{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2005-05-23", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20050523---Kundenbin_2005-05-23.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/qyYQ1wcvZDbm/20050523%20-%20Kundenbindungsprogramm%20Supercard-Schlussbericht.pdf", "Checksum": "a6ec8e0ad244b0d53b017c07d4efc4ef"}, "Scrapedate": "2026-04-14", "Num": ["20050523 - Kundenbindungsprogramm Supercard-Schlussbericht"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 23.05.2005"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 23.05.2005"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard"}], "ScrapyJob": "446973/66/2079", "Zeit UTC": "14.04.2026 03:13:23", "Checksum": "0bb2772b87107cefe3e4d6b766fbd807", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005\nRegeste:\nSchlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard\n\n 1a. Anmeldung 5. Werbung\n1b. Datenänderungen 6. Auskunftsrecht\n1c. Zusatzkarten 7. Straftat\n2. Punktesammlung 8. Aufbewahrung, Löschung\n3. Prämien 9. Sicherheit\n4. Marketing 10. Software Lieferant (Debugging)\n\n5.9.1 Untersuchte Räume /Anlagen\nDie Supercard-Daten sind im Supercard-Stamm-Rechner abgespeichert, der sich im Serverraum von Coop am Hauptsitz in Basel befindet.\nWeitere Daten sind bei der NEBUS AG (Biel und im Ausland), dem Kartenlieferanten (Trüb AG,\nAarau), dem Softwarehersteller MDC (mit Sitz im Ausland; vgl. dazu Ziff. 5.10) sowie den\nPartnerunternehmen gespeichert.\nFerner können auch über die Superbox oder per Internet Supercard-Daten abgefragt und\nbearbeitet werden.\n\n5.9.2 Sicherheitsmassnahmen im Einzelnen\nDer Serverraum (und Supercard-Stamm-Rechner) ist mit einem Badge und einer PIN vor unbefugtem Zutritt geschützt. Die im Serverraum aufgestellten Rechner sind mit User-ID und\nPasswort geschützt. Es wird zusätzlich noch ein Alarm ausgelöst, wenn die Türe zum Serverraum länger als 1 Minute geöffnet ist. Die Zutritte zum Serverraum werden protokolliert (Log-\nFile). Diese Protokolle werden regelmässig analysiert. Es existiert ein Backup-Serverraum, der\nmit den gleichen Sicherungsmassnahmen (Badge/PIN/Alarm sowie User-ID/Passwort) geschützt ist. Alle geschäftsrelevanten Daten werden täglich zwei Mal auf Bänder kopiert (Backup). Die Backups werden nach einer relativ kurzen Zeitspanne (unter 1 Monat) gelöscht.\nZutrittsberechtigt sind nur die Administratoren. Mitarbeiter von Coop Supercard haben ohne\nBegleitung der Administratoren keinen Zutritt zu diesen Räumlichkeiten.\nGewisse Datenkommunikationen zum Zentralrechner erfolgen unchiffriert. Gemäss Auskunft\nvon Coop Supercard ist vorgesehen, diese innerhalb der nächsten 12 Monate zu chiffrieren.\nDie Daten werden auch an Partner (z.T. auch ins Ausland) weitergeleitet. Der EDSB hat keine\nAngaben über die technischen und organisatorischen Massnahmen, die dort zur Datensicherheit von den Partnerunternehmen ergriffen werden. Die Daten von Programm-Partnern\nüber gesammelte Supercard-Punkte werden via FTP und FTPS an Coop übertragen. In Zukunft wird nur noch FTPS eingesetzt. Zusätzlich laufen alle Daten immer durch einen Firewall.\nDie Supercard-Teilnehmer haben die Möglichkeit, ihre Daten über die Superbox abzufragen\noder von dort aus Prämien zu bestellen. Für die Superbox-Abfrage reicht es, wenn man seine\n28\n\nSupercard in den Scanner hält. Coop empfiehlt jedoch allen Supercard-Teilnehmern, von der\nMöglichkeit einer Geheimnummer Gebrauch zu machen (Geheimnummer bei Superbox ist\nfakultativ, nicht vorausgesetzt). Wenn eine Geheimnummer eingerichtet wurde, so muss vor\njedem operativen Schritt diese Zahl nochmals eingegeben werden (z.B. für Punkteabfrage,\nPunktetransfer auf anderes Konto, Prämienbestellung). Ein Missbrauch der Supercard an der\nSuperbox (z.B. bei verlorengegangenen Karten) ist in einem beschränkten Masse dann möglich, wenn kein Passwort eingerichtet wurde. Es ist nicht auszuschliessen, dass so Kundendaten (mit Ausnahme des Vor- und Nachnamens, der nicht per Superbox geändert werden\nkann) von Dritten geändert werden könnten. Insbesondere können Superpunkte auf ein anderes Konto transferiert werden. Jedoch kann eine missbräuchliche Transaktion jederzeit von\nCoop Supercard zurückverfolgt werden. Ferner könnten Prämienbestellungen mit gestohlenen Karten durch unbefugte Dritte getätigt werden, jedoch würde die (dann eben unerwünscht bestellte) Prämie an die Adresse des Kartenbesitzers nach Hause geliefert. Die Su-\npercard-Teilnehmer haben aber jederzeit die Möglichkeit, ihre Karte bei Verlust sperren zu\nlassen oder sie mit einer eigenen Geheimzahl zu schützen.\nBei einer Internetabfrage müssen die Kartennummer und die Geheimzahl eingegeben werden. Im Internet kann nur auf die Daten (Stammdaten und Programmdaten) zugegriffen werden, wenn auf dem Konto eine Geheimzahl erfasst wurde. Nach 3 Fehlversuchen wird die\nKontoabfrage für einige Minuten gesperrt. Die Datenübertragung per Internet erfolgt via\nhttps.\n(...)9\nAlle Funktionen im Rahmen der Supercard Datenbank können nur mittels User-ID und Passwort abgerufen werden. Die User-ID ist mit bestimmten Zugriffsberechtigungen verknüpft.\nÜber alle Transaktionen und Zugriffe werden LOG’s geführt. Daneben bestehen sog. Excepti-\nons-Reports, welche Missbräuche von Mitarbeitern im Gebrauch der Supercard (z.B. auffällig\nviele oder hohe Transaktionen innerhalb eines kurzen Zeitraumes) anzeigen.\n\n"}