Millionen Menschen in Deutschland sammeln tagtäglich PAYBACK Punkte und genießen die Vorteile, die ihnen das Bonusprogramm im Alltag bietet. Dabei vertrauen sie zu Recht auf den seriösen Umgang mit ihren Daten. Denn beim Marktführer PAYBACK steht Datenschutz an oberster Stelle. Auf dem Anmeldeformular, im Internet sowie in den vierteljährlich versandten Punkteübersichten werden die Kunden ausführlich und verständlich über das Programm und den Datenschutz informiert. Fragen zum Thema können jederzeit direkt an die E-Mail Adresse datenschutz@payback.de gerichtet werden.

Welche Daten hat PAYBACK von den Kartenbesitzern?
PAYBACK hat die Daten, die das Mitglied über das Anmeldeformular mitteilt
sowie
- der Partner, bei dem eingekauft wurde
- das Datum, an dem eingekauft wurde
- der Umsatz, der bepunktet wird
- Information übergekaufte Waren/Dienstleistungen, je nach Partner unterschiedlich

Woher weiss der Kunde, welche Daten PAYBACK von ihm speichert?
PAYBACK informiert darüber ausführlich in der Anmeldung (Hinweise zum Datenschutz) und online, zudem gibt es in den Partnerfilialen Flyer zum Thema Daten und Datenschutz. Jeder Kunde kann schriftlich, telefonisch oder online jederzeit eine Liste mit den bei PAYBACK gespeicherten Daten anfordern (Auskunftsrecht nach § 34 BDSG). Über datenschutz@payback.de können Kunden den PAYBACK Datenschutzbeauftragten per Email anschreiben und befragen.

Wird der Kunde durch PAYBACK zum gläsernen Kunden? 
Nein, PAYBACK erstellt keine individuellen Kundenprofile.   

Welche Daten haben die Partnerunternehmen? 
Das Unternehmen, bei dem sich der Kunde seine PAYBACK Karte holt, kennt zusätzlich zu PAYBACK selbst die Adresse des Kunden (also kennt z.B. Galeria Kaufhof die Adresse derjenigen Kunden, die sich die Karte bei Galeria Kaufhof geholt haben). Diese Unternehmen haben jeweils auch die Produktdaten der Einkäufe, die in ihrem Unternehmen getätigt werden. Die anderen Partner kennen die Adresse jedoch nicht und haben auch keine anderen Daten dieses Kunden.

Was können die Partner selbst durch die Karte für zusätzliche Auswertungen vornehmen? 
Die Partner können grundsätzlich nur Daten ihrer eigenen Kunden nutzen, auswerten und auch jederzeit anschreiben. 

Wie verwendet PAYBACK die Daten? Welche Datenverarbeitungen werden im Rahmen von Mailings durchgeführt?
Die Datenanalyse erfolgt nicht auf Basis einzelner Kundendaten. Vielmehr selektiert PAYBACK auf anonymisierter Basis spezifische Kundengruppen, die sich durch ein ähnliches Einkaufsverhalten auszeichnen und dadurch an bestimmten Angeboten interessiert sein können (z.B. Familie mit Kleinkind, Single,...). 

Werden bei Mailings nur jeweils Kunden des beauftragenden Unternehmens angeschrieben oder steht das Adressmaterial auch anderen Partnerunternehmen zur Verfügung? 
Die Mailings erfolgen stets über PAYBACK als trust center in der Mitte, im Partnerverbund werden keine Adressen von Mitgliedern weitergereicht (die Partner erhalten nur die Daten derjenigen Kunden, die die Karten auch über sie beantragt haben). Wenn das Mitglied bei seiner Anmeldung damit einverstanden ist, erhält es auch Mailings mit Informationen und Angeboten anderer Partnerunternehmen.
 
Welche Daten werden auf dem Magnetstreifen gespeichert?
Auf dem Magnetstreifen ist die Kundennummer gespeichert, die auch auf der Karte zu sehen ist. Eine Personalisierung der Karte findet nicht statt. 

Gibt es Karten, die neben dem Magnetstreifen einen Speicherchip enthalten?
Nein.
 
Wie sicher ist das System?
Die Kundendaten werden bei  der elektronischen Übertragung mit dem international anerkannten und auch von Banken verwendeten Sicherheitsstandard 128 Bit-SSL verschlüsselt.. Eine Sicherheitsarchitektur mit mehreren Firewalls sichern den Zugang ab.

Was macht PAYBACK zusätzlich, um Datensicherheit zu gewährleisten?
- PAYBACK trennt strikt zwischen personalisierten Stammdaten (Adressen, etc.) und Einkaufsdaten.
- PAYBACK verpflichtet alle Mitarbeiter schriftlich zur Einhaltung des Datenschutzgesetzes und der internen Sicherheitsbestimmungen.
- bei PAYBACK ist intern keine Nutzung von USB-Schnittstellen und kein Kopieren auf Datenträger möglich.
- PAYBACK verfügt über eine automatische Prüfung zur sofortigen Erkennung von Betrugsfällen.
- PAYBACK führt regelmäßig und unangemeldet Sicherheitsaudits bei Dienstleistern durch.
- Das PAYBACK Rechenzentrum ist gemäß ISO 27001 zertifiziert und erfüllt somit höchste Sicherheitsanforderungen.
- Die Datenübermittlung erfolgt ausschließlich auf Basis symmetrischer und asymmetrischer Verschlüsselungsverfahren.
- Bei PAYBACK wird nach dem "Need-to-know-Prinzip" gearbeitet: Berechtigte Mitarbeiter haben prinzipiell nur Zugriff auf die Daten, die sie für ihre unmittelbare Aufgabe benötigen.

Wird das Mitglied durch die PAYBACK Plus Karte mit Zahlungsfunktion zum gläsernen Kunden? 
Datenschutz und Datensicherheit sind bei der Zahlkarte gewährleistet: Die Handhabung der Daten wurden vom TÜV Saarland zertifiziert, die Abwicklung sämtlicher Finanzdaten läuft zudem alleine im Verantwortungsbereich der WestLB ab.

Müssen PAYBACK Kunden mit einer Werbeflut im Postkasten rechnen? 
Nein, dann wäre PAYBACK ein schlechtes Dialogmarketingunternehmen. Der Anspruch ist es, Kunden die Angebote von Unternehmen zu unterbreiten, die sie interessieren – und dies in Abständen, die Sinn machen.

Wenn ein Kunde nicht mehr am Programm teilnehmen und deshalb alle seine Daten löschen lassen möchte. Wie funktioniert das?
Dann wird der Kunde von der Mitglieder- und Verteilerliste gelöscht. Er wird also nicht mehr als Mitglied geführt und nicht mehr kontaktiert. PAYBACK ist jedoch laut HGB als Kaufmann verpflichtet, alle Buchungsbelege aufzubewahren, um Geschäftsvorgänge zehn Jahre lang nachvollziehbar zu halten. Zudem ist PAYBACK den Kunden und Partnern gegenüber auskunftspflichtig. Deshalb muss PAYBACK alle Daten aufbewahren. Diese Daten werden an niemanden weitergegeben und nicht für Marketingzwecke genutzt. Nach Ende der Aufbewahrungsfrist werden sie vollständig gelöscht.

Worum ging es in der Klage der Verbraucherschutzzentrale vzbv gegen den PAYBACK Rabattverein e.V. vom Juli 2005 (BGH-Urteil vom 16. Juli 2008)?
In der Klage ging es um die rechtliche Klärung von Sachthemen. Sie richtete sich gegen drei Klauseln im Anmeldeformular:
1. Die Erhebung des vollständigen Geburtsdatums als Pflichtangabe
2. Die Übermittlung von Waren- und Dienstleistungsgruppen an PAYBACK
3. Opt-In/Opt-Out bei Einwilligung in Werbung und Marktforschung

Welche Entscheidung hat der Bundesgerichtshof getroffen?
Der Bundesgerichtshof hat am 16. Juli 2008 die Klage des vzbv in allen drei Punkten abgewiesen. Abändern muss PAYBACK auf seinen Anmeldeformularen  die Gestaltung der Einwilligung für elektronische Post (SMS und Email). Das Gericht ist der Auffassung von PAYBACK leider nicht gefolgt, dass mit der expliziten Angabe der Mobilfunknummer bzw. Emailadresse für diese Zusatzservices ein klares Opt-in vorliegt.