• Home
  • Datenschutz
  • EDÖB: Sach­ver­halts­ab­klä­rung i.S. Ricardo/TX Group – stren­ge Anfor­de­run­gen an Trans­pa­renz und per­so­na­li­sier­te Werbung

EDÖB: Sach­ver­halts­ab­klä­rung i.S. Ricardo/TX Group – stren­ge Anfor­de­run­gen an Trans­pa­renz und per­so­na­li­sier­te Werbung

Der EDÖB hat heu­te den Schluss­be­richt in der 2017 eröff­ne­ten Sach­ver­halts­ab­klä­rung in Sachen Ricar­do und TX Group veröffentlicht:

Gegen­stand der Sach­ver­halts­ab­klä­rung waren die Über­mitt­lung von Daten durch Ricar­do an TX, die Ver­wen­dung die­ser Daten für per­so­na­li­sier­tes Mar­ke­ting und die Daten­schutz­er­klä­run­gen in die­sem Zusammenhang.

Der Schluss­be­richt ent­hält elf Emp­feh­lun­gen, die sich in erster Linie an Ricar­do rich­ten, Emp­feh­lung B/2 betrifft TX. TX und Ricar­do betrach­ten die­se Emp­feh­lun­gen als gegen­stands­los, weil sie sich auf einen über­hol­ten Sach­ver­halt und altes Recht bezie­hen, und in der Sache halt­los sind. Sie haben die Emp­feh­lun­gen des­halb weder ange­nom­men noch abge­lehnt. Der Schluss­be­richt gibt die Hal­tung von Ricar­do und TX wie folgt wieder:

252. Sowohl die Ricar­do AG als auch die TX Group AG machen im Wesent­li­chen gel­tend, dass sich die Emp­feh­lun­gen des EDÖB auf einen nicht mehr exi­stie­ren­den Sach­ver­halt und ein nicht mehr gel­ten­des Gesetz bezie­hen wür­den. Die Emp­feh­lun­gen des EDÖB sei­en daher gegen­stands­los und die Sach­ver­halts­ab­klä­rung somit abzu­schrei­ben. Die Ricar­do AG und die TX Group AG erklä­ren, die Emp­feh­lun­gen des EDÖB weder anzu­neh­men noch abzu­leh­nen. In mate­ri­el­ler Hin­sicht sei­en die Emp­feh­lun­gen inhalt­lich halt­los. Die Par­tei­en wei­sen die Fest­stel­lung von Ver­stö­ssen gegen das DSG zurück und bestrei­ten die recht­li­chen Schluss­fol­ge­run­gen der Sach­ver­halts­ab­klä­rung: Bei den an die TX Group AG über­mit­tel­ten Daten hand­le es sich nicht um Per­so­nen­da­ten, wes­halb das DSG auf die vor­lie­gend unter­such­ten Daten­be­ar­bei­tun­gen nicht anwend­bar sei. Zudem wür­den bei der TX Group AG kei­ne Per­sön­lich­keits­pro­fi­le bear­bei­tet. Die all­ge­mei­nen Daten­schutz­grund­sät­ze, ins­be­son­de­re die Erkenn­bar­keit der Daten­be­ar­bei­tun­gen, sei­en ein­ge­hal­ten, so dass kei­ne Per­sön­lich­keits­ver­let­zung vor­lie­ge. Obwohl kein Recht­fer­ti­gungs­grund für die vor­lie­gen­den Daten­be­ar­bei­tun­gen erfor­der­lich wäre, wür­de eine Ein­wil­li­gung der Ricar­do-Nut­zer ein­ge­holt bzw. ein über­wie­gen­des pri­va­tes Inter­es­se vorliegen.

Ricar­do und TX haben zum Schluss­be­richt gegen­über dem EDÖB Stel­lung genom­men und im Fall einer Ver­öf­fent­li­chung des Schluss­be­richts auch die Publi­ka­ti­on die­ser Stel­lung­nah­men ver­langt. Der EDÖB hat dem nicht ent­spro­chen. Die Stel­lung­nah­men selbst sind mit freund­li­cher Geneh­mi­gung von Ricar­do und TX aber hier abrufbar:

Dis­clai­mer: TX war in der Sach­ver­halts­ab­klä­rung durch Wal­der Wyss (u.a. den Autor die­ses Bei­trags) ver­tre­ten, Ricar­do bzw. SMG durch Vischer (David Rosen­thal und sein Team).

Hin­ter­grund

Ricar­do ist heu­te Teil der SMG Swiss Mar­ket­place Group (SMG), an der die TX Group betei­ligt ist, und betreibt einen der erfolg­reich­sten Schwei­zer Online-Markt­plät­ze. Von Besu­chern wer­den – wie bei allen Online-Ange­bo­ten – bestimm­te Daten erfasst, bspw. die IP-Adres­sen der dabei ver­wen­de­ten Gerä­te und wei­te­re Nut­zungs­da­ten. Wei­te­re Daten fal­len bei einer Regi­strie­rung und einer fol­gen­den Ver­wen­dung der Platt­form an. Die­se Daten kann Ricar­do in pseud­ony­mi­sier­ter Form an TX bekannt­ge­ben. Auf Basis eines nicht-per­so­nen­be­zo­ge­nen Iden­ti­fi­ka­tors kön­nen die Anga­ben sodann mit wei­te­ren Daten ver­bun­den und agg­re­giert wei­ter­be­ar­bei­tet wer­den. Dar­aus abge­lei­te­te Affi­ni­tä­ten kön­nen für ziel­grup­pen­spe­zi­fi­sche Online-Wer­bung ver­wen­det wer­den. Wie sich aus den Fest­stel­lun­gen ergibt, ver­wen­det TX dafür nur agg­re­gier­te Daten ohne per­so­nen­be­zo­ge­nen Iden­ti­fi­ka­tor und nur Seg­men­te, die min­de­stens 50 Nut­zer umfas­sen. Eine Re-Iden­ti­fi­ka­ti­on haben Ricar­do und TX als fak­tisch unmög­lich eingestuft.

Die ein­schlä­gi­gen Daten­schutz­er­klä­run­gen wur­den im Lau­fe der Sach­ver­halts­ab­klä­rung ange­passt. Das ist ein Umstand, den der EDÖB als Grund für die ausser­or­dent­lich lan­ge Dau­er des Ver­fah­rens anführt. Dass sol­che Anpas­sun­gen für die­se Dau­er nicht allei­ne aus­schlag­ge­bend waren, liegt aber auf der Hand. Über­lan­ge Ver­fah­ren machen im Gegen­teil Ände­run­gen unver­meid­lich. Dies hat­te der EDÖB schon mehr­fach und an sich zu Recht beklagt. Die­ses Pro­blem wird aber nicht dadurch gelöst, dass betrof­fe­ne Unter­neh­men ihre Geschäfts­tä­tig­keit auf dem Stand der Ver­fah­rens­er­öff­nung ein­frie­ren, son­dern durch straf­fe­re Verfahren.

Die Emp­feh­lun­gen des EDÖB fal­len ausser­or­dent­lich streng aus und sind in wei­ten Tei­len ober­fläch­lich oder nicht durch den erho­be­nen Sach­ver­halt gestützt oder wider­spre­chen eta­blier­tem Daten­schutz­recht. Das erstaunt aller­dings nicht, vor allem nach der Sach­ver­halts­ab­klä­rung i.S. Digi­tec Gala­xus und eini­gen Demar­chen des EDÖB seit dem Inkraft­tre­ten des neu­en DSG. Der Umgang des EDÖB mit dem Daten­schutz­recht, an das er gebun­den ist, kann auch abseits jeder Pole­mik nur als schöp­fe­risch bezeich­net wer­den. Die Auf­ga­be des EDÖB besteht aber in der Auf­sicht über die Anwen­dung des Daten­schutz­rechts (Art. 4 Abs. 1 DSG) und nicht in des­sen Fortentwicklung.

Über­gangs­recht

Die Sach­ver­halts­ab­klä­rung war im Jahr 2017 unter altem Recht eröff­net wor­den. Sie war daher – eben­falls wie bei Digi­tec Gala­xus – über­gangs­recht­lich nach dem alten DSG abzu­schlie­ssen, als Fol­ge der Ver­fah­rens­dau­er über den 31. August 2023 hin­aus. Dies führt dazu, dass alle Emp­feh­lun­gen des EDÖB auf altem Recht basie­ren, das gene­rell und also auch für TX und Ricar­do gar nicht mehr gilt. Ob die Umset­zung der Emp­feh­lun­gen unter dem heu­ti­gen DSG gebo­ten wäre, konn­te nicht Gegen­stand der Sach­ver­halts­ab­klä­rung sein, und eine Über­trag­bar­keit der recht­li­chen Beur­tei­lung des EDÖB auf das neue Recht darf ohne ent­spre­chen­de Prü­fung nicht unter­stellt werden.

Ent­spre­chend sind die Emp­feh­lun­gen des EDÖB nicht ver­bind­lich, nicht ein­mal im Rah­men von Art. 29 aDSG. Ob der EDÖB nach dem 1. Sep­tem­ber 2023 über­haupt noch Emp­feh­lun­gen im Rah­men alt­recht­li­cher Sach­ver­halts­ab­klä­run­gen aus­spre­chen durf­te, ist des­halb zumin­dest frag­lich – es sind im Grun­de rechts­hi­sto­ri­sche Betrachtungen.

So oder anders kön­nen sie vor dem BVGer nicht durch­ge­setzt wer­den, weil mit einer Kla­ge des EDÖB vor BVGer nach altem DSG ein neu­es Ver­fah­ren begin­nen wür­de, für das über­gangs­recht­lich kei­ne Fort­gel­tung des aDSG vor­ge­se­hen ist. Er müss­te – wenn schon – eine neue Unter­su­chung füh­ren, die den Sach­ver­halt unter direk­ter Gel­tung des VwVG neu erhebt und einer recht­li­chen Prü­fung nach neu­em DSG zuführt.

Bear­bei­tung von Personendaten

Um über­haupt Emp­feh­lun­gen aus­spre­chen zu kön­nen, muss der EDÖB von einer Bear­bei­tung von Per­so­nen­da­ten aus­ge­hen. Ein Per­so­nen­be­zug sei zu beja­hen, so der EDÖB, weil ein «Bezug zwi­schen den agg­re­gier­ten Daten und dem ein­zel­nen Nut­zen­den» bestehen blei­be, wenn ein Iden­ti­fi­ka­tor ver­wen­det wird. Der Begriff des Per­so­nen­da­tums müs­se «exten­siv» aus­ge­legt wer­den: Das ist falsch; er muss aus­ge­legt wer­den, aber nach den übli­chen Aus­le­gungs­me­tho­den und nicht irgend­wie «exten­siv».

Kor­rek­ter­wei­se ver­weist der EDÖB sodann (der Sache nach) auf die Logi­step-Recht­spre­chung, wonach nicht jede theo­re­ti­sche Iden­ti­fi­ka­ti­ons­mög­lich­keit genügt. Dar­aus folgt u.a., dass pseud­ony­mi­sier­te Daten für die­je­ni­ge Stel­le kei­ne Per­so­nen­da­ten sind, die kei­ne Iden­ti­fi­ka­ti­ons­mög­lich­keit hat; Pseud­ony­mi­sie­rung ist für die­se Stel­len eine Anonymisierung.

An sich könn­te man die Prü­fung hier abbre­chen. Der EDÖB kommt aber in einer sehr knap­pen Erwä­gung zum Schluss, dass die von Ricar­do über­mit­tel­ten Daten per­so­nen­be­zo­gen sei­en, auch für TX. War­um? Weil der Per­so­nen­be­zug kei­nen Schluss auf die «bür­ger­li­che Iden­ti­tät» ver­lan­ge, son­dern ein Pseud­onym genü­ge. Zwar habe TX kein Inter­es­se an der Iden­ti­fi­zie­rung, aber das sei auch nicht das ein­zi­ge Kri­te­ri­um; es «kön­ne» bereits aus­rei­chen, wenn die Iden­ti­fi­ka­ti­on mög­lich ist.

Der EDÖB igno­riert erstens das Feh­len eines Iden­ti­fi­ka­ti­ons­in­ter­es­ses und prüft zwei­tens den Iden­ti­fi­ka­ti­ons­auf­wand nicht. Er unter­lässt also die Prü­fun­gen, die er selbst als erfor­der­lich bezeich­net, eben­so wie eine Erhe­bung des Sach­ver­halts – näm­lich der Iden­ti­fi­ka­ti­ons­mög­lich­kei­ten –, die eine Ein­stu­fung der Daten als per­so­nen­be­zo­gen erst erlaubt hät­te. Die Aus­füh­run­gen des EDÖB lau­fen des­halb auf eine von zwei Vari­an­ten hin­aus: Ent­we­der lässt er fak­tisch eine Sin­gu­la­ri­sie­rung als Iden­ti­fi­zie­rung genü­gen – zumin­dest im Online-Bereich, aber ohne dies aus­zu­spre­chen und ent­ge­gen der herr­schen­den Leh­re und den eige­nen Aus­sa­gen –, oder aber setzt sich über kla­res Daten­schutz­recht hinweg.

Die Par­tei­en haben fer­ner gel­tend gemacht, dass TX nur ein Deri­vat der über­mit­tel­ten Daten in agg­re­gier­ter Form bear­bei­tet und dabei nur Seg­men­te ver­wen­det, die min­de­stens 50 umfas­sen; also eine aus­rei­chen­de K‑Anonymität selbst dann, wenn man die Iden­ti­fi­ka­to­ren als Per­so­nen­da­ten behan­deln woll­te. Wes­halb der EDÖB den­noch von Per­so­nen­be­zug aus­geht, sagt er nicht.

Emp­feh­lung A/1: Daten und Zwecke

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

1. für die Ricar­do-Nut­ze­rin­nen und Nut­zer klar erkenn­bar ist, zu wel­chen Zwecken wel­che Per­so­nen­da­ten bear­bei­tet werden;

Der EDÖB ver­langt, es sei erkenn­bar zu machen, wel­che Per­so­nen­da­ten zu wel­chen Zwecken bear­bei­tet wer­den. Ricar­do und TX haben die­sen Punkt durch eine Anpas­sung ihrer Daten­schutz­er­klä­run­gen im Ein­klang mit der all­ge­mei­nen Pra­xis bereits erfüllt, vor der ent­spre­chen­den Empfehlung.

Es wird nicht klar, wor­aus der EDÖB die­se Emp­feh­lung ablei­tet; wohl aus dem Trans­pa­renz­grund­satz und der Infor­ma­ti­ons­pflicht. Aller­dings fin­det sich weder in den Mate­ria­li­en noch der Recht­spre­chung noch der Lite­ra­tur ein Beleg, dass das aDSG grund­sätz­lich eine Zuord­nung von Daten und Zwecken ver­langt, und auch im aktu­el­len DSG wäre dies als gene­rel­le For­de­rung kaum zu begrün­den. Auch hier ent­spre­chen die Aus­füh­run­gen des EDÖB aber jenen im Schluss­be­richt Digi­tec Galaxus.

In der Pra­xis hat sich gleich­wohl eine gewis­se Ver­bin­dung von Daten und Zwecken ver­brei­tet. Der Pfle­ge­auf­wand für den Ver­ant­wort­li­chen, der Lese­auf­wand für die betrof­fe­nen Per­so­nen und das Infor­ma­ti­ons­be­dürf­nis der Betrof­fe­nen müs­sen aber in ein ange­mes­se­nes Ver­hält­nis gesetzt wer­den – der Umfang der Infor­ma­ti­ons­pflicht unter­liegt selbst­ver­ständ­lich dem all­ge­mei­nen Verhältnismässigkeitsgrundsatz.

Der EDÖB lässt fer­ner anklin­gen, dass betrof­fe­ne Per­so­nen ohne sol­che Ver­knüp­fung dar­an gehin­dert wer­den, der Daten­be­ar­bei­tung zu wider­spre­chen. Aller­dings: eine all­ge­mei­ne­re Infor­ma­ti­on lässt eine grö­sse­re Anzahl von Bear­bei­tungs­vor­gän­gen zu. Eine gene­ri­sche Auf­li­stung der Daten und Zwecke führt eher zu Wider­sprü­chen als eine gra­nu­la­re, und sie sind umfas­sen­der – was dem Ver­ant­wort­li­chen und nicht dem Betrof­fe­nen scha­det. Dazu kommt, dass die Infor­ma­ti­ons­pflicht bloss eine gene­ri­sche Infor­ma­ti­on ver­langt. Sie ist Vor­stu­fe des Aus­kunfts­rechts, das die Infor­ma­ti­on auf Anfra­ge des Betrof­fe­nen auf die ihn betref­fen­den Bear­bei­tun­gen konkretisiert.

Die­se Stu­fen­ord­nung erklärt, wes­halb es sowohl eine Infor­ma­ti­ons- als auch eine Aus­kunfts­pflicht gibt. Des­halb spricht die Infor­ma­ti­ons­pflicht auch davon, dass die­je­ni­gen Infor­ma­tio­nen bereit­zu­stel­len sind, die für die Aus­übung der Rech­te erfor­der­lich sind: Die­se Ver­wei­sung bezieht sich ins­be­son­de­re auf das Aus­kunfts­recht; die­ses soll erleich­tert wer­den. Dar­in kommt die Selbst­ver­ant­wor­tung des Betrof­fe­nen zum Aus­druck, und dadurch wer­den die­je­ni­gen Infor­ma­tio­nen von der Infor­ma­ti­ons­pflicht aus­ge­nom­men, die über das Aus­kunfts­recht zu gewin­nen sind. Die­se Stu­fen­ord­nung lässt der EDÖB ausser Acht.

Emp­feh­lung A/2: Persönlichkeitsprofile

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

2. für die Ricar­do-Nut­ze­rin­nen und Nut­zer klar erkenn­bar ist, ob und wenn ja, wel­che Daten­be­ar­bei­tun­gen zu Per­sön­lich­keits­pro­fi­len führen;

Der EDÖB erkennt in der Bear­bei­tung von Ricar­do bzw. TX eine Bil­dung von Per­sön­lich­keits­pro­fi­len, weil die Ver­knüp­fung von Daten durch TX zumin­dest ein Teil­bild der Per­sön­lich­keit erge­be. Beim Per­sön­lich­keits­pro­fil gilt aller­dings kein abstrak­ter Mass­stab. Das ist im Prä­sens zu for­mu­lie­ren, weil das Per­sön­lich­keits­pro­fil beim Pro­fil­ing mit hohem Risi­ko als Pro­dukt des Pro­fil­ing­vor­gangs wei­ter­lebt. Aller­dings ist ein Pro­fil­ing noch lan­ge kein Pro­fil­ing «mit hohem Risi­ko» vor­aus, wie es der EDÖB fälsch­li­cher­wei­se nahe­legt. Immer­hin wird im Schluss­be­richt klar, dass das Per­sön­lich­keits­pro­fil das Ergeb­nis des Pro­fil­ing­vor­gangs sein muss und sich also auf den Out­put des Pro­fil­ing und nicht etwa den Input bezieht:

[…] bezeich­net «Pro­fil­ing» eine beson­de­re Form der Bear­bei­tung. Aus dem logi­schen Zusam­men­hang zwi­schen dem Resul­tat und der Form einer Bear­bei­tung wie­der­um lässt sich in Anleh­nung an die ein­schlä­gi­ge Leh­re ablei­ten, dass auto­ma­ti­sier­te Bear­bei­tun­gen, die im Ergeb­nis zu einem alt­recht­li­chen «Per­sön­lich­keits­pro­fil» füh­ren, das eine Beur­tei­lung wesent­li­cher Aspek­te der Per­sön­lich­keit einer Per­son erlaubt, im Regel­fall auch die Qua­li­fi­ka­ti­ons­merk­ma­le des «Pro­filings mit hohem Risi­ko» erfüllen […]

Die Qua­li­fi­ka­ti­on als Per­sön­lich­keits­pro­fil hängt aber davon ab, ob für die Betrof­fe­nen tat­säch­lich Gefahr besteht, im Ver­hal­ten oder der «Selbst­dar­stel­lung» ein­ge­schränkt zu wer­den. Mass­ge­bend ist des­halb in erster Linie die kon­kre­te Ver­wen­dung der Daten, wie der EDÖB in der Sach­ver­halts­ab­klä­rung i.S. Bici­c­letta fest­ge­hal­ten hat­te. Wie eine Ein­tei­lung in Inter­es­sen­ka­te­go­rien wie z.B. «Car Lovers» oder «Do-It-Yours­elf (DIY) Buy­ers» zum erfor­der­li­chen Risi­ko füh­ren soll, bleibt offen – ein eigent­li­ches Teil­bild erge­ben sol­che bana­len Aus­sa­gen jeden­falls nicht. Dazu feh­len im Schluss­be­richt aber sowohl Sach­ver­halts­fest­stel­lun­gen als auch recht­li­che Aus­füh­run­gen. Aber sicher­lich führt eine sol­che Affi­ni­täts­bil­dung nicht dazu, das Ver­hal­ten einer Per­son zu ändern. Und hat man Ein­wän­de gegen sol­che Per­so­na­li­sie­rung im Mar­ke­ting, soll­te man das Pro­blem eher im Lau­ter­keits- als im Daten­schutz­recht verorten.

Unzu­tref­fend ist aber nicht nur die Ein­stu­fung als Per­sön­lich­keits­pro­fil; auch die dar­aus abge­lei­te­ten Schlüs­se sind es: Für die Betrof­fe­nen war in der Daten­schutz­er­klä­rung klar, dass Daten für per­so­na­li­sier­te Wer­bung ver­wen­det wer­den. Eine Grund­la­ge für eine wei­ter­ge­hen­de Trans­pa­renz­pflicht ist nicht ersicht­lich, ins­be­son­de­re kei­ne Pflicht, in einer Daten­schutz­er­klä­rung «Per­sön­lich­keits­pro­fil» zu schrei­ben (und das­sel­be gilt nach dem heu­ti­gen DSG für ein Pro­fil­ing oder eines mit hohem Risiko).

Emp­feh­lung A/3: Tracking-Plattformen

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

3. für die Ricar­do-Nut­ze­rin­nen und Nut­zer klar erkenn­bar ist, wel­che Platt­for­men am Track­ing bzw. an der Daten­ver­knüp­fung zu Wer­be­zwecken betei­ligt sind;

Hier emp­fiehlt der EDÖB, klar(er) erkenn­bar zu machen, wel­che Platt­for­men an Track­ing bzw. an den Daten­ver­knüp­fun­gen zu Wer­be­zwecken betei­ligt sind. Auch hier: Eine sol­che Pflicht kann­te das aDSG nicht (und auch das heu­ti­ge DSG kennt sie nicht). Es genügt, Kate­go­rien von Emp­fän­gern zu nen­nen, und der Ver­ant­wort­li­che darf wäh­len, ob er ein­zel­ne Emp­fän­ger oder nur Kate­go­rien nen­nen will, wie sich sowohl aus den Mate­ria­li­en und der Lite­ra­tur als auch aus einem Ber­ner Urteil ergibt (natür­lich unter Vor­be­halt der Infor­ma­ti­ons­pflicht von Emp­fän­gern als eige­ne Ver­ant­wort­li­che und unter Vor­be­halt einer ver­trag­li­chen Pflicht des Sen­ders, den Namen des Emp­fän­gers zu nen­nen, was in bestimm­ten Kon­stel­la­tio­nen der Pra­xis ent­spricht). Auch eine Anga­be von Part­nern, von denen Daten bezo­gen wer­den, ist ausser­halb des Aus­kunfts­rechts nicht erfor­der­lich. Die Stu­fen­ord­nung von Infor­ma­ti­on zu Aus­kunft (s. oben) ist hier gesetz­lich klar gere­gelt: Quel­len sind nur auf Anfra­ge zu beauskunften.

Emp­feh­lung A/4: Anga­be von Recht­fer­ti­gungs­grün­den und Widerspruchsmöglichkeiten

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

4. für die Ricar­do-Nut­ze­rin­nen und Nut­zer klar erkenn­bar ist, für wel­che Daten­be­ar­bei­tun­gen sich die Ricar­do AG auf wel­che Recht­fer­ti­gungs­grün­de beruft und wie den Daten­be­ar­bei­tun­gen allen­falls wider­spro­chen wer­den kann.

Eine Infor­ma­ti­on dar­über, wel­che Daten­be­ar­bei­tun­gen auf wel­chen Recht­fer­ti­gungs­grün­den beru­hen und wie den Daten­be­ar­bei­tun­gen wider­spro­chen wer­den kann, hat­te er eben­falls in der Sache Digi­tec Gala­xus ver­langt. Es trifft aber nicht zu, und der EDÖB begrün­det die­se For­de­rung nicht näher.

Zum einen braucht es nur dann einen Recht­fer­ti­gungs­grund, wenn eine Per­sön­lich­keits­ver­let­zung vor­liegt. Das ist nicht der Fall. Zum ande­ren besteht kei­ne gesetz­li­che Pflicht, in der Daten­schutz­er­klä­rung Recht­fer­ti­gungs­grün­de zu nen­nen. Das erge­ben die Mate­ria­li­en ein­deu­tig: Unter Gel­tung des aDSG war strit­tig, ob die Anga­be von Recht­fer­ti­gungs­grün­den im Rah­men des Aus­kunfts­rechts erfor­der­lich war, weil es noch eine Infor­ma­ti­on über «die Rechts­grund­la­gen des Bear­bei­tens» ver­langt hat­te, aller­dings auch erst im Rah­men des Aus­kunfts­rechts. In das neue DSG wur­de die­se Pflicht bewusst nicht über­nom­men, auch nicht im Aus­kunfts­recht und erst recht kann sie nicht aus der Infor­ma­ti­ons­pflicht oder dem Trans­pa­renz­grund­satz abge­lei­tet wer­den, nach­dem die Infor­ma­ti­ons­pflicht weni­ger weit geht als das Aus­kunfts­recht. Die­ser Umstand ist dem EDÖB bekannt: Er hat­te im Rah­men der Revi­si­on ange­regt, bei der Infor­ma­ti­ons­pflicht eine Pflicht zur Infor­ma­ti­on über die Rechts­grund­la­gen vor­zu­se­hen, der Gesetz­ge­ber hat die­ses Anlie­gen aber nicht auf­ge­nom­men. Dass dies den EDÖB nicht dar­an hin­dert, eine sol­che Pflicht zu postu­lie­ren, ist bemerkenswert.

Das Wider­spruchs­recht ergibt sich fer­ner aus dem Gesetz, das als bekannt vor­aus­ge­setzt wird. Auch hat der schwei­ze­ri­sche Gesetz­ge­ber dar­auf ver­zich­tet, wie die DSGVO ein Erleich­te­rungs­ge­bot für Betrof­fe­nen­rech­te vor­zu­se­hen. Lösch- und Wider­spruchs­mög­lich­kei­ten und ande­re Betrof­fe­nen­rech­te müs­sen in Daten­schutz­er­klä­run­gen nicht genannt wer­den. TX und Ricar­do haben in ihren Daten­schutz­er­klä­run­gen gleich­wohl Hin­wei­se auf Lösch- und Wider­spruchs­rech­te auf­ge­nom­men, wie es der all­ge­mei­nen Pra­xis ent­spricht, gesetz­lich aber nicht erfor­der­lich ist.

Emp­feh­lung A/5: Zugäng­lich­keit der Datenschutzerklärung

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

5. die Daten­schutz­er­klä­rung leicht auf­find­bar, nach­voll­zieh­bar und über­sicht­lich ist. Eine nahe­lie­gen­de Umset­zungs­mög­lich­keit ist der mehr­stu­fi­ge lnfor­ma­ti­ons­an­satz: Auf der ober­sten Ebe­ne geben knap­pe und leicht ver­ständ­li­che lnfor­ma­tio­nen einen ersten Über­blick über die wesent­li­chen Aspek­te der Daten­be­ar­bei­tung; über einen Link kann dann die aus­führ­li­che Daten­schutz­er­klä­rung auf­ge­ru­fen werden;

Wie bei Digi­tec Gala­xus nimmt der EDÖB sei­ne Vor­stel­lung einer Umset­zung als Anre­gung in die Emp­feh­lung auf, ohne sie direkt zu ver­lan­gen bzw. zu emp­feh­len – das ist kaum zuläs­sig, nach­dem Emp­feh­lun­gen an sich als Dis­po­si­tiv tau­gen müs­sen. Jeden­falls bringt die­se For­de­rung den Ziel­kon­flikt bei Daten­schutz­er­klä­run­gen zum Aus­druck: Eine Daten­schutz­er­klä­rung soll aus­führ­lich und im Rah­men des Mini­mums voll­stän­dig sein, zugleich aber leicht les­bar. Die­ses Span­nungs­ver­hält­nis ver­langt einen Kom­pro­miss. Wie die­ser aus­se­hen kann, gibt das DSG nicht vor, und die Aus­füh­run­gen des EDÖB sind hier etwas wider­sprüch­lich: Er for­dert einen mehr­stu­fi­gen Ansatz, kri­ti­siert aber die Ver­wei­sung aus der Daten­schutz­er­klä­rung von Ricar­do auf jene von TX (was «mehr­stu­fig» ist), weil dadurch die Nach­voll­zieh­bar­keit leide.

Da weder das DSG noch die DSV kon­kre­te Vor­ga­ben ent­hal­ten, liegt es am Ver­ant­wort­li­chen zu ent­schei­den, wel­che Infor­ma­tio­nen wie plat­ziert wer­den, wel­che Anga­ben her­vor­ge­ho­ben oder auf eine erste Ebe­ne ver­scho­ben wer­den, wo auf ande­re Anga­ben ver­wie­sen wird und wo zugun­sten der Les­bar­keit eine Zusam­men­fas­sung reicht. Solan­ge betrof­fe­ne Per­so­nen nicht irre­ge­führt und alle erfor­der­li­chen Infor­ma­tio­nen genannt sind, steht die nähe­re Aus­ge­stal­tung im Ermes­sen des Ver­ant­wort­li­chen – der EDÖB oder Gerich­te soll­ten nicht ohne Not eingreifen.

Emp­feh­lung A/6: Ver­wei­se auf das DSG

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

6. die Daten­schutz­er­klä­rung, falls auf die gesetz­li­chen Grund­la­gen ver­wie­sen wird, soweit anwend­bar, auf die Bestim­mun­gen des anwend­ba­ren Daten­schutz­ge­set­zes (DSG) ver­weist, und nicht nur auf die­je­ni­gen der DSGVO;

Mit Emp­feh­lung A/6 ver­langt der EDÖB eine Anpas­sung der Daten­schutz­er­klä­rung dahin­ge­hend, dass nicht nur auf die Bestim­mun­gen der DSGVO, son­dern auch auf die­je­ni­gen des DSG ver­wie­sen wird. Die­se Emp­feh­lung ist schon des­halb nicht über­zeu­gend, weil die rele­van­te Daten­schutz­er­klä­rung von Ricar­do nur an zwei Stel­len auf die DSGVO ver­wies: Beim Hin­weis, dass die DSGVO anwend­bar sein könn­te und beim EU-Ver­tre­ter. Hier kann man gar nicht auf das DSG ver­wei­sen. Aber auch recht­lich wäre die­se For­de­rung nicht begrün­det, nach­dem weder das aDSG noch das aktu­el­le DSG Ver­wei­sun­gen auf Geset­zes­be­stim­mun­gen verlangen.

In der Pra­xis fin­den sich in Daten­schutz­er­klä­run­gen oft Ver­wei­se auf Bestim­mun­gen der DSGVO, weil sol­che nach der DSGVO ver­pflich­tend sein sol­len. Im DSG fehlt wie gesagt eine sol­che Pflicht, und die Hal­tung nach der DSGVO kann nicht auf das DSG über­tra­gen wer­den, weil das schwei­ze­ri­sche Recht bei pri­va­ten Ver­ant­wort­li­chen kei­nen Ver­bots­grund­satz kennt und ent­spre­chend kei­ne «Rechts­grund­la­gen» für die Bear­bei­tung von Daten ver­langt. Mög­li­cher­wei­se will der EDÖB damit unter­strei­chen, dass der Ver­ant­wort­li­che Recht­fer­ti­gungs­grün­de zu nen­nen habe – das ist aber, wie bereits erwähnt, unzutreffend.

Emp­feh­lung A/7: Kei­ne über­schie­ssen­den Informationen

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

7. die Daten­schutz­er­klä­rung die tat­säch­lich durch­ge­führ­ten Daten­be­ar­bei­tun­gen wie­der­gibt bzw. aufführt;

Auch die­se Emp­feh­lung wie­der­holt Digi­tec Gala­xus. Es ver­let­ze das Trans­pa­renz­prin­zip und den Grund­satz von Treu und Glau­ben, auch Daten­be­ar­bei­tun­gen anzu­ge­ben, die nicht oder noch nicht durch­ge­führt wer­den. Man kann sich auch die­ser Auf­fas­sung nicht anschlie­ssen: Die In-for­ma­ti­on soll den Erwar­tungs­ho­ri­zont der Betrof­fe­nen defi­nie­ren, indem der Ver­ant­wort­li­che sagt, wie er Per­so­nen­da­ten zu ver­wen­den gedenkt. Das erreicht eine Infor­ma­ti­on über mög­li­che Bear­bei­tun­gen bes­ser als eine sol­che nur über Bear­bei­tun­gen, die zum Zeit­punkt der Infor­ma­ti­on schon live sind. Der Betrof­fe­ne erfährt so näm­lich, womit er zu rech­nen hat, und zwar zu dem Zeit­punkt, an dem er sich auf eine Bezie­hung mit dem Ver­ant­wort­li­chen ein­lässt und die Daten­schutz­er­klä­rung zum ersten und in aller Regel auch letz­ten Mal zur Kennt­nis nimmt. Schon die Bot­schaft zu Art. 4 Abs. 4 aDSG ging davon aus, dass über mög­li­che Bear­bei­tun­gen infor­miert wer­den darf, und die Lite­ra­tur ver­tritt die­se Ansicht ein­hel­lig, sie emp­fiehlt sogar eine Infor­ma­ti­on über mög­li­che Bearbeitungen.

Es ist noch­mals auf die Stu­fen­ord­nung zwi­schen Infor­ma­ti­ons- und Aus­kunfts­pflicht zu ver­wei­sen: Wer wis­sen will, wel­che Daten der Ver­ant­wort­li­che kon­kret bear­bei­tet, kann sich eine Kopie die­ser Daten mit den Begleit­in­for­ma­tio­nen nach Art. 25 DSG geben las­sen – dadurch erfolgt die erfor­der­li­che Kon­kre­ti­sie­rung. Der Gesetz­ge­ber hat damit selbst einen mehr­stu­fi­gen Infor­ma­ti­ons­an­satz vor­ge­se­hen, und die­se sinn­vol­le Wer­tung droht der EDÖB mit über­zo­ge­nen Anfor­de­run­gen an die Infor­ma­ti­on zu unterlaufen.

Emp­feh­lung A/8: Anga­be von Lösch- und Widerspruchsmöglichkeiten

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

8. die Daten­schutz­er­klä­rung je nach Recht­fer­ti­gungs­grund der Daten­be­ar­bei­tung die kor­rek­te Löschung bzw. Wider­spruchs­mög­lich­keit beschreibt und ihre Pra­xis bezüg­lich der Löschung bzw. Wider­spruchs­be­geh­ren dies­be­zü­gI­ich kor­rekt umge­setzt wird;

Die Lösch- und Wider­spruchs­rech­te erge­ben sich, wie erwähnt, aus dem Gesetz. Der Gesetz­ge­ber hat auch dar­auf ver­zich­tet, wie die DSGVO ein Erleich­te­rungs­ge­bot für Betrof­fe­nen­rech­te vor­zu­se­hen. Lösch- und Wider­spruchs­mög­lich­kei­ten und ande­re Betrof­fe­nen­rech­te müs­sen in Daten­schutz­er­klä­run­gen des­halb nicht genannt wer­den. TX und Ricar­do haben in ihren Daten­schutz­er­klä­run­gen gleich­wohl Hin­wei­se auf Lösch- und Wider­spruchs­rech­te auf­ge­nom­men, wie es der Pra­xis entspricht.

Emp­feh­lung A/9: Anpas­sung der Con­sent Manage­ment Platform

Die Ricar­do AG hat die Ricar­do-Platt­form dahin­ge­hend anzu­pas­sen, dass

9. für die Nut­ze­rin­nen und Nut­zer in der Con­sent Manage­ment Platt­form (CMP) nach­voll­zieh-bar und erkenn­bar ist, wel­che Daten­be­ar­bei­tun­gen zu wel­chen Zwecken statt­fin­den, sowie die jewei­li­gen Wider­spruchs­mög­lich­kei­ten. Ricar­do hat sicher­zu­stel­len, dass kei­ne Daten­be­ar­bei­tun­gen statt­fin­den, wenn die Aus­wahl in der CMP auf «inak­tiv» gesetzt ist.

Die Emp­feh­lung des EDÖB bezieht sich hier auf die Befürch­tung, dass die Ein­stell­mög­lich­kei­ten in der Umset­zung der CMP zum Zeit­punkt der Sach­ver­halts­fest­stel­lung nicht klar ver­ständ­lich gewe­sen sei­en. Es gebe Unklar­heit bei der Unter­schei­dung zwi­schen einer akti­ven Ein­wil­li­gung, einem Wider­spruch und pas­si­vem Ver­hal­ten, das ein Track­ing anders als ein Wider­spruch nicht ver­hin­de­re. Die Ver­wen­dung einer CMP ist recht­lich frei­wil­lig, aber ein Gebot des Mark­tes; und wie CMP aus­zu­se­hen haben, geben die Wer­be­platt­for­men vor, die bspw. die Ver­wen­dung des IAB Trans­pa­ren­cy & Con­sent Frame­work ver­lan­gen (dazu auch hier). Die­ses unter­schei­det im Ein­klang mit der DSGVO zwi­schen der Ein­wil­li­gung und dem berech­tig­ten Inter­es­se mit einer ent­spre­chen­den Widerspruchsmöglichkeit.

Emp­feh­lung B/1: Ein­ho­lung einer Ein­wil­li­gung für die Daten­be­ar­bei­tung zu Werbezwecken

1. Ricar­do passt die Ricar­do-Platt­form der­ge­stalt an, dass sie ins­künf­tig die Ein­wil­li­gung der Ricar­do-Nut­zer und Nut­ze­rin­nen zu den durch Ricar­do und TX durch­ge­führ­ten Bear­bei­tun­gen zu Wer­be­zwecken der TX-Daten-Ange­bo­te-Unter­neh­men ein­holt, bevor sie Nut­zungs­da­ten erhebt und Per­so­nen­da­ten an die TX zu die­sen Zwecken wei­ter­gibt. Die­se muss nach ange­mes­se­ner Infor­ma­ti­on (vgl. Emp­feh­lung A), frei­wil­lig und aus­drück­lich erfol­gen. Die Ein­wil­li­gung kann bei­spiels­wei­se durch die ein­ma­li­ge Anzei­ge eines Popups beim näch­sten Log­in, durch eine Anpas­sung des Anmel­de­for­mu­lars oder mit­tels CMP jeweils durch Set­zen eines Häk­chens) ein­ge­holt wer­den. Da das platt­form­über­grei­fen­de Track­ing nur mit Ein­wil­li­gung der Nut­ze­rin­nen und Nut­zer erfol­gen darf, soll der But­ton mit dem Text «berech­tig­ten lnter­es­sen wider­spre­chen» nicht ange­zeigt werden.

Aus dem «hin­deu­ten» (?) lei­tet der EDÖB ein Recht­fer­ti­gungs­er­for­der­nis ab. Mehr noch: Er behaup­tet, die Prü­fung der Ver­hält­nis­mä­ssig­keit hän­ge «inhalt­lich sehr eng mit der Prü­fung des Recht­fer­ti­gungs­grun­des des über­wie­gen­den Inter­es­ses» zusam­men, wes­halb es «zweck­mä­ssi­ger» sei, die Prü­fung auf der Stu­fe der Recht­fer­ti­gungs­grün­de durch­zu­füh­ren. Daten­be­ar­bei­tun­gen müs­sen aber nur gerecht­fer­tigt wer­den, wenn sie zu einer Per­sön­lich­keits­ver­let­zung füh­ren. Der EDÖB kehrt die­ses Ver­hält­nis um und unter­stellt damit jedem Daten­be­ar­bei­ter, gegen das Daten­schutz­recht zu verstossen.

Nach­dem sich der EDÖB auf die­se Wei­se einen Weg zur Inter­es­sen­ab­wä­gung gebahnt hat, kommt er zum Schluss, dass die Inter­es­sen der Betrof­fe­nen über­wie­gen. Die Inter­es­sen­ab­wä­gung ist aber dop­pelt unvollständig.

Erstens sieht der EDÖB eine Gefahr, dass die Wahl­frei­heit der Ver­brau­cher ein­ge­schränkt wer­de, dass «psy­cho­lo­gi­sche Eigen­schaf­ten und Schwach­stel­len» aus­ge­nutzt wer­den. Wor­aus sich die­se Risi­ken erge­ben sol­len, bleibt unbe­kannt, dazu wur­de auch kein Sach­ver­halt fest­ge­stellt und natür­lich kann der EDÖB so etwas nicht unter­stel­len – abge­se­hen davon, dass der Schutz die­ser Wahl­frei­heit ein wett­be­werbs­recht­li­ches Anlie­gen wäre. Dass der EDÖB unter dem Titel des Daten­schut­zes kein Markt­ver­hal­ten durch­set­zen kann, ist seit dem Hels­a­na-Urteil klar.

Zwei­tens kann man nur abwä­gen, was man zuerst fest­ge­stellt und gewich­tet hat. Die Inter­es­sen von Ricar­do, TX und der Medi­en­bran­che an per­so­na­li­sier­tem Mar­ke­ting wer­den aber weder bewer­tet noch abge­wo­gen, eben­so wenig wie die Mass­nah­men zum Schutz der Betrof­fe­nen (Ent­fer­nung aller spre­chen­den Iden­ti­fier, Agg­re­gie­rung, Wei­ter­ga­be nur agg­re­gier­ter (und damit aus Sicht von Ricar­do und TX anony­mi­sier­ter) Segmentsdaten).

Im Ergeb­nis ent­steht der Ein­druck, der EDÖB wol­le modo legis­la­to­ris ein all­ge­mei­nes Ver­bot ein­füh­ren, in Unter­neh­mens­grup­pen per­so­na­li­sier­te Wer­bung ohne Ein­wil­li­gung – nach den Vor­stel­lun­gen des EDÖB; Ein­wil­li­gun­gen wur­den über die CMB ja ein­ge­holt – zu betrei­ben. Der Erlass eines sol­chen Ver­bots liegt ausser­halb des Kom­pe­tenz­be­reichs des EDÖB. Sei­ne Auf­ga­be besteht dar­in, das Daten­schutz­recht durch­zu­set­zen. Es wäre Auf­ga­be des Gesetz­ge­bers, hier zu kon­kre­ti­sie­ren – wenn schon; bis­her hat ausser dem EDÖB aller­dings nie­mand ein sol­ches Ver­bot verlangt.

Emp­feh­lung B/2: Löschen von Daten ohne Einwilligung

2. Die TX habe die bestehen­den Daten von Ricar­do-Nut­zer und ‑Nut­ze­rin­nen, wel­che zu Wer­be­zwecken der TX-Daten-Ange­bo­te-Unter­neh­men bereits erfasst wor­den sind, sofern kei­ne rechts­gül­ti­ge Ein­wil­li­gung der Ricar­do-Nut­zer und ‑Nut­ze­rin­nen vor­liegt bzw. ein­ge­holt wur­de, zu löschen.

Als Fol­ge der vor­an­ge­hen­den Emp­feh­lun­gen ver­langt der EDÖB von TX auf, die Daten von Ricar­do-Nut­zern zu löschen, sofern für die Bear­bei­tung kei­ne Ein­wil­li­gung ein­ge­holt wird. Das ist kon­si­stent, geht man wie der EDÖB von der Wider­recht­lich­keit aus, setzt die­se aber natür­lich auch voraus.

Was bleibt?

Der Schluss­be­richt des EDÖB im Fall Ricar­do und TX Group ist aus meh­re­ren Grün­den bemer­kens­wert. Zum einen war die Ver­fah­rens­dau­er ausser­or­dent­lich lan­ge, auch im Ver­gleich mit ande­ren Sach­ver­halts­ab­klä­run­gen, die eben­falls Jah­re in Anspruch genom­men haben. Soweit es bis­her erkenn­bar ist, ändert sich das bei den Unter­su­chun­gen nach dem neu­en Recht, die zügi­ger vor­an­ge­trie­ben werden.

Zum ande­ren ist der Umgang des EDÖB mit dem Daten­schutz­recht zu frei­zü­gig. Selbst­ver­ständ­lich steht es dem EDÖB zu, das Daten­schutz­recht so aus­le­gen, wie er es für rich­tig hält, und dass die­se Aus­le­gung bis­wei­len stren­ger ist als jene der Unter­neh­men (und Behör­den), ent­spricht sei­ner Rol­le. Eta­blier­te Leh­re und Recht­spre­chung zu igno­rie­ren, ist aber etwas ande­res – der EDÖB muss sich dem nicht anschlie­ssen, aber ausser Acht las­sen soll­te er die­se Quel­len als rechts­an­wen­den­de Funk­ti­on nicht. Zu ober­fläch­lich ist auch die Aus­ein­an­der­set­zung mit dem mass­geb­li­chen Sach­ver­halt. Der EDÖB kann bspw. nicht zum Schluss kom­men, dass Per­so­nen­da­ten bear­bei­tet wer­den, ohne zuvor die Iden­ti­fi­ka­ti­ons­mög­lich­kei­ten und ‑inter­es­sen als Sach­ver­halt erstellt zu haben.

Bei den alt­recht­li­chen Sach­ver­halts­ab­klä­run­gen war das VwVG nur ana­log anwend­bar, und weil sie nicht ohne gericht­li­che Prü­fun­gen zu ver­bind­li­chen Anord­nun­gen füh­ren konn­ten, ist eine gewis­se Frei­heit im Ver­fah­ren nach­voll­zieh­bar. Der EDÖB unter­schätzt aller­dings sei­ne Rol­le, wenn er die fak­ti­sche Ver­bind­lich­keit sei­ner Aus­sa­gen nicht berücksichtigt.

Soweit (dem Autor) bekannt, wur­den bis­her kei­ne Ver­fü­gun­gen des EDÖB nach neu­em Recht gericht­lich ange­foch­ten, aber es ist eine Fra­ge der Zeit. Dann wird sich zei­gen, ob der EDÖB sein Vor­ge­hen nach neu­em Recht anpasst. Alle Zei­chen deu­ten aber dar­auf hin. Das ist für Unter­neh­men viel­leicht nicht in jedem Fall, aber grund­sätz­lich von Vor­teil, und für den Daten­schutz erst recht.

Wie bei der Sach­ver­halts­ab­klä­rung i.S. Digi­tec Gala­xus und anders­wo zeigt sich das beson­de­re Gewicht, das der EDÖB der Trans­pa­renz zumisst. Damit hat er grund­sätz­lich recht. Das schwei­ze­ri­sche Daten­schutz­recht baut ins­be­son­de­re auf der Trans­pa­renz auf, nach­dem es kei­ne Rechts­grund­la­ge für Daten­be­ar­bei­tun­gen Pri­va­ter ver­langt. Das Gewicht liegt daher mehr noch als bei der DSGVO auf der Selbst­ver­ant­wor­tung der betrof­fe­nen Per­so­nen, und dafür ist Trans­pa­renz die Vor­aus­set­zung. Unter­neh­men, die Daten­schutz­er­klä­run­gen gestal­ten, soll­ten das daher mit Sorg­falt tun, und was man lie­ber ver­schwei­gen wür­de, soll­te fett­ge­druckt wer­den. Die Trans­pa­renz ist aber als Stu­fen­ord­nung aus­ge­stal­tet. Ver­schiebt man das gan­ze Gewicht auf die Daten­schutz­er­klä­run­gen, weil man meint, dass Betrof­fe­ne ihr Aus­kunfts­recht nicht aus­üben, so wider­spricht das nicht nur der Erfah­rung, son­dern vor allem auch dem Wil­len des Gesetz­ge­bers. In den bis­he­ri­gen Sach­ver­halts­ab­klä­rung und auch hier blieb die­ser Aspekt unbe­rück­sich­tigt. Selbst­ver­ständ­lich müs­sen Unter­neh­men die für das Ver­ständ­nis ihrer Daten­be­ar­bei­tung not­wen­di­gen Infor­ma­tio­nen bereit­stel­len. Dazu muss man Betrof­fe­nen aber nicht die Unfä­hig­keit unter­stel­len, sich auch in Daten­schutz­er­klä­run­gen zurecht­zu­fin­den, die ihrem Gegen­stand ent­spre­chend kom­ple­xer sind. Und wenn Betrof­fe­ne etwas nicht ver­ste­hen, soll­ten sie ein­fach nach­fra­gen – das Unver­ständ­nis ein­zel­ner Per­so­nen mag eine Unter­su­chung des EDÖB aus­lö­sen, ist aber kein Beleg für einen Rechtsmangel.