{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2005-05-23", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20050523---Kundenbin_2005-05-23.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/qyYQ1wcvZDbm/20050523%20-%20Kundenbindungsprogramm%20Supercard-Schlussbericht.pdf", "Checksum": "a6ec8e0ad244b0d53b017c07d4efc4ef"}, "Scrapedate": "2026-04-14", "Num": ["20050523 - Kundenbindungsprogramm Supercard-Schlussbericht"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 23.05.2005"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 23.05.2005"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard"}], "ScrapyJob": "446973/66/2079", "Zeit UTC": "14.04.2026 03:13:23", "Checksum": "0bb2772b87107cefe3e4d6b766fbd807", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005\nRegeste:\nSchlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard\n\n5.10.1 Datenzugriff des Software Lieferanten\nSoftware Lieferant der Supercard Datenbank ist die Firma MDC AG, mit Sitz im Ausland. Von\nder MDC AG stammen auch alle weiteren Programme, wie Superbox, Geschenkshop etc,\nwelche im Bereich Supercard eingesetzt werden. Die MDC AG verfügt über eine Test-\nDatenbank, um die Applikation zu testen und weiter zu entwickeln. Die MDC AG hat aber\nauch direkten Zugriff auf die Supercard-Datenbank, um gewisse Systemfehler schneller zu\nfinden und direkt beheben zu können. Dieser Zugriff wird selten benützt und auch nur dann,\nwenn absolut nötig (z.B. wenn ein Problem nicht mit der Test-Datenbank reproduziert werden kann). Solche direkten Zugriffe benötigen eine spezielle Bewilligung von Coop und werden alle speziell protokolliert. Die Datenübermittlung läuft via FTP. Eine Aufwertung (Upgrade) auf FTPS ist vorgesehen und in ungefähr einem Jahr zu erwarten.\n\n5.10.2 Beurteilung aus Sicht des EDSB\nDirekte Zugriffe auf die Supercard Datenbank des Software-Lieferanten MDC AG benötigen\neine spezielle Bewilligung von Coop und werden alle speziell protokolliert. Die Datenübermittlung läuft via FTP, wobei eine Aufwertung (Up-grade) auf FTPS innerhalb der nächsten 12\nMonate vorgesehen ist. Beide Massnahmen sind aus Sicht der Datensicherheit (Art. 7 DSG)\nzu begrüssen. Gleichsam wie bereits unter Ziff. 5.9.3 erwähnt, geht der EDSB davon aus, dass\ndieser Umwandlungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwägung, von sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nachkontrolle zu überprüfen.\nAuf Anregung des EDSB wird seit März 2005 in den Supercard-AGB explizit darauf hingewiesen, dass im Rahmen des Supercard-Programms auch ein Datentransfer ins Ausland erfolgt.\nInsofern ist der Kunde darüber informiert, dass seine Personendaten – auch im Rahmen der\nSoftware-Optimierung oder Fehlerbehebung – ins Ausland transferiert werden können. Die\nexplizite Erwähnung des Datentransfers mit der Nennung der Destinationsländer ist aus Sicht\ndes EDSB zu begrüssen und trägt zur Transparenz der Datenbearbeitung bei (Art. 4 Abs. 2\nDSG).\n30\n\n5.11 Sensibilisierung und Schulung von Mitarbeitern\n5.11.1 Ergriffene Massnahmen\nIn Zusammenarbeit mit NEBUS AG hat Coop Supercard sog. Geschäftsfälle entwickelt, welche das Vorgehen von Mitarbeitern bei allen datenschutzrelevanten Vorfällen umschreibt.\nEin Muster dieser Geschäftsfälle liegt dem EDSB vor. Die Geschäftsfälle werden laufend up-\nto-date gehalten und die betroffenen Mitarbeiter (von Coop oder NEBUS AG) darin geschult.\nDie Geschäftsfälle werden durch eine Auflistung, wann und wie Supercard Kundendaten weitergegeben werden dürfen, ergänzt (sog. Datenschutz „Weitergabe von Supercard Kundendaten“ (inkl. Ablage)). Diese Auflistung wird den betroffenen Mitarbeitern ebenfalls ausgehändigt und geschult. Die Dokumentablage wird vom Leiter Ausbildung Supercard regelmässig überprüft.\nDie Mitarbeiter der NEBUS AG erhalten eine Grundschulung, welche von Coop Supercard in\nZusammenarbeit mit der NEBUS AG entwickelt wurde. Diese Schulung wird laufend angepasst, und bei Bedarf erfolgt eine Nachschulung/Orientierung durch Supercard Mitarbeiter\nbei der NEBUS. Das Call Center wird auch laufend durch Anrufe von sog. Mystery-Callers\nüberprüft. Werden dabei Lücken entdeckt, wird nachgeschult.\nAlle Mitarbeiter von NEBUS unterzeichnen ein „Revers betreffend Bankgeheimnis“ (im Rahmen von Supercard können auch über Coop Bank oder Coop Versicherungen Superpunkte\ngesammelt werden). Eine weitere Datenschutzerklärung unterzeichnen die Mitarbeiter von\nNEBUS firmenintern. Die Mitarbeiter von Coop Supercard unterschreiben eine Coop interne\nGeheimhaltungserklärung. Diese Geheimhaltungserklärung liegt dem EDSB vor.\n\n5.11.2 Beurteilung aus Sicht des EDSB\nDer EDSB begrüsst die von Coop Supercard in Zusammenarbeit mit der NEBUS AG ergriffenen Sensibilisierungsmassnahmen im Rahmen des Supercard-Kundenbindungsprogramms\nsehr und hat dazu keine weiteren Bemerkungen.\n31\n\n6. Ergebnisse\nAufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf\ndie durchgeführte Kontrolle vom 9. Februar 2005 gemäss Art. 29 DSG, gelangt der EDSB zu\neiner durchwegs positiven Gesamtbeurteilung. Die Datenschutzkontrolle hat gezeigt,\ndass die im Rahmen von Supercard vorgenommene Datenbearbeitung grundsätzlich datenschutzkonform verläuft. Trotz dieser überwiegend positiven Beurteilung ist der EDSB in\nseiner Datenschutzkontrolle auch auf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Anpassung resp. Änderung bedürfen.\nAusgehend von diesem Gesamtbild erlässt der EDSB zuhanden von Coop mit Sitz in Basel\nseine Gesamtbeurteilung in folgender Form:\n• Feststellungen;\n• Anpassungs- resp. Verbesserungsvorschläge; oder\n• Empfehlungen im Sinne des Art. 29 Abs. 3 DSG.\n\n"}