Weitergabe von Daten aus einem Kundenbindungssystem
Viele Einzelhandelsunternehmen nutzen zur Kundenbindung ein Kundenkartensystem. Im Rahmen des Antrags auf Ausgabe einer Kundenkarte werden hier zunächst personenbezogene Daten wie Name, Adressdaten, Geburtsdatum und bei gleichzeitiger Nutzung als Zahlungsmittel auch Zahlungsdaten erhoben; diese werden im Verlauf der Nutzung der Karte mit den hieraus erworbenen Daten zum Einkaufsverhalten angereichert. Als Vorteile für die Kunden zur Teilnahme am Kundenkartensystem werden zumeist Rabatte auf Einkäufe, die Teilnahme an Sonderaktionen und weitere Vergünstigungen angeboten.
Die Inhaber von Kundenkarten eines derartigen Systems wurden im Laufe des Jahres über die bevorstehende Schließung des ausgebenden Unternehmens informiert. Zugleich wurden sie darüber informiert, dass mit ihrer stillschweigenden Zustimmung ihre Daten an nicht näher bezeichnete Nachfolgefirmen, die die Räumlichkeiten zukünftig nutzen würden, weitergegeben würden; die Einwilligung erfolge auf freiwilliger Basis. Sollten die Kunden mit der Weitergabe ihrer Daten nicht einverstanden sein, wurden sie gebeten, einen entsprechend ausgedruckten Widerruf schnellstmöglich an das Unternehmen zurückzusenden. Als gesetzliche Grundlage verwies der Verantwortliche darauf, dass „die persönlichen Daten Ihrer Person unter Beachtung des Landesdatenschutzgesetzes (LDSG) erhoben, verarbeitet und genutzt werden“.
Die geplante Weitergabe der personenbezogenen Daten wurde dem ULD durch mehrere Beschwerden bekannt.
Der Verantwortliche wurde im Rahmen eines aufsichtsbehördlichen Verfahrens zunächst darauf hingewiesen, dass die gesetzliche Grundlage für die Verarbeitung der personenbezogenen Daten im vorliegenden Fall die Datenschutz-Grundverordnung ist. Da das Landesdatenschutzgesetz lediglich für die Verarbeitung personenbezogener Daten bei öffentlichen Stellen des Landes Schleswig-Holstein gilt, war es im vorliegenden Fall nicht anzuwenden.
Die Weitergabe der personenbezogenen Daten sollte laut dem Kundenanschreiben auf Grundlage einer Einwilligung erfolgen, sodass in einer rechtlichen Würdigung ausgeführt wurde, dass eine Einwilligung einer betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung ist, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Das Anschreiben erfüllte die Voraussetzungen für eine wirksame Einwilligung bereits aus dem Grunde nicht, weil diese nicht durch eine bestätigende Handlung, sondern stillschweigend erfolgen sollte und nur durch einen Widerspruch abgewendet werden konnte. Die im Anschreiben enthaltenen Ausführungen zur Weitergabe der personenbezogenen Daten reichten zudem nicht aus, um den Anforderungen an eine informierte Einwilligung zu genügen.
Ergänzend ist anzumerken, dass der Verantwortliche, wenn die Verarbeitung auf einer Einwilligung beruht, nachweisen können muss, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. Auch dies wäre durch das geplante Vorgehen nicht gegeben gewesen.
Nach Darlegung der Rechtsgrundlagen teilte der Verantwortliche mit, auf die Weitergabe der Kundendaten zu verzichten, diese unmittelbar nach der Schließung zu löschen und die betroffenen Personen hierüber zu informieren.
Quelle: ULD
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks