{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2005-05-23", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20050523-zusammenfas_2005-05-23.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/niCd5-EdtY45/20050523%20zusammenfassung_schlussberichtm-cumulus.pdf", "Checksum": "30f682cbd97550dcf475feae1b0078f8"}, "Scrapedate": "2026-04-14", "Num": ["20050523 zusammenfassung_schlussberichtm-cumulus"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 23.05.2005"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 23.05.2005"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Zusammenfassung des Schlussberichts vom 23. Mai 2005 betreffend Kundenbindungsprogramm M-Cumulus"}], "ScrapyJob": "446973/66/2079", "Zeit UTC": "14.04.2026 03:13:17", "Checksum": "bfe88ed43e9609f666487ad3a55718ed", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 23.05.2005\nRegeste:\nZusammenfassung des Schlussberichts vom 23. Mai 2005 betreffend Kundenbindungsprogramm M-Cumulus\n\n Eidgenössischer Datenschutzbeauftragter\nPréposé fédéral à la protection des données\nIncaricato federale per la protezione dei dati\nIncumbensà federal per la protecziun da datas\n\nKundenbindungsprogramm M-CUMULUS\nZusammenfassung des Schlussberichtes\ndes Eidgenössischen Datenschutzbeauftragten (EDSB)\nvom 23. Mai 2005\n\nMigros bietet ihren Kundinnen und Kunden seit dem 1. November 1997 ein Bonusprogramm\nan, M-CUMULUS genannt. Bei jedem Einkauf können mittels Vorweisen der CUMULUS-Karte\nPunkte gesammelt werden (je 1 Punkt pro 1.- CHF Umsatz). Der Punktestand wird alle zwei\nMonate zusammengezählt, und pro 500 Punkte erhalten die Kunden per Post einen CUMU-\nLUS-Bon im Wert von 5.- CHF. Ab einer gewissen Umsatzgrösse gibt es zusätzliche Treuepunkte. Daneben lanciert Migros regelmässig Bonus-Punkte-Aktionen, bei denen mehrfache\noder zusätzliche Punkte gesammelt werden können. Unabhängig vom Punktestand werden\nauch regelmässig Rabatt-Coupons verschickt. Die Migros-Kunden können ihre Bons innerhalb der Migros und diversen Migros-Unternehmen wie Bargeld einsetzen. Im Gegenzug dazu erlauben Kunden, die am Bonusprogramm teilnehmen, der Migros, detaillierte Informationen über ihre Einkäufe zu sammeln und für Marketingzwecke auszuwerten. Auch erhalten\nM-CUMULUS-Teilnehmende gestützt auf ihre Einkaufsdaten konkrete Angebote und Informationen aus dem Migros-Sortiment, sofern sie nicht ausdrücklich darauf verzichten. Das Kundenbindungsprogramm M-CUMULUS wurde vor rund 8 Jahren lanciert. Ein Grossteil der\nSchweizer Bevölkerung macht vom CUMULUS-Punktesammeln und dem Einlösen der CU-\nMULUS-Bons und Rabattcoupons Gebrauch.\n\nIm Rahmen seiner Tätigkeit als Aufsichtsbehörde über die Datenbearbeitung im Privatbereich\n(vgl. Art. 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz [DSG; SR 235.1])\nhat der EDSB im Jahr 2005 bei Migros eine umfassende Datenschutzkontrolle vorgenommen.\nDie Durchführung der Kontrolle war nicht zuletzt aufgrund des grossen Benutzerkreises sowie der Sensibilität der bearbeiteten Personendaten von Bedeutung.\n\nDie Kontrolle des EDSB bezog sich auf die Datenabläufe im Rahmen des Kundenbindungsprogramms M-CUMULUS. Sie untersuchte insbesondere die internen Datenabläufe zwischen\nM-CUMULUS und den Migros-Unternehmen (Programm-Trägern) sowie die Datenflüsse zwischen der Migros und den Programmpartnern. Letztere wurden weder einer näheren Überprüfung unterzogen, noch wurde speziell auf den Datenaustausch mit ausgewählten Pro-\n2\n\ngrammpartnern eingegangen. M-CUMULUS trägt als erste schweizerische Organisation das\nDatenschutzgütesiegel GoodPriv@cy, das von der Schweizerischen Vereinigung für Qualitätsmanagement verliehen wird. Der EDSB begrüsst es sehr, dass sich die Migros selbstverpflichtend dem Datenschutzgütesiegel unterstellt hat und dass jährliche Audits durchgeführt\nwerden. Die Datenschutzkontrolle fokussierte jedoch auf die Analyse der Datenflüsse im\nRahmen des M-CUMULUS-Programms. Da die Aufsichtsfunktion des EDSB im Rahmen der\nZertifizierungsverfahren erst in der laufenden Revision des Datenschutzgesetzes geregelt\nwird, wurde diese Zertifizierung für die vorliegende Datenschutzprüfung nicht berücksichtigt.\n\nIm Vorfeld der Kontrolle wurden Unterlagen eingeholt und Fragen gestellt. Im Februar 2005\nerfolgte dann eine Sachverhaltsabklärung vor Ort in den Räumlichkeiten von M-CUMULUS\nsowie der CUMULUS-Infoline. Zusammen mit M-CUMULUS Marketing Services und der Datenschutzbeauftragten des Migros-Genossenschafts-Bund (MGB) hat der EDSB die verschiedenen Prozesse identifiziert und die entsprechenden Datenflüsse in einem Schema visualisiert (vgl. Ziff. 4.4 des Schlussberichtes). Das Schema liegt als Basis der datenschutzrechtlichen Beurteilung zugrunde, welche sich an den effektiven Datenflüssen orientiert.\n\nAufgrund der Auswertung der eingereichten Unterlagen und Dokumente sowie gestützt auf\ndie durchgeführte Kontrolle vom 2. Februar 2005 gelangt der EDSB zu einer positiven Gesamtbeurteilung. Die Datenschutzkontrolle hat gezeigt, dass die im Rahmen von M-\nCUMULUS vorgenommene Datenbearbeitung grundsätzlich datenschutzkonform verläuft. Trotz dieser überwiegend positiven Beurteilung ist der EDSB in seiner Kontrolle auch\nauf Sachverhalte gestossen, welche aus datenschutzrechtlicher Sicht einer Änderung oder\neiner Anpassung resp. Verbesserung bedürfen. Insgesamt wurden aus diesem Grund zwei\ndatenschutzrechtliche Empfehlungen gemäss Art. 29 Abs. 3 DSG und sieben Anpassungsresp. Verbesserungsvorschläge erlassen.\n\nDer EDSB empfiehlt, dass\n• die Zweckumschreibung bezüglich der Warenkorbanalysen und Marketingauswertungen in den AGB präziser und für den Kunden transparenter formuliert werden\n(Empfehlung Nr. 1)\n• entweder in der Anmeldebroschüre oder den AGB auf einen Spezialversand, welcher\ntrotz Erklärung der Kunden, auf weitere Informationen oder Angebote der Migros\noder ihrer Partnerunternehmen zu verzichten, zugestellt wird, hingewiesen oder dieser Spezialversand in Zukunft ganz unterlassen wird (Empfehlung Nr. 2)\n3\n\n"}