EDÖB: Schluss­be­richt und Emp­feh­lun­gen iS Once Dating

Der EDÖB hat den auf den 17. Mai 2023 datier­ten Schluss­be­richt i.S. Once Dating mit Emp­feh­lun­gen ver­öf­fent­licht. Ange­sto­ssen wur­de die Sach­ver­halts­ab­klä­rung offen­bar durch Hin­wei­se von Nut­zern, dass Daten bei Once nicht gelöscht wer­den könnten.

Gegen­stand der Abklä­rung war vor allem die Trans­pa­renz, die aus der nach­voll­zieh­ba­ren Sicht des EDÖB nur unzu­rei­chend sicher­ge­stellt war. Bemer­kens­wert sind vor allem fol­gen­de Aus­sa­gen des EDÖB, die über den kon­kre­ten Fall hinausreichen:

  • Die Anga­be allein, dass eine Per­son über ein Kon­to bei Once ver­fü­ge, sei der Intim­sphä­re zuzu­ord­nen, also ein beson­ders schüt­zens­wer­te Per­so­nen­da­tum. Das kann man so sehen, aber evi­dent ist es nicht. Geht man von der Sphä­ren­theo­rie aus, die der Kate­go­rie des Datums über die Intim­sphä­re zugrun­de liegt, ist zu unter­schei­den zwi­schen dem öffent­li­chen Bereich, dem pri­va­ten Bereich und dem inti­mem Bereich. Die Intimsphäre

    ist im Sinn der fran­zö­si­schen «sphè­re inti­me» oder der ita­lie­ni­schen «sfera inti­ma» zu ver­ste­hen; sie umfasst Daten, die eine Per­son nur weni­gen Aus­er­wähl­ten mit­teilt und die für sie von gro­sser emo­tio­na­ler Bedeu­tung sind. Die Intim­sphä­re beinhal­tet mehr als das Sexu­al­le­ben, erstreckt sich aber bei­spiels­wei­se nicht auf die finan­zi­el­len Ver­hält­nis­se (Bot­schaft 1988)

    Liest man die Bot­schaft, drängt sich ein enge­rer Begriff auf. Zumin­dest ist zu bezwei­feln, ob eine Aus­sa­ge über die Mit­glied­schaft bei einer Dating-App – gewiss kei­ne Sel­ten­heit mehr – wirk­lich heik­ler ist bspw. die Anga­be über den Lohn. Lei­der fehlt jede Aus­ein­an­der­set­zung mit die­ser Fra­ge im Schlussbericht.

  • Die Anga­ben bei Once stel­len ins­ge­samt ein Per­sön­lich­keits­pro­fil dar, d.h. Name, Bild(er), Alter, Stand­ort und sexu­el­le Ori­en­tie­rung, weil Once ein­schät­zen will, ob zwei Per­so­nen zusam­men­pas­sen. Das ist nahe­lie­gend, weil Daten recht­spre­chungs­ge­mäss eher ein Per­sön­lich­keits­pro­fil bil­den, wenn sie ent­spre­chend ver­wen­det wer­den – es ist also nicht nur die abstrak­te Aus­sa­ge­kraft der Daten, son­dern das kon­kre­te Risi­ko ent­spre­chen­der Aus­sa­gen, je nach Ver­wen­dungs­kon­text. Die­se Hal­tung ent­spricht dem risi­ko­ba­sier­ten Ansatz und soll­te in der Schweiz – ent­ge­gen einem Trend in der EU – auch für beson­ders schüt­zens­wer­te Per­so­nen­da­ten bei­be­hal­ten werden.
  • Eini­ge der Dienst­lei­ster von Once bear­bei­ten Daten auch für eige­ne Zwecke, so Face­book, Goog­le, Send­grid, Loo­ker, Vona­ge und Paypal (Once hat­te die­se Anga­ben nicht als Geschäfts­ge­heim­nis bezeich­net). Der Begriff “Dienst­lei­ster der Once” sei, so der EDÖB, für die­se Kate­go­rien von Daten­emp­fän­gern nicht zutref­fend, weil Emp­fän­ger, die Per­so­nen­da­ten in eige­ner Ver­ant­wor­tung bear­bei­ten, Drit­te und nicht “rei­ne Dienst­lei­ster bzw. Auf­trag­neh­mer” seien.Daraus ist zu schlie­ssen, dass der EDÖB den Begriff des Dienst­lei­sters mit jenem des Auf­trags­be­ar­bei­ters gleich­setzt und unter­stellt, den Betrof­fe­nen gehe es gleich. Dem fehlt jede Grund­la­ge. Auch Ban­ken, Ver­si­che­rer und Rechts­an­wäl­te sind unbe­strit­ten Dienst­lei­ster, eben­so unbe­strit­ten aber kei­ne Auf­trags­be­ar­bei­ter. Und eben­so klar dürf­te sein, dass der Betrof­fe­ne nichts mit einem Auf­trags­be­ar­bei­ter gleich­setzt, weil er den Begriff gar nicht kennt, ist er nicht zufäl­li­ger­wei­se Daten­schutz­ju­rist. Es ist selbst­ver­ständ­lich rich­tig, zuläs­sig und aus­rei­chend, Dienst­lei­ster in einer Daten­schutz­er­klä­rung als “Dienst­lei­ster” zu bezeich­nen. Ob sie recht­lich als Auf­trags­be­ar­bei­ter oder Ver­ant­wort­li­che qua­li­fi­ziert wer­den, spielt kei­ne Rol­le: Das DSG ver­langt weder eine bestimm­te Ter­mi­no­lo­gie noch eine recht­li­che Qua­li­fi­ka­ti­on, son­dern schlicht die Anga­be der Kate­go­rien der Emp­fän­ger. Oft genug ist auch bei aller Sorg­falt nicht ganz klar, wann ein Dienst­lei­ster ein Auf­trags­be­ar­bei­ter ist (und der EDÖB wird die­se Qua­li­fi­ka­ti­on bei der Kon­trol­le von Daten­schutz­er­klä­run­gen kaum vor­fra­ge­wei­se vor­neh­men wol­len). Und wenn ein Dienst­lei­ster ein Ver­ant­wort­li­cher sein soll­te, hat er ohne­hin eine eige­ne Infor­ma­ti­ons­pflicht – die not­wen­di­ge Trans­pa­renz ist also von die­sem her­zu­stel­len, nicht vom Kunden.
  • Die Infor­ma­ti­ons­pflicht nach Art. 19 nDSG umfasst auch eine Infor­ma­ti­on über die Garan­tien für die Daten­über­mitt­lung ins Aus­land. Eine all­ge­mei­ne Aus­sa­ge zur Ver­wen­dung von Stan­dard­ver­trags­klau­seln oder ande­ren “geeig­ne­ten Schutz­klau­sen” genü­ge aber nicht, so der EDÖB. 
    • Wes­halb? Art. 19 Abs. 4 nDSG spricht von einer Mit­tei­lung über “gege­be­nen­falls die Garan­tien nach Arti­kel 16 Absatz 2 oder die Anwen­dung einer Aus­nah­me nach Arti­kel 17”. Wes­halb genügt es nicht, dar­auf hin­zu­wei­sen, dass der Ver­ant­wort­li­che in der Regel mit den Stan­dard­ver­trags­klau­seln arbei­tet? Die­se bei­läu­fi­ge Behaup­tung bleibt unbe­grün­det, dies aber in einem poten­ti­ell straf­be­wehr­ten Bereich (wobei man sich fra­gen kann, ob eine fal­sche oder unter­las­se­ne Anga­be der Emp­fän­ger­staa­ten oder der Garan­tien wirk­lich straf­bar sein kann, wenn Art. 60 Abs. 1 lit. a nDSG auf Art. 19 ins­ge­samt ver­weist, Art. 60 Abs. 1 lit. b aber aus­drück­lich nur auf Art. 19 Abs. 1 und 2 und nicht auch Abs. 4). Tat­sa­che ist jeden­falls, dass Art. 19 nDSG zur Infor­ma­ti­on über die Garan­tien nichts wei­ter sagt, und zumin­dest im Bereich einer etwa­igen Straf­bar­keit kommt die Inter­pre­ta­ti­on des EDÖB nicht in Frage.
    • Offen ist fer­ner, ob ein Bedürf­nis nach wei­te­ren Infor­ma­tio­nen zu den Garan­tien – so es die­ses gibt – wirk­lich im Rah­men der Infor­ma­ti­ons­pflicht oder nicht eher des all­ge­mei­nen Trans­pa­renz­grund­sat­zes zu ver­or­ten wäre; auch dies spricht der EDÖB nicht an.
    • Der EDÖB ver­weist in die­sem Zusam­men­hang ergän­zend auf eine Pas­sa­ge der Stan­dard­ver­trags­klau­seln, Erwä­gungs­grund 4:

      In die­sem Zusam­men­hang wei­sen wir dar­auf hin, dass die Infor­ma­ti­ons­pflicht gemäss Art. 19 nDSG auch die Infor­ma­ti­on über die ver­wen­de­ten Garan­tien für die Daten­über­mitt­lung ins Aus­land umfasst und eine all­ge­mei­ne Aus­sa­ge zu der Ver­wen­dung von Stan­dard­ver­trags­klau­seln oder ande­ren «geeig­ne­ten Schutz­klau­sen» nicht genügt, um die­se zu erfül­len. Gemäss dem Erwä­gungs­grund 4 der neu­en euro­päi­schen Stan­dard­ver­trags­klau­seln «muss die­se Infor­ma­ti­on einen Ver­weis auf die ange­mes­se­nen Garan­tien und die Mög­lich­kei­ten, wie eine Kopie von ihnen ein­ge­holt wer­den kann, oder wo sie ver­füg­bar sind, umfassen.

      Der EDÖB über­sieht hier zwei Din­ge: Erstens ver­weist Erwä­gungs­grund 4 der Klau­seln auf Art. 13 Abs. 1 lit. f DSGVO, der eine sol­che Infor­ma­ti­on aus­drück­lich vor­sieht – aber Art. 19 Abs. 4 nDSG tut das nicht, wes­halb auch der Hin­weis auf die Stan­dard­ver­trags­klau­seln falsch bzw. nicht ein­schlä­gig ist. Zwei­tens adres­sie­ren die Stan­dard­ver­trags­klau­seln das The­ma aus­drück­lich in Klau­sel 8.2(c) (im Fall des Moduls 1):

      Die Par­tei­en stel­len der betrof­fe­nen Per­son auf Anfra­ge eine Kopie die­ser Klau­seln, ein­schließ­lich der von ihnen aus­ge­füll­ten Anla­ge, unent­gelt­lich zur Verfügung. […]

      Die Stan­dard­ver­trags­klau­seln sehen aber gera­de nicht vor, dass in einer Daten­schutz­er­klä­rung über eine ent­spre­chen­de Mög­lich­keit zu infor­mie­ren ist. Nach dem nDSG muss der Ver­ant­wort­li­che daher kla­rer­wei­se nicht infor­mie­ren, ob oder wo die Stan­dard­klau­seln zu bezie­hen sind (auch wenn vie­le Daten­schutz­er­klä­run­gen einen ent­spre­chen­den Link enthalten).

  • Der EDÖB ist der Mei­nung, eine Daten­be­ar­bei­tung sei wider­recht­lich, wenn ein Auf­trags­be­ar­bei­ter bei­gezo­gen wird, bei dem die Vor­aus­set­zun­gen nach Art. 10a DSG nicht ein­ge­hal­ten wer­den. Die­se Aus­sa­ge erfolgt aller­dings nur obiter (im Grun­de ist ein Schluss­be­richt ohne­hin immer obiter, nach­dem er nicht in Rechts­kraft erwächst), weil die Prü­fung von Auf­trags­be­ar­bei­tun­gen nicht Gegen­stand der Abklä­run­gen war. Die­se bei­läu­fi­ge Aus­sa­ge des EDÖB berührt aber ein wenig geklär­tes The­ma: Wenn ein Ver­ant­wort­li­cher mit einem Dienst­lei­ster zusam­men­ar­bei­tet, der an und für sich ein Auf­trags­be­ar­bei­ter ist, mit dem aber kei­ne ent­spre­chen­de Ver­ein­ba­rung besteht: Ist der Dienst­lei­ster dann ein ver­trags­lo­ser Auf­trags­be­ar­bei­ter oder ein Ver­ant­wort­li­cher? Art. 61 lit. b nDSG scheint von ern­ste­rem aus­zu­ge­hen, wenn es straf­bar sein kann, einen Auf­trags­be­ar­bei­ter unter Ver­stoss gegen Art. 9 Abs. 1 nDSG bei­zu­zie­hen, aber ganz klar ist das nicht. Es wäre an sich rich­tig, wirft aber eine Fol­ge­fra­ge auf: Wenn der Ver­ant­wort­li­che einem Dienst­lei­ster, der eigent­lich ein Auf­trags­be­ar­bei­ter ist, eine Daten­be­ar­bei­tung über­trägt, dies aber gleich wie eine Bekannt­ga­be an einen Drit­ten behan­delt (d.h. auf eine Pri­vi­le­gie­rung ver­zich­tet), ist es dann nicht eine Bekannt­ga­be an einen Drit­ten? Aus Schutz­über­le­gun­gen spricht jeden­falls nichts gegen eine sol­che Einschätzung.
  • Wie bei der Infor­ma­ti­on über die Bekannt­ga­be ins Aus­land über­nimmt der EDÖB auch beim Wider­ruf der Ein­wil­li­gung unde­kla­riert die DSGVO:

    Ange­sichts der Sen­si­bi­li­tät der auf der App Once bear­bei­ten­den Daten sowie der Tat­sa­che, dass die Daten gemäss der Daten­schutz­richt­li­nie und den Anga­ben der Once Dating AG in die­ser Sach­ver­halts­ab­klä­rung gestützt auf die Ein­wil­li­gung der betrof­fe­nen Per­son bear­bei­tet wer­den, ist es unab­ding­bar, dass die Nut­zer der App Once ein­deu­tig auf ihre Lösch­mög­lich­kei­ten hin­ge­wie­sen wer­den und jeder­zeit die umge­hen­de Löschung ihrer Per­so­nen­da­ten bzw. ihres Pro­fils ver­lan­gen kön­nen. Auf­grund des Grund­sat­zes von Treu und Glau­ben soll jeder Nut­zer und Nut­ze­rin dies auf ein­fa­cher Wei­se ver­lan­gen kön­nen. Das heisst, es darf nicht schwie­ri­ger sein, eine Ein­wil­li­gung zurück­zu­zie­hen und die Löschung der eige­nen Daten zu ver­lan­gen, als eine Ein­wil­li­gung abzu­ge­ben und ein Kon­to bei Once Dating AG zu erstel­len. […]

    Was die Sache hier ver­kom­pli­ziert, ist die Tat­sa­che, dass Once für die Daten­be­ar­bei­tung anschei­nend eine Ein­wil­li­gung ein­ge­holt hat, auch wenn das kaum not­wen­dig war. Wohl des­halb ver­bin­det der EDÖB die Lösch­mög­lich­keit – ein Haupt­the­ma der Abklä­rung – mit der Fra­ge der Ein­wil­li­gung und ihrem Wider­ruf. Für sich genom­men ist die Aus­sa­ge, die Ein­wil­li­gung müs­se so ein­fach wider­ru­fen wie abge­ge­ben wer­den kön­nen, nach schwei­ze­ri­schem Recht unbe­grün­det. Die DSGVO ver­langt das in Art. 7 Abs. 3, aber das nDSG kennt kei­ne ent­spre­chen­de Rege­lung. Die Ein­wil­li­gung muss frei­wil­lig sein, und das ist sie nicht, wenn sie nicht auf zumut­ba­re Wei­se wider­ru­fen wer­den könn­te, aber dar­aus kann nicht geschlos­sen wer­den, der Wider­ruf müs­se eben­so ein­fach wie die Abga­be sein. Der EDÖB begrün­det sei­ne Auf­fas­sung auch hier mit kei­nem Wort.

Es gibt wei­te­re Pas­sa­gen, die Fra­gen auf­wer­fen, etwa die Aus­füh­run­gen zur Daten­rich­tig­keit und Ver­hält­nis­mä­ssig­keit bei inak­ti­ven Nut­zern. Ins­ge­samt ist zu bedau­ern, dass der EDÖB – kurz vor dem Inkraft­tre­ten des nDSG, wo die Unsi­cher­hei­ten gross sind – recht­li­che Wür­di­gun­gen nicht ein­mal begrün­det. Wenn er Rechts­un­si­cher­hei­ten nicht behe­ben will, ist das eines; eine gewis­se Zurück­hal­tung des Regu­la­tors – wenn man den EDÖB so bezeich­nen will – hat eini­ges für sich, aber sie soll­te sich nicht nur dar­in aus­wir­ken, der Pra­xis kaum Hilfs­mit­tel zur Ver­fü­gung zu stel­len, son­dern auch in den Schlussberichten.

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter