Lidl-App: Rabatte gegen Daten

Die Discounter-Kette Lidl macht erneut Schlagzeilen – diesmal nicht wegen rechtswidriger Überwachung der Mitarbeiter – sondern auf Grund einer digitalen Kundenkarte bzw. App namens „Lidl Plus“.

An sich ist das angebotene Konzept kein Novum: es handelt sich konkret um eine kostenlose App, die das Einkaufsverhalten der Nutzer erfasst und zugeschnittene Rabatte anzeigt. Zahlreiche andere Dienste wie beispielsweise Aldi, Amazon oder Zara nutzen bereits solche Applikationen, um unter anderem gezielter und verstärkter das Kaufverhalten Ihrer Kunden auszuwerten. Auch Bonus- oder Punktesysteme wie Payback sammeln große Mengen an Big-Data, analysieren und werten diese aus, um dadurch mit Coupons und Rabatten Ihre Kunden anzulocken.

Welche Daten verarbeitet die neue Lidl-App?

Laut Datenschutzerklärung werden bei der Nutzung der App unter anderem das mobile Endgerät, von dem Sie die App starten, die IP-Adresse des mobilen Endgeräts, das Datum und die Uhrzeit des Zugriffs gespeichert. Soweit so gut. Problematisch ist die Lage, wenn darüber hinaus sensible Kundendaten wie zum Beispiel Daten aus dem Gesundheitsbereich erhoben werden. So teilte der baden-württembergische Landesdatenschutzbeauftragte für Datenschutz und Informationsfreiheit Stefan Brink der Presse mit, dass man „[…] beispielsweise schlussfolgern kann, dass ein Kunde Magnesiummangel hat […]“. Kritisch könne auch betrachtet werden, dass Lidl sich vorbehält, Kundendaten an Dritte weiterzugeben, die sich außerhalb der EU befinden.

Was bedeutet das für die Betroffenen?

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist nach Art. 9 DSGVO an hohen Anforderungen verknüpft. Hierzu gehören nicht nur Gesundheitsdaten, sondern auch biometrische Daten oder sogar die Gewerkschaftszugehörigkeit. Verarbeitet man solche Daten, muss der Betroffene ausdrücklich dieser Verarbeitung nach Art.7 DSGVO eingewilligt haben. Somit wäre die in der Datenschutzerklärung angegebene Rechtsgrundlage, also die Verarbeitung zur Wahrung des berechtigten Interesses des Verantwortlichen oder Dritten gem. Art. 6 Abs. 2 lit. f) DSGVO, für die Verarbeitung der Daten unzureichend und folglich rechtswidrig.

Ebenso dürfte der Discounter nicht ohne weiteres personenbezogene Daten an Drittländer übermitteln. Denn zulässig ist gem. Art. 44 ff. DSGVO eine Übermittlung solcher Informationen nur, wenn der Verantwortliche, in diesem Fall Lidl, garantieren kann, dass die Bestimmungen der DSGVO auch außerhalb er EU eingehalten werden. Dies kann mittels Standartvertragsklauseln, Zertifizierungsmechanismen oder interne Datenschutzvorschriften gewährleistet werden.

Sie verarbeiten sensible personenbezogene Daten oder speichern diese außerhalb der EU? Wir beraten Sie gerne – rufen Sie uns einfach an oder schreiben uns an kontakt@ws-datenschutz.de