Wer sich am CUMULUS-Bonusprogramm beteiligt, kann bei Migros Auskunft über seine Personendaten verlangen (Art. 8 DSG).
Ich habe Auskunft über meine CUMULUS-Daten verlangt (Formular) und Auskunft erhalten – über einen Teil meiner eigenen Personendaten, aber durch ein offensichtliches Missgeschick auch auf drei Seiten über die Kundenstammdaten einer mir nicht bekannten Person!
Frau K. aus Zürich, preis-neutral und über 27’000 Franken Umsatz
Frau K. aus Zürich wurde gemäss der Auskunft (Seiten 1, 2 und 3) in den 1970er-Jahre geboren, beteiligt sich ab März 2005 am CUMULUS-Bonusprogramm und kauft in erster Linie in einer Zürcher Migros-Filiale ein («Hauptfrequenz» / «Hauptumsatz»). Sie wohnt allein («Haushalt mit 1 Person»), spricht Deutsch und verfügt über eine Festnetz-Telefonnummer, die nicht im Telefonbuch eingetragen ist. Sie erhält das Migros Magazin auf Deutsch und wünscht Werbung auf allen Kanälen.
Die Kundenstammdaten enthalten nicht nur die CUMULUS-Nummer, sondern auch das dazugehörige Internet-Passwort. Mit diesen Angaben könnte ich im Namen von Frau K. ein Nutzerkonto bei M-Connect / «Meine Migros» einrichten.
Bislang hat Frau K. über CUMULUS für rund 27’000 Franken eingekauft und dabei über 53’000 CUMULUS-Punkte gesammelt. Sie wird als «Preis-neutral» beurteilt und befindet sich im Kundensegment «Kleinhaushalte / Übrige».
Das Self-Scanning bei Migros nutzt Frau K. nicht und kann deshalb auch nicht gesperrt sein.
Frau K. kaufte zuletzt im April 2017 ein. Ich hoffe, Frau K. geht es gut und sie verzichtet bloss auf die Beteiligung am CUMULUS-Bonusprogramm.
Kein Recht auf Datenübertragbarkeit in der Schweiz, aber bald in der Europäischen Union
Die Auskunft von Migros ist wie erwähnt unvollständig, wie vor einigen Wochen bereits der Tages-Anzeiger festgestellt hatte:
«Natürlich verfügt die Migros über mehr Daten, als auf den drei zugeschickten Seiten ersichtlich ist. Aus buchhalterischen Gründen bewahrt sie jede Einkaufsquittung zehn Jahre lang auf. Die Auswertung der Einkäufe basiert auf Daten, welche die Migros zwei Jahren speichert und anschliessend löscht, wie ein Kontrollbericht des Datenschützers des Bundes festhält.»
Da die Schweiz bislang kein Recht auf Datenübertragbarkeit kennt, verzichte ich vorläufig darauf, Auskunft über meine vollständigen Personendaten bei Migros zu verlangen.
Migros-Kundinnen und -Kunden, die sich in der Europäischen Union (EU) befinden, verfügen ab dem 25. Mai 2018 grundsätzlich über ein solches Recht auf Datenübertragbarkeit:
«Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten […]»
Rechtsgrundlage dafür bildet Art. 20 der neuen Datenschutz-Grundverordnung (DSGVO).
Die Migros speichert das Passwort in Klartext…!?! Das ist ja unglaublich – wohl eine der grössten Passwort Datenbanken der Schweiz. Na dann viel Spass beim Schutz dieser….
@Thomas Lang:
Es handelt sich – soweit ersichtlich – um das Initialpasswort. Ich gehe davon aus, dass die übrigen Passwörter nicht im Klartext gespeichert werden. Ich habe nun aber nicht probiert, für Frau K. ein neues Nutzerkonto einzurichten …
Wow. Hast du eine Idee, weshalb dir die Daten von fremden Personen zugestellt wurden?
@Thomas Mauch:
Ich gehe davon aus, dass es sich um ein Missgeschick handelt.
Die Migros betreibt übrigens auch Verkaufsstellen im EU-Ausland. Ob das Cumulus-Programm «getrennt» ist (mein Tip: nö) weiss ich nicht, aber ich probiere es bei Gelegenheit aus: https://www.migros.fr/
@Alex:
Die Datenschutzerklärung der Migros verstehe ich so, dass die europäische Datenschutz-Grundverordnung (DSGVO) berücksichtigt wird:
https://www.migros.ch/de/datenschutz.html
Ein Bonus-Programm wie Cumulus ist meines Erachtens auch in Europa datenschutzrechtlich zulässig.