Der EDÖB hat den auf den 17. Mai 2023 datierten Schlussbericht i.S. Once Dating mit Empfehlungen veröffentlicht. Angestossen wurde die Sachverhaltsabklärung offenbar durch Hinweise von Nutzern, dass Daten bei Once nicht gelöscht werden könnten.
Gegenstand der Abklärung war vor allem die Transparenz, die aus der nachvollziehbaren Sicht des EDÖB nur unzureichend sichergestellt war. Bemerkenswert sind vor allem folgende Aussagen des EDÖB, die über den konkreten Fall hinausreichen:
- Die Angabe allein, dass eine Person über ein Konto bei Once verfüge, sei der Intimsphäre zuzuordnen, also ein besonders schützenswerte Personendatum. Das kann man so sehen, aber evident ist es nicht. Geht man von der Sphärentheorie aus, die der Kategorie des Datums über die Intimsphäre zugrunde liegt, ist zu unterscheiden zwischen dem öffentlichen Bereich, dem privaten Bereich und dem intimem Bereich. Die Intimsphäre
ist im Sinn der französischen «sphère intime» oder der italienischen «sfera intima» zu verstehen; sie umfasst Daten, die eine Person nur wenigen Auserwählten mitteilt und die für sie von grosser emotionaler Bedeutung sind. Die Intimsphäre beinhaltet mehr als das Sexualleben, erstreckt sich aber beispielsweise nicht auf die finanziellen Verhältnisse (Botschaft 1988)
Liest man die Botschaft, drängt sich ein engerer Begriff auf. Zumindest ist zu bezweifeln, ob eine Aussage über die Mitgliedschaft bei einer Dating-App – gewiss keine Seltenheit mehr – wirklich heikler ist bspw. die Angabe über den Lohn. Leider fehlt jede Auseinandersetzung mit dieser Frage im Schlussbericht.
- Die Angaben bei Once stellen insgesamt ein Persönlichkeitsprofil dar, d.h. Name, Bild(er), Alter, Standort und sexuelle Orientierung, weil Once einschätzen will, ob zwei Personen zusammenpassen. Das ist naheliegend, weil Daten rechtsprechungsgemäss eher ein Persönlichkeitsprofil bilden, wenn sie entsprechend verwendet werden – es ist also nicht nur die abstrakte Aussagekraft der Daten, sondern das konkrete Risiko entsprechender Aussagen, je nach Verwendungskontext. Diese Haltung entspricht dem risikobasierten Ansatz und sollte in der Schweiz – entgegen einem Trend in der EU – auch für besonders schützenswerte Personendaten beibehalten werden.
- Einige der Dienstleister von Once bearbeiten Daten auch für eigene Zwecke, so Facebook, Google, Sendgrid, Looker, Vonage und Paypal (Once hatte diese Angaben nicht als Geschäftsgeheimnis bezeichnet). Der Begriff “Dienstleister der Once” sei, so der EDÖB, für diese Kategorien von Datenempfängern nicht zutreffend, weil Empfänger, die Personendaten in eigener Verantwortung bearbeiten, Dritte und nicht “reine Dienstleister bzw. Auftragnehmer” seien.Daraus ist zu schliessen, dass der EDÖB den Begriff des Dienstleisters mit jenem des Auftragsbearbeiters gleichsetzt und unterstellt, den Betroffenen gehe es gleich. Dem fehlt jede Grundlage. Auch Banken, Versicherer und Rechtsanwälte sind unbestritten Dienstleister, ebenso unbestritten aber keine Auftragsbearbeiter. Und ebenso klar dürfte sein, dass der Betroffene nichts mit einem Auftragsbearbeiter gleichsetzt, weil er den Begriff gar nicht kennt, ist er nicht zufälligerweise Datenschutzjurist. Es ist selbstverständlich richtig, zulässig und ausreichend, Dienstleister in einer Datenschutzerklärung als “Dienstleister” zu bezeichnen. Ob sie rechtlich als Auftragsbearbeiter oder Verantwortliche qualifiziert werden, spielt keine Rolle: Das DSG verlangt weder eine bestimmte Terminologie noch eine rechtliche Qualifikation, sondern schlicht die Angabe der Kategorien der Empfänger. Oft genug ist auch bei aller Sorgfalt nicht ganz klar, wann ein Dienstleister ein Auftragsbearbeiter ist (und der EDÖB wird diese Qualifikation bei der Kontrolle von Datenschutzerklärungen kaum vorfrageweise vornehmen wollen). Und wenn ein Dienstleister ein Verantwortlicher sein sollte, hat er ohnehin eine eigene Informationspflicht – die notwendige Transparenz ist also von diesem herzustellen, nicht vom Kunden.
- Die Informationspflicht nach Art. 19 nDSG umfasst auch eine Information über die Garantien für die Datenübermittlung ins Ausland. Eine allgemeine Aussage zur Verwendung von Standardvertragsklauseln oder anderen “geeigneten Schutzklausen” genüge aber nicht, so der EDÖB.
- Weshalb? Art. 19 Abs. 4 nDSG spricht von einer Mitteilung über “gegebenenfalls die Garantien nach Artikel 16 Absatz 2 oder die Anwendung einer Ausnahme nach Artikel 17”. Weshalb genügt es nicht, darauf hinzuweisen, dass der Verantwortliche in der Regel mit den Standardvertragsklauseln arbeitet? Diese beiläufige Behauptung bleibt unbegründet, dies aber in einem potentiell strafbewehrten Bereich (wobei man sich fragen kann, ob eine falsche oder unterlassene Angabe der Empfängerstaaten oder der Garantien wirklich strafbar sein kann, wenn Art. 60 Abs. 1 lit. a nDSG auf Art. 19 insgesamt verweist, Art. 60 Abs. 1 lit. b aber ausdrücklich nur auf Art. 19 Abs. 1 und 2 und nicht auch Abs. 4). Tatsache ist jedenfalls, dass Art. 19 nDSG zur Information über die Garantien nichts weiter sagt, und zumindest im Bereich einer etwaigen Strafbarkeit kommt die Interpretation des EDÖB nicht in Frage.
- Offen ist ferner, ob ein Bedürfnis nach weiteren Informationen zu den Garantien – so es dieses gibt – wirklich im Rahmen der Informationspflicht oder nicht eher des allgemeinen Transparenzgrundsatzes zu verorten wäre; auch dies spricht der EDÖB nicht an.
- Der EDÖB verweist in diesem Zusammenhang ergänzend auf eine Passage der Standardvertragsklauseln, Erwägungsgrund 4:
In diesem Zusammenhang weisen wir darauf hin, dass die Informationspflicht gemäss Art. 19 nDSG auch die Information über die verwendeten Garantien für die Datenübermittlung ins Ausland umfasst und eine allgemeine Aussage zu der Verwendung von Standardvertragsklauseln oder anderen «geeigneten Schutzklausen» nicht genügt, um diese zu erfüllen. Gemäss dem Erwägungsgrund 4 der neuen europäischen Standardvertragsklauseln «muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt werden kann, oder wo sie verfügbar sind, umfassen.
Der EDÖB übersieht hier zwei Dinge: Erstens verweist Erwägungsgrund 4 der Klauseln auf Art. 13 Abs. 1 lit. f DSGVO, der eine solche Information ausdrücklich vorsieht – aber Art. 19 Abs. 4 nDSG tut das nicht, weshalb auch der Hinweis auf die Standardvertragsklauseln falsch bzw. nicht einschlägig ist. Zweitens adressieren die Standardvertragsklauseln das Thema ausdrücklich in Klausel 8.2(c) (im Fall des Moduls 1):
Die Parteien stellen der betroffenen Person auf Anfrage eine Kopie dieser Klauseln, einschließlich der von ihnen ausgefüllten Anlage, unentgeltlich zur Verfügung. […]
Die Standardvertragsklauseln sehen aber gerade nicht vor, dass in einer Datenschutzerklärung über eine entsprechende Möglichkeit zu informieren ist. Nach dem nDSG muss der Verantwortliche daher klarerweise nicht informieren, ob oder wo die Standardklauseln zu beziehen sind (auch wenn viele Datenschutzerklärungen einen entsprechenden Link enthalten).
- Der EDÖB ist der Meinung, eine Datenbearbeitung sei widerrechtlich, wenn ein Auftragsbearbeiter beigezogen wird, bei dem die Voraussetzungen nach Art. 10a DSG nicht eingehalten werden. Diese Aussage erfolgt allerdings nur obiter (im Grunde ist ein Schlussbericht ohnehin immer obiter, nachdem er nicht in Rechtskraft erwächst), weil die Prüfung von Auftragsbearbeitungen nicht Gegenstand der Abklärungen war. Diese beiläufige Aussage des EDÖB berührt aber ein wenig geklärtes Thema: Wenn ein Verantwortlicher mit einem Dienstleister zusammenarbeitet, der an und für sich ein Auftragsbearbeiter ist, mit dem aber keine entsprechende Vereinbarung besteht: Ist der Dienstleister dann ein vertragsloser Auftragsbearbeiter oder ein Verantwortlicher? Art. 61 lit. b nDSG scheint von ernsterem auszugehen, wenn es strafbar sein kann, einen Auftragsbearbeiter unter Verstoss gegen Art. 9 Abs. 1 nDSG beizuziehen, aber ganz klar ist das nicht. Es wäre an sich richtig, wirft aber eine Folgefrage auf: Wenn der Verantwortliche einem Dienstleister, der eigentlich ein Auftragsbearbeiter ist, eine Datenbearbeitung überträgt, dies aber gleich wie eine Bekanntgabe an einen Dritten behandelt (d.h. auf eine Privilegierung verzichtet), ist es dann nicht eine Bekanntgabe an einen Dritten? Aus Schutzüberlegungen spricht jedenfalls nichts gegen eine solche Einschätzung.
- Wie bei der Information über die Bekanntgabe ins Ausland übernimmt der EDÖB auch beim Widerruf der Einwilligung undeklariert die DSGVO:
Angesichts der Sensibilität der auf der App Once bearbeitenden Daten sowie der Tatsache, dass die Daten gemäss der Datenschutzrichtlinie und den Angaben der Once Dating AG in dieser Sachverhaltsabklärung gestützt auf die Einwilligung der betroffenen Person bearbeitet werden, ist es unabdingbar, dass die Nutzer der App Once eindeutig auf ihre Löschmöglichkeiten hingewiesen werden und jederzeit die umgehende Löschung ihrer Personendaten bzw. ihres Profils verlangen können. Aufgrund des Grundsatzes von Treu und Glauben soll jeder Nutzer und Nutzerin dies auf einfacher Weise verlangen können. Das heisst, es darf nicht schwieriger sein, eine Einwilligung zurückzuziehen und die Löschung der eigenen Daten zu verlangen, als eine Einwilligung abzugeben und ein Konto bei Once Dating AG zu erstellen. […]
Was die Sache hier verkompliziert, ist die Tatsache, dass Once für die Datenbearbeitung anscheinend eine Einwilligung eingeholt hat, auch wenn das kaum notwendig war. Wohl deshalb verbindet der EDÖB die Löschmöglichkeit – ein Hauptthema der Abklärung – mit der Frage der Einwilligung und ihrem Widerruf. Für sich genommen ist die Aussage, die Einwilligung müsse so einfach widerrufen wie abgegeben werden können, nach schweizerischem Recht unbegründet. Die DSGVO verlangt das in Art. 7 Abs. 3, aber das nDSG kennt keine entsprechende Regelung. Die Einwilligung muss freiwillig sein, und das ist sie nicht, wenn sie nicht auf zumutbare Weise widerrufen werden könnte, aber daraus kann nicht geschlossen werden, der Widerruf müsse ebenso einfach wie die Abgabe sein. Der EDÖB begründet seine Auffassung auch hier mit keinem Wort.
Es gibt weitere Passagen, die Fragen aufwerfen, etwa die Ausführungen zur Datenrichtigkeit und Verhältnismässigkeit bei inaktiven Nutzern. Insgesamt ist zu bedauern, dass der EDÖB – kurz vor dem Inkrafttreten des nDSG, wo die Unsicherheiten gross sind – rechtliche Würdigungen nicht einmal begründet. Wenn er Rechtsunsicherheiten nicht beheben will, ist das eines; eine gewisse Zurückhaltung des Regulators – wenn man den EDÖB so bezeichnen will – hat einiges für sich, aber sie sollte sich nicht nur darin auswirken, der Praxis kaum Hilfsmittel zur Verfügung zu stellen, sondern auch in den Schlussberichten.