jö Bonus Club droht Datenschutzstrafe - die DSGVO und Profiling

rotes Hexagon mit einem weißen Vorhandschloss in der Mitte IT-SECURITY,

Wer kennt es nicht – zahlreiche Plastikkarten stauen sich in der Geldbörse. Rabattmarkerl hier, 2+1 da. Viele Menschen werden davon angesprochen, denn sie sind echte Schnäppchenjäger.

Die Rewe Gruppe wollte das beschriebene Problem und das Bedürfnis nach Schnäppchen kombinieren und führte eine Karte für sämtliche Mitglieder des Rewe Konzerns in Österreich ein. Der jö Club war geboren und zahlreiche Plastikkarten auf Eine zusammengeführt.

Bereits seit seiner Einführung im Jahr 2019 gab es immer wieder Diskussionen zur DSGVO Konformität. Auch bei uns im Team waren die Vorgehensweisen immer wieder Thema und (was für eine Überraschung) keiner der Datenschutzconsultants verfügt über eine derartige Karte. Heute möchten wir uns mit der drohenden jö Datenschutzstrafe und den Möglichkeiten eines DSGVO konformen Profilings beschäftigen. 

Höhe und Hintergrund der Strafe

Im Sommer 2021 war es so nun weit, der jö Bonus Club, der bereits über mehr als vier Millionen Mitglieder verfügt, sollte laut Bescheid der österreichischen Datenschutzbehörde zwei Millionen Euro Strafen zahlen (die Entscheidung ist noch nicht rechtskräftig). 

Grund dafür ist, dass der Verantwortliche die Betroffenen nicht angemessen über den Einsatz von Profiling informierte. Dies umfasst ausschließlich die Neuanmeldungen im Zeitraum zwischen Mai 2019 und März 2020.

Problematisch hierbei waren vor allem folgende Punkte:

  • Die DSGVO setzt beim Einsatz von Profiling eine Auskunft in klarer und einfacher Sprache voraus. Auch muss eine Einwilligung zum Profiling in informierter Weise und explizit erfolgen. 
    • Aufgrund der Gestaltung der Einwilligungserklärungen ist davon auszugehen, dass Kundinnen und Kunden eine Einwilligung zu Profiling erteilten, ohne sich dessen bewusst gewesen zu sein. Jö hat den Betroffenen vermittelt, dass sie sich zum Zwecke von Rabatten und Gutscheinen anmelden. Nur wenn sie nach unten scrollten, hätten sie lesen können, dass sie zum sogenannten Profiling einwilligen, also zur Weiterverwendung persönlicher Daten, um künftige Prognosen zu treffen. Dazu wurden seitens jö-Bonus-Club Daten über die Mitglieder gesammelt.
  • Dies war der Formatierung auf der Webseite wie auch auf den Anmeldeformularen geschuldet. Somit war keine explizierte Einwilligung gegeben und die Bedingungen für eine Einwilligung gemäß Artikel 7 DSGVO nicht erfüllt.

Nach einem ersten Bescheid der österreichischen Datenschutzbehörde an den jö Bonusclub im Jahr 2020 wurde diese Formatierung geändert, die Daten von 2,3 Millionen Personen (welche sich im Zeitraum zwischen Mai 2019 und März 2020 angemeldet hatten) seien aber ohne erneute explizierte Einwilligung weiterverwendet worden.

Profiling und die DSGVO

Der Einsatz von Profiling unterliegt laut der DSGVO strengen Voraussetzungen. Grund dafür ist, dass die DSGVO beim Einsatz solcher Methoden ein besonders hohes Risiko für die Betroffenen sieht. Dies ist daraus zu schließen, dass dadurch natürliche Personen bewertet und ihr zukünftiges Verhalten prognostiziert wird. 

Profiling im Zuge der jö Bonus Card

"Profiling" das durch den jö Bonus Club durchgeführt wird, führt bei Einkäufen hinterlassene Daten zusammen und wertet diese aus, um Kundenpräferenzen zu ermitteln und zielgerichtete Werbemaßnahmen setzen zu können. 

Beispielsweise wird analysiert welche Produkte in welchen Mengen gekauft wurden, wann diese gekauft wurden und welche Zahlungsart verwendet wurde. Anschließend erfolgt eine Verwertung gesammelter personenbezogener Daten, um beispielsweise gezielte Werbekampagnen zu starten oder das Sortiment je nach Erkenntnissen über das Kaufverhalten einer großen Zahl von Kunden anzupassen. Zudem werden auf Basis der Daten unterschiedliche Rabatte und Codes vergeben.

Beim jö Bonus Club wird durch die Zustimmung auch eingewilligt, dass, alle Partner – neben den Rewe-Marken Billa, Penny und Bipa etwa auch Libro – die gesammelten Informationen verwenden können. 

Problematisch könnte beispielsweise werden, wenn zu den jö Partnern zukünftig auch Versicherungen oder Banken gehören würden. So könnte die Höhe der Zinsen oder Versicherungspauschale beispielsweise von der Lebensweise, Ernährungsstil oder Alkoholkonsum abhängen. Faktoren, welche einfach durch die anderen jö Partner ermittelt werden können, da Betroffene die Einwilligung (wenn auch nicht ganz explizit) gegeben haben. Dies wäre Profiling vom Feinsten und datenschutzrechtlich schwierig durchzusetzen. 

Wie reagiert der jö-Club?

Bis zum Urteil wird wohl noch einige Zeit vergehen. Bis der Fall geklärt ist, kündigt jö einen Stopp des Profilings der Betroffenen (welche sich im beschriebenen Zeitraum anmeldeten) an. Das bedeutet, dass Kunden nun nicht mehr alle Vorteile nutzen können. Zwar können die Betroffenen weiter Bonuspunkte sammeln und einlösen, aber sie bekommen keine auf sie persönlich zugeschnittenen Angebote und Rabatte mehr. Auch die regelmäßigen Rabatt Bons, die per Post zugestellt werden, fallen weg.

Wie kann man Profiling datenschutzkonform betreiben?

Profiling wird durch mehr als nur die Erhebung von personenbezogenen Daten definiert. Es ist die Verwendung von Daten, um bestimmte Aspekte im Zusammenhang mit dem Individuum zu bewerten. Der Zweck ist, das Verhalten des Individuums vorherzusagen und Entscheidungen darüber zu treffen. Eine natürliche Person muss sich keiner Maßnahme unterwerfen, die auf Profiling im Wege der automatischen Datenverarbeitung basiert. Eine solche Maßnahme kann eine automatische Ablehnung eines Online-Kreditantrags oder Online-Einstellungsverfahren sein, folglich demnach ein Prozess, bei dem kein menschliche Eingreifen zu erkennen ist.

Im Anwendungsbereich der DSGVO ist das Profiling grundsätzlich verboten. Erlaubt ist das Profiling nur dann, wenn, wie bei jeder anderen Datenbearbeitung auch, eine Rechtsgrundlage gemäß Art. 6 DSGVO vorliegt (beispielsweise ein Vertrag, ein berechtigtes Interesse, eine Einwilligung oder eine rechtliche Pflicht). Wird das Profiling mit einer automatisierten Entscheidung im Einzelfall verknüpft, gelten strengere Regelungen. Eine solche Verknüpfung ist nur dann erlaubt, wenn

  • ein Vertrag zwischen dem Verantwortlichem und der betroffenen Person das Profiling des Letzteren erfordert; oder
  • die Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten das Profiling im konkreten Fall als zulässig erklären; oder
  • die betroffene Person ausdrücklich in das Profiling einwilligt (wie beispielsweise im jö Fall).

Verstöße gegen das Verbot können mit hohen Bußen bestraft werden (Art. 83 DSGVO). Um dies zu verhindern ist es wichtig ein angemessenes Datenschutzmanagement zu etablieren. Dies unterstützt die Wahrscheinlichkeit von Strafen zu verringern.

Benötigen Sie dabei Hilfe? Gerne beraten wir Sie in sämtlichen Fragestellungen zur Informationssicherheit.