datenrecht.ch

häufige Suchwörter

Themen

keine Ergebnisse

mehr anzeigen

EDÖB i.S. Digi­tec Gala­xus: Sehr stren­ge Trans­pa­renz­an­for­de­run­gen, aber Gast­kauf nicht zwingend

Der EDÖB hat heu­te (17. April 2024) den Schluss­be­richt in einer seit 2021 dau­ern­den Sach­ver­halts­ab­klä­rung zum Online-Shop von Digi­tec Gala­xus AG ver­öf­fent­licht (Medi­en­mit­tei­lung und Schluss­be­richt).

The­ma der Sach­ver­halts­ab­klä­rung waren Fra­gen der dama­li­gen – seit län­ge­rem über­hol­ten – Daten­schutz­er­klä­rung von Digi­tec Gala­xus (“Digi­tec”) und der Ver­bin­dung der Kun­den­be­stel­lun­gen mit einem Kun­den­kon­to (Stich­wort Gast­kauf). Der EDÖB ist ins­ge­samt (sehr) streng – ein gewis­ser Trend, der sich auch anders­wo beob­ach­ten lässt.

Dis­clai­mer: Digi­tec Gala­xus war in der Sach­ver­halts­ab­klä­rung von Wal­der Wyss (u.a. dem Autor die­ses Bei­trags) vertreten.

Emp­feh­lun­gen und Posi­ti­on von Digitec

Der Schluss­be­richt ent­hält sechs Emp­feh­lun­gen. Die ersten fünf betref­fen v.a. die dama­li­ge Daten­schutz­er­klä­rung von Digi­tec. Der EDÖB emp­fiehlt, dass:

  1. für die betrof­fe­nen Per­so­nen klar erkenn­bar ist, wel­che Web Ana­ly­se-Tools ver­wen­det wer­den und wel­che Daten­be­ar­bei­tun­gen dar­aus resultieren.
  2. für die betrof­fe­nen Per­so­nen klar erkenn­bar ist, zu wel­chen Zwecken wel­che Per­so­nen­da­ten bear­bei­tet wer­den, und dass Daten­be­ar­bei­tun­gen erfol­gen, die zu Per­sön­lich­keits­pro­fi­len führen.
  3. die Erklä­rung kei­ne Daten­be­ar­bei­tun­gen «auf Vor­rat» beinhal­tet und dort nur die­je­ni­gen Daten­be­ar­bei­tun­gen auf­ge­führt wer­den, die auch tat­säch­lich erfolgen.
  4. die Erklä­rung dif­fe­ren­ziert und unmiss­ver­ständ­lich dar­über infor­miert, wel­che Bear­bei­tun­gen zu Per­sön­lich­keits­ver­let­zun­gen füh­ren und auf wel­che Grün­de sich die Digi­tec Gala­xus AG zu deren Recht­fer­ti­gung beruft.
  5. die Erklä­rung je nach Recht­fer­ti­gungs­grund der Daten­be­ar­bei­tung die kor­rek­te Lösch- bzw. Wider­spruchs­mög­lich­keit beschreibt und ihre Pra­xis bezüg­lich der Lösch- bzw. Wider­spruchs­be­geh­ren dies­be­züg­lich kor­rekt umge­setzt wird.

Zum The­ma Gast­kauf ent­hält der Schluss­be­richt fol­gen­de, etwas kryp­ti­sche, aber sicher bewusst nicht ganz ein­deu­ti­ge Emp­feh­lung (Her­vor­he­bun­gen hinzugefügt):

  • 6. Soweit die unter­such­ten Daten­be­ar­bei­tun­gen infol­ge Kop­pe­lung mit dem zwin­gen­den Erfor­der­nis eines Kun­den­kon­tos gegen das Ver­hält­nis­mä­ssig­keits­prin­zip ver­sto­ssen, erwei­sen sie sich als unzu­läs­sig. Die Digi­tec Gala­xus AG passt die Bear­bei­tun­gen des­halb der­ge­stalt an, dass sie ins­künf­tig nicht mehr in die infor­ma­tionei­le Selbst­be­stim­mung der Nut­ze­rin­nen und Nut­zer ein­grei­fen, als für die zweck­ge­rech­te Durch­füh­rung der Bear­bei­tung nötig und mit den pri­va­ten Inter­es­sen der Ver­ant­wort­li­chen daten­schutz­recht­lich gerecht­fer­tigt wer­den kann. Eine nahe­lie­gen­de Mög­lich­keit zur ver­hält­nis­mä­ssi­gen Aus­ge­stal­tung der Daten­be­ar­bei­tun­gen stellt das alter­na­ti­ve Anbie­ten eines Gast­kaufs dar.

Digi­tec hat sich zu die­sem Emp­feh­lun­gen wie folgt posi­tio­niert (vgl. Schlussbericht):

  • Emp­feh­lung 1: Gegen­stands­los, weil ihr Anlie­gen durch die 2023 aktua­li­sier­te Daten­schutz­er­klä­rung bereits vor­weg­ge­nom­men wurde.
  • Emp­feh­lung 2: Dito; und das neue Recht kennt kei­ne Per­sön­lich­keits­pro­fi­le mehr, so dass sich die­ser Punkt erle­digt hat.
  • Emp­feh­lung 3: Abge­lehnt.
  • Emp­feh­lung 4: Abge­lehnt.
  • Emp­feh­lung 5: Gegen­stands­los, weil ihr Anlie­gen durch die 2023 aktua­li­sier­te Daten­schutz­er­klä­rung bereits vor­weg­ge­nom­men wurde.
  • Emp­feh­lung 6: ange­nom­men (so wie formuliert).

Recht­li­che Anmerkungen

All­ge­mei­nes

Die Sach­ver­halts­ab­klä­rung war über­gangs­recht­lich nach altem Recht abzu­schlie­ssen (Art. 70 DSG). Das sieht das DSG so vor, aber es ist ver­fehlt. Es führt näm­lich dazu, dass sich alle Emp­feh­lun­gen auf das alte Recht stüt­zen – es war für den EDÖB wei­ter­hin mass­ge­bend, aber es ist für Digi­tec weit­ge­hend nicht mehr anwend­bar. Es kommt über­gangs­recht­lich mit ande­ren Wor­ten zu einer Dis­kre­panz zwi­schen dem Recht, das in der Sach­ver­halts­ab­klä­rung mass­geb­lich ist bzw. war, und dem Recht, dem der Ver­ant­wort­li­che unter­wor­fen ist. Die­se Über­gangs­re­ge­lung zwingt den EDÖB zu rechts­hi­sto­ri­schen Betrach­tun­gen, und der EDÖB darf nicht unter­stel­len, die recht­li­che Situa­ti­on sei unter dem aktu­el­len Recht die­sel­be. Ob in die­ser Situa­ti­on über­haupt Emp­feh­lun­gen aus­ge­spro­chen wer­den dür­fen, ist zumin­dest frag­lich, und der EDÖB kann sie vor dem BVGer auch nicht mehr durch­set­zen. Frag­lich ist auch, ob die Emp­feh­lun­gen des EDÖB dem eigent­li­chen Gegen­stand der Sach­ver­halts­ab­klä­rung noch zuzu­ord­nen sind; der EDÖB inter­pre­tiert den Scope der Sach­ver­halts­ab­klä­rung jeden­falls sehr frei.

Emp­feh­lung 1: Web-Analyse-Tools

Der EDÖB hat hier emp­foh­len, Digi­tec sol­le erkenn­bar machen, wel­che Web-Ana­ly­se-Tools ver­wen­det wer­den und wel­che Bear­bei­tun­gen sich dar­aus ergeben.

Dabei über­sieht der Schluss­be­richt, dass mit Art. 45c FMG eine Spe­zi­al­re­ge­lung zu den Hin­wei­sen auf Coo­kies und ande­re Tech­no­lo­gien exi­stiert, die nicht mehr ver­langt, als dass Nut­zer über die Bear­bei­tung und ihren Zweck infor­miert und auf eine Wider­spruchs­mög­lich­keit hin­ge­wie­sen wer­den. Wel­che Tools ver­wen­det wer­den, muss nicht auf­ge­schlüs­selt wer­den. Die­se Bestim­mung ist eine lex spe­cia­lis, die mit dem neu­en DSG nicht ange­fasst wur­de. Das DSG kann des­halb nicht mehr verlangen.

Ohne­hin fragt sich, ob das Daten­schutz­recht über­haupt zur Anwen­dung kommt. Der EDÖB ist hier davon aus­ge­gan­gen, dass im Zusam­men­hang mit Coo­kies Per­so­nen­da­ten bear­bei­tet wer­den. Wenn ein ein­deu­ti­ger Bezug zwi­schen den Daten und einer Per­son vor­liegt, spie­le es «kei­ne gro­sse Rol­le», wie hoch der Auf­wand für eine Iden­ti­fi­zie­rung sei; hier lie­ge immer Bestimm­bar­keit vor. Ein ein­deu­ti­ger Bezug wer­de dabei auch durch eine nicht-spre­chen­de ID geschaffen.

Die recht­li­che Basis für die­se Auf­fas­sung bleibt aller­dings unklar. Im Schluss­be­richt klingt ein abso­lu­ter Ansatz an, denn (nur) eine Pseud­ony­mi­sie­rung lie­ge vor, wenn «immer noch die Mög­lich­keit einer Re-Iden­ti­fi­zie­rung der Daten durch Her­aus­grei­fen, Ver­knüp­fung und lnfe­renz besteht» (was immer das heisst).

Damit redet der EDÖB in der Sache wohl der Sin­gu­la­ri­sie­rung das Wort. Folg­te man dem, wären die Kon­se­quen­zen unab­seh­bar – das Daten­schutz­recht wäre viel zu breit anwend­bar (“law of ever­ything”). Es bleibt aber unklar, ob der EDÖB wirk­lich so weit gehen will. An ande­rer Stel­le ver­langt der EDÖB immer noch – ent­spre­chend der herr­schen­den Auf­fas­sung und der (u.a.) Logi­step-Recht­spre­chung –, dass eine Re-Iden­ti­fi­ka­ti­on «ohne über­mä­ssi­gen Auf­wand» mög­lich sein müs­se, und wider­spricht damit zu Recht der Singularisierungsthese.

Letzt­lich blei­ben die recht­li­chen Über­le­gun­gen schwer fass­bar, und der EDÖB dürf­te hier ergeb­nis­ge­lei­tet vor­ge­gan­gen sein – den Bereich des ID-basier­ten Online-Mar­ke­tings will er aus sei­ner Kom­pe­tenz augen­schein­lich nicht ent­las­sen. Er hät­te rich­ti­ger­wei­se aber vor­fra­ge­wei­se den kon­kret für eine Iden­ti­fi­ka­ti­on erfor­der­li­chen Auf­wand und das Iden­ti­fi­zie­rungs­in­ter­es­se prü­fen müs­sen. Weil die Sach­ver­halts­ab­klä­rung dies unter­lässt, war der Schluss, dass Per­so­nen­da­ten bear­bei­tet wer­den, recht­lich wie sach­ver­halts­mä­ssig unbegründet.

Emp­feh­lung 2: Daten und Zwecke

Emp­feh­lung 2 emp­fiehlt, es sei klar erkenn­bar zu machen, zu wel­chen Zwecken wel­che Per­so­nen­da­ten bear­bei­tet wer­den, und dass Daten­be­ar­bei­tun­gen erfol­gen, die zu Per­sön­lich­keits­pro­fi­len füh­ren. Digi­tec hat die­sen Punkt schon vor mehr als einem Jahr mit einer neu­en DSE (frei­wil­lig) vorweggenommen.

Aller­dings ver­lan­gen weder die Trans­pa­renz noch die Infor­ma­ti­ons­pflicht eine Zuord­nung von Daten und Zwecken. Dafür fin­det sich weder in den Mate­ria­li­en noch der Recht­spre­chung noch der mass­geb­li­chen Lite­ra­tur eine aus­rei­chen­de Grund­la­ge. Der EDÖB argu­men­tiert hier mit all­ge­mei­nen Über­le­gun­gen zur Trans­pa­renz – die ja immer alles recht­fer­ti­gen kann – und mit der Auf­fas­sung, dass das Wider­spruchs­recht nur bei aus­rei­chen­der Trans­pa­renz effek­tiv aus­ge­übt wer­den könne.

Es bleibt aber offen, wie­so für das Wider­spruchs­recht eine Zuord­nung von Per­so­nen­da­ten zu Zwecken und Bekannt­ga­ben erfor­der­lich sein soll. Will eine betrof­fe­ne Per­son bspw. der Bear­bei­tung für Mar­ke­ting­zwecke wider­spre­chen, wird sie einen Wider­spruch jeden­falls nicht des­halb unter­las­sen, weil ihr der genaue Umfang der bear­bei­te­ten Daten nicht klar ist – wenn schon, wird ein Wider­spruch ohne eine Zuord­nung wahr­schein­li­cher, nicht weni­ger wahrscheinlich.

Kon­zep­tio­nell lässt die Erwä­gung des EDÖB fer­ner ausser Acht, dass das DSG nicht nur ein Widerspruchs‑, son­dern auch ein Aus­kunfts­recht kennt. Die Infor­ma­ti­ons­pflicht infor­miert den Betrof­fe­nen gene­risch, das Aus­kunfts­recht spe­zi­fi­scher. Auch dies spricht gegen so weit­ge­hen­de Transparenzanforderungen.

Gleich­wohl hat es sich durch­ge­setzt, in Daten­schutz­er­klä­run­gen eine gewis­se Ver­bin­dung von Daten und Zwecken zu schaf­fen (sie­he auch die Muster-Daten­schutz­er­klä­rung von DSAT). Dabei ist aber auch der Auf­wand für den Ver­ant­wort­li­chen zu berück­sich­ti­gen. Die Ver­bin­dung muss des­halb nicht so gra­nu­lar sein, dass die Pfle­ge der Daten­schutz­er­klä­rung zu auf­wen­dig wird, und tat­säch­lich geht der EDÖB im Schluss­be­richt davon aus, dass die Ver­bin­dung von Daten und Zwecken gemäss der aktu­el­len Daten­schutz­er­klä­rung von Digi­tec rechts­kon­form ist, d.h. den Anfor­de­run­gen des EDÖB entspricht.

Der EDÖB geht wei­ter davon aus, dass durch die Bear­bei­tun­gen von Digi­tec Per­sön­lich­keits­pro­fi­le ent­ste­hen. Der EDÖB bleibt hier aller­dings viel zu all­ge­mein. Es ist aner­kannt, dass die Qua­li­fi­ka­ti­on von Daten als Per­sön­lich­keits­pro­fil auch davon abhän­gig ist, ob ihre kon­kre­te Bear­bei­tung effek­tiv zu den beson­de­ren Risi­ken führt, die das Per­sön­lich­keits­pro­fil auf­greift. Wer Daten akku­mu­liert, am Ende aber nur Affi­ni­tä­ten oder Kor­re­la­tio­nen fest­stellt, bear­bei­tet dadurch kaum ein Per­sön­lich­keits­pro­fil – die Aus­sa­ge, dass Käu­fer X Turn­schu­he gekauft hat und folg­lich ein höhe­res Inter­es­se an T‑Shirts hat, ist so banal, dass damit kei­nes­falls ein Per­sön­lich­keits­pro­fil ent­steht. Ob für die­se Aus­sa­ge vie­le oder weni­ge Daten bear­bei­tet wer­den, kann nicht mass­ge­bend sein, weil es eben um die kon­kre­te Ver­wen­dung geht. Dazu ent­hält der Schluss­be­richt kei­ne Abklä­run­gen oder Ausführungen.

Emp­feh­lung 3: Bear­bei­tun­gen “auf Vorrat”

Die­se Emp­feh­lung emp­fiehlt, in der Daten­schutz­er­klä­rung kei­ne Daten­be­ar­bei­tun­gen «auf Vor­rat» zu nennen.

Der Schluss­be­richt unter­stellt dabei, dass Betrof­fe­ne dar­auf ver­trau­en, dass alle Infor­ma­tio­nen in einer Daten­schutz­er­klä­rung zutref­fen und des­halb gene­rell damit rech­nen, dass alle genann­ten Bear­bei­tun­gen auch tat­säch­lich erfol­gen. Das ist eine Unter­stel­lung, die kaum zutrifft. Zumin­dest wären die Erwar­tun­gen der Betrof­fe­nen von der kon­kre­ten For­mu­lie­rung der Daten­schutz­er­klä­rung abhän­gig (es ist ein Unter­schied, ob eine Daten­schutz­er­klä­rung sagt “wir bear­bei­ten” oder “wir kön­nen bearbeiten”).

Zweck der Infor­ma­ti­ons­pflicht ist letzt­lich, die Erwar­tungs­hal­tung der Betrof­fe­nen zu kali­brie­ren. Dazu ist eine Infor­ma­ti­on über mög­li­che Bear­bei­tun­gen nicht schäd­lich, son­dern viel­mehr hilf­reich – der Betrof­fe­ne weiss dann, womit er zu rech­nen hat, und zwar zu dem Zeit­punkt, zu dem er sich auf eine Bezie­hung mit dem Ver­ant­wort­li­chen ein­lässt und die Daten­schutz­er­klä­rung – wenn über­haupt – zum ersten und wohl letz­ten Mal liest. Das ist alle­mal daten­schutz­freund­li­cher als eine sich alle zwei Mona­te ändern­de Datenschutzerklärung.

Auch die Lite­ra­tur ist ein­hel­lig der Ansicht, eine zukünf­ti­ge oder mög­li­che Bear­bei­tung dür­fe genannt wer­den; über mög­li­che zukünf­ti­ge Bear­bei­tun­gen zu infor­mie­ren wird sogar aus­drück­lich emp­foh­len. Selbst die Bot­schaft zur Ein­füh­rung von Art. 4 Abs. 4 aDSG ging davon aus, dass über mög­li­che Bear­bei­tun­gen infor­miert wer­den darf. Wenn Betrof­fe­ne dann genaue­re Anga­ben über mög­li­che Bear­bei­tun­gen wün­schen, haben sie dafür das Wider­spruchs- und das Auskunftsrecht.

Emp­feh­lung 4: Anga­be von Rechtfertigungsgründen

Hier emp­fiehlt der EDÖB zu infor­mie­ren, wel­che Bear­bei­tun­gen zu Per­sön­lich­keits­ver­let­zun­gen füh­ren und wel­che Recht­fer­ti­gungs­grün­de in Anspruch genom­men wer­den. Wor­auf der EDÖB die­se Emp­feh­lung stützt, bleibt gänz­lich unklar, und eine Grund­la­ge für die­se For­de­rung ist nicht ersicht­lich. Die Lite­ra­tur jeden­falls ver­langt eine sol­che Infor­ma­ti­on nicht.

Inter­es­san­ter­wei­se hat­te das alte DSG im Rah­men des Aus­kunfts­rechts eine Infor­ma­ti­on über «die Rechts­grund­la­gen des Bear­bei­tens» ver­langt, und es gab die Ansicht, dass damit auch eine Anga­be der Recht­fer­ti­gungs­grün­de gemeint war. Die heu­ti­ge Rege­lung des Aus­kunfts­rechts ver­langt dies aber nicht mehr. Selbst auf der nach­ge­la­ger­ten Ebe­ne des Aus­kunfts­rechts wur­de eine sol­che Pflicht also bewusst nicht über­nom­men, und erst recht kann sie im Rah­men der Infor­ma­ti­ons­pflicht oder des Trans­pa­renz­grund­sat­zes nicht bestehen, denn bei­des geht weni­ger weit als die Auskunftspflicht.

Eben­falls inter­es­sant: Der EDÖB hat­te im Rah­men der Revi­si­on des DSG ange­regt, bei der Infor­ma­ti­ons­pflicht eine Infor­ma­ti­on über die Rechts­grund­la­gen vor­zu­se­hen. Dies wur­de nicht umge­setzt. Wenn der EDÖB die­se For­de­rung nun auf dem Umweg des Trans­pa­renz­grund­sat­zes wie­der auf­nimmt, wider­spricht das schlicht dem Wil­len des Gesetzgebers.

Emp­feh­lung 5: Anga­be von Lösch- und Widerspruchsmöglichkeiten

Nach die­ser Emp­feh­lung soll die Daten­schutz­er­klä­rung je nach Recht­fer­ti­gungs­grund die kor­rek­te Lösch- bzw. Wider­spruchs­mög­lich­keit beschrei­ben. Ein Ver­ant­wort­li­cher ist aber nicht ver­pflich­tet, über Lösch- oder Wider­spruchs­mög­lich­kei­ten zu infor­mie­ren, auch wenn das vie­le Ver­ant­wort­li­che tun. Die­se Rech­te erge­ben sich – soweit sie exi­stie­ren – aus dem Gesetz, und die­ses wird gene­rell als bekannt vor­aus­ge­setzt. Ein Erleich­te­rungs­ge­bot für Betrof­fe­nen­rech­te wie die DSGVO kennt das DSG fer­ner nicht. Digi­tec hat in der aktu­el­len Daten­schutz­er­klä­rung gleich­wohl Aus­sa­gen zu Lösch- und Wider­spruchs­rech­ten aufgenommen.

Emp­feh­lung 6: The­ma Gastkauf

Die­se Emp­feh­lung ist recht schwam­mig und für ein Rechts­be­geh­ren bzw. ein Urteils­dis­po­si­tiv sicher untaug­lich. Der EDÖB spricht zwar von einem Gast­kauf, ver­langt ihn aber nicht, son­dern nennt ihn nur eine Alter­na­ti­ve. Er lässt damit eine Ver­bin­dung zwi­schen Bestel­lung und Kon­to zu. Der Kon­to­zwang ist damit in der Schweiz als grund­sätz­lich zuläs­sig anerkannt.

Auch wenn letz­te­res will­kom­men ist: Die­se Emp­feh­lung lei­det am einem kon­zep­tio­nel­len Man­gel. Den Bear­bei­tungs­zweck bestimmt der Ver­ant­wort­li­che und nicht das Datenschutzrecht.

Der Schluss­be­richt unter­stellt dem­ge­gen­über, DG sei in erster Linie ein Anbie­ter von Waren zum Kauf, was das Kun­den­kon­to als Fremd­kör­per erschei­nen lässt. Damit unter­stellt der EDÖB einen Bear­bei­tungs­zweck, und den gibt das Daten­schutz­recht nie­mals vor. Dies hat das Bun­des­ver­wal­tungs­ge­richt mit sei­nem Urteil i.S. Hels­a­na aus­drück­lich festgehalten:

Zudem äussert sich, syste­ma­tisch betrach­tet, das Daten­schutz­ge­setz grund­sätz­lich nicht dazu, zu wel­chen Zwecken Per­so­nen­da­ten bear­bei­tet wer­den dür­fen und zu wel­chen nicht.

Das Daten­schutz­recht ver­langt vom Ver­ant­wort­li­chen nur, sich an sei­ne (selbst­ge­setz­ten) Bear­bei­tungs­zwecke zu hal­ten. Digi­tec darf ihr Ange­bot nach wie vor selbst aus­ge­stal­ten, und wenn sie die­ses nicht als Ein­mal-Kauf sieht, son­dern – aus guten Grün­den – als Platt­form­an­ge­bot mit Com­mu­ni­ty-Cha­rak­ter, steht ihr dies selbst­ver­ständ­lich frei. In die­se Zweck­set­zung greift der EDÖB ein. Damit masst er sich aber wirt­schafts­po­li­zei­li­che Befug­nis­se an, die das Daten­schutz­recht nicht vor­sieht und ihm nicht zustehen.

Aller­dings: Selbst wenn man den Bear­bei­tungs­zweck einer daten­schutz­recht­li­chen Beur­tei­lung unter­zie­hen woll­te, wäre die Hal­tung des EDÖB unbe­grün­det. Im Pri­vat­be­reich sind näm­lich zumin­dest all jene Zwecke ver­hält­nis­mä­ssig, die auch ein ver­nünf­ti­ger Daten­be­ar­bei­ter ver­fol­gen wür­de. Dabei müss­te man jeden­falls auch berück­sich­ti­gen, dass ein Anbie­ter im inter­na­tio­na­len Wett­be­werb steht und eine gro­sse Zahl auch der in der Schweiz täti­gen Online-Anbie­ter ein Kun­den­kon­to ver­langt – dass die­se alle unver­nünf­tig han­deln, darf der EDÖB nicht unter­stel­len. Auch ist nicht ersicht­lich, inwie­fern die Inter­es­sen der Kun­den einen Gast­kauf ver­lan­gen, zumal das Kon­to die Gel­tend­ma­chung von Garan­tie­an­sprü­chen und die Nach­ver­fol­gung und Zuord­nung von Ein­käu­fen erleich­tert und Kun­den ihr Kon­to jeder­zeit löschen können.

Gera­de die Opt-Out-Mög­lich­keit, d.h. die Wider­spruchs- oder Lösch­mög­lich­keit, ist hier rele­vant. Auch bei der Frei­wil­lig­keit einer Ein­wil­li­gung ist dies von Bedeu­tung, wie der EDÖB im dama­li­gen Schluss­be­richt i.S. Post­Fi­nan­ce (2015) selbst fest­ge­hal­ten hat: Wenn eine Ein­wil­li­gung durch eine Opt-Out-Mög­lich­keit gewis­ser­ma­ssen ex post frei­wil­lig wird, muss eine Bear­bei­tung erst recht ver­hält­nis­mä­ssig sein, wenn sich Betrof­fe­ne nach­träg­lich davon befrei­en kön­nen. Das dürf­te auch der Grund dafür sein, dass der EDÖB den Kon­to­zwang grund­sätz­lich zulässt.

Im Übri­gen fehlt auch sonst eine Grund­la­ge im DSG, einen Gast­kauf zu for­dern. Der Grund­satz vom Pri­va­cy by Default gibt das jeden­falls nicht her, trotz anders­lau­ten­der Hin­wei­se in der Bot­schaft. Der Grund­satz von Pri­va­cy by Default steht im Kon­text der frei­en Zweck­set­zung. Er beschränkt die­se nicht und ver­langt ent­spre­chend nicht, dem Nut­zer Ein­stell­mög­lich­kei­ten anzu­bie­ten; die Lite­ra­tur ist sich hier einig.

Wenn im Anwen­dungs­ge­biet der DSGVO ein Gast­kauf stel­len­wei­se ver­langt wird, kann das für das DSG nichts bedeu­ten. Die dor­ti­ge Dis­kus­si­on steht v.a. unter dem Titel der Ein­wil­li­gung und des Kopp­lungs­ver­bot. Das kann kon­zep­tio­nell nicht über­nom­men wer­den. Die DSGVO ver­langt eine Rechts­grund­la­ge für jede Bear­bei­tung, und oft eine Ein­wil­li­gung. Dabei greift ein gewis­ses Kopp­lungs­ver­bot. Der EDSA legt des­halb die Rechts­grund­la­ge des Ver­trags eng aus, damit Ein­wil­li­gungs­er­for­der­nis­se nicht durch Ver­trags­ge­stal­tung unter­lau­fen wer­den. Das DSG ver­langt dem­ge­gen­über kei­ne Rechts­grund­la­ge und kei­ne Ein­wil­li­gung, die ent­spre­chend abzu­si­chern wäre, und hat das Kopp­lungs­ver­bot der DSGVO nicht übernommen.

English
English

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter

News abonnieren →

© datenrecht.ch • Walder Wyss AG

🔑

Gesetzestexte

Umsetzung des DSG

Links

Downloads

über uns

Newsletter

Datenschutzerklärung