Datenschutzbedenken bei neuer Jö-Kundenkarte

Mit der Jö-Kundenkarte kann man bei zehn Unternehmen der deutschen REWE-Gruppe einkaufen. Eine Wienerin will dem Jö Bonusclub wegen Datenschutzbedenken nicht beitreten und Kundenkarten zukünftig meiden. Da sie bereits Besitzerin einer Merkur Kundenkarte ist, beantragte sie bei REWE die Löschung ihrer personenbezogenen Daten. Diesem Wunsch möchte man nicht so ohne Weiteres nachkommen.

Sie gefällt sogar seiner Majestät: Fernsehkaiser Robert Palfrader und sein getreuer Seyffenstein alias Rudi Roubinek bewerben die neue Jö-Kundenkarte nach Kräften. Dennoch gibt es Konsumentinnen und Konsumenten, die dem Bonusprogramm skeptisch gegenüberstehen.

BAWAG speichert Jö-Kundendaten in ihrer App

Mit der neuen Karte kann man bei zehn Tochterunternehmen des REWE-Konzerns einkaufen und Bonuspunkte sammeln. Darunter bekannte Namen wie Billa, Bipa, Libro und Merkur. Darüber hinaus ist auch die BAWAG an dem Bonusprogramm beteiligt. In der Smartphone-App der Bank kann der Punktestand der Jö-Karte jederzeit abgefragt werden. Eine Wiener Konsumentin ist Besitzerin einer „Friends of Merkur“-Kundenkarte. Dem neuen Jö-Bonusclub möchte sie nicht beitreten, da sie Bedenken wegen des Datsnschutzes hat. Bei der Jö-Karte krisisiert sie, dass man persönliche Einkaufsdaten einer großen Zahl an Unternehmen und sogar Banken zur Verfügung stellen müsse, nur um ein paar Prozente Rabatt zu erhalten.

Beim Jö-Bonusclub beteuert man, dass Kundendaten unter den einzelnen Partnerunternehmen nicht getauscht und auch nicht an Dritte weiterverkauft werden. Konsumentenschützer raten dennoch zur Vorsicht. Fest stehe, dass die Daten bei einer übergeordneten Stelle zusammenlaufen und man nicht genau sagen könne, was mit ihnen passiert, sagt Walter Hager vom Verein für Konsumenteninformation (VKI).

Konsumentin verlangte Löschung ihrer Kundendaten

Da die Wienerin das Interesse an Kundenkarten nun generell verloren hat und auch ihre Friends of Merkur Karte aufgeben möchte, hat sie REWE nun aufgefordert, die bisher über sie erhobenen Einkaufsdaten zu löschen. In einem Antwortschreiben teilte REWE mit, dass der Konzern diesem Wunsch vorerst nicht nachkommen könne. Man könne die Identität der Kundin nicht eindeutig verifizieren, wie es heißt. REWE verlangt eine Ausweiskopie.

Die Konsumentin kann diese Argumentation nicht nachvollziehen. Es sei doch einigermaßen verwunderlich, dass man zuerst weitere personenbezogene Daten an den Konzern liefern müsse, wenn man erreichen wolle, dass alle persönlichen Daten, die im System des Unternehmens gespeichert sind, gelöscht werden sollen, so die Wienerin.

REWE: Brauchen einen Identitätsnachweis

Auch gegenüber help.ORF.at argumentiert der Konzern damit, dass man zusätzliche Informationen benötige, um die Antragstellerin identifizieren zu können. Vor allem weil man bei der Anmeldung einer Kundenkarte keinen Ausweis vorlegen müsse. In dem Schreiben von REWE heißt es: „Wichtig bei der Anmeldung ist sowohl der vollständige Name als auch die Unterschrift eines Kunden. Letztere wird nun auch bei der Löschung mit dem Ausweis verglichen, da uns keine weiteren Merkmale zur Identifikation zur Verfügung standen. Die Angabe eines Namens samt Kundennummer ist nicht ausreichend, da wir nicht ausschließen können, dass jemand die Kundenkarte gefunden hat und auf diesem Weg diese Daten nun für eine dritte Person bekanntgibt und die Löschung beantragt.“

Ausweiskopie nur in Ausnahmefällen zulässig

Dass Unternehmen die Kopie eines amtlichen Lichtbildausweises einfordern, ist in Österreich nicht ungewöhnlich. Anders als in Deutschland, wo ein derartiges Vorgehen verboten ist. Und das nicht ohne Grund. Ausweiskopien, die etwa über E-Mail versendet werden, können in falsche Hände geraten und dann missbräuchlich verwendet werden.

Gemäß der früheren Gesetzeslage sei es auch möglich gewesen, den Identitätsnachweis in Form einer Ausweiskopie zu verlangen, sagt Karl Gladt, juristischer Leiter beim Projekt „Internet Ombudsmann“ des Österreichischen Instituts für angewandte Telekommunikation (ÖIAT). Gemäß der seit etwa einem Jahr gültigen Datenschutzgrundverordnung (DSGVO) sei ein solches Vorgehen aber nicht mehr vorgesehen und nur noch in Ausnahmefällen zulässig.

Unternehmen müssen Zweifel an Identität begründen

Wenn personenbezogene Daten angefordert werden oder gelöscht werden sollen, müsse ein Unternehmen natürlich sicherstellen, dass kein Unbefugter an die Informationen gelangt. Ein Unternehmen dürfe zusätzliche personenbezogene Daten aber nur dann verlangen, wenn es nachweisen kann, dass eindeutige Zweifel an der Identität des Antragstellers bestehen, so Gladt.

Im Normalfall sollten jene Daten, die für den normalen Kundenverkehr notwendig sind, auch ausreichend sein, um Datenauskünfte zu erhalten. Wer etwa online eine Überweisung tätigt, muss seine Identität mittels einer Verfügernummer und eines TAN-Codes verifizieren. Da für die Bank diese Sicherheitsmerkmale ausreichend sind, wenn es darum geht, hohe Geldbeträge zu bewegen, darf sie auch keine zusätzlichen Identifikationsmaßnahmen einfordern, wenn der Kunde Einblick in persönliche Datensätze verlangt, sagt Gladt.

Personenangaben auf Kundenkarten kaum überprüfbar

Bei der Ausgabe von Kundenkarten legen die Handelsketten auf eine Identitätsfeststellung aber bekanntermaßen keinen großen Wert. Es gibt auch keine gesetzliche Regelung, die ein Unternehmen dazu verpflichten würde, vor dem Abschluss eines Vertrags die Identität des Vertragspartners zu ermitteln. In der Regel genügt hier das Ausfüllen eines Formulars. Theoretisch könne man hier auch falsche Angaben eintragen. Zwar könne man wohl davon ausgehen, dass ein Kunde gemäß der AGB dazu verpflichtet ist, wahrheitsgemäße Angeben zu machen, tue er das nicht, sei das im Nachhinein aber kaum zu überprüfen, so Gladt.

Die Handelsunternehmen hätten in solchen Fällen auch kaum ein Interesse an personenbezogenen Daten. Es gehe zunächst nur darum, ein spezifisches Einkaufsverhalten einer Person zuordnen zu können. Der tatsächliche Name der Person sei eher unerheblich, so der ÖIAT-Jurist.

Ausweiskopien unbedingt mit Wasserzeichen versehen

Auch die Konsumentin aus Wien habe ihre Kundenkarte bekommen, ohne sich ausweisen oder eine E-Mail-Adresse hinterlegen zu müssen. Insofern sei der Wunsch nach einer Identifizierung der Kundin zumindest nicht ganz unbegründet, sagt Gladt. Dass zu dieser Identitätsfeststellung eine Ausweiskopie geschickt werden muss, missfällt dem Juristen allerdings. Gerade in den vergangenen Monaten kam es hier zu etlichen Fällen des Datenmissbrauchs.

Der ÖIAT-Jurist empfiehlt zu überprüfen, ob im konkreten Fall die Identität der Kundin nicht doch in irgendeiner anderen Form nachgewiesen werden kann. Sollte sich herausstellen, dass die Übermittlung einer Ausweiskopie unumgänglich ist, sollte man diese aber unbedingt mit Sicherheitsmerkmalen versehen, so Gladt. Mit nahezu allen gängigen Grafikprogrammen kann man die Kopie mit einem Wasserzeichen versehen. Auf diesem Wasserzeichen sollten sowohl das Datum als auch der Verwendungszweck angegeben werden, für den die Ausweiskopie versendet wird. Auf diese Weise könne man seine Daten vor Missbrauch schützen. Man müsse allerdings darauf achten, dass die Daten des Ausweises auch mit Wasserzeichen noch gut lesbar sind.

Ob die Argumentation von REWE die Herausgabe eines Ausweises zwingend erforderlich macht, möchte Gladt nicht abschließend beurteilen. Sollten Konsumentinnen und Konsumenten aus durchwegs berechtigten Gründen keine Kopie verschicken wollen und sich mit den jeweiligen Unternehmen auf keine zufriedenstellende Vorgehensweise einigen können, empfiehlt der Jurist, sich an die Datenschutzbehörde (DSB) zu wenden und die Angelegenheit dort klären zu lassen. Die DSB sei verpflichtet, solche Fälle zu prüfen.

Aktualisierung: Kein Ausweis bei Jö-Bonusclub

Nach Erscheinen des Artikels hat uns eine Stellungnahme des Jö-Bonusclub erreicht. Man möchte festhalten, dass keine Kundenkarten automatisch in das neue System überführt werden. Eine Mitgliedschaft kann ausschließlich durch eine Neuanmeldung erfolgen. Eine Verifikation des jeweiligen Mitglieds erfolge über eine vom Kunden selbst angegebene sechsstellige Zugangsnummer. Die Vorlage eines Ausweises sei nicht notwendig.

Paul Urban Blaha, help.ORF.at

Links:

• Österreichisches Institut für angewandte Telekommunikation (ÖIAT)
• Internet Ombudsmann
• Datenschutzbehörde der Republik Österreich

Mehr zum Thema:

• Ausweiskopien immer größeres Sicherheitsrisiko
• Dateneinsicht von Firmen und Behörden richtig fordern