20 Millionen Kronen gegen Elkjøp: Wenn Kundeklubs ohne klare Einwilligung teuer werden

von

Stand: 04.06.2026. Die norwegische Datenschutzaufsicht Datatilsynet hat gegen Elkjøp ein Bußgeld von 20 Millionen norwegischen Kronen verhängt. Der Fall betrifft die Kundeklubs von Elkjøp Nordic AS und Elkjøp Norge AS – und zeigt sehr konkret, warum Loyalitätsprogramme nicht nur Marketingprojekte sind, sondern datenschutzrechtlich saubere Betriebsmodelle brauchen.

Nach Angaben der Behörde hatte sie im Juni 2022 eine Prüfung bei Elkjøp durchgeführt. Auslöser waren mehrere Meldungen über Verletzungen der Sicherheit personenbezogener Daten, Beschwerden und Hinweise zur Kundeklubb-Praxis. Elkjøp erklärte im Verfahren, der Zweck des Kundeklubs sei die Vermarktung von Produkten und Dienstleistungen; als Rechtsgrundlage für die Verarbeitung nannte das Unternehmen Einwilligungen der Mitglieder.

Warum der Kundeklub zum DSGVO-Problem wurde

Datatilsynet sieht gleich mehrere Verstöße. Nach der Entscheidung habe Elkjøp keine gültige Einwilligung für die Verarbeitung personenbezogener Daten im Kundeklub eingeholt. Außerdem seien notwendige Prüfungen für die Nutzung von Daten zu neuen Zwecken nicht ausreichend durchgeführt worden. Auch Bewertungen zum berechtigten Interesse als Rechtsgrundlage seien aus Sicht der Behörde nicht gut genug gewesen. Hinzu kommt ein weiterer praktischer Punkt: Elkjøp soll Anfragen von Kunden zu ihren Betroffenenrechten nicht innerhalb der Fristen der Datenschutz-Grundverordnung beantwortet haben.

Der Fall ist deshalb größer als ein einzelnes Formular oder ein schlecht formulierter Haken im Checkout. Datatilsynet betont ausdrücklich, dass Kundeklubs verbreitete Fehler sichtbar machen können. Gerade im Handel geht es oft um Rabattversprechen, Kaufhistorien, Kontaktinformationen, Profilbildung und personalisierte Werbung. Aus Sicht der Behörde waren im Elkjøp-Fall mehr als sechs Millionen Kundeklubb-Mitglieder in den nordischen Ländern von den Verstößen betroffen. Die Sache wurde deshalb grenzüberschreitend behandelt; Datenschutzaufsichten in Schweden, Island, Finnland und Dänemark waren als betroffene Behörden eingebunden.

Was Unternehmen aus der Entscheidung lernen sollten

Für Unternehmen ist die wichtigste Lehre: Eine Kundeklubb-Anmeldung ist keine Abkürzung um die Anforderungen an eine wirksame Einwilligung herum. Eine Einwilligung muss informiert, freiwillig und spezifisch sein. Kunden müssen vor der Anmeldung verstehen können, wofür ihre Daten genutzt werden. Nachträgliche Hinweise reichen nicht. Ebenso problematisch wird es, wenn ein Rabatt an der Kasse praktisch als Druckmittel wirkt und Kunden das Gefühl bekommen, personenbezogene Daten gegen einen allgemeinen Vorteil eintauschen zu müssen.

Besonders heikel ist der Zweckzuschnitt. „Marketing“ ist als pauschale Sammelformel zu grob, wenn tatsächlich unterschiedliche Datenverarbeitungen dahinterstehen. Allgemeine Werbekommunikation, Profilbildung für personalisierte Angebote, Analyse von Kaufmustern oder die Weitergabe an Werbepartner können jeweils eigene Zwecke sein. Unternehmen müssen deshalb trennen, wofür sie Daten genau nutzen wollen, und dürfen Kunden nicht vor ein Alles-oder-nichts-Paket stellen, wenn mehrere einwilligungsbedürftige Zwecke betroffen sind.

Auch die Weitergabe an Dritte ist kein Automatismus. Datatilsynet weist darauf hin, dass Unternehmen personenbezogene Daten häufig mit anderen Akteuren, etwa für Kampagnen oder Analysen, teilen möchten. Dafür braucht es aber einen klar definierten Zweck, transparente Information und eine belastbare Rechtsgrundlage, bevor die Weitergabe beginnt. Wer erst nach dem Start der Kampagne prüft, ob die Datennutzung tragfähig war, hat das Datenschutzrisiko bereits in den Betrieb eingebaut.

Warum der Fall für den deutschen Handel relevant ist

Obwohl die Entscheidung aus Norwegen kommt, ist sie für Händler und Plattformen in Deutschland und Europa direkt anschlussfähig. Kundeklubs, Bonusprogramme und App-basierte Vorteile arbeiten häufig mit denselben Mechaniken: schnelle Anmeldung, kleine Vorteile, spätere Datenanalyse. Genau dort entsteht das Risiko, dass Marketinglogik und Datenschutzlogik auseinanderlaufen.

Praktisch bedeutet das: Unternehmen sollten ihre Loyalty-Programme nicht nur auf Conversion prüfen, sondern auf Nachweisbarkeit. Welche Zwecke stehen in welcher Sprache im Anmeldeprozess? Welche Daten werden für welchen Zweck tatsächlich verarbeitet? Gibt es getrennte Auswahlmöglichkeiten? Werden Betroffenenanfragen fristgerecht beantwortet? Und ist dokumentiert, wann eine Einwilligung erteilt, geändert oder widerrufen wurde?

Der Elkjøp-Beschluss macht damit eine einfache Grenze sichtbar: Ein Kundeklub darf bequem sein, aber nicht unklar. Wer Rabatte, Profilbildung und Kundenbindung kombiniert, braucht saubere Zwecktrennung, belastbare Einwilligungen und Prozesse, die auch Jahre nach der Anmeldung noch erklärbar sind.

Quellen: Datatilsynet, „Overtredelsesgebyr til Elkjøp“, veröffentlicht am 04.06.2026; Aftenposten/Tek.no berichteten am 04.06.2026 ebenfalls über das Bußgeld von 20 Millionen Kronen.

Bildquelle: Pexels

Eintrag teilen
E-Mail Xing LinkedIn

Abmahnschutz automatisiert

Ist Ihre Website
DSGVO-sicher?

Jetzt registrieren

Weitere News rund um DSGVO und Datenschutz

DSGVOScan News-Rückblick 04.06.2026

vom 04. Juni 2026

Ihr tägliches Update zu den Datenschutzthemen in Deutschland und Europa. Wenn CNIL-Kontrolleure selbst geprüft werden, wird Aufsicht zur Vertrauensfrage Der französische Rechnungshof rückt ausgerechnet die … Weiterlesen

mehr lesen
Alle Blog-Einträge ansehen