Ausgangslage
Der EDÖB hat den auf den 1. Juni 2015 datierten Schlussbericht i.S. Postfinance vorgelegt. Der Bericht betrifft Dienstleistungen der Post, die unter dem Namen “PostFinance” angeboten werden. Dazu gehören zwei Funktionen von PostFinance, «E‑Cockpit» und «Bicicletta». E‑Cockpit ordnet die Transaktionen von PostFinance-Kunden Kategorien zu, um Kunden eine bessere Übersicht über ihr Ausgabeverhalten zu ermöglichen. Die entsprechenden Angaben werden nur den Kunden selbst zur Verfügung gestellt. Bicicletta geht weiter und berechnet aufgrund der E‑Cockpit-Daten Affinitäten, d.h. die Wahrscheinlichkeit, dass ein Kunde bestimmte Leistungen bezieht. Auf dieser Grundlage wird dem Kunden im E‑Finance-Portal zielgerichtete Werbung Dritter angezeigt. Den betreffenden Dritten werden dabei aber keine Personendaten zur Verfügung gestellt. Diese Vorgänge sind dem EDÖB zufolge rechtfertigungsbedürftig, weil sowohl die Kategorisierung im Rahmen von E‑Cockpit als auch die Auswertung im Rahmen von Bicicletta unverhältnismässig seien10 und weil Bicicletta den Zweckbindungsgrundsatz11 und den Grundsatz der Datenrichtigkeit verletze. Der EDÖB beurteilt sodann die in Bicicletta bearbeiteten Personendaten als Persönlichkeitsprofile. In der Folge prüft der EDÖB, ob eine wirksame Einwilligung
Einige der Ausführungen des EDÖB sind fragwürdig, einige sogar unhaltbar. S. dazu Vasella, Zur Freiwilligkeit und zur Ausdrücklichkeit der Einwilligung im Datenschutzrecht, Jusletter v. 16. November 2015.
Begriff der besonders schützenswerten Personendaten
Ob der qualifizierte Schutz der besonders schützenswerten Personendaten zum Tragen kommt, muss deshalb vom Kontext abhängig sein, in welchem die Daten stehen oder verwendet werden. Der EDÖB hat festgestellt, dass die kategorisierten E‑Cockpit-Daten ausschliesslich den einzelnen Privatkunden in ihrem E‑Finance-Bereich zur Verfügung stehen. PostFinance wertet die Daten nicht für eigene oder fremde Zwecke aus. Daraus wird ersichtlich, dass die in E‑Finance erhobenen Daten durch PostFinance nicht zu besonders schützenswerten Personendaten verdichtet werden. Eine derartige Auswertung und Verdichtung könnte einzig der Kunde, und damit die betroffene Person selbst, durchführen. Aus diesen Gründen kann festgehalten werden, dass PostFinance mit E‑Cockpit in der derzeitigen Ausgestaltung keine besonders schützenswerte Personendaten i.S.v. Art. 3 lit. c DSG bearbeitet.
Begriff des Persönlichkeitsprofils
Somit ist davon auszugehen, dass die Gesamtheit der Menge, des Inhalts und der zeitlichen Aufbewahrung dieser Daten ein wesentliches Teilbild einer betroffenen Person ausmachen kann. Aber selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausgegangen wird, muss – wie eingangs erwähnt – letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mitentscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Dies ist dann der Fall, wenn durch die Erstellung eines Persönlichkeitsprofils für eine betroffene Person ein Risiko entsteht, dass sie sich in der Gesellschaft nicht mehr so darstellen und entfalten kann, wie sie es für richtig hält. Für die Beurteilung dieses Aspektes betreffend E‑Cockpit ist entscheidend, dass diese Daten ausschliesslich den einzelnen Privatkunden zur Verfügung stehen, welche E‑Cockpit in ihrem E‑Finance-Bereich nutzen wollen. PostFinance nutzt die Daten weder für eine personenbezogene Auswertung noch werden Affinitäten u.Ä. berechnet. Es werden auch keine Daten an Dritte weitergegeben. Insofern besteht für die betroffenen Personen keine Gefahr, dass sie sich in der Gesellschaft nicht mehr so darstellen oder entfalten können, wie sie es für richtig halten. Zusammenfassend ist aufgrund der Gesamtheit der Menge, des Inhalts und der zeitlichen Aufbewahrung der Daten in E‑Cockpit von einem wesentlichen Teilbild einer betroffen Person auszugehen. Solange die Daten jedoch ausschliesslich für die Kunden im Zusammenhang mit den Funktionen von E‑Cockpit verwendet und die Daten weder von PostFinance noch von Dritten weiterverarbeitet werden, werden in E‑Cockpit keine Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG bearbeitet.
[…]Die durch Analysen mittels Algorithmen gewonnenen Erkenntnisse werden im Zusammenhang mit Bicicletta für Marketingmassnahmen verwendet. Das heisst, es wird in den Daten eines betroffenen Kunden […] gesucht, um ihn einer Branche zuzuordnen und ihm zielgerichtete Werbeangebote in seinem E‑Finance-Portal anzuzeigen. Diese Analysen und Auswertungen finden im Verbogenen statt, sie entziehen sich dem Bewusstsein der betroffenen Personen, sodass sie deren Richtigkeit und Verwendung in vollem Umfang auch nicht kontrollieren können. Eine derartige systematische Datenbearbeitung kann dem Betroffenen die Freiheit nehmen, sich so darzustellen, wie er will, insbesondere wenn er weiss, dass solche Profile über ihn bestehen oder gerade gebildet werden. Wenn seine Transaktionsdaten systematisch für Werbeangebote für Dritte analysiert und die betroffene Person branchenspezifisch schematisiert wird, kann das Änderungen im Denken, Handeln und Verhalten des Betroffenen bewirken. Und dies kann die Entfaltung seiner Persönlichkeit wesentlich beeinträchtigen. Aus diesen Gründen muss im Zusammenhang mit der Verwendung und Analyse der Transaktionsdaten bei Bicicletta von einem Persönlichkeitsprofil i.S.v. Art. 3 lit. d DSG ausgegangen werden.
Verhältnismässigkeit der Datenbearbeitung
[…]Somit ist E‑Cockpit geeignet, den erforderlichen Zweck von E‑Finance zu ergänzen. Fraglich ist jedoch, ob E‑Cockpit auch erforderlich ist für eine funktionierende E‑Banking-Benutzeroberfläche. […] E‑Cockpit bildet neu einen festen Bestandteil für alle Privatkunden von E‑Finance, der sich nicht abschalten lässt. Wie erwähnt kann E‑Cockpit die Transaktionen in E‑Finance statt der bisherigen Balkendarstellung zusätzlich als Kuchendiagramm darstellen und bietet ein Archivierungsund Recherche-Tool. Zusätzlich erlaubt es dem Privatkunden, Sparziele oder Budgets zu definieren und Meldungen („Alarmings”) einzurichten. Die zusätzliche Darstellungsform und die ergänzenden Tools mögen einen wichtigen Schritt zur Modernisierung von E‑Finance und für viele Kunden wünschenswert sein. Die historische Entwicklung von E‑Finance zeigt aber, dass E‑Cockpit für eine funktionierende E‑Banking-Benutzeroberfläche nicht zwingend erforderlich ist. Die feste Einbindung von E‑Cockpit in E‑Finance ohne Verzichtsmöglichkeit ist daher i.S.v. Art. 4 Abs. 2 DSG nicht notwendig.
Datenrichtigkeit
[…] Art. 5 Abs. 1 DSG verpflichtet PostFinance, sich über die Richtigkeit der Personendaten zu vergewissern. Bei Bicicletta ist dies grundsätzlich nicht möglich, da den berechneten Daten eine gewisse Ungenauigkeit inhärent ist. Es handelt sich hier um Wahrscheinlichkeiten, ob ein betroffener PostFinance-Kunde einer bestimmten Zielgruppe resp. Branche angehört oder nicht. Obwohl PostFinance ein Interesse daran hat, dass die betroffenen Kunden effektiv zu der berechneten Zielgruppe gehören, ist eine Abklärung i.S.v. Art 5 Abs. 1 DSG nicht möglich. Es liegt deshalb eine Verletzung von Art. 5 Abs. 1 DSG vor.
Beurteilung der Einwilligung
Freiwilligkeit
Ein Ausscheiden hat zur Folge, dass der Kunde keinen elektronischen Zugang mehr zu seinen PostFinance-Konten hat. Die E‑Finance-Kunden müssen in dem Fall ihre Zahlungsaufträge mittels Zahlungsformular auf dem Postweg erledigen oder an den Postschalter gehen. Vor diesem Hintergrund ist zu beachten, dass die PostFinance in den letzten Jahren das System des elektronischen Zahlungsverkehrs permanent ausgedehnt hat, wohingegen die Infrastruktur für den Barzahlungsverkehr eher abgebaut wurde, da sie aufwändig und teuer ist (vgl. auch Botschaft zum Postgesetz, Ziff. 5.2.2, S. 5204 – 5205). Diese Entwicklung wird sich in den nächsten Jahren wohl fortsetzen. Desweitern ist zu beachten, dass Privatkunden von reinen elektronischen Konten (wie z.B. das E‑Sparkonto), welche nur über das E‑Finance verfügbar sind, keine Alternative zu E‑Finance haben, um diese Konten führen zu können. Daraus folgt, dass bei Ablehnung der neuen E‑Finance-TNB für die Kunden keine zumutbaren Handlungsalternativen zur Verfügung stehen. Mit der Annahme der neuen TNB zu E‑Finance werden die Kunden auch gezwungen, die Datenbearbeitung im Zusammenhang mit E‑Cockpit zu akzeptieren. Da für E‑Cockpit keine Verzichtsmöglichkeit gegeben ist, liegt keine Freiwilligkeit i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor. Für E‑Cockpit liegt folglich keine gültige Einwilligung i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor.
Ausdrücklichkeit
Alle anderen Kunden, welche bereits vor dem 12. Oktober 2014 die TNB akzeptiert hatten, hatten diese Wahlmöglichkeit auf der Zwischenseite von E‑Finance nicht unmittelbar. Die Erklärung erfolgte zwar auch freiwillig i.S.v. Art. 4 As. 5 Satz 1 DSG, da die betroffenen Personen sich jederzeit nachträglich von Bicicletta abmelden können („Opt-Out”; vgl. Ziff. 20 TNB E‑Finance und vorne Ziff. 5.5.3 dieses Schlussberichtes mit Anmerkungen). Wie im letzten Satz von Ziff. 20 der TNB zu E‑Finance informiert wird, geht PostFinance bis zur Verzichtserklärung einer betroffenen Person vom Einverständnis des Privatkunden aus. Die Einwilligung zur Datenbearbeitung im Zusammenhang mit Bicicletta darf sich aber eben nicht implizit ergeben. Mit der globalen Akzeptanz der neuen TNB zu E‑Finance geht daher nicht ausdrücklich die Zustimmung der betroffenen Personen zur Datenbearbeitung im Zusammenhang mit Bicicletta einher. Für Kunden, welche vor dem 12. Oktober 2014 die TNB in der beschriebenen Form akzeptiert haben, liegt deshalb keine ausdrückliche Einwilligung i.S.v. Art. 4 Abs. 5 Satz 2 DSG vor.