{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2014-04-07", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20140407-schlussberi_2014-04-07.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/E5DZ-0lzwS-6/20140407%20schlussbericht_mcumulus_nachkontrolle.pdf", "Checksum": "bdb5674c193a58859997bcc2d9987a96"}, "Scrapedate": "2026-04-05", "Num": ["20140407 schlussbericht_mcumulus_nachkontrolle"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 07.04.2014"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 07.04.2014"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 07.04.2014"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 7. April 2014 zur Nachkontrolle betreffend Kundenbindungsprogramm M-Cumulus"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:48", "Checksum": "19faac35965ac1b407632442d2d7694d", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 07.04.2014\nRegeste:\nSchlussbericht vom 7. April 2014 zur Nachkontrolle betreffend Kundenbindungsprogramm M-Cumulus\n\nEine Transaktion eines Partnerunternehmens mit Einkaufsort, Einkaufsdatum, Einkaufstotal in\nCHF sowie Cumulus-Nummer enthält Personendaten, da gestützt auf die Cumulus-Nummer\nder Karteninhaber bestimmbar ist. Aus diesem Grund wurde im Schlussbericht vom 23. Mai\n2005 angeregt, dass in den AGB ein Vermerk aufgenommen wird, dass die im Rahmen des\nCumulus-Programms erhobenen Daten bis zu 3 Jahre aufbewahrt werden. Zusätzlich sollen\n\n36/39\ndie relevanten Aufbewahrungsfristen im Internet abrufbar sein. Auf den eigentlichen AGB\nfinden sich keine Informationen über die Aufbewahrungsdauer der Cumulus-Daten. Auf der\nHomepage von Cumulus wird unter der Rubrik „Datenschutz“ informiert, dass die detaillierten\nEinkaufsdaten 24 Monate aufbewahrt werden und dass die Kassenzetteltotale und\nEinkaufsprofile maximal 3 Jahre aufbewahrt werden. Ausserdem wird über die\nAufbewahrungsdauer gemäss Obligationenrecht informiert. Diese Informationen müssen auch\nin der Anmeldebroschüre zu finden sein.\n\nAnpassungs-/Verbesserungsvorschlag Nr. 7:\nIm Sinne der Transparenz muss direkt bei den AGB auf der\nAnmeldebroschüre ein Hinweis auf Informationen über die\nSpeicherdauer der Daten angebracht werden.\n\n16.10. Sicherheit\n\nDie organisatorischen und technischen Massnahmen erscheinen genügend, um den Schutz\nder Personendaten zu gewährleisten.\n\n37/39\n17. Schlussfolgerungen\n\n17.1. Bezüglich der Kontrolle des Kundenbindungsprogramms Cumulus\n\nIm Rahmen des Kundenbindungsprogramms Cumulus werden Personendaten von einem\nGrossteil der Schweizer Bevölkerung (es bestehen mehr als 2 Mio. Cumulus-Konten)\nbearbeitet. Die durchgeführte Datenschutzkontrolle konnte dem EDÖB einen vertieften\nEinblick in die Abwicklung und in die Datenflüsse im Rahmen von Cumulus liefern. Die von der\nMigros zur Verfügung gestellten Unterlagen und Dokumentationen haben es dem EDÖB\nerlaubt, die im Rahmen von Cumulus vollzogene Bearbeitung von Personendaten einer\nvertieften Prüfung und detaillierten Analyse zu unterziehen und damit die Einhaltung der\nDatenschutzbestimmungen zu überprüfen. Dem EDÖB hat sich ein überwiegend positives\nGesamtbild der Datenbearbeitung präsentiert. Wo Anpassungs- oder Änderungsbedarf\nbesteht, hat dies der EDÖB mit Begründung erläutert.\n\n17.2. Verfahren und weiteres Vorgehen\n\nEs besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für diese Art der\nDatenerhebung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle\nbei Cumulus und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2\nDSG wird der EDÖB daher den vorliegenden Kontrollbericht betreffend das\nKundenbindungsprogramm Cumulus in einer angepassten Version (und bezüglich\nNamensnennungen anonymisiert) der Öffentlichkeit zugänglich machen und ihn auf seiner\nWebsite (www.edoeb.admin.ch) publizieren.\n\nDer MGB (Zürich) wird daher aufgefordert, den Kontrollbericht auf solche vertraulichen Inhalte\nhin zu überprüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftliche\nRückmeldung zu erstatten. Der vorliegende Kontrollbericht enthält eine Reihe von\nFeststellungen sowie Anpassungs- resp. Verbesserungsvorschläge, welche vom EDÖB auf\nBasis der durchgeführten Kontrolle verfasst wurden. Der MGB wird gebeten, vorliegenden\nKontrollbericht sowie die darin enthaltenen Feststellungen und Vorschläge zur Kenntnis zu\nnehmen und dem EDÖB mit Frist von 30 Tagen darüber zu informieren, ob von Seiten des\nMGB irgendwelche Bemerkungen dazu vorliegen und ob, und wenn ja, mit welchen\nMassnahmen und innerhalb welcher Frist die Vorschläge des EDÖB umgesetzt werden.\n38/39\nDarüber hinaus enthält der vorliegende Kontrollbericht eine Empfehlung im Sinne des Art. 29\nAbs. 3 DSG, welche sich an den Migros-Genossenschafts-Bund MGB, Limmatstrasse 152,\nPostfach, 8031 Zürich, richtet. Der MGB teilt dem EDÖB mit Frist von 30 Tagen mit, ob er\ndiese Empfehlungen akzeptiert oder nicht. Falls die Empfehlung abgelehnt oder nicht befolgt\nwerden, kann der EDÖB die Angelegenheit dem Bundesverwaltungsgericht zum Entscheid\nvorlegen (Art. 29 Abs. 4 DSG).\n\nMit freundlichen Grüssen\nEidgenössischer Datenschutz- und\nÖffentlichkeitsbeauftragter\n\nDer stellvertretende Beauftragte Verfahrensleitender Jurist\n\nJean-Philippe Walter Philipp Gisin\n\nBeilagen:\n- Empfehlung betreffend die Sachverhaltsabklärung des EDÖB bei Migros betreffend\ndas Kundenbindungsprogramm Cumulus\n- Begleitschreiben\n\n39/39\n"}