Der EDÖB hat heute den Schlussbericht in der 2017 eröffneten Sachverhaltsabklärung in Sachen Ricardo und TX Group veröffentlicht:
Gegenstand der Sachverhaltsabklärung waren die Übermittlung von Daten durch Ricardo an TX, die Verwendung dieser Daten für personalisiertes Marketing und die Datenschutzerklärungen in diesem Zusammenhang.
Der Schlussbericht enthält elf Empfehlungen, die sich in erster Linie an Ricardo richten, Empfehlung B/2 betrifft TX. TX und Ricardo betrachten diese Empfehlungen als gegenstandslos, weil sie sich auf einen überholten Sachverhalt und altes Recht beziehen, und in der Sache haltlos sind. Sie haben die Empfehlungen deshalb weder angenommen noch abgelehnt. Der Schlussbericht gibt die Haltung von Ricardo und TX wie folgt wieder:
252. Sowohl die Ricardo AG als auch die TX Group AG machen im Wesentlichen geltend, dass sich die Empfehlungen des EDÖB auf einen nicht mehr existierenden Sachverhalt und ein nicht mehr geltendes Gesetz beziehen würden. Die Empfehlungen des EDÖB seien daher gegenstandslos und die Sachverhaltsabklärung somit abzuschreiben. Die Ricardo AG und die TX Group AG erklären, die Empfehlungen des EDÖB weder anzunehmen noch abzulehnen. In materieller Hinsicht seien die Empfehlungen inhaltlich haltlos. Die Parteien weisen die Feststellung von Verstössen gegen das DSG zurück und bestreiten die rechtlichen Schlussfolgerungen der Sachverhaltsabklärung: Bei den an die TX Group AG übermittelten Daten handle es sich nicht um Personendaten, weshalb das DSG auf die vorliegend untersuchten Datenbearbeitungen nicht anwendbar sei. Zudem würden bei der TX Group AG keine Persönlichkeitsprofile bearbeitet. Die allgemeinen Datenschutzgrundsätze, insbesondere die Erkennbarkeit der Datenbearbeitungen, seien eingehalten, so dass keine Persönlichkeitsverletzung vorliege. Obwohl kein Rechtfertigungsgrund für die vorliegenden Datenbearbeitungen erforderlich wäre, würde eine Einwilligung der Ricardo-Nutzer eingeholt bzw. ein überwiegendes privates Interesse vorliegen.
Ricardo und TX haben zum Schlussbericht gegenüber dem EDÖB Stellung genommen und im Fall einer Veröffentlichung des Schlussberichts auch die Publikation dieser Stellungnahmen verlangt. Der EDÖB hat dem nicht entsprochen. Die Stellungnahmen selbst sind mit freundlicher Genehmigung von Ricardo und TX aber hier abrufbar:
- Stellungnahme zum Schlussbericht, materieller Teil – Ricardo
- Stellungnahme zum Schlussbericht, materieller Teil – TX
Disclaimer: TX war in der Sachverhaltsabklärung durch Walder Wyss (u.a. den Autor dieses Beitrags) vertreten, Ricardo bzw. SMG durch Vischer (David Rosenthal und sein Team).
Hintergrund
Ricardo ist heute Teil der SMG Swiss Marketplace Group (SMG), an der die TX Group beteiligt ist, und betreibt einen der erfolgreichsten Schweizer Online-Marktplätze. Von Besuchern werden – wie bei allen Online-Angeboten – bestimmte Daten erfasst, bspw. die IP-Adressen der dabei verwendeten Geräte und weitere Nutzungsdaten. Weitere Daten fallen bei einer Registrierung und einer folgenden Verwendung der Plattform an. Diese Daten kann Ricardo in pseudonymisierter Form an TX bekanntgeben. Auf Basis eines nicht-personenbezogenen Identifikators können die Angaben sodann mit weiteren Daten verbunden und aggregiert weiterbearbeitet werden. Daraus abgeleitete Affinitäten können für zielgruppenspezifische Online-Werbung verwendet werden. Wie sich aus den Feststellungen ergibt, verwendet TX dafür nur aggregierte Daten ohne personenbezogenen Identifikator und nur Segmente, die mindestens 50 Nutzer umfassen. Eine Re-Identifikation haben Ricardo und TX als faktisch unmöglich eingestuft.
Die einschlägigen Datenschutzerklärungen wurden im Laufe der Sachverhaltsabklärung angepasst. Das ist ein Umstand, den der EDÖB als Grund für die ausserordentlich lange Dauer des Verfahrens anführt. Dass solche Anpassungen für diese Dauer nicht alleine ausschlaggebend waren, liegt aber auf der Hand. Überlange Verfahren machen im Gegenteil Änderungen unvermeidlich. Dies hatte der EDÖB schon mehrfach und an sich zu Recht beklagt. Dieses Problem wird aber nicht dadurch gelöst, dass betroffene Unternehmen ihre Geschäftstätigkeit auf dem Stand der Verfahrenseröffnung einfrieren, sondern durch straffere Verfahren.
Die Empfehlungen des EDÖB fallen ausserordentlich streng aus und sind in weiten Teilen oberflächlich oder nicht durch den erhobenen Sachverhalt gestützt oder widersprechen etabliertem Datenschutzrecht. Das erstaunt allerdings nicht, vor allem nach der Sachverhaltsabklärung i.S. Digitec Galaxus und einigen Demarchen des EDÖB seit dem Inkrafttreten des neuen DSG. Der Umgang des EDÖB mit dem Datenschutzrecht, an das er gebunden ist, kann auch abseits jeder Polemik nur als schöpferisch bezeichnet werden. Die Aufgabe des EDÖB besteht aber in der Aufsicht über die Anwendung des Datenschutzrechts (Art. 4 Abs. 1 DSG) und nicht in dessen Fortentwicklung.
Übergangsrecht
Die Sachverhaltsabklärung war im Jahr 2017 unter altem Recht eröffnet worden. Sie war daher – ebenfalls wie bei Digitec Galaxus – übergangsrechtlich nach dem alten DSG abzuschliessen, als Folge der Verfahrensdauer über den 31. August 2023 hinaus. Dies führt dazu, dass alle Empfehlungen des EDÖB auf altem Recht basieren, das generell und also auch für TX und Ricardo gar nicht mehr gilt. Ob die Umsetzung der Empfehlungen unter dem heutigen DSG geboten wäre, konnte nicht Gegenstand der Sachverhaltsabklärung sein, und eine Übertragbarkeit der rechtlichen Beurteilung des EDÖB auf das neue Recht darf ohne entsprechende Prüfung nicht unterstellt werden.
Entsprechend sind die Empfehlungen des EDÖB nicht verbindlich, nicht einmal im Rahmen von Art. 29 aDSG. Ob der EDÖB nach dem 1. September 2023 überhaupt noch Empfehlungen im Rahmen altrechtlicher Sachverhaltsabklärungen aussprechen durfte, ist deshalb zumindest fraglich – es sind im Grunde rechtshistorische Betrachtungen.
So oder anders können sie vor dem BVGer nicht durchgesetzt werden, weil mit einer Klage des EDÖB vor BVGer nach altem DSG ein neues Verfahren beginnen würde, für das übergangsrechtlich keine Fortgeltung des aDSG vorgesehen ist. Er müsste – wenn schon – eine neue Untersuchung führen, die den Sachverhalt unter direkter Geltung des VwVG neu erhebt und einer rechtlichen Prüfung nach neuem DSG zuführt.
Bearbeitung von Personendaten
Um überhaupt Empfehlungen aussprechen zu können, muss der EDÖB von einer Bearbeitung von Personendaten ausgehen. Ein Personenbezug sei zu bejahen, so der EDÖB, weil ein «Bezug zwischen den aggregierten Daten und dem einzelnen Nutzenden» bestehen bleibe, wenn ein Identifikator verwendet wird. Der Begriff des Personendatums müsse «extensiv» ausgelegt werden: Das ist falsch; er muss ausgelegt werden, aber nach den üblichen Auslegungsmethoden und nicht irgendwie «extensiv».
Korrekterweise verweist der EDÖB sodann (der Sache nach) auf die Logistep-Rechtsprechung, wonach nicht jede theoretische Identifikationsmöglichkeit genügt. Daraus folgt u.a., dass pseudonymisierte Daten für diejenige Stelle keine Personendaten sind, die keine Identifikationsmöglichkeit hat; Pseudonymisierung ist für diese Stellen eine Anonymisierung.
An sich könnte man die Prüfung hier abbrechen. Der EDÖB kommt aber in einer sehr knappen Erwägung zum Schluss, dass die von Ricardo übermittelten Daten personenbezogen seien, auch für TX. Warum? Weil der Personenbezug keinen Schluss auf die «bürgerliche Identität» verlange, sondern ein Pseudonym genüge. Zwar habe TX kein Interesse an der Identifizierung, aber das sei auch nicht das einzige Kriterium; es «könne» bereits ausreichen, wenn die Identifikation möglich ist.
Der EDÖB ignoriert erstens das Fehlen eines Identifikationsinteresses und prüft zweitens den Identifikationsaufwand nicht. Er unterlässt also die Prüfungen, die er selbst als erforderlich bezeichnet, ebenso wie eine Erhebung des Sachverhalts – nämlich der Identifikationsmöglichkeiten –, die eine Einstufung der Daten als personenbezogen erst erlaubt hätte. Die Ausführungen des EDÖB laufen deshalb auf eine von zwei Varianten hinaus: Entweder lässt er faktisch eine Singularisierung als Identifizierung genügen – zumindest im Online-Bereich, aber ohne dies auszusprechen und entgegen der herrschenden Lehre und den eigenen Aussagen –, oder aber setzt sich über klares Datenschutzrecht hinweg.
Die Parteien haben ferner geltend gemacht, dass TX nur ein Derivat der übermittelten Daten in aggregierter Form bearbeitet und dabei nur Segmente verwendet, die mindestens 50 umfassen; also eine ausreichende K‑Anonymität selbst dann, wenn man die Identifikatoren als Personendaten behandeln wollte. Weshalb der EDÖB dennoch von Personenbezug ausgeht, sagt er nicht.
Empfehlung A/1: Daten und Zwecke
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
1. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, zu welchen Zwecken welche Personendaten bearbeitet werden;
Der EDÖB verlangt, es sei erkennbar zu machen, welche Personendaten zu welchen Zwecken bearbeitet werden. Ricardo und TX haben diesen Punkt durch eine Anpassung ihrer Datenschutzerklärungen im Einklang mit der allgemeinen Praxis bereits erfüllt, vor der entsprechenden Empfehlung.
Es wird nicht klar, woraus der EDÖB diese Empfehlung ableitet; wohl aus dem Transparenzgrundsatz und der Informationspflicht. Allerdings findet sich weder in den Materialien noch der Rechtsprechung noch der Literatur ein Beleg, dass das aDSG grundsätzlich eine Zuordnung von Daten und Zwecken verlangt, und auch im aktuellen DSG wäre dies als generelle Forderung kaum zu begründen. Auch hier entsprechen die Ausführungen des EDÖB aber jenen im Schlussbericht Digitec Galaxus.
In der Praxis hat sich gleichwohl eine gewisse Verbindung von Daten und Zwecken verbreitet. Der Pflegeaufwand für den Verantwortlichen, der Leseaufwand für die betroffenen Personen und das Informationsbedürfnis der Betroffenen müssen aber in ein angemessenes Verhältnis gesetzt werden – der Umfang der Informationspflicht unterliegt selbstverständlich dem allgemeinen Verhältnismässigkeitsgrundsatz.
Der EDÖB lässt ferner anklingen, dass betroffene Personen ohne solche Verknüpfung daran gehindert werden, der Datenbearbeitung zu widersprechen. Allerdings: eine allgemeinere Information lässt eine grössere Anzahl von Bearbeitungsvorgängen zu. Eine generische Auflistung der Daten und Zwecke führt eher zu Widersprüchen als eine granulare, und sie sind umfassender – was dem Verantwortlichen und nicht dem Betroffenen schadet. Dazu kommt, dass die Informationspflicht bloss eine generische Information verlangt. Sie ist Vorstufe des Auskunftsrechts, das die Information auf Anfrage des Betroffenen auf die ihn betreffenden Bearbeitungen konkretisiert.
Diese Stufenordnung erklärt, weshalb es sowohl eine Informations- als auch eine Auskunftspflicht gibt. Deshalb spricht die Informationspflicht auch davon, dass diejenigen Informationen bereitzustellen sind, die für die Ausübung der Rechte erforderlich sind: Diese Verweisung bezieht sich insbesondere auf das Auskunftsrecht; dieses soll erleichtert werden. Darin kommt die Selbstverantwortung des Betroffenen zum Ausdruck, und dadurch werden diejenigen Informationen von der Informationspflicht ausgenommen, die über das Auskunftsrecht zu gewinnen sind. Diese Stufenordnung lässt der EDÖB ausser Acht.
Empfehlung A/2: Persönlichkeitsprofile
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
2. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, ob und wenn ja, welche Datenbearbeitungen zu Persönlichkeitsprofilen führen;
Der EDÖB erkennt in der Bearbeitung von Ricardo bzw. TX eine Bildung von Persönlichkeitsprofilen, weil die Verknüpfung von Daten durch TX zumindest ein Teilbild der Persönlichkeit ergebe. Beim Persönlichkeitsprofil gilt allerdings kein abstrakter Massstab. Das ist im Präsens zu formulieren, weil das Persönlichkeitsprofil beim Profiling mit hohem Risiko als Produkt des Profilingvorgangs weiterlebt. Allerdings ist ein Profiling noch lange kein Profiling «mit hohem Risiko» voraus, wie es der EDÖB fälschlicherweise nahelegt. Immerhin wird im Schlussbericht klar, dass das Persönlichkeitsprofil das Ergebnis des Profilingvorgangs sein muss und sich also auf den Output des Profiling und nicht etwa den Input bezieht:
[…] bezeichnet «Profiling» eine besondere Form der Bearbeitung. Aus dem logischen Zusammenhang zwischen dem Resultat und der Form einer Bearbeitung wiederum lässt sich in Anlehnung an die einschlägige Lehre ableiten, dass automatisierte Bearbeitungen, die im Ergebnis zu einem altrechtlichen «Persönlichkeitsprofil» führen, das eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlaubt, im Regelfall auch die Qualifikationsmerkmale des «Profilings mit hohem Risiko» erfüllen […]
Die Qualifikation als Persönlichkeitsprofil hängt aber davon ab, ob für die Betroffenen tatsächlich Gefahr besteht, im Verhalten oder der «Selbstdarstellung» eingeschränkt zu werden. Massgebend ist deshalb in erster Linie die konkrete Verwendung der Daten, wie der EDÖB in der Sachverhaltsabklärung i.S. Bicicletta festgehalten hatte. Wie eine Einteilung in Interessenkategorien wie z.B. «Car Lovers» oder «Do-It-Yourself (DIY) Buyers» zum erforderlichen Risiko führen soll, bleibt offen – ein eigentliches Teilbild ergeben solche banalen Aussagen jedenfalls nicht. Dazu fehlen im Schlussbericht aber sowohl Sachverhaltsfeststellungen als auch rechtliche Ausführungen. Aber sicherlich führt eine solche Affinitätsbildung nicht dazu, das Verhalten einer Person zu ändern. Und hat man Einwände gegen solche Personalisierung im Marketing, sollte man das Problem eher im Lauterkeits- als im Datenschutzrecht verorten.
Unzutreffend ist aber nicht nur die Einstufung als Persönlichkeitsprofil; auch die daraus abgeleiteten Schlüsse sind es: Für die Betroffenen war in der Datenschutzerklärung klar, dass Daten für personalisierte Werbung verwendet werden. Eine Grundlage für eine weitergehende Transparenzpflicht ist nicht ersichtlich, insbesondere keine Pflicht, in einer Datenschutzerklärung «Persönlichkeitsprofil» zu schreiben (und dasselbe gilt nach dem heutigen DSG für ein Profiling oder eines mit hohem Risiko).
Empfehlung A/3: Tracking-Plattformen
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
3. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, welche Plattformen am Tracking bzw. an der Datenverknüpfung zu Werbezwecken beteiligt sind;
Hier empfiehlt der EDÖB, klar(er) erkennbar zu machen, welche Plattformen an Tracking bzw. an den Datenverknüpfungen zu Werbezwecken beteiligt sind. Auch hier: Eine solche Pflicht kannte das aDSG nicht (und auch das heutige DSG kennt sie nicht). Es genügt, Kategorien von Empfängern zu nennen, und der Verantwortliche darf wählen, ob er einzelne Empfänger oder nur Kategorien nennen will, wie sich sowohl aus den Materialien und der Literatur als auch aus einem Berner Urteil ergibt (natürlich unter Vorbehalt der Informationspflicht von Empfängern als eigene Verantwortliche und unter Vorbehalt einer vertraglichen Pflicht des Senders, den Namen des Empfängers zu nennen, was in bestimmten Konstellationen der Praxis entspricht). Auch eine Angabe von Partnern, von denen Daten bezogen werden, ist ausserhalb des Auskunftsrechts nicht erforderlich. Die Stufenordnung von Information zu Auskunft (s. oben) ist hier gesetzlich klar geregelt: Quellen sind nur auf Anfrage zu beauskunften.
Empfehlung A/4: Angabe von Rechtfertigungsgründen und Widerspruchsmöglichkeiten
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
4. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, für welche Datenbearbeitungen sich die Ricardo AG auf welche Rechtfertigungsgründe beruft und wie den Datenbearbeitungen allenfalls widersprochen werden kann.
Eine Information darüber, welche Datenbearbeitungen auf welchen Rechtfertigungsgründen beruhen und wie den Datenbearbeitungen widersprochen werden kann, hatte er ebenfalls in der Sache Digitec Galaxus verlangt. Es trifft aber nicht zu, und der EDÖB begründet diese Forderung nicht näher.
Zum einen braucht es nur dann einen Rechtfertigungsgrund, wenn eine Persönlichkeitsverletzung vorliegt. Das ist nicht der Fall. Zum anderen besteht keine gesetzliche Pflicht, in der Datenschutzerklärung Rechtfertigungsgründe zu nennen. Das ergeben die Materialien eindeutig: Unter Geltung des aDSG war strittig, ob die Angabe von Rechtfertigungsgründen im Rahmen des Auskunftsrechts erforderlich war, weil es noch eine Information über «die Rechtsgrundlagen des Bearbeitens» verlangt hatte, allerdings auch erst im Rahmen des Auskunftsrechts. In das neue DSG wurde diese Pflicht bewusst nicht übernommen, auch nicht im Auskunftsrecht und erst recht kann sie nicht aus der Informationspflicht oder dem Transparenzgrundsatz abgeleitet werden, nachdem die Informationspflicht weniger weit geht als das Auskunftsrecht. Dieser Umstand ist dem EDÖB bekannt: Er hatte im Rahmen der Revision angeregt, bei der Informationspflicht eine Pflicht zur Information über die Rechtsgrundlagen vorzusehen, der Gesetzgeber hat dieses Anliegen aber nicht aufgenommen. Dass dies den EDÖB nicht daran hindert, eine solche Pflicht zu postulieren, ist bemerkenswert.
Das Widerspruchsrecht ergibt sich ferner aus dem Gesetz, das als bekannt vorausgesetzt wird. Auch hat der schweizerische Gesetzgeber darauf verzichtet, wie die DSGVO ein Erleichterungsgebot für Betroffenenrechte vorzusehen. Lösch- und Widerspruchsmöglichkeiten und andere Betroffenenrechte müssen in Datenschutzerklärungen nicht genannt werden. TX und Ricardo haben in ihren Datenschutzerklärungen gleichwohl Hinweise auf Lösch- und Widerspruchsrechte aufgenommen, wie es der allgemeinen Praxis entspricht, gesetzlich aber nicht erforderlich ist.
Empfehlung A/5: Zugänglichkeit der Datenschutzerklärung
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
5. die Datenschutzerklärung leicht auffindbar, nachvollziehbar und übersichtlich ist. Eine naheliegende Umsetzungsmöglichkeit ist der mehrstufige lnformationsansatz: Auf der obersten Ebene geben knappe und leicht verständliche lnformationen einen ersten Überblick über die wesentlichen Aspekte der Datenbearbeitung; über einen Link kann dann die ausführliche Datenschutzerklärung aufgerufen werden;
Wie bei Digitec Galaxus nimmt der EDÖB seine Vorstellung einer Umsetzung als Anregung in die Empfehlung auf, ohne sie direkt zu verlangen bzw. zu empfehlen – das ist kaum zulässig, nachdem Empfehlungen an sich als Dispositiv taugen müssen. Jedenfalls bringt diese Forderung den Zielkonflikt bei Datenschutzerklärungen zum Ausdruck: Eine Datenschutzerklärung soll ausführlich und im Rahmen des Minimums vollständig sein, zugleich aber leicht lesbar. Dieses Spannungsverhältnis verlangt einen Kompromiss. Wie dieser aussehen kann, gibt das DSG nicht vor, und die Ausführungen des EDÖB sind hier etwas widersprüchlich: Er fordert einen mehrstufigen Ansatz, kritisiert aber die Verweisung aus der Datenschutzerklärung von Ricardo auf jene von TX (was «mehrstufig» ist), weil dadurch die Nachvollziehbarkeit leide.
Da weder das DSG noch die DSV konkrete Vorgaben enthalten, liegt es am Verantwortlichen zu entscheiden, welche Informationen wie platziert werden, welche Angaben hervorgehoben oder auf eine erste Ebene verschoben werden, wo auf andere Angaben verwiesen wird und wo zugunsten der Lesbarkeit eine Zusammenfassung reicht. Solange betroffene Personen nicht irregeführt und alle erforderlichen Informationen genannt sind, steht die nähere Ausgestaltung im Ermessen des Verantwortlichen – der EDÖB oder Gerichte sollten nicht ohne Not eingreifen.
Empfehlung A/6: Verweise auf das DSG
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
6. die Datenschutzerklärung, falls auf die gesetzlichen Grundlagen verwiesen wird, soweit anwendbar, auf die Bestimmungen des anwendbaren Datenschutzgesetzes (DSG) verweist, und nicht nur auf diejenigen der DSGVO;
Mit Empfehlung A/6 verlangt der EDÖB eine Anpassung der Datenschutzerklärung dahingehend, dass nicht nur auf die Bestimmungen der DSGVO, sondern auch auf diejenigen des DSG verwiesen wird. Diese Empfehlung ist schon deshalb nicht überzeugend, weil die relevante Datenschutzerklärung von Ricardo nur an zwei Stellen auf die DSGVO verwies: Beim Hinweis, dass die DSGVO anwendbar sein könnte und beim EU-Vertreter. Hier kann man gar nicht auf das DSG verweisen. Aber auch rechtlich wäre diese Forderung nicht begründet, nachdem weder das aDSG noch das aktuelle DSG Verweisungen auf Gesetzesbestimmungen verlangen.
In der Praxis finden sich in Datenschutzerklärungen oft Verweise auf Bestimmungen der DSGVO, weil solche nach der DSGVO verpflichtend sein sollen. Im DSG fehlt wie gesagt eine solche Pflicht, und die Haltung nach der DSGVO kann nicht auf das DSG übertragen werden, weil das schweizerische Recht bei privaten Verantwortlichen keinen Verbotsgrundsatz kennt und entsprechend keine «Rechtsgrundlagen» für die Bearbeitung von Daten verlangt. Möglicherweise will der EDÖB damit unterstreichen, dass der Verantwortliche Rechtfertigungsgründe zu nennen habe – das ist aber, wie bereits erwähnt, unzutreffend.
Empfehlung A/7: Keine überschiessenden Informationen
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
7. die Datenschutzerklärung die tatsächlich durchgeführten Datenbearbeitungen wiedergibt bzw. aufführt;
Auch diese Empfehlung wiederholt Digitec Galaxus. Es verletze das Transparenzprinzip und den Grundsatz von Treu und Glauben, auch Datenbearbeitungen anzugeben, die nicht oder noch nicht durchgeführt werden. Man kann sich auch dieser Auffassung nicht anschliessen: Die In-formation soll den Erwartungshorizont der Betroffenen definieren, indem der Verantwortliche sagt, wie er Personendaten zu verwenden gedenkt. Das erreicht eine Information über mögliche Bearbeitungen besser als eine solche nur über Bearbeitungen, die zum Zeitpunkt der Information schon live sind. Der Betroffene erfährt so nämlich, womit er zu rechnen hat, und zwar zu dem Zeitpunkt, an dem er sich auf eine Beziehung mit dem Verantwortlichen einlässt und die Datenschutzerklärung zum ersten und in aller Regel auch letzten Mal zur Kenntnis nimmt. Schon die Botschaft zu Art. 4 Abs. 4 aDSG ging davon aus, dass über mögliche Bearbeitungen informiert werden darf, und die Literatur vertritt diese Ansicht einhellig, sie empfiehlt sogar eine Information über mögliche Bearbeitungen.
Es ist nochmals auf die Stufenordnung zwischen Informations- und Auskunftspflicht zu verweisen: Wer wissen will, welche Daten der Verantwortliche konkret bearbeitet, kann sich eine Kopie dieser Daten mit den Begleitinformationen nach Art. 25 DSG geben lassen – dadurch erfolgt die erforderliche Konkretisierung. Der Gesetzgeber hat damit selbst einen mehrstufigen Informationsansatz vorgesehen, und diese sinnvolle Wertung droht der EDÖB mit überzogenen Anforderungen an die Information zu unterlaufen.
Empfehlung A/8: Angabe von Lösch- und Widerspruchsmöglichkeiten
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
8. die Datenschutzerklärung je nach Rechtfertigungsgrund der Datenbearbeitung die korrekte Löschung bzw. Widerspruchsmöglichkeit beschreibt und ihre Praxis bezüglich der Löschung bzw. Widerspruchsbegehren diesbezügIich korrekt umgesetzt wird;
Die Lösch- und Widerspruchsrechte ergeben sich, wie erwähnt, aus dem Gesetz. Der Gesetzgeber hat auch darauf verzichtet, wie die DSGVO ein Erleichterungsgebot für Betroffenenrechte vorzusehen. Lösch- und Widerspruchsmöglichkeiten und andere Betroffenenrechte müssen in Datenschutzerklärungen deshalb nicht genannt werden. TX und Ricardo haben in ihren Datenschutzerklärungen gleichwohl Hinweise auf Lösch- und Widerspruchsrechte aufgenommen, wie es der Praxis entspricht.
Empfehlung A/9: Anpassung der Consent Management Platform
Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass
9. für die Nutzerinnen und Nutzer in der Consent Management Plattform (CMP) nachvollzieh-bar und erkennbar ist, welche Datenbearbeitungen zu welchen Zwecken stattfinden, sowie die jeweiligen Widerspruchsmöglichkeiten. Ricardo hat sicherzustellen, dass keine Datenbearbeitungen stattfinden, wenn die Auswahl in der CMP auf «inaktiv» gesetzt ist.
Die Empfehlung des EDÖB bezieht sich hier auf die Befürchtung, dass die Einstellmöglichkeiten in der Umsetzung der CMP zum Zeitpunkt der Sachverhaltsfeststellung nicht klar verständlich gewesen seien. Es gebe Unklarheit bei der Unterscheidung zwischen einer aktiven Einwilligung, einem Widerspruch und passivem Verhalten, das ein Tracking anders als ein Widerspruch nicht verhindere. Die Verwendung einer CMP ist rechtlich freiwillig, aber ein Gebot des Marktes; und wie CMP auszusehen haben, geben die Werbeplattformen vor, die bspw. die Verwendung des IAB Transparency & Consent Framework verlangen (dazu auch hier). Dieses unterscheidet im Einklang mit der DSGVO zwischen der Einwilligung und dem berechtigten Interesse mit einer entsprechenden Widerspruchsmöglichkeit.
Empfehlung B/1: Einholung einer Einwilligung für die Datenbearbeitung zu Werbezwecken
1. Ricardo passt die Ricardo-Plattform dergestalt an, dass sie inskünftig die Einwilligung der Ricardo-Nutzer und Nutzerinnen zu den durch Ricardo und TX durchgeführten Bearbeitungen zu Werbezwecken der TX-Daten-Angebote-Unternehmen einholt, bevor sie Nutzungsdaten erhebt und Personendaten an die TX zu diesen Zwecken weitergibt. Diese muss nach angemessener Information (vgl. Empfehlung A), freiwillig und ausdrücklich erfolgen. Die Einwilligung kann beispielsweise durch die einmalige Anzeige eines Popups beim nächsten Login, durch eine Anpassung des Anmeldeformulars oder mittels CMP jeweils durch Setzen eines Häkchens) eingeholt werden. Da das plattformübergreifende Tracking nur mit Einwilligung der Nutzerinnen und Nutzer erfolgen darf, soll der Button mit dem Text «berechtigten lnteressen widersprechen» nicht angezeigt werden.
Aus dem «hindeuten» (?) leitet der EDÖB ein Rechtfertigungserfordernis ab. Mehr noch: Er behauptet, die Prüfung der Verhältnismässigkeit hänge «inhaltlich sehr eng mit der Prüfung des Rechtfertigungsgrundes des überwiegenden Interesses» zusammen, weshalb es «zweckmässiger» sei, die Prüfung auf der Stufe der Rechtfertigungsgründe durchzuführen. Datenbearbeitungen müssen aber nur gerechtfertigt werden, wenn sie zu einer Persönlichkeitsverletzung führen. Der EDÖB kehrt dieses Verhältnis um und unterstellt damit jedem Datenbearbeiter, gegen das Datenschutzrecht zu verstossen.
Nachdem sich der EDÖB auf diese Weise einen Weg zur Interessenabwägung gebahnt hat, kommt er zum Schluss, dass die Interessen der Betroffenen überwiegen. Die Interessenabwägung ist aber doppelt unvollständig.
Erstens sieht der EDÖB eine Gefahr, dass die Wahlfreiheit der Verbraucher eingeschränkt werde, dass «psychologische Eigenschaften und Schwachstellen» ausgenutzt werden. Woraus sich diese Risiken ergeben sollen, bleibt unbekannt, dazu wurde auch kein Sachverhalt festgestellt und natürlich kann der EDÖB so etwas nicht unterstellen – abgesehen davon, dass der Schutz dieser Wahlfreiheit ein wettbewerbsrechtliches Anliegen wäre. Dass der EDÖB unter dem Titel des Datenschutzes kein Marktverhalten durchsetzen kann, ist seit dem Helsana-Urteil klar.
Zweitens kann man nur abwägen, was man zuerst festgestellt und gewichtet hat. Die Interessen von Ricardo, TX und der Medienbranche an personalisiertem Marketing werden aber weder bewertet noch abgewogen, ebenso wenig wie die Massnahmen zum Schutz der Betroffenen (Entfernung aller sprechenden Identifier, Aggregierung, Weitergabe nur aggregierter (und damit aus Sicht von Ricardo und TX anonymisierter) Segmentsdaten).
Im Ergebnis entsteht der Eindruck, der EDÖB wolle modo legislatoris ein allgemeines Verbot einführen, in Unternehmensgruppen personalisierte Werbung ohne Einwilligung – nach den Vorstellungen des EDÖB; Einwilligungen wurden über die CMB ja eingeholt – zu betreiben. Der Erlass eines solchen Verbots liegt ausserhalb des Kompetenzbereichs des EDÖB. Seine Aufgabe besteht darin, das Datenschutzrecht durchzusetzen. Es wäre Aufgabe des Gesetzgebers, hier zu konkretisieren – wenn schon; bisher hat ausser dem EDÖB allerdings niemand ein solches Verbot verlangt.
Empfehlung B/2: Löschen von Daten ohne Einwilligung
2. Die TX habe die bestehenden Daten von Ricardo-Nutzer und ‑Nutzerinnen, welche zu Werbezwecken der TX-Daten-Angebote-Unternehmen bereits erfasst worden sind, sofern keine rechtsgültige Einwilligung der Ricardo-Nutzer und ‑Nutzerinnen vorliegt bzw. eingeholt wurde, zu löschen.
Als Folge der vorangehenden Empfehlungen verlangt der EDÖB von TX auf, die Daten von Ricardo-Nutzern zu löschen, sofern für die Bearbeitung keine Einwilligung eingeholt wird. Das ist konsistent, geht man wie der EDÖB von der Widerrechtlichkeit aus, setzt diese aber natürlich auch voraus.
Was bleibt?
Der Schlussbericht des EDÖB im Fall Ricardo und TX Group ist aus mehreren Gründen bemerkenswert. Zum einen war die Verfahrensdauer ausserordentlich lange, auch im Vergleich mit anderen Sachverhaltsabklärungen, die ebenfalls Jahre in Anspruch genommen haben. Soweit es bisher erkennbar ist, ändert sich das bei den Untersuchungen nach dem neuen Recht, die zügiger vorangetrieben werden.
Zum anderen ist der Umgang des EDÖB mit dem Datenschutzrecht zu freizügig. Selbstverständlich steht es dem EDÖB zu, das Datenschutzrecht so auslegen, wie er es für richtig hält, und dass diese Auslegung bisweilen strenger ist als jene der Unternehmen (und Behörden), entspricht seiner Rolle. Etablierte Lehre und Rechtsprechung zu ignorieren, ist aber etwas anderes – der EDÖB muss sich dem nicht anschliessen, aber ausser Acht lassen sollte er diese Quellen als rechtsanwendende Funktion nicht. Zu oberflächlich ist auch die Auseinandersetzung mit dem massgeblichen Sachverhalt. Der EDÖB kann bspw. nicht zum Schluss kommen, dass Personendaten bearbeitet werden, ohne zuvor die Identifikationsmöglichkeiten und ‑interessen als Sachverhalt erstellt zu haben.
Bei den altrechtlichen Sachverhaltsabklärungen war das VwVG nur analog anwendbar, und weil sie nicht ohne gerichtliche Prüfungen zu verbindlichen Anordnungen führen konnten, ist eine gewisse Freiheit im Verfahren nachvollziehbar. Der EDÖB unterschätzt allerdings seine Rolle, wenn er die faktische Verbindlichkeit seiner Aussagen nicht berücksichtigt.
Soweit (dem Autor) bekannt, wurden bisher keine Verfügungen des EDÖB nach neuem Recht gerichtlich angefochten, aber es ist eine Frage der Zeit. Dann wird sich zeigen, ob der EDÖB sein Vorgehen nach neuem Recht anpasst. Alle Zeichen deuten aber darauf hin. Das ist für Unternehmen vielleicht nicht in jedem Fall, aber grundsätzlich von Vorteil, und für den Datenschutz erst recht.
Wie bei der Sachverhaltsabklärung i.S. Digitec Galaxus und anderswo zeigt sich das besondere Gewicht, das der EDÖB der Transparenz zumisst. Damit hat er grundsätzlich recht. Das schweizerische Datenschutzrecht baut insbesondere auf der Transparenz auf, nachdem es keine Rechtsgrundlage für Datenbearbeitungen Privater verlangt. Das Gewicht liegt daher mehr noch als bei der DSGVO auf der Selbstverantwortung der betroffenen Personen, und dafür ist Transparenz die Voraussetzung. Unternehmen, die Datenschutzerklärungen gestalten, sollten das daher mit Sorgfalt tun, und was man lieber verschweigen würde, sollte fettgedruckt werden. Die Transparenz ist aber als Stufenordnung ausgestaltet. Verschiebt man das ganze Gewicht auf die Datenschutzerklärungen, weil man meint, dass Betroffene ihr Auskunftsrecht nicht ausüben, so widerspricht das nicht nur der Erfahrung, sondern vor allem auch dem Willen des Gesetzgebers. In den bisherigen Sachverhaltsabklärung und auch hier blieb dieser Aspekt unberücksichtigt. Selbstverständlich müssen Unternehmen die für das Verständnis ihrer Datenbearbeitung notwendigen Informationen bereitstellen. Dazu muss man Betroffenen aber nicht die Unfähigkeit unterstellen, sich auch in Datenschutzerklärungen zurechtzufinden, die ihrem Gegenstand entsprechend komplexer sind. Und wenn Betroffene etwas nicht verstehen, sollten sie einfach nachfragen – das Unverständnis einzelner Personen mag eine Untersuchung des EDÖB auslösen, ist aber kein Beleg für einen Rechtsmangel.