7661/J XXVII. GP

Eingelangt am 16.08.2021
Dieser Text wurde elektronisch übermittelt. Abweichungen vom Original sind möglich.

Anfrage

der Abgeordneten Dr. Nikolaus Scherak‚ MA, Kolleginnen und Kollegen

an die Bundesministerin für Justiz

betreffend Datenschutzverstoß Jö Bonusclub

Wegen mangelhafter Information über den Einsatz personenbezogener Daten der Kundinnen und Kunden verhängte die Datenschutzbehörde gegen den von Rewe Österreich mit Partner_innen ins Leben gerufene Jö Bonusclub eine Strafe von zwei Millionen Euro. Der Jö Bonusclub will dagegen Beschwerde einlegen. 

Zwischen Mai 2019 und März 2020 sei seitens des Jö Bonusclubs in seiner Einverständniserklärung bei Anmeldung für den Jö Bonusclub nicht ausreichend über die Datennutzung informiert worden, heißt es in der Begründung des Bescheides der Datenschutzbehörde. Die Konzeption der Einwilligungserklärungen für das Kundenbindungsprogramm von Rewe (Billa, Bipa, Penny, Adeg), OMV und weiteren neun Partner_innen sei nach Ansicht der Behörde nicht ordnungsgemäß erfolgt und wurden anschließend unerlaubt zum sogenannten Profiling von Kund_innen genutzt. Daher liege ein Verstoß gegen die Datenschutzgrundverordnung vor. Der Club habe den Eindruck vermittelt, Kund_innen würden sich nur für Rabatte und Gutscheine anmelden. Erst nachdem sie nach unten scrollten, hätten sie erfahren, dass sie sich mit der Einverständniserklärung auch zum sogenannten Profiling, also zur Weiterverwendung persönlicher Daten, bereit erklärten. Die DSGVO setzt eine Auskunft in einer "leicht zugänglichen", klaren und einfachen Sprache voraus, was auf Grund dieser Vorgehensweise aber nicht befolgt worden sei (orf.at, 3.8.2021)

Die Datenschutzbehörde beanstandet die Formatierung auf der Webseite des Clubs sowie auf den Anmeldeformularen. Eine Zustimmung zum Profiling soll nicht immer eindeutig ersichtlich gewesen sein. Das habe der Club nach einem ersten Verfahren auch eingesehen und geändert - die Daten von 2,3 Mio. Personen seien aber weiterverwendet worden (kurier.at, 2.8.2021). Auch beim physischen Flyer des Bonusclubs, der mittlerweile – wie die Webseite – angepasst wurde, sieht die Datenschutzbehörde eine Verletzung. Der Jö Bonusclub hätte entweder sämtliche Kund_innen informieren und eine neue Einwilligung einholen oder das Profiling einstellen müssen.

Die Datenschutzbehörde sieht im Profiling ein besonderes Risiko, weil bestimmte Aspekte einer Person bewertet und eine Vorhersage über ihr Verhalten in der Zukunft getroffen werden kann. Werden diese Daten an Dritte weitergegeben, könne das zu Problemen für Betroffene führen. Beim Jö Bonusclub wird eine weitreichende Zustimmung gegeben, da alle Partner_innen - neben den Rewe-Marken Billa, Penny und Bipa etwa auch Libro - die gesammelten Informationen verwenden können (diepresse.at, 2.8.2021).

Die unterfertigten Abgeordneten stellen daher folgende

Anfrage:

 

  1. Wie setzt sich die Höhe der Strafzahlung auf Grund des Datenschutzverstoßes zusammen?
  2. Wie und wann ist es zur Einleitung des Verfahrens gegen die "Unser Ö-Bonus Club GmbH" gekommen?
  3. Welche Maßnahmen setzte das BMJ bzw. die Datenschutzbehörde bisher, um derartige Datenschutzverstöße zu verhindern?
  4. Sind weitere Maßnahmen des BMJ bzw. der Datenschutzbehörde geplant, um derartige Datenschutzverstöße zukünftig zu verhindern? 
  5. Auf welche Rechtsgrundlagen stützt sich der festgestellte Datenschutzverstoß? 
  6. Auf welche Rechtsgrundlagen stützt sich die Geldbuße?
  7. Die Datenschutzbehörde vertritt die Ansicht, dass Kund_innen bei der Anmeldung über die Website und mittels Papierformular nicht verstehen, worin sie einwilligen, bei Anmeldung am Tower und in der App jedoch schon (https://www.joe-club.at/infodsbbescheid). Inwiefern unterscheiden sich die beiden Anmeldungsvorgänge voneinander?
  8. Wieso wurde bei der Anmeldung am Tower und in der App kein Datenschutzverstoß festgestellt?
  9. Hat sich die "Unser Ö-Bonus Club GmbH" beim BMJ bzw. bei der Datenschutzbehörde in der Vergangenheit erkundigt und um Konsultation bezüglich dem in der Vergangenheit vorgenommenen Profiling einzelner Kund_innen gebeten?
    1. Wenn ja, wann war das? 
    2. Wenn ja, wurde der "Unser Ö-Bonus Club GmbH" daraufhin Auskunft gegeben?
    3. Wenn ja, was wurde der "Unser Ö-Bonus Club GmbH" als Reaktion auf deren Anfrage mitgeteilt?
  1. Hat sich die "Unser Ö-Bonus Club GmbH" beim BMJ bzw. bei der Datenschutzbehörde in der Vergangenheit erkundigt und um Konsultation bezüglich der Ausgestaltung der Einwilligungserklärungen für Kund_innen gebeten? 
    1. Wenn ja, wann war das? 
    2. Wenn ja, wurde der "Unser Ö-Bonus Club GmbH" daraufhin Auskunft gegeben?
    3. Wenn ja, was wurde der "Unser Ö-Bonus Club GmbH" als Reaktion auf deren Anfrage mitgeteilt?
  1. Gab es eine sonstigen Kontaktaufnahme mit oder einen sonstigen Austausch zwischen der "Unser Ö-Bonus Club GmbH" und dem BMJ bzw. der Datenschutzbehörde? 
    1. Wenn ja, wann?
    2. Wenn ja, worum ging es in diesem Austausch? 
  1. Sind dem BMJ weitere anhängige Verfahren bei der Datenschutzbehörde gegen die "Unser Ö-Bonus Club GmbH" bekannt?
    1. Wenn ja, welche? 
  1. Wie ist die lange Verfahrensdauer zu erklären?
  2. Entspricht die aktuelle Ausgestaltung der Informationen für die Kund_innen bei der Anmeldung für den Jö Bonusclub den datenschutzrechtlichen Vorgaben der DSGVO?