Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 462 43 95, Fax 058 465 99 96 www.edoeb.admin.ch
Minimale Einwilligungsklausel zu Kreditkarten Der eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat beschlossen, eine minimale Standardklausel mit den datenschutzrelevanten Elementen zu formulieren, welche in den allgemeinen Geschäftsbedingungen der Kreditkartenherausgeberinnen aufgeführt sein müssen. Wie ihr Name schon sagt, enthält die Minimalklausel nur diejenigen Elemente, welche das Bundesgesetz über den Datenschutz (DSG) erfordert. Beim Ausarbeiten dieser minimalen Standardklausel hat sich der EDÖB am Ziel orientiert, eine möglichst kurze Klausel zur Verfügung zu stellen, welche gleichzeitig im Hinblick auf das Gesetz vollständig und für die Karteninhaber einfach verständlich ist. In diesem Zusammenhang wurden folgende weitere Leitlinien befolgt: Die schon durch das Gesetz geregelten Elemente werden in der Klausel nicht wiederholt und der Text wird nicht durch Elemente belastet, welche sich von selbst verstehen (z.B. die für die Kartenproduktion erforderlichen Datenbearbeitungen). In der minimalen Standardklausel sind diejenigen Bearbeitungen aufgeführt, welche im Bereich der Kreditkarten am weitesten verbreitet sind. Die Herausgeberinnen werden ihre jeweilige Klausel vervollständigen müssen, wenn ihre Bearbeitungen weiter gehen als durch die Minimalklausel abgedeckt. 1 Minimale Standardklausel 1. Die Herausgeberin kann die zum Zwecke der Ausstellung und Benutzung der Karte erforderlichen Informationen beim Arbeitgeber, bei den durch den vorliegenden Vertrag betroffenen Banken, bei Betreibungsämtern, Einwohnerkontrollen, Vormundschaftsämtern, Kreditauskunfteien und insbesondere bei der ZEK (Zentralstelle für Kreditinformation) … einholen. Gemeint sind damit Informationen wie die aktuelle Adresse, Zahlungsfähigkeit, Bevormundung … (Liste gegebenenfalls ergänzen) 2. Bei der Benutzung der Karte erhält die Herausgeberin nur diejenigen Informationen, welche sie benötigt, um die Rechnung zuhanden des Karteninhabers auszustellen. Der Inhaber der Karte wird hiermit darüber informiert, dass die Rechnungen gemäss einem weltweiten Standard für vier Gruppen von Produkten bzw. Dienstleistungen detaillierter sind: Kauf von Kraftstoff, Kauf von Flugtickets, Hotelrechnungen sowie Rechnungen für die Miete von Motorfahrzeugen. 3. Die Herausgeberin kann der ZEK jede Kartensperrung mitteilen, welche aufgrund von Zahlungsrückständen oder missbräuchlicher Verwendung erfolgt. Die ZEK kann diese Informationen ihren anderen Mitgliedern (Unternehmen, die im Sektor Konsumkredit, Leasing oder Kreditkarten aktiv sind – Mitgliederliste über Internet verfügbar unter http://www.zek.info/public/dokumente/ZEKFolderB1.pdf) zur Verfügung stellen, wenn diese die Angaben benötigen, um mit dem Karteninhaber einen Vertrag abzuschliessen oder abzuwickeln. http://www.zek.info/public/dokumente/ZEKFolderB1.pdf
2/5
4. Der Karteninhaber akzeptiert, dass auch bei Transaktionen in der Schweiz die Daten über die weltweiten Kreditkartennetze zur Kartenherausgeberin geleitet werden. 5. Wenn der Karteninhaber nicht ausdrücklich widerspricht, kann die Herausgeberin folgende Informationen mit dem Ziel bearbeiten, Produkte und Dienstleistungen zu entwickeln, welche geeignet sind, den Karteninhaber zu interessieren: - Daten betreffend das Transaktionsvolumen oder die Transaktionsart - … 6. Die Kartenherausgeberin kann für die Bearbeitung des Kartenantrages sowie für die Abwicklung der Kartenbeziehung und der Transaktionen Dritte in der Schweiz und im Ausland beauftragen, soweit dies die schweizerische Gesetzgebung erlaubt und insbesondere unter Garantie eines angemessenen Datenschutzes. 7. Im Zusammenhang mit spezifischen vom Karteninhaber gewählten Kartenprogrammen kann die Herausgeberin ihren Partnern die zur Durchführung dieser Programme erforderlichen Daten zur Verfügung stellen. Wenn ein Partner nicht der schweizerischen Datenschutzgesetzgebung oder einer Gesetzgebung unterstellt ist, welche ein angemessenes Datenschutzniveau gewährleistet, darf eine Datenbekanntgabe nur dann stattfinden, wenn die Datenempfänger sich verpflichten, ein angemessenes Datenschutzniveau zu gewährleisten. 8. Falls die Zahlungen des Karteninhabers gegenüber der Herausgeberin im Lastschriftverfahren erfolgen, kann die Herausgeberin der entsprechenden Bank die erforderlichen Daten betreffend den Kunden, die Karte sowie die kumulierten Beträge der Ausgaben bekanntgeben. 2 Erläuterungen 2.1 Punkte, die in der Klausel aufgeführt sein müssen Datenbeschaffung 1. Die Herausgeberin kann die zum Zwecke der Ausstellung und der Benutzung der Karte erforderlichen Informationen beim Arbeitgeber, bei den durch den vorliegenden Vertrag betroffenen Banken, den Betreibungsämtern, den Einwohnerkontrollen, den Vormundschaftsämtern, den Kreditauskunfteien und insbesondere der ZEK (Zentralstelle für Kreditinformation) … (Liste gegebenenfalls ergänzen) einholen. Gemeint sind damit Informationen wie aktuelle Adresse, Zahlungsfähigkeit, Bevormundung … (Liste gegebenenfalls ergänzen). Der Karteninhaber muss wissen, bei wem die Herausgeberin im Zusammenhang mit der Ausstellung und Benutzung der Karte Informationen beschafft. Alle Kategorien von Datenquellen müssen in der Klausel aufgeführt sein. Die Informationsstelle für Konsumkredit (IKO) kann aus Transparenzgründen zwar erwähnt werden. Dies ist aber nicht unbedingt erforderlich, da die Interaktionen mit der IKO gesetzlich vorgesehen sind. Die ZEK hingegen muss erwähnt werden, weil sie nicht mit der IKO identisch ist. Was die Kategorien von Datenquellen betrifft, so finden sich in der Standardklausel diejenigen, welche in den untersuchten bestehenden Klauseln aufgeführt sind. Die Herausgeberin wird ihre Liste dann ergänzen müssen, wenn nicht alle Kategorien figurieren.
3/5
Die vorgeschlagene Liste der Kategorien von Personendaten enthält die wichtigsten Elemente. Für den Fall, dass andere Kategorien von Personendaten beschafft werden, ist die Liste zu ergänzen. Die Zwecke der Datenverwendung, d.h. die Ausstellung und Verwendung der Kreditkarte, sind genügend präzise. Die Einwilligung der Betroffenen kann daher in dieser Beziehung als aufgeklärt betrachtet werden. Datenflüsse von den Akzeptanzstellen zur Kartenherausgeberin 2. Bei der Benutzung der Karte erhält die Herausgeberin nur diejenigen Informationen, welche sie benötigt, um die Rechnung zuhanden des Karteninhabers auszustellen. Der Inhaber der Karte wird hiermit darüber informiert, dass die Rechnungen gemäss einem weltweiten Standard für vier Gruppen von Produkten bzw. Dienstleistungen detaillierter sind: Kauf von Kraftstoff, Kauf von Flugtickets, Hotelrechnungen sowie Rechnungen für Miete von Motorfahrzeugen. Der im Text der Klausel erwähnte „weltweite Standard“ existiert de facto, aber die entsprechenden Datenflüsse entsprechen nicht den Erwartungen des Karteninhabers. Deshalb muss er darüber informiert werden. Bekanntgabe an die ZEK 3. Die Herausgeberin kann der ZEK jede Kartensperrung mitteilen, welche aufgrund von Zahlungsrückständen oder missbräuchlicher Verwendung erfolgt. Die ZEK kann diese Informationen ihren anderen Mitgliedern (Unternehmen, die im Sektor Konsumkredit, Leasing oder Kreditkarten aktiv sind – Mitgliederliste über Internet verfügbar unter http://www.zek.info/public/dokumente/ZEKFolderB1.pdf ) zur Verfügung stellen, wenn diese die Angaben benötigen, um mit dem Karteninhaber einen Vertrag abzuschliessen oder abzuwickeln. Die Datenbekanntgabe betreffend Kartensprerrung an die ZEK muss in der Einwilligungsklausel erwähnt werden, denn in dieser Einwilligung liegt der Rechtfertigungsgrund für die Datenbekanntgabe. Diese Bekanntgabe ist im Gegensatz zu Bekanntgaben an die IKO nicht gesetzlich vorgesehen. Sie ist auch nicht durch Art. 13 Abs. 2 lit. c DSG gedeckt, weil diese Bestimmung nur die Bekanntgabe von der ZEK an ihre Mitglieder und Kunden betrifft. Weltweites Datennetz 4. Der Karteninhaber akzeptiert, dass auch bei Transaktionen in der Schweiz die Daten über die weltweiten Kreditkartennetze zur Kartenherausgeberin geleitet werden. Die Transaktionsdaten werden über Datennetze geleitet, die praktisch die gesamte Erde abdecken und damit auch durch Länder führen, welche über keine gleichwertige Datenschutzgesetzgebung verfügen. Der EDÖB geht jedoch davon aus, dass die Kreditkartenfirmen die technischen und organisatorischen Massnahmen ergriffen haben, welche zum Schutz der Daten ihrer Kunden erforderlich sind. Dieser Punkt der Klausel hat rein informativen Charakter (weil es ja keine Wahlmöglichkeit betreffend den Weg der Daten gibt). Dennoch ist es nützlich, diese Information aufzunehmen, um die betroffene Person in Kenntnis zu setzen.
4/5
2.2 Punkte, die dann in der Klausel aufgeführt sein müssen, wenn die Herausgeberin die betreffende Bearbeitung vornimmt Datenbearbeitung zu Marketingzwecken 5. Wenn der Karteninhaber nicht ausdrücklich widerspricht, kann die Herausgeberin folgende Informationen mit dem Ziel bearbeiten, Produkte und Dienstleistungen zu entwickeln, welche geeignet sind, den Karteninhaber zu interessieren: - Daten betreffend das Transaktionsvolumen oder die Transaktionsart. - …(Liste gegebenenfalls ergänzen) Dieser Punkt betrifft nur die Werbung, welche nicht ausschliesslich auf Adressierungselementen basiert, sondern ebenfalls eine Analyse anderer Daten umfasst. Im Fall von Werbung, für die lediglich die Adressdaten verwendet werden, ist die Information über das Widerspruchsrecht der Karteninhaber nicht erforderlich, weil dieses als bekannt vorausgesetzt werden kann. Die betroffene Person hat ebenfalls die Möglichkeit, sich der Datenverwendung für Werbezwecke, welche eine Analyse der Daten umfassen, zu widersetzen. In praktischer Hinsicht bedeutet dies, dass die Herausgeberin nicht nur über die Datenverwendung informieren muss, sondern auch über die Widerspruchsmöglichkeit. Die Herausgeberin muss in einer abschliessenden Liste die Kategorien der verwendeten Daten aufzählen. Datenbearbeitung im Auftrag 6. Die Kartenherausgeberin kann für die Bearbeitung des Kartenantrages sowie für die Abwicklung der Kartenbeziehung und der Transaktionen Dritte in der Schweiz und im Ausland beauftragen, soweit dies die schweizerische Gesetzgebung erlaubt und insbesondere, indem ein angemessener Datenschutz garantiert wird. Gemäss Art. 4 Abs. 4 DSG muss auch der Datentransfer ins Ausland für die jeweils betroffene Person erkennbar sein. Eine entsprechende Klausel in den allgemeinen Geschäftsbedingungen hat die angemessene Information der betroffenen Personen zum Ziel. Die Datenbearbeitung durch Dritte (Outsourcing) darf ausschliesslich unter den in Art. 10a DSG aufgeführten Bedingungen stattfinden. Wenn Personendaten geschäftsbedingt in einen ausländischen Staat weitergegeben werden, dessen Gesetzgebung kein adäquates Datenschutzniveau gewährleistet, müssen vorgängig insbesondere für einen angemessenen Schutz im Ausland ausreichende vertragliche Garantien vereinbart werden (Art. 6 Abs. 2 lit. a DSG). Der EDÖB muss über diese vertraglichen Garantien informiert werden (Art. 6 Abs. 3 DSG).
5/5
2.3 Punkte, die in der Klausel aufgeführt werden können Besondere Kartenprogramme 7. Im Zusammenhang mit spezifischen vom Karteninhaber gewählten Kartenprogrammen kann die Herausgeberin ihren Partnern die zur Durchführung dieser Programme erforderlichen Daten zur Verfügung stellen. Wenn ein Partner nicht der schweizerischen Datenschutzgesetzgebung oder einer Gesetzgebung unterstellt ist, welche ein angemessenes Datenschutzniveau gewährleistet, darf eine Datenbekanntgabe nur dann stattfinden, wenn die Datenempfänger sich verpflichten, ein angemessenes Datenschutzniveau zu gewährleisten. Wir sind der Meinung, dass diese Klausel in Zusatzbedingungen zu den spezifischen Kartenprogrammen aufgeführt werden sollte (z.B. Prämienprogramme etc.). Eine solche Lösung würde es den direkt betroffenen Personen ermöglichen, detaillierte Informationen über den an dem Programm teilnehmenden Unternehmen zu erhalten. Wenn jedoch der Herausgeber der Kreditkarte keine speziellen Bedingungen bereitstellt, ist es zumindest notwendig, die obige Klausel in den allgemeinen Geschäftsbedingungen (unter der Kategorie Datenschutz oder Sonstiges) aufzuführen. Lastschriftverfahren (LSV) 8. Falls die Zahlungen des Karteninhabers gegenüber der Herausgeberin im Lastschriftverfahren erfolgen, kann die Herausgeberin der entsprechenden Bank die erforderlichen Daten betreffend den Kunden, die Karte sowie die kumulierten Beträge der Ausgaben bekannt geben. Zwecks besserer Lesbarkeit sollte dieser Punkt in demjenigen Teil der Allgemeinen Geschäftsbedingungen aufgeführt sein, welcher von den Zahlungsmethoden handelt. Wenn eine Kartenherausgeberin keinen besonderen Teil zu den Zahlungsmethoden wünscht, so kann er diesen Punkt auch in der Datenschutzklausel aufführen. Dieses Vorgehen erschwert jedoch die Lesbarkeit und stellt für diejenigen Karteninhaber einen Mangel an Transparenz dar, welche die Option LSV nicht wählen.
Minimale Einwilligungsklausel zu Kreditkarten 1 Minimale Standardklausel 2 Erläuterungen 2.1 Punkte, die in der Klausel aufgeführt sein müssen Datenbeschaffung Datenflüsse von den Akzeptanzstellen zur Kartenherausgeberin Bekanntgabe an die ZEK Weltweites Datennetz 2.2 Punkte, die dann in der Klausel aufgeführt sein müssen, wenn die Herausgeberin die betreffende Bearbeitung vornimmt Datenbearbeitung zu Marketingzwecken Datenbearbeitung im Auftrag 2.3 Punkte, die in der Klausel aufgeführt werden können Besondere Kartenprogramme Lastschriftverfahren (LSV)