 Abs. 4 lit. a – e DSGVO zu berücksichtigen.

Die Frage, ob bei der Umwandlung von Daten aus normalen Kunden-Accounts zu Zwecken eines Membership-Programms mit Auswertung des Kaufverhaltens eine solche Vereinbarkeit vorliegt wurde bisher richterrechtlich noch nicht geklärt. Einerseits wird der Verarbeitungszweck gerade nicht verändert sondern lediglich um eine weitere Funktion erweitert. Andererseits ist zu beachten, dass gerade die Auswertung des Kaufverhaltens einen Eingriff in die Rechte des Betroffenen darstellt. Soll die Auswertung jedoch nur im eigenen Shop erfolgen (anders als z.B. bei Programmen wie Payback, welche das Kaufverhalten bei zahlreichen Händlern erfassen und zusammenführen)  scheint der Eingriff nicht besonders schwer zu wiegen.

Folglich ist die Opt-Out-Lösung zwar mit einem höheren rechtlichen Risiko verbunden. Diese könnten jedoch durch wirtschaftliche Vorteile überwogen werden. Bei der Abwägung ist zudem die Einhaltung der oben genannten Maßnahmen zu berücksichtigen. Je mehr Maßnahmen ergriffen werden, um Eingriff und Risiko zu minimieren (z.B. durch Pseudonymisierung, transparente Informationen, Datenminimierung etc.), desto bessere Argumente sprechen bei der Interessenabwägung zugunsten der Interessen des Verarbeiters.

c) Zusätzlich: Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO

Nach herrschender Meinung muss zusätzlich zu den Voraussetzungen des Art. 6 Abs. 4 DSGVO auch die Rechtsgrundlage gemäß Art. 6 Abs. 1 DSGVO eingehalten werden (s.o.).

  1. Fazit:

Es gibt an mehreren Stellen verschiedene Gestaltungsoptionen, welche mehr oder weniger praktikabel sind und gleichzeitig mehr oder weniger riskant. Der rechtlich sicherste Weg ist in der Regel leider der am wenigsten praktikable. Deshalb wird ein etwaiges rechtliches Risiko mit dem wirtschaftlichen Nutzen abzuwägen sein. Bei dieser Einzelfallabwägung unterstützen wir Sie natürlich gerne.

 

Foto von Samantha Borges auf Unsplash

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published.