Wirtschaft

DSGVO-Verstoß: Millionenstrafe für "jö Bonus Club"

Der von Rewe Österreich mit Partnern ins Leben gerufene jö Bonus Club mit mittlerweile mehr als vier Millionen Mitgliedern soll gemäß einem Bescheid der österreichischen Datenschutzbehörde zwei Millionen Euro Strafe zahlen. Das berichtet der "Standard". Grund soll sein, dass die Kundinnen und Kunden nicht ordentlich über den Einsatz von Profiling informiert wurden. Die Entscheidung ist noch nicht rechtskräftig.

Weil die Nutzer in der Einverständniserklärung des jö Bonus Club von Mai 2019 bis März 2020 über das Profiling nicht ausreichend informiert wurden, liege ein Verstoß gegen die Datenschutzgrundverordnung (DSGVO) vor, heißt es im Bericht.

Zustimmung zum "Profiling" in den AGB

Der Club habe den Eindruck vermittelt, Kunden würden sich nur für Rabatte und Gutscheine anmelden. Sofern sie nach unten scrollten, hätten sie erfahren, dass sie sich zum sogenannten Profiling bereit erklären, also zur Weiterverwendung persönlicher Daten, um künftige Prognosen zu treffen. Beim Profiling handelt es sich um die Verwertung gesammelter personenbezogener Daten, um beispielsweise gezielte Werbekampagnen zu starten oder das Sortiment je nach Erkenntnissen über das Kaufverhalten einer großen Zahl von Kunden anzupassen.

Konkret beanstandet die Datenschutzbehörde die Formatierung auf der Webseite des Clubs sowie auf Anmeldeformularen. Eine Zustimmung zum Profiling soll nicht immer eindeutig ersichtlich gewesen sein. Das habe der Club nach einem ersten Verfahren auch eingesehen und geändert - die Daten von 2,3 Mio. Personen seien aber weiterverwendet worden.

Die Datenschutzbehörde sieht im Profiling ein besonderes Risiko, weil bestimmte Aspekte einer Person bewertet und eine Vorhersage über ihr Verhalten in der Zukunft getroffen werden kann. Werden diese Daten an Dritte weitergegeben, könne das zu Problemen für Betroffene führen. Beim jö Bonus Club wird eine weitreichende Zustimmung gegeben, da alle Partner - neben den Rewe-Marken Billa, Penny und Bipa etwa auch Libro - die gesammelten Informationen verwenden können.

Nutzer, die sich von Mai 2019 bis März 2020 über die Webseite oder einen Flyer des Clubs anmeldeten, wurden dem Bericht zufolge unzureichend informiert. Die DSGVO setze eine Auskunft in einer "leicht zugänglichen", klaren und einfachen Sprache voraus. Es sei aber etwa erst auf die Verarbeitung personenbezogene Daten verwiesen worden, nachdem User eine Box mit einem "Ja" oder "Nein" versahen und hinunterscrollten statt schon vor Zustimmung informiert zu werden.