Der EDÖB hat heute (17. April 2024) den Schlussbericht in einer seit 2021 dauernden Sachverhaltsabklärung zum Online-Shop von Digitec Galaxus AG veröffentlicht (Medienmitteilung und Schlussbericht).
Thema der Sachverhaltsabklärung waren Fragen der damaligen – seit längerem überholten – Datenschutzerklärung von Digitec Galaxus (“Digitec”) und der Verbindung der Kundenbestellungen mit einem Kundenkonto (Stichwort Gastkauf). Der EDÖB ist insgesamt (sehr) streng – ein gewisser Trend, der sich auch anderswo beobachten lässt.
Disclaimer: Digitec Galaxus war in der Sachverhaltsabklärung von Walder Wyss (u.a. dem Autor dieses Beitrags) vertreten.
Empfehlungen und Position von Digitec
Der Schlussbericht enthält sechs Empfehlungen. Die ersten fünf betreffen v.a. die damalige Datenschutzerklärung von Digitec. Der EDÖB empfiehlt, dass:
- für die betroffenen Personen klar erkennbar ist, welche Web Analyse-Tools verwendet werden und welche Datenbearbeitungen daraus resultieren.
- für die betroffenen Personen klar erkennbar ist, zu welchen Zwecken welche Personendaten bearbeitet werden, und dass Datenbearbeitungen erfolgen, die zu Persönlichkeitsprofilen führen.
- die Erklärung keine Datenbearbeitungen «auf Vorrat» beinhaltet und dort nur diejenigen Datenbearbeitungen aufgeführt werden, die auch tatsächlich erfolgen.
- die Erklärung differenziert und unmissverständlich darüber informiert, welche Bearbeitungen zu Persönlichkeitsverletzungen führen und auf welche Gründe sich die Digitec Galaxus AG zu deren Rechtfertigung beruft.
- die Erklärung je nach Rechtfertigungsgrund der Datenbearbeitung die korrekte Lösch- bzw. Widerspruchsmöglichkeit beschreibt und ihre Praxis bezüglich der Lösch- bzw. Widerspruchsbegehren diesbezüglich korrekt umgesetzt wird.
Zum Thema Gastkauf enthält der Schlussbericht folgende, etwas kryptische, aber sicher bewusst nicht ganz eindeutige Empfehlung (Hervorhebungen hinzugefügt):
- 6. Soweit die untersuchten Datenbearbeitungen infolge Koppelung mit dem zwingenden Erfordernis eines Kundenkontos gegen das Verhältnismässigkeitsprinzip verstossen, erweisen sie sich als unzulässig. Die Digitec Galaxus AG passt die Bearbeitungen deshalb dergestalt an, dass sie inskünftig nicht mehr in die informationeile Selbstbestimmung der Nutzerinnen und Nutzer eingreifen, als für die zweckgerechte Durchführung der Bearbeitung nötig und mit den privaten Interessen der Verantwortlichen datenschutzrechtlich gerechtfertigt werden kann. Eine naheliegende Möglichkeit zur verhältnismässigen Ausgestaltung der Datenbearbeitungen stellt das alternative Anbieten eines Gastkaufs dar.
Digitec hat sich zu diesem Empfehlungen wie folgt positioniert (vgl. Schlussbericht):
- Empfehlung 1: Gegenstandslos, weil ihr Anliegen durch die 2023 aktualisierte Datenschutzerklärung bereits vorweggenommen wurde.
- Empfehlung 2: Dito; und das neue Recht kennt keine Persönlichkeitsprofile mehr, so dass sich dieser Punkt erledigt hat.
- Empfehlung 3: Abgelehnt.
- Empfehlung 4: Abgelehnt.
- Empfehlung 5: Gegenstandslos, weil ihr Anliegen durch die 2023 aktualisierte Datenschutzerklärung bereits vorweggenommen wurde.
- Empfehlung 6: angenommen (so wie formuliert).
Rechtliche Anmerkungen
Allgemeines
Die Sachverhaltsabklärung war übergangsrechtlich nach altem Recht abzuschliessen (Art. 70 DSG). Das sieht das DSG so vor, aber es ist verfehlt. Es führt nämlich dazu, dass sich alle Empfehlungen auf das alte Recht stützen – es war für den EDÖB weiterhin massgebend, aber es ist für Digitec weitgehend nicht mehr anwendbar. Es kommt übergangsrechtlich mit anderen Worten zu einer Diskrepanz zwischen dem Recht, das in der Sachverhaltsabklärung massgeblich ist bzw. war, und dem Recht, dem der Verantwortliche unterworfen ist. Diese Übergangsregelung zwingt den EDÖB zu rechtshistorischen Betrachtungen, und der EDÖB darf nicht unterstellen, die rechtliche Situation sei unter dem aktuellen Recht dieselbe. Ob in dieser Situation überhaupt Empfehlungen ausgesprochen werden dürfen, ist zumindest fraglich, und der EDÖB kann sie vor dem BVGer auch nicht mehr durchsetzen. Fraglich ist auch, ob die Empfehlungen des EDÖB dem eigentlichen Gegenstand der Sachverhaltsabklärung noch zuzuordnen sind; der EDÖB interpretiert den Scope der Sachverhaltsabklärung jedenfalls sehr frei.
Empfehlung 1: Web-Analyse-Tools
Der EDÖB hat hier empfohlen, Digitec solle erkennbar machen, welche Web-Analyse-Tools verwendet werden und welche Bearbeitungen sich daraus ergeben.
Dabei übersieht der Schlussbericht, dass mit Art. 45c FMG eine Spezialregelung zu den Hinweisen auf Cookies und andere Technologien existiert, die nicht mehr verlangt, als dass Nutzer über die Bearbeitung und ihren Zweck informiert und auf eine Widerspruchsmöglichkeit hingewiesen werden. Welche Tools verwendet werden, muss nicht aufgeschlüsselt werden. Diese Bestimmung ist eine lex specialis, die mit dem neuen DSG nicht angefasst wurde. Das DSG kann deshalb nicht mehr verlangen.
Ohnehin fragt sich, ob das Datenschutzrecht überhaupt zur Anwendung kommt. Der EDÖB ist hier davon ausgegangen, dass im Zusammenhang mit Cookies Personendaten bearbeitet werden. Wenn ein eindeutiger Bezug zwischen den Daten und einer Person vorliegt, spiele es «keine grosse Rolle», wie hoch der Aufwand für eine Identifizierung sei; hier liege immer Bestimmbarkeit vor. Ein eindeutiger Bezug werde dabei auch durch eine nicht-sprechende ID geschaffen.
Die rechtliche Basis für diese Auffassung bleibt allerdings unklar. Im Schlussbericht klingt ein absoluter Ansatz an, denn (nur) eine Pseudonymisierung liege vor, wenn «immer noch die Möglichkeit einer Re-Identifizierung der Daten durch Herausgreifen, Verknüpfung und lnferenz besteht» (was immer das heisst).
Damit redet der EDÖB in der Sache wohl der Singularisierung das Wort. Folgte man dem, wären die Konsequenzen unabsehbar – das Datenschutzrecht wäre viel zu breit anwendbar (“law of everything”). Es bleibt aber unklar, ob der EDÖB wirklich so weit gehen will. An anderer Stelle verlangt der EDÖB immer noch – entsprechend der herrschenden Auffassung und der (u.a.) Logistep-Rechtsprechung –, dass eine Re-Identifikation «ohne übermässigen Aufwand» möglich sein müsse, und widerspricht damit zu Recht der Singularisierungsthese.
Letztlich bleiben die rechtlichen Überlegungen schwer fassbar, und der EDÖB dürfte hier ergebnisgeleitet vorgegangen sein – den Bereich des ID-basierten Online-Marketings will er aus seiner Kompetenz augenscheinlich nicht entlassen. Er hätte richtigerweise aber vorfrageweise den konkret für eine Identifikation erforderlichen Aufwand und das Identifizierungsinteresse prüfen müssen. Weil die Sachverhaltsabklärung dies unterlässt, war der Schluss, dass Personendaten bearbeitet werden, rechtlich wie sachverhaltsmässig unbegründet.
Empfehlung 2: Daten und Zwecke
Empfehlung 2 empfiehlt, es sei klar erkennbar zu machen, zu welchen Zwecken welche Personendaten bearbeitet werden, und dass Datenbearbeitungen erfolgen, die zu Persönlichkeitsprofilen führen. Digitec hat diesen Punkt schon vor mehr als einem Jahr mit einer neuen DSE (freiwillig) vorweggenommen.
Allerdings verlangen weder die Transparenz noch die Informationspflicht eine Zuordnung von Daten und Zwecken. Dafür findet sich weder in den Materialien noch der Rechtsprechung noch der massgeblichen Literatur eine ausreichende Grundlage. Der EDÖB argumentiert hier mit allgemeinen Überlegungen zur Transparenz – die ja immer alles rechtfertigen kann – und mit der Auffassung, dass das Widerspruchsrecht nur bei ausreichender Transparenz effektiv ausgeübt werden könne.
Es bleibt aber offen, wieso für das Widerspruchsrecht eine Zuordnung von Personendaten zu Zwecken und Bekanntgaben erforderlich sein soll. Will eine betroffene Person bspw. der Bearbeitung für Marketingzwecke widersprechen, wird sie einen Widerspruch jedenfalls nicht deshalb unterlassen, weil ihr der genaue Umfang der bearbeiteten Daten nicht klar ist – wenn schon, wird ein Widerspruch ohne eine Zuordnung wahrscheinlicher, nicht weniger wahrscheinlich.
Konzeptionell lässt die Erwägung des EDÖB ferner ausser Acht, dass das DSG nicht nur ein Widerspruchs‑, sondern auch ein Auskunftsrecht kennt. Die Informationspflicht informiert den Betroffenen generisch, das Auskunftsrecht spezifischer. Auch dies spricht gegen so weitgehende Transparenzanforderungen.
Gleichwohl hat es sich durchgesetzt, in Datenschutzerklärungen eine gewisse Verbindung von Daten und Zwecken zu schaffen (siehe auch die Muster-Datenschutzerklärung von DSAT). Dabei ist aber auch der Aufwand für den Verantwortlichen zu berücksichtigen. Die Verbindung muss deshalb nicht so granular sein, dass die Pflege der Datenschutzerklärung zu aufwendig wird, und tatsächlich geht der EDÖB im Schlussbericht davon aus, dass die Verbindung von Daten und Zwecken gemäss der aktuellen Datenschutzerklärung von Digitec rechtskonform ist, d.h. den Anforderungen des EDÖB entspricht.
Der EDÖB geht weiter davon aus, dass durch die Bearbeitungen von Digitec Persönlichkeitsprofile entstehen. Der EDÖB bleibt hier allerdings viel zu allgemein. Es ist anerkannt, dass die Qualifikation von Daten als Persönlichkeitsprofil auch davon abhängig ist, ob ihre konkrete Bearbeitung effektiv zu den besonderen Risiken führt, die das Persönlichkeitsprofil aufgreift. Wer Daten akkumuliert, am Ende aber nur Affinitäten oder Korrelationen feststellt, bearbeitet dadurch kaum ein Persönlichkeitsprofil – die Aussage, dass Käufer X Turnschuhe gekauft hat und folglich ein höheres Interesse an T‑Shirts hat, ist so banal, dass damit keinesfalls ein Persönlichkeitsprofil entsteht. Ob für diese Aussage viele oder wenige Daten bearbeitet werden, kann nicht massgebend sein, weil es eben um die konkrete Verwendung geht. Dazu enthält der Schlussbericht keine Abklärungen oder Ausführungen.
Empfehlung 3: Bearbeitungen “auf Vorrat”
Diese Empfehlung empfiehlt, in der Datenschutzerklärung keine Datenbearbeitungen «auf Vorrat» zu nennen.
Der Schlussbericht unterstellt dabei, dass Betroffene darauf vertrauen, dass alle Informationen in einer Datenschutzerklärung zutreffen und deshalb generell damit rechnen, dass alle genannten Bearbeitungen auch tatsächlich erfolgen. Das ist eine Unterstellung, die kaum zutrifft. Zumindest wären die Erwartungen der Betroffenen von der konkreten Formulierung der Datenschutzerklärung abhängig (es ist ein Unterschied, ob eine Datenschutzerklärung sagt “wir bearbeiten” oder “wir können bearbeiten”).
Zweck der Informationspflicht ist letztlich, die Erwartungshaltung der Betroffenen zu kalibrieren. Dazu ist eine Information über mögliche Bearbeitungen nicht schädlich, sondern vielmehr hilfreich – der Betroffene weiss dann, womit er zu rechnen hat, und zwar zu dem Zeitpunkt, zu dem er sich auf eine Beziehung mit dem Verantwortlichen einlässt und die Datenschutzerklärung – wenn überhaupt – zum ersten und wohl letzten Mal liest. Das ist allemal datenschutzfreundlicher als eine sich alle zwei Monate ändernde Datenschutzerklärung.
Auch die Literatur ist einhellig der Ansicht, eine zukünftige oder mögliche Bearbeitung dürfe genannt werden; über mögliche zukünftige Bearbeitungen zu informieren wird sogar ausdrücklich empfohlen. Selbst die Botschaft zur Einführung von Art. 4 Abs. 4 aDSG ging davon aus, dass über mögliche Bearbeitungen informiert werden darf. Wenn Betroffene dann genauere Angaben über mögliche Bearbeitungen wünschen, haben sie dafür das Widerspruchs- und das Auskunftsrecht.
Empfehlung 4: Angabe von Rechtfertigungsgründen
Hier empfiehlt der EDÖB zu informieren, welche Bearbeitungen zu Persönlichkeitsverletzungen führen und welche Rechtfertigungsgründe in Anspruch genommen werden. Worauf der EDÖB diese Empfehlung stützt, bleibt gänzlich unklar, und eine Grundlage für diese Forderung ist nicht ersichtlich. Die Literatur jedenfalls verlangt eine solche Information nicht.
Interessanterweise hatte das alte DSG im Rahmen des Auskunftsrechts eine Information über «die Rechtsgrundlagen des Bearbeitens» verlangt, und es gab die Ansicht, dass damit auch eine Angabe der Rechtfertigungsgründe gemeint war. Die heutige Regelung des Auskunftsrechts verlangt dies aber nicht mehr. Selbst auf der nachgelagerten Ebene des Auskunftsrechts wurde eine solche Pflicht also bewusst nicht übernommen, und erst recht kann sie im Rahmen der Informationspflicht oder des Transparenzgrundsatzes nicht bestehen, denn beides geht weniger weit als die Auskunftspflicht.
Ebenfalls interessant: Der EDÖB hatte im Rahmen der Revision des DSG angeregt, bei der Informationspflicht eine Information über die Rechtsgrundlagen vorzusehen. Dies wurde nicht umgesetzt. Wenn der EDÖB diese Forderung nun auf dem Umweg des Transparenzgrundsatzes wieder aufnimmt, widerspricht das schlicht dem Willen des Gesetzgebers.
Empfehlung 5: Angabe von Lösch- und Widerspruchsmöglichkeiten
Nach dieser Empfehlung soll die Datenschutzerklärung je nach Rechtfertigungsgrund die korrekte Lösch- bzw. Widerspruchsmöglichkeit beschreiben. Ein Verantwortlicher ist aber nicht verpflichtet, über Lösch- oder Widerspruchsmöglichkeiten zu informieren, auch wenn das viele Verantwortliche tun. Diese Rechte ergeben sich – soweit sie existieren – aus dem Gesetz, und dieses wird generell als bekannt vorausgesetzt. Ein Erleichterungsgebot für Betroffenenrechte wie die DSGVO kennt das DSG ferner nicht. Digitec hat in der aktuellen Datenschutzerklärung gleichwohl Aussagen zu Lösch- und Widerspruchsrechten aufgenommen.
Empfehlung 6: Thema Gastkauf
Diese Empfehlung ist recht schwammig und für ein Rechtsbegehren bzw. ein Urteilsdispositiv sicher untauglich. Der EDÖB spricht zwar von einem Gastkauf, verlangt ihn aber nicht, sondern nennt ihn nur eine Alternative. Er lässt damit eine Verbindung zwischen Bestellung und Konto zu. Der Kontozwang ist damit in der Schweiz als grundsätzlich zulässig anerkannt.
Auch wenn letzteres willkommen ist: Diese Empfehlung leidet am einem konzeptionellen Mangel. Den Bearbeitungszweck bestimmt der Verantwortliche und nicht das Datenschutzrecht.
Der Schlussbericht unterstellt demgegenüber, DG sei in erster Linie ein Anbieter von Waren zum Kauf, was das Kundenkonto als Fremdkörper erscheinen lässt. Damit unterstellt der EDÖB einen Bearbeitungszweck, und den gibt das Datenschutzrecht niemals vor. Dies hat das Bundesverwaltungsgericht mit seinem Urteil i.S. Helsana ausdrücklich festgehalten:
Zudem äussert sich, systematisch betrachtet, das Datenschutzgesetz grundsätzlich nicht dazu, zu welchen Zwecken Personendaten bearbeitet werden dürfen und zu welchen nicht.
Das Datenschutzrecht verlangt vom Verantwortlichen nur, sich an seine (selbstgesetzten) Bearbeitungszwecke zu halten. Digitec darf ihr Angebot nach wie vor selbst ausgestalten, und wenn sie dieses nicht als Einmal-Kauf sieht, sondern – aus guten Gründen – als Plattformangebot mit Community-Charakter, steht ihr dies selbstverständlich frei. In diese Zwecksetzung greift der EDÖB ein. Damit masst er sich aber wirtschaftspolizeiliche Befugnisse an, die das Datenschutzrecht nicht vorsieht und ihm nicht zustehen.
Allerdings: Selbst wenn man den Bearbeitungszweck einer datenschutzrechtlichen Beurteilung unterziehen wollte, wäre die Haltung des EDÖB unbegründet. Im Privatbereich sind nämlich zumindest all jene Zwecke verhältnismässig, die auch ein vernünftiger Datenbearbeiter verfolgen würde. Dabei müsste man jedenfalls auch berücksichtigen, dass ein Anbieter im internationalen Wettbewerb steht und eine grosse Zahl auch der in der Schweiz tätigen Online-Anbieter ein Kundenkonto verlangt – dass diese alle unvernünftig handeln, darf der EDÖB nicht unterstellen. Auch ist nicht ersichtlich, inwiefern die Interessen der Kunden einen Gastkauf verlangen, zumal das Konto die Geltendmachung von Garantieansprüchen und die Nachverfolgung und Zuordnung von Einkäufen erleichtert und Kunden ihr Konto jederzeit löschen können.
Gerade die Opt-Out-Möglichkeit, d.h. die Widerspruchs- oder Löschmöglichkeit, ist hier relevant. Auch bei der Freiwilligkeit einer Einwilligung ist dies von Bedeutung, wie der EDÖB im damaligen Schlussbericht i.S. PostFinance (2015) selbst festgehalten hat: Wenn eine Einwilligung durch eine Opt-Out-Möglichkeit gewissermassen ex post freiwillig wird, muss eine Bearbeitung erst recht verhältnismässig sein, wenn sich Betroffene nachträglich davon befreien können. Das dürfte auch der Grund dafür sein, dass der EDÖB den Kontozwang grundsätzlich zulässt.
Im Übrigen fehlt auch sonst eine Grundlage im DSG, einen Gastkauf zu fordern. Der Grundsatz vom Privacy by Default gibt das jedenfalls nicht her, trotz anderslautender Hinweise in der Botschaft. Der Grundsatz von Privacy by Default steht im Kontext der freien Zwecksetzung. Er beschränkt diese nicht und verlangt entsprechend nicht, dem Nutzer Einstellmöglichkeiten anzubieten; die Literatur ist sich hier einig.
Wenn im Anwendungsgebiet der DSGVO ein Gastkauf stellenweise verlangt wird, kann das für das DSG nichts bedeuten. Die dortige Diskussion steht v.a. unter dem Titel der Einwilligung und des Kopplungsverbot. Das kann konzeptionell nicht übernommen werden. Die DSGVO verlangt eine Rechtsgrundlage für jede Bearbeitung, und oft eine Einwilligung. Dabei greift ein gewisses Kopplungsverbot. Der EDSA legt deshalb die Rechtsgrundlage des Vertrags eng aus, damit Einwilligungserfordernisse nicht durch Vertragsgestaltung unterlaufen werden. Das DSG verlangt demgegenüber keine Rechtsgrundlage und keine Einwilligung, die entsprechend abzusichern wäre, und hat das Kopplungsverbot der DSGVO nicht übernommen.