Aufsichtstätigkeit im Bereich der Kreditkarten

Die Einwilligungsklauseln betreffend Datenbearbeitungen in Kreditkartenanträgen geben regelmässig Anlass zu Fragen und Kritik seitens der Bevölkerung. Wir haben deshalb die entsprechenden Formulierungen wichtiger Kartenherausgeber genauer betrachtet und im Hinblick auf die dahinter stehenden Datenbearbeitungen beurteilt. Wir kommen zum Schluss, dass sich diese Klauseln schlimmer lesen als sie eigentlich sind. Mit dem Ziel, die Transparenz in diesem Bereich zu erhöhen, haben wir beschlossen, Standard-Minimalklauseln zu erarbeiten und den Kreditkartenherausgebern zur Verfügung zu stellen.

Wir hatten in den Jahren 2003 und 2004 vermehrt Anfragen aus der Bevölkerung erhalten, welche sich auf Formulierungen in den Allgemeinen Geschäftsbedingungen (AGB) bzw. in Kreditkartenanträgen bezogen. Die meisten Anfragen betrafen die Klauseln, worin sich der Antragsteller mit mehr oder weniger genau beschriebenen Datenbearbeitungen einverstanden erklärt (Einwilligungsklauseln). Verschiedenen betroffenen Personen erschienen die Formulierungen sehr weit gehend und zu wenig transparent.

Anfang 2004 haben wir beschlossen, die Einwilligungsklauseln wichtiger Kartenherausgeber zu untersuchen. Geprüft wurden einerseits die Klarheit und Verständlichkeit der Formulierungen bzw. die Frage, inwieweit diese Transparenz schaffen. Andererseits war natürlich auch zu fragen, welche Bearbeitungen die untersuchten Einwilligungsklauseln abdecken sollen.

Die erste – allein auf das Studium der Einwilligungsklauseln gestützte – Beurteilung fiel negativ aus. Denn die betrachteten Formulierungen vermittelten keine klaren Vorstellungen von den beabsichtigten Bearbeitungen. Zwar konnten wir mit verschiedenen Herausgebern Verbesserungen von Formulierungen erarbeiten, welche anlässlich der nächsten Revision der AGB in diese einfliessen werden bzw. schon eingeflossen sind. Diese Verbesserungen alleine hätten aber nicht genügt, um unsere Beurteilung zu revidieren.

Es ist zuzugeben, dass wir nicht in der Lage sind, sämtliche Datenbearbeitungen, welche im Kreditkarten-Zahlungssystem stattfinden, im Detail zu betrachten. Der Grund dafür liegt in der Komplexität dieses Systems, welche sich aus der Vielzahl der beteiligten Akteure und Infrastrukturelemente sowie aus der Tatsache ergibt, dass dieses Zahlungssystem die gesamte Welt umspannt.

Wir haben uns deshalb auf die Datenbearbeitungen konzentriert, welche die Kartenherausgeber im Zusammenhang mit der Ausstellung der Karte einerseits und im Zusammenhang mit der Benützung der Karte andererseits durchführen. Die wichtigste Erkenntnis aus unseren Abklärungen betrifft die Menge bzw. Detailliertheit der Daten, welche die Kartenherausgeber pro Transaktion erhalten. Unsere Abklärungen haben ergeben, dass die Details betreffend die konsumierten Produkte und Dienstleistungen in den allermeisten Fällen von Transaktionen nicht an die Kartenherausgeber übermittelt werden. Dementsprechend können die Kartenherausgeber auf diesen detaillierten Informationen auch kein Data Mining betreiben. Es hat sich herausgestellt, dass die Kartenherausgeber nur diejenigen Informationen erhalten, welche auf den Rechnungen für die Karteninhaber aufgeführt werden. Konkret bedeutet das, dass ihnen pro Transaktion nebst den Informationen zur Kreditkarte selbst ein Tripel mit den Elementen Datum, Betrag und Verkaufsstelle übermittelt wird. Datenschutzrechtlich lässt sich feststellen, dass die Datenbekanntgabe von der Akzeptanzstelle an den Kartenherausgeber verhältnismässig ist, weil letztere nur die Daten erhalten, welche zur Erfüllung ihrer Aufgabe im Kreditkartengeschäft geeignet und erforderlich sind. Entsprechend halten wir die Bearbeitungen der Kartenherausgeber, von denen wir im Laufe unserer Abklärungen Kenntnis erhalten haben, für datenschutzrechtlich korrekt.

Weitere Bearbeitungen, die durch die Einwilligungsklauseln abgedeckt werden sollen, finden bei zwei Typen von Datenempfängern statt. Einerseits sind dies Outsourcinganbieter, welche im Auftrag des Kartenherausgebers IT-Dienstleistungen erbringen, aber bei der Datenbearbeitung keine eigenen Zwecke verfolgen. Wir gehen aufgrund der Aussagen der Kartenherausgeber – dem Bankensektor zugehörige Unternehmen – davon aus, dass die Kreditkartenherausgeber ihren Outsourcingpartnern die erforderlichen vertraglichen Geheimhaltungsverpflichtungen überbinden. Andererseits gibt es im Rahmen von so genannten Kartenprogrammen Partnerfirmen, welche mit den Herausgebern kooperieren. So wird zum Beispiel im Falle von so genannten Bonusmeilen-Programmen nach Aussagen der Herausgeber dem Partner bloss der aggregierte Kartenumsatz mitgeteilt, woraus sich die Bonusmeilen errechnen lassen. Da diese Datenbekanntgabe sich auf das Erforderliche beschränkt, kann sie als verhältnismässig gelten.

Mit Bezug auf die Formulierungen in den AGB haben wir in Zusammenarbeit mit Kartenherausgebern erste Verbesserungen erzielt. Zudem haben wir untersucht, wie die Transparenz in den AGB erhöht werden könnten. Um sie nicht noch umständlicher werden zu lassen, haben wir beschlossen, nach folgenden Regeln eine Standard-Minimalklausel zu erarbeiten: Erstens muss die Einwilligungsklausel so kurz wie möglich, zweitens für die Karteninhaber leicht verständlich und drittens vollständig sein. Damit diese Randbedingungen eingehalten werden können, enthält die Klausel einerseits diejenigen Elemente nicht, welche durch das Gesetz abgedeckt sind, wie beispielsweise die Datenbearbeitung im Auftrag (Outsourcing). Andererseits werden auch diejenigen Elemente entfernt, welche sich von selbst verstehen. Wir werden die Klausel zusammen mit einem erläuternden Bericht den Kartenherausgebern zur Stellungnahme zustellen und anschliessend veröffentlichen.

[Juli 2006]

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/13--taetigkeitsbericht-2005-2006/aufsichtstaetigkeit-im-bereich-der-kreditkarten.html