Bonus-Programme sind im Handel weit verbreitet. Das Geschäftsmodell:  Kunden bekommen Rabatte und die Unternehmen analysieren das Kaufverhalten und schlagen Profit aus den so gewonnenen Daten. Nun hat die Datenschutzbehörde das größte dieser Programme in Österreich überprüft. Das Ergebnis: Der Jö-Bonusclub wird zu einer Strafzahlung in Höhe von zwei Millionen Euro verurteilt. Bis zur Klärung wird die Auswertung beim Großteil der Mitglieder pausiert.

Grund für das Straferkenntnis der Datenschutzbehörde (DSB) vom 26. Juli ist, dass "die zwischen Mai 2019 und Februar 2020 eingeholten Einwilligungserklärungen der Kundinnen und Kunden für das Kundenbindungsprogramm nicht den Vorgaben der Datenschutzgrundverordnung (DSGVO) entsprachen", erklärte die Behörde. Dies sei insbesondere deshalb der Fall gewesen, weil die Einwilligung neben der Teilnahme am Programm auch sogenanntes "Profiling" umfasst habe, wobei bei Einkäufen hinterlassene Daten zusammengeführt und ausgewertet würden, um Kundenpräferenzen zu ermitteln und zielgerichtete Werbemaßnahmen setzen zu können.

"Damit ist es auch möglich, konkrete 'Einkaufsmuster' einzelner Personen nachzuvollziehen", so die Datenschutzbehörde. Und weiter: "Aufgrund der Ausgestaltung der Einwilligungserklärungen war davon auszugehen, dass Kundinnen und Kunden eine Einwilligung zu Profiling erteilten, ohne sich dessen bewusst gewesen zu sein."

Daten weiterverwendet

"Für uns war das wirklich überraschend", sagt Mario Rauch, Geschäftsführer der zuständigen "Unser Ö-Bonus Club GmbH". Zumal es sich um einen Auffassungsunterschied über ein Detail handle. Die Aufklärung über das Profiling war bis März 2020 auf der Webseite unter der Zustimmung dafür zu finden. "Es gibt kein Gesetz, in dem die Platzierung oder Schriftgröße geregelt ist", erklärt Rauch. Man habe das aber geändert.

Dennoch seien die Daten der rund 2,3 Millionen Menschen weiter verwendet worden, beklagt die Datenschutzbehörde in ihren Bescheid. Das sei auch ausschlaggebend für die Millionenstrafe.

Geschäftsführer Rauch betont, dass in etwa 80 Prozent der rund vier Millionen Teilnehmer dem Profiling "bewusst zugestimmt haben." Diese Zustimmung könne auch jederzeit widerrufen werden. "Kunden können dann weiterhin von den Rabattaktionen profitieren." Personalisierte Angebote gäbe es dann halt nicht mehr. Bei den von dem Bescheid betroffenen Personen werde es bis zur Klärung des Falls ebenfalls kein Profiling geben - immerhin mehr als die Hälfte der Mitglieder.

Keine Beratung

Jö werde gegen den Bescheid jedenfalls vor dem Bundesverwaltungsgericht (BvWG) berufen und den vollen Instanzenweg beschreiten, sagt Rauch. Er beklagt, von der Behörde nicht ausreichend beraten worden zu sein. "Datenschutz ist für uns immer ein wichtiges Anliegen gewesen." Deshalb haben man sich auch mit der Bitte um Beratung direkt an die Datenschutzbehörde gewendet. "Das wurde uns verwehrt", sagt Rauch.

Die Kontaktaufnahme bestätigt Andrea Jelinek, Leiterin der Datenschutzbehörde. "Wir machen jedoch keine Einzelfallberatung." Damit würde man den auf Datenschutz spezialisierten Anwälten Konkurrenz machen. Bei der Prüfung des Jö-Bonusclubs habe man stets die österreichischen Gesetze angewendet, sagt die Behördenleiterin. "Es ist das gute Recht jeder Partei, anderer Meinung zu sein. Dafür gibt es ja dann die höheren Instanzen."

Amtswegige Prüfverfahren wie jenes gegen Jö seien auch nichts Ungewöhnliches, erklärt Jelinek. 337 solcher Prüfungen hat die Datenschutzbehörde 2020 eingeleitet, 158 waren es bisher heuer. Eine Aufstellung, bei wie vielen es Strafbescheide gab, hat die Behörde nicht.

Schwieriger Instanzenweg

Dass der Vollzug solcher Strafen nicht einfach ist, musste die Datenschutzbehörde bereits im Fall der Österreichischen Post lernen. Diese wurde zu einer Zahlung in Höhe von 18 Millionen Euro verurteilt, weil sie Profile zu Parteiaffinitäten erstellt hatte. Im Dezember 2020 gab das BvWG der Behörde inhaltlich recht, kippte die Strafe aber wegen eines Formalfehlers. Laut dem Urteil wäre eine Strafe bei Firmen nur möglich, wenn auch ein Mitarbeiter, eine Mitarbeiterin, des Unternehmens für das Verschulden verantwortlich ist.

Dennoch: Europaweit schauen Datenschutzbehörden inzwischen sehr genau auf das Kleingedruckte. Das zeigt auch die bisherige Rekord-Strafe in Luxemburg. Dort wurde Amazon in der Vorwoche zu einer Zahlung von 746 Millionen Euro verdonnert, weil Kunden ohne dezidierte Zustimmung personalisierte Werbung angezeigt wird. Auch hier ist das Urteil noch nicht rechtskräftig.