KONSUM: Heikler Datenmix auf der Karte

Kundenkarten sind in der Schweiz beliebt. Doch problematisch wird es, wenn Kundendaten mit finanziellen Informationen vermischt werden. Der Datenschutz ermittelt gegen die Coop-Supercard.

Bernard Marks, Roman Schenkel
Merken
Drucken
Teilen
Ein Frau beim Einkaufen im Coop Löwencenter in Luzern. Sie zeigt ihre Supercard. (Bild: Boris Bügrisser / Neue LZ)

Ein Frau beim Einkaufen im Coop Löwencenter in Luzern. Sie zeigt ihre Supercard. (Bild: Boris Bügrisser / Neue LZ)

Tausende Betroffene, grosser Imageschaden. Die Bank Coop wollte Mitte der Woche eigentlich nur die Superpunkte ihrer Kunden auflisten. Wegen eines Fehlers wurden in der Folge Tausende falsche Kontoauszüge an Kunden verschickt. Dass es sich bei dieser peinlichen Panne um eine sehr seltene handelt, liegt auf der Hand. Dennoch wirft der Vorfall Fragen auf. Wie gross ist das Risiko, dass sich solche Datenpannen wiederholen? Konsumentenschützer und der Datenschutz wurden hellhörig.

Mittel zur Kundenbindung

Die Schweiz ist im Sammelfieber: Kundenkarten sind sehr beliebt. Kaum ein Unternehmen, welches keine Kundenkarte anbietet. Denn die unscheinbaren Plastikkarten haben es in sich. Sie sorgen dafür, dass der Kunde treu bleibt. Doch neben den Annehmlichkeiten wie Bonuspunkten oder Rabatten, die der Konsument auf solchen Karten sammeln kann, gibt Kunde im Gegenzug viel von sich preis. Informationen über Kunden sind in der heutigen Zeit begehrt wie nie zuvor. Laut einer Studie der Boston Consulting Group wird der Handelswert persönlicher Daten 2020 allein in Europa 330 Milliarden Euro betragen.

Entsprechend fleissig haben Schweizer Detaillisten in der Vergangenheit Kundenkarten herausgeben. Allein die zwei Schweizer Grossverteiler Migros und Coop hatten im Jahr 2012 zusammen fast 6 Millionen Kundenkarten im Umlauf. Ikea konnte auf 1,3 Millionen Karten verweisen (siehe Grafik). «Kundenkarten bieten dem Unternehmen die Möglichkeit, ihre Kunden auf einfachere und effektivere Weise zu erreichen», erklärt Sara Stalder von der Stiftung für Konsumentenschutz. Wenn ein Kunde mit einer Kundenkarte häufiger einkauft oder dem Unternehmen treu bleibt, ist dies ein Erfolg für das sogenannte «Kundenbindungsprogramm» der Firma.

Was dem Konsumenten verschwiegen wird: «Die Kundenkarten dienen hauptsächlich den Anbietern und sollten daher eher Marktforschungskarten genannt werden», kritisiert Stalder.

Der gläserne Kunde

Auf einer einfachen Kundenkarte wie zum Beispiel einer Cumulus-Karte von der Migros werden die Daten abgespeichert, die man angibt. Das sind persönliche Angaben zum Alter, Wohnort, Telefonnummern. «Jede Firma versucht dabei so viele Angaben wie möglich zu bekommen. Es gibt aus diesem Grund in den Formularen zahlreiche Pflichtfelder, um die man gar nicht herumkommt», sagt Stalder. Auf diese Weise sammeln sich bereits erste Daten auf der Karte.

«Doch das ist noch lange nicht alles. Denn oft kaufen die Anbieter solcher Karten zusätzlich von Drittanbietern Datenmaterial über ihre Kunden an», sagt Stalder. Diese Daten sind allgemein zugänglichen Quellen zu entnehmen und werden von spezialisierten Firmen –auf bestimmte Zielgruppen zugeschnitten – vermietet oder verkauft. Diese Firmen nutzen öffentlich zugängliche Quellen wie Telefonbücher, Adressbücher, Branchenverzeichnisse, Zeitungen und Messekataloge, Teilnehmerverzeichnisse, öffentliche Register und auch Ankündigungen (zum Beispiel Mitteilungen der Standesämter, Geburtsanzeigen und dergleichen) und werten diese systematisch aus.

Auch das Internet trägt dazu bei. Jeder Klick im Netz hinterlässt eine Spur des Nutzers, die zurückverfolgt werden kann. Diese grosse Fülle an möglichen Daten kann auf einer gewöhnlichen Karte nebst den Kundendaten gespeichert werden. Das Ganze summiert sich schnell zu einer riesigen Datenmenge, die Unternehmen Auskunft über die Lebenssituation, Bonität und das Einkaufsverhalten geben. «Die Kundenkarten stehen gewissermassen am Ende einer Verwertungskette», sagt Stalder. Firmen wollen diese Informationen möglichst optimal für sich nutzen.

«Die Datenmenge allein wäre unproblematisch», sagt Stalder. Was Konsumenten oftmals nicht wissen, ist, dass sie mit ihrer Unterschrift einer systematischen Auswertung ihrer Daten zustimmen. Mit seiner Unterschrift akzeptiert der Kunde die Allgemeinen Geschäftsbedingungen, worin steht, dass diese Informationen zu Marketingzwecken verwendet und weitergegeben werden dürfen. «Es ist nicht transparent, was mit den Daten genau gemacht wird», kritisiert Stalder.

Karten mit Mehrfachnutzung

Immer häufiger werden solche einfachen Kundenkarten mit finanziellen Dienstleistungen wie Cash- oder Kreditfunktionen kombiniert. Es entstehen sogenannte Hybridkarten. Das sind Karten mit mindestens zwei unterschiedlichen Informationsträgern (Chips). Oft werden hierbei Kundenkarten mit Zahlfunktionen kombiniert.

Die Migros zum Beispiel offeriert mit der Cembra Money Bank als Herausgeberin eine «Cumulus-Kreditkarte». Coop hat mit der Supercard plus ein ähnliches Angebot. «Die clevere Kreditkarte: weltweit damit bezahlen und Superpunkte sammeln», heisst es in einem Slogan. «Die Vermischung von Daten über das Kaufverhalten mit finanziellen Daten ist gesetzlich nicht erlaubt», sagt die Konsumentenschützerin Stalder.

Kunden können klagen

«Es liegt auf der Hand, wie wichtig Personendaten für Unternehmen sind», sagt auch Eliane Schmid, Mediensprecherin des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. «Wer aber solche Daten bearbeitet, muss sich an das Datenschutzgesetz halten, sonst riskiert er eine Klage von Betroffenen», sagt Schmid. Der Datenschutz hat die Kundenkarten denn auch auf dem Radar: «Wir führen bereits seit längerer Zeit eine Sachverhaltsabklärung bezüglich der Supercard von Coop durch», sagt Schmid. Diese stehe nicht in Zusammenhang mit den falsch zugestellten Kontoauszügen der Inhaber eines «Sparkontos Supercard» bei der Bank Coop von dieser Woche, stellt Schmid klar. «Wir werden aber auch den aktuellen Fall prüfen», sagt sie.

Nach dem gegenwärtigen Kenntnisstand finde zwischen den Daten der Bank Coop und denjenigen des Detailhändlers Coop jedoch kein regelmässiger Abgleich statt – was laut Datenschutzgesetz unzulässig wäre. «Doch nicht nur der Abgleich steht im Fokus, auch die Richtung des Datenflusses ist entscheidend», sagt Schmid.