Eingabehilfen öffnen

Zum Hauptinhalt springen
Juni 2026

Kundenbindung mit Risiko: Wenn Bonusprogramme datenschutzrechtlich problematisch werden

Punkte sammeln, Rabatte sichern, exklusive Angebote erhalten – Kundenbindungsprogramme gehören inzwischen zum Standard vieler Unternehmen. Ob digitale Kundenkarte, Cashback-App oder Bonuspunkte beim Einkauf: Solche Systeme versprechen höhere Kundentreue und wertvolle Einblicke in das Kaufverhalten.

Doch genau hier beginnt das datenschutzrechtliche Risiko.

Denn viele Bonus- und Rabattsysteme funktionieren nur deshalb so gut, weil sie umfangreiche personenbezogene Daten sammeln, auswerten und oft auch für Marketingzwecke nutzen. Unternehmen unterschätzen dabei häufig, wie schnell aus einem harmlosen Treueprogramm ein Datenschutzproblem werden kann.

Welche Daten typischerweise gesammelt werden

Bereits einfache Kundenkarten erfassen oft deutlich mehr Informationen als vielen Verantwortlichen bewusst ist:
  • Einkaufsverhalten
  • Kaufhistorien
  • bevorzugte Produkte
  • Besuchszeiten
  • Standorte
  • Zahlungsinformationen
  • Reaktionen auf Werbung
  • Nutzungsverhalten in Apps oder Online-Shops
Durch die Verknüpfung dieser Daten entstehen detaillierte Kundenprofile. Diese Profile sind aus Marketingsicht wertvoll – datenschutzrechtlich aber hochsensibel.

Der häufigste Fehler: „Das machen doch alle“

Viele Unternehmen verlassen sich darauf, dass Bonusprogramme „branchenüblich“ seien. Doch die DSGVO bewertet nicht, was üblich ist, sondern ob die Verarbeitung rechtmäßig, transparent und erforderlich ist.

Besonders kritisch wird es, wenn:

  • Daten für personalisierte Werbung genutzt werden,
  • Profile automatisiert erstellt werden,
  • Einwilligungen unklar formuliert sind,
  • mehrere Zwecke miteinander vermischt werden,
  • oder Kunden faktisch keine echte Wahl haben.

Gerade Kopplungen zwischen Rabattvorteilen und umfassender Datennutzung geraten zunehmend in den Fokus der Datenschutzaufsichtsbehörden.

Freiwillige Einwilligung? Nicht immer so einfach

Ein zentrales Problem liegt häufig bei der Einwilligung.

Nach Art. 7 DSGVO muss eine Einwilligung freiwillig erfolgen. Genau daran bestehen Zweifel, wenn Verbraucher erhebliche wirtschaftliche Nachteile haben, falls sie der Datennutzung nicht zustimmen.

Die Frage lautet dann:

  • Erhält der Kunde den Rabatt nur, wenn er zugleich umfangreicher Profilbildung und Werbung zustimmt?
Wenn dies der Fall ist, kann die Freiwilligkeit der Einwilligung infrage stehen.

Profilbildung kann schnell kritisch werden

Besonders sensibel wird es bei der Bildung von Kundenprofilen.

Aus scheinbar harmlosen Einkaufsdaten lassen sich oft weitreichende Rückschlüsse ziehen, beispielsweise auf:

  • Gesundheitszustände
  • Lebensgewohnheiten
  • finanzielle Situation
  • religiöse Überzeugungen
  • familiäre Verhältnisse

Vielen Unternehmen ist nicht bewusst, wie schnell dadurch besondere Kategorien personenbezogener Daten mittelbar betroffen sein können.

Beispiel gefällig?

Die Kinder kicken im ortsansässigen Fußballverein „Stramme Wade“ und die Väter schauen am Wochenende die Spiele ihrer Kids. Da Thorsten auf dem Weg zum Fußballplatz an einem Supermarkt vorbeikommt, bringt er für die anderen Väter am Spielfeldrand regelmäßig Bier mit. Beim Bezahlen zeigt Thorsten selbstverständlich seine Punktesammelkarte vor und freut sich über seinen stetig wachsenden Punktestand.

Als Thorsten später eine Lebensversicherung abschließen möchte, wundert er sich über die ungewöhnlich hohe Versicherungsprämie. Seine Nachforschungen ergeben: Die Versicherung wusste nicht nur über seine finanzielle Situation Bescheid, sondern glaubte auch, Erkenntnisse über seinen Gesundheitszustand beziehungsweise seinen Alkoholkonsum zu besitzen.

Wie kam es dazu?

Die Lebensversicherung hatte im Vorfeld der Vertragsgestaltung Datensätze eines Bonusprogrammanbieters eingekauft. Dem hatte Thorsten bei der Aktivierung seiner Punktesammelkarte – vermutlich unbewusst – zugestimmt. Der Anbieter des Punktesammelsystems hatte erkannt, dass Thorsten regelmäßig Bierkästen kauft, und daraus automatisiert den Schluss gezogen, es liege ein „regelmäßiger bzw. erhöhter Alkoholkonsum“ vor.

Was dem Anbieter allerdings verborgen blieb: Thorsten hatte das Bier nie allein konsumiert, sondern für eine ganze Gruppe eingekauft.

Das Ergebnis: Aus unvollständigen bzw. falsch interpretierten Daten entstanden fehlerhafte Bewertungen, die sich unmittelbar negativ auf die Versicherungsprämie auswirkten.

Aus Sicht des Datenschutzes könnte eine solche Verarbeitung aufgrund der erteilten Einwilligung unter Umständen sogar rechtmäßig gewesen sein. Die viel wichtigere Frage lautet jedoch: Mussten diese Daten überhaupt in dieser Form erhoben, ausgewertet und weitergegeben werden? Genau hier beginnen die eigentlichen datenschutzrechtlichen und ethischen Probleme moderner Profilbildung.

Transparenz bleibt Pflicht

Kunden müssen klar verstehen können:

  • welche Daten erhoben werden,
  • wofür diese genutzt werden,
  • wie lange sie gespeichert werden,
  • wer Zugriff erhält,
  • und ob Daten an Dritte weitergegeben werden.

Versteckte Klauseln in langen Teilnahmebedingungen reichen hierfür nicht aus.

Die Datenschutzinformationen müssen verständlich, leicht zugänglich und transparent sein.

Auch technisch gibt es Risiken

Neben den rechtlichen Fragen entstehen oft zusätzliche Sicherheitsprobleme:

  • unsichere Apps,
  • zu weitgehende Berechtigungen,
  • fehlende Löschkonzepte,
  • mangelhafte Zugriffsbeschränkungen,
  • oder unnötig lange Speicherfristen.

Gerade bei großen Kundendatenbanken können Datenschutzverletzungen erhebliche Folgen haben – finanziell und reputationsbezogen.

Was Unternehmen jetzt prüfen sollten

Unternehmen mit Kundenkarten- oder Bonussystemen sollten insbesondere folgende Punkte überprüfen:

Checkliste Bonusprogramme & DSGVO

  • Gibt es eine klare Rechtsgrundlage?
  • Ist die Einwilligung tatsächlich freiwillig?
  • Werden nur erforderliche Daten erhoben?
  • Ist die Profilbildung transparent beschrieben?
  • Existieren Lösch- und Speicherkonzepte?
  • Werden Kunden ausreichend informiert?
  • Sind technische und organisatorische Maßnahmen angemessen?
  • Wurde geprüft, ob eine Datenschutz-Folgenabschätzung erforderlich ist?

Fazit

Bonus- und Rabattsysteme können wirtschaftlich sinnvoll sein – datenschutzrechtlich sind sie jedoch keineswegs ein Selbstläufer.

Wer Kundendaten sammelt, analysiert und für Marketingzwecke nutzt, bewegt sich schnell in einem sensiblen Bereich der DSGVO. Unternehmen sollten daher nicht nur auf den Marketingeffekt schauen, sondern auch auf Transparenz, Datenminimierung und rechtssichere Einwilligungen.

Denn was zunächst als Kundenbindung gedacht ist, kann sonst schnell zum Reputations- und Bußgeldrisiko werden.

Viele Grüße
Ihr Team von Viehoff Consult

Termin buchen