{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2005-05-23", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20050523---Kundenbin_2005-05-23.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/qyYQ1wcvZDbm/20050523%20-%20Kundenbindungsprogramm%20Supercard-Schlussbericht.pdf", "Checksum": "a6ec8e0ad244b0d53b017c07d4efc4ef"}, "Scrapedate": "2026-04-14", "Num": ["20050523 - Kundenbindungsprogramm Supercard-Schlussbericht"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 23.05.2005"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 23.05.2005"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard"}], "ScrapyJob": "446973/66/2079", "Zeit UTC": "14.04.2026 03:13:23", "Checksum": "0bb2772b87107cefe3e4d6b766fbd807", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005\nRegeste:\nSchlussbericht mit Empfehlungen vom 23. Mai 2005 betreffend Kundenbindungsprogramm Supercard\n\n Anpassungs-/Verbesserungsvorschlag Nr. 6:\nDer EDSB schlägt vor, dass bei der Superbox-Abfrage obligatorisch eine 4-stellige Geheimnummer vorausgesetzt wird.\n\n6.10 Software-Lieferant (Debugging)\nDirekte Zugriffe auf die Supercard Datenbank des Software-Lieferanten MDC AG mit Sitz im\nAusland benötigen eine spezielle Bewilligung von Coop und werden darüber hinaus speziell\nprotokolliert. Die Datenübermittlung läuft via FTP, wobei eine Aufwertung (Up-grade) auf\nFTPS innerhalb dieses Jahres vorgesehen ist. Der EDSB geht davon aus, dass dieser\nUmwandlungsprozess bis Ende 2005 umgesetzt wird. Ferner zieht der EDSB in Erwägung,\nvon sich aus die vollzogene Umsetzung dieser Massnahmen im Rahmen einer Nachkontrolle\nzu überprüfen.\n\nAuf Anregung des EDSB wird seit März 2005 in den Supercard-AGB explizit darauf hingewiesen, dass im Rahmen des Supercard-Programms auch ein Datentransfer ins Ausland erfolgt.\nInsofern ist der Kunde darüber informiert, dass seine Personendaten – auch im Rahmen der\nSoftware-Optimierung oder Fehlerbehebung – ins Ausland transferiert werden können. Die\nexplizite Erwähnung des Datentransfers ins Ausland unter Nennung des Destinationslandes\nist aus Sicht des EDSB zu begrüssen und trägt zur Transparenz der Datenbearbeitung bei\n(Art. 4 Abs. 2 DSG).\n\n6.11 Sensibilisierung und Schulung von Supercard-Mitarbeitern\nDer EDSB begrüsst die von Coop Supercard im Rahmen des Supercard-\nKundenbindungsprogramms ergriffenen Sensibilisierungsmassnahmen sehr und regt an,\ndiese auch in Zukunft so weiterzuführen.\n\n14\nFür die Publikation des Schlussberichts zum Schutz des Sicherheitskonzepts wurden sämtliche\nPassage zu den Räumlichkeiten der Supercard Mitarbeiter aus dem Bericht herausgenommen, vgl.\ndazu auch die Bemerkungen in Fn. 9.\n37\n\n7. Schlussfolgerungen\n7.1 Bezüglich der Kontrolle des Kundenbindungsprogramms Supercard\nIm Rahmen des Kundenbindungsprogramms Supercard werden Personendaten von einem\nGrossteil der Schweizer Bevölkerung (es bestehen mehr als 2 Mio. aktive Supercard-Konten)\nbearbeitet. Die durchgeführte Datenschutzkontrolle konnte dem EDSB einen vertieften Einblick in die Abwicklung und die Datenflüsse liefern. Die von Coop zur Verfügung gestellten\nUnterlagen und Dokumentationen haben es dem EDSB erlaubt, die im Rahmen von Supercard vollzogene Bearbeitung von Personendaten einer vertieften Prüfung und detaillierten\nAnalyse zu unterziehen und damit die Einhaltung der Datenschutzbestimmungen zu überprüfen.\nDem EDSB hat sich ein überwiegend positives Gesamtbild der Datenbearbeitung präsentiert.\nWo Anpassungs- oder Änderungsbedarf besteht, hat dies der EDSB mit Begründung erläutert.\n\n7.2 Verfahren und weiteres Vorgehen\nIm Rahmen des Kundenbindungsprogramms Supercard werden seit dem Jahr 2000 grosse\nMengen Kundendaten erfasst und zu Marketing- sowie statistischen Zwecken ausgewertet.\nGestützt auf die dem EDSB vorliegenden Zahlen – Supercard führt mehr als 2 Millionen aktive\nKundenkonten – kann davon ausgegangen werden, dass sich das Kundenbindungsprogramm\nin den letzten fünf Jahren etabliert hat und von einem Grossteil der Schweizer Bevölkerung in\nAnspruch genommen wird. In Anbetracht des grossen Benutzerkreises und der Sensibilität\nder bearbeiteten Personendaten erwies sich die nun erstmalig erfolgte umfassende Überprüfung von Supercard bezüglich der Einhaltung der Datenschutzbestimmungen als sehr aufschlussreich und bedeutungsvoll.\nAus besagten Gründen besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für\ndiese Art der Datenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei Coop Supercard und die diesbezüglichen Ergebnisse zu informieren.\nGestützt auf Art. 30 Abs. 2 DSG wird der EDSB daher den vorliegenden Kontrollbericht betreffend das Kundenbindungsprogramm Supercard in einer angepassten Version (und bezüglich\nNamensnennungen anonymisiert) der Öffentlichkeit zugänglich machen und ihn auf seiner\nWebsite (www.edsb.ch) publizieren. Selbstverständlich erfolgt die Publikation unter dem Vorbehalt, dass keine aus Sicht von Coop vertraulichen Daten, welche Geschäftsgeheimnisse\noffenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden.\nCoop (Hauptsitz Basel) wird daher aufgefordert, den Kontrollbericht auf solche vertraulichen\nInhalte hin zu überprüfen und dem EDSB mit Frist von 30 Tagen entsprechend schriftliche\nRückmeldung zu erstatten.\nDer vorliegende Kontrollbericht enthält eine Reihe von Feststellungen sowie Anpassungsresp. Verbesserungsvorschläge, welche vom EDSB auf Basis der durchgeführten Kontrolle\nverfasst wurden. Coop wird gebeten, vorliegenden Kontrollbericht sowie die darin enthaltenen Feststellungen und Vorschläge zur Kenntnis zu nehmen und dem EDSB mit Frist von\n30 Tagen darüber zu informieren, ob von Seiten Coop irgendwelche Bemerkungen dazu\nvorliegen und ob, und wenn ja, mit welchen Massnahmen und innerhalb welcher Frist die\nVorschläge des EDSB umgesetzt werden.\nDarüber hinaus enthält der vorliegende Kontrollbericht Empfehlungen im Sinne des Art. 29\nAbs. 3 DSG, welche sich an Coop, Hauptsitz, Thiersteinerallee 12, Postfach, 4002 Basel, richten. Coop teilt dem EDSB mit Frist von 30 Tagen mit, ob sie diese Empfehlungen akzeptiert oder nicht. Falls die Empfehlungen abgelehnt oder nicht befolgt werden, kann der EDSB\ndie Angelegenheit der Eidgenössischen Datenschutzkommission zum Entscheid vorlegen\n(Art. 29 Abs. 4 DSG).\n38\n\nBern, den 23. Mai 2005\n\nEIDGENÖSSISCHER\nDATENSCHUTZBEAUFTRAGTER\nDer Beauftragte:\n\n"}