Welche Daten hat PAYBACK von den Kartenbesitzern?
PAYBACK hat die Daten, die das Mitglied über das Anmeldeformular mitteilt
sowie
- der Partner, bei dem eingekauft wurde
- das Datum, an dem eingekauft wurde
- der Umsatz, der incentiviert wird
- Von manchen Partnern: Artikel auf Warengruppenebene (Elektro, Feinkost, etc...)

Woher weiss der Kunde, welche Daten PAYBACK von ihm speichert?
PAYBACK informiert darüber ausführlich in der Anmeldung (AGBs: „Hinweise zum Datenschutz“) und online, zudem gibt es in den Partnerfilialen Flyer zum Thema Daten und Datenschutz. Jeder Kunde kann schriftlich, telefonisch oder online jederzeit eine Liste mit den bei PAYBACK gespeicherten Daten anfordern. Über payback.de können Kunden den Payback Datenschutzbeauftragten per Email anschreiben und befragen.

Wird der Kunde durch PAYBACK zum gläsernen Kunden? Werden Kundenprofile erstellt?
Nein. Denn das würde voraussetzen, dass die Partnerunternehmen PAYBACK insgesamt umfassende Informationen – zB. Daten auf Artikelebene – zukommen lassen. Dies ist nicht der Fall.   

Welche Daten haben die Partnerunternehmen? 
Das Unternehmen, bei dem sich der Kunde seine PAYBACK Karte holt, kennt zusätzlich zu PAYBACK selbst die Adresse des Kunden (also kennt z.B. Galeria Kaufhof die Adresse derjenigen Kunden, die sich die Karte bei Galeria Kaufhof geholt haben). Diese Unternehmen haben jeweils auch die Produktdaten der Einkäufe, die in ihrem Unternehmen getätigt werden. Die anderen Partner kennen die Adresse jedoch nicht und haben auch keine anderen Daten dieses Kunden.

Was können die Partner selbst durch die Karte für zusätzliche Auswertungen vornehmen? 
Die Partner können grundsätzlich nur Daten ihrer eigenen Kunden nutzen und auswerten. 

Wie verwendet PAYBACK die Daten? Welche Datenverarbeitungen werden im Rahmen von Mailings durchgeführt?
Es können für die Partner bestimmte Kundengruppen – wie etwa alle Mitglieder mit der Postleitzahl 8...– ausgewählt werden. Diese Adressen werden an einen sogenannten Lettershop übertragen, dort mit den Texten verknüpft, versandt und anschließend wieder gelöscht. Solche Datensätze werden prinzipiell nicht an das beauftragende Unternehmen weitergeleitet. Der Partner erhält lediglich Auskunft über die Anzahl der Adressen.

Werden bei Mailings nur jeweils Kunden des beauftragenden Unternehmens angeschrieben oder steht das Adressmaterial auch anderen Partnerunternehmen zur Verfügung? 
Die Mailings erfolgen stets über PAYBACK als trust center in der Mitte, im Partnerverbund werden keine Adressen von Mitgliedern weitergereicht (die Partner erhalten nur die Daten derjenigen Kunden, die die Karten auch über sie beantragt haben). Wenn das Mitglied bei seiner Anmeldung damit einverstanden ist, erhält es auch Mailings mit Informationen und Angeboten anderer Partnerunternehmen.
 
Welche Daten werden auf dem Magnetstreifen gespeichert?
Auf dem Magnetstreifen ist die Kundennummer gespeichert, die auch auf der Karte zu sehen ist. Eine Personalisierung der Karte findet nicht statt. 

Gibt es Karten, die neben dem Magnetstreifen einen Speicherchip enthalten?
Nein.
 
Wie sicher ist das System?
Die Kundendaten werden bei  der elektronischen Übertragung mit dem international anerkannten und auch von Banken verwendeten Sicherheitsstandard 128 Bit-SSL verschlüsselt.. Eine Sicherheitsarchitektur mit mehreren Firewalls sichern den Zugang ab.

Wird das Mitglied durch die PAYBACK Plus Karte mit Zahlungsfunktion zum gläsernen Kunden? 
Datenschutz und Datensicherheit sind bei der Zahlkarte gewährleistet: Die Handhabung der Daten wurden vom TÜV Saarland zertifiziert, die Abwicklung sämtlicher Finanzdaten läuft zudem alleine im Verantwortungsbereich der WestLB ab.

Müssen PAYBACK Kunden mit einer Werbeflut im Postkasten rechnen? 
Nein, dann wäre PAYBACK ein schlechtes Direktmarketingunternehmen. Der Anspruch ist es, Kunden die Angebote von Unternehmen zu unterbreiten, die sie interessieren – und dies in Abständen, die Sinn machen. Eine Regel besagt deshalb, dass der Kunde nicht mehr als ein PAYBACK Mailing im Monat erhält.

Wenn ein Kunde nicht mehr am Programm teilnehmen und deshalb alle seine Daten löschen lassen möchte. Wie funktioniert das?
Dann wird der Kunde von der Mitglieder- und Verteilerliste gelöscht. Er wird also nicht mehr als Mitglied geführt und nicht mehr kontaktiert. PAYBACK ist jedoch laut HGB als Kaufmann verpflichtet, alle Buchungsbelege aufzubewahren, um Geschäftsvorgänge zehn Jahre lang nachvollziehbar zu halten. Zudem ist PAYBACK den Kunden und Partnern gegenüber auskunftspflichtig. Deshalb muss PAYBACK alle Daten aufbewahren. Diese Daten werden an niemanden weitergegeben und nicht für Marketingzwecke genutzt. Nach Ende der Aufbewahrungsfrist werden sie vollständig gelöscht.

Worum ging es in der Klage der Verbraucherschutzzentrale vzbv gegen den PAYBACK Rabattverein e.V. vom Juli 2005 (BGH-Urteil vom 16. Juli 2008)?
In der Klage ging es um die rechtliche Klärung von Sachthemen. Sie richtete sich gegen drei Klauseln im Anmeldeformular:
1. Die Erhebung des vollständigen Geburtsdatums als Pflichtangabe
2. Die Übermittlung von Waren- und Dienstleistungsgruppen an PAYBACK
3. Opt-In/Opt-Out bei Einwilligung in Werbung und Marktforschung

Welche Entscheidung hat der Bundesgerichtshof getroffen?
Der Bundesgerichtshof hat am 16. Juli 2008 die Klage des vzbv in allen drei Punkten abgewiesen. Abändern muss PAYBACK auf seinen Anmeldeformularen  die Gestaltung der Einwilligung für elektronische Post (SMS und Email). Das Gericht ist der Auffassung von PAYBACK leider nicht gefolgt, dass mit der expliziten Angabe der Mobilfunknummer bzw. Emailadresse für diese Zusatzservices ein klares Opt-in vorliegt.