Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 03.03.2023

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch

EDÖB-A-72643401/2 / F. Nakagawa

Schlussbericht und Empfehlungen

vom 3. März 2023 mit Ergänzungen vom 17. Mai 2023

betreffend die Sachverhaltsabklärung des

Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

in Sachen Once Dating AG

gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)

2/44

Inhaltsverzeichnis

1. Einführung ........................................................................................................................................ 4 1.1. Ausgangslage .......................................................................................................................... 4 1.2. Chronologie ............................................................................................................................. 5 1.3. Gesetzliche Grundlage ............................................................................................................ 5 1.4. Umfang der Sachverhaltsabklärung ........................................................................................ 5 1.5. Berücksichtigte Dokumente ..................................................................................................... 5 2. Sachverhalt ...................................................................................................................................... 6 2.1. Differenzen bei der Sachverhaltsfeststellung und dem Schlussbericht .................................. 6 2.2. Funktionsweise der App .......................................................................................................... 6 2.2.1. Datenflussmodellierung ................................................................................................... 6 2.2.2. Registrierungsverfahren .................................................................................................. 8 2.2.3. Matchmaking ................................................................................................................... 9 2.2.4. Bearbeitungszwecke ....................................................................................................... 9 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung .................................................... 10 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte ................................................ 10 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App ...................................... 10 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner .......................................... 11 2.2.9. Bekanntgabe von Personendaten ins Ausland ............................................................. 14 2.3. Aufbewahrung und Löschung von Personendaten ............................................................... 16 2.3.1. Deaktivierung von Konten auf Verlangen ...................................................................... 16 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen ........................ 16 2.3.3. Deaktivierung und Löschung von Konten von inaktiven Nutzern .................................. 18 2.3.4. Löschung von Personendaten bei Dritten ..................................................................... 18 2.4. Datensicherheit ...................................................................................................................... 19 2.4.1. Entwicklung der App ...................................................................................................... 19 2.4.2. Schwachstellentests ...................................................................................................... 19 2.4.3. Monitoring und Patchen................................................................................................. 19 2.4.4. Verschlüsselung ............................................................................................................ 19 2.4.5. Zugriffskontrollen ........................................................................................................... 19 2.5. Logging .................................................................................................................................. 20 2.6. Einwilligung und Datenschutzeinstellungen der App ............................................................ 20 3. Datenschutzrechtliche Beurteilung ................................................................................................ 21 3.1. Bearbeitung von Personendaten ........................................................................................... 21 3.1.1. Bearbeitung von besonders schützenswerten Daten .................................................... 21 3.1.2. Bearbeitung von Persönlichkeitsprofilen ....................................................................... 22 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once........................... 23 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG .................................................... 23 3.2.2. Informationspflicht nach Art. 14 DSG ............................................................................ 23 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informationspflicht (Art. 14 DSG) ................................................................................................... 24 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once ............................................... 24 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung ........................................................................................................................... 25 3.2.3.3. Information über die Kategorien der Datenempfänger .................................................. 29 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland 29

3/44

3.2.3.5. Schlussfolgerung ........................................................................................................... 30 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer ............................................................... 30 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) ...................................................................................... 30 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) ....... 30 3.3.1.2. Information über die verfügbaren Löschmöglichkeiten ................................................. 31 3.3.1.3. Automatische Löschung von Personendaten bei Inaktivität ......................................... 32 3.3.1.4. Löschung von Personendaten, deren Bearbeitung ausgelagert wurde ........................ 33 3.3.1.5. Schlussfolgerung ........................................................................................................... 33 3.4. Datenweitergabe an «Dienstleister» ..................................................................................... 34 3.4.1. Anforderungen an einer Auftragsdatenbearbeitung (Art. 10a DSG) ............................. 34 3.4.2. Einhaltung der Anforderungen nach Art. 10a DSG ....................................................... 34 3.4.2.1. Übermittlung ins Ausland............................................................................................... 35 3.4.2.2. Bearbeitung von Personendaten für Zwecke Dritter ..................................................... 35 3.4.3. Schlussfolgerung ........................................................................................................... 35 3.5. Einhaltung der Anforderungen an die Datensicherheit ......................................................... 36 3.5.1. Schutz des Systems gegen datenschutzrechtlich relevante Risiken ............................ 36 3.5.1.1. Schutz gegen unbefugte Datenbearbeitung .................................................................. 36 3.5.1.2. Periodische Evaluation der Sicherheitsmassnahmen und Durchführung von Schwachstellentests ....................................................................................................................... 37 3.5.1.3. Schlussfolgerung ........................................................................................................... 37 3.6. Persönlichkeitsverletzungen .................................................................................................. 37 3.6.1. Rechtfertigung ............................................................................................................... 38 3.6.2. Einwilligung der betroffenen Person .............................................................................. 38 3.6.2.1. Anforderungen an einer gütigen Einwilligung ................................................................ 38 3.6.2.2. Erteilte Einwilligung ....................................................................................................... 38 3.6.2.3. Grenzen der erteilten Einwilligung ................................................................................. 38 3.6.2.4. Schlussfolgerung ........................................................................................................... 39 3.6.3. Überwiegendes privates Interesse ................................................................................ 39 3.6.3.1. Vertrag zwischen Nutzenden und der Once Dating AG ................................................ 39 3.6.3.2. Schlussfolgerung ........................................................................................................... 41 3.7. Empfehlungen ....................................................................................................................... 41 3.8. Stellungnahme der Once Dating AG ..................................................................................... 43 3.9. Verfahren ............................................................................................................................... 43 3.9.1. Rechtliches Gehör und weiteres Vorgehen ................................................................... 43 3.9.2. Veröffentlichung des Schlussberichts mit Empfehlungen ............................................. 44

Abbildungsverzeichnis Abbildung 1: Ansicht der Mobile App Functional Architecture .............................................................. 6 Abbildung 2: Übersicht zur Backend Functional Architecture. .............................................................. 7 Abbildung 3: Illustration der Once Backend Technical Architecture. .................................................... 7 Abbildung 3: Screenshot des Kontaktkanals in der App Once («Nous contacter») ............................ 17 Abbildung 6: Auszug aus der Datenschutzrichtlinie ............................................................................ 27

file:///C:/Users/U80855603/AppData/Local/rubicon/Acta%20Nova%20Client/Data/288513106/%5b288513106%5d%20EDÖB%2020220103.%20an%20Niederer%20Kraft%20Frey%20AG.%20Schlussbericht.docx%23_Toc118300712

4/44

1. Einführung 1.1. Ausgangslage 1. Dating-Apps und -Webseiten spielen bei der Partnersuche eine zunehmend bedeutsame Rolle in der Schweiz: 19,7% der Paare, die in den letzten 5 Jahren in eine Beziehung getreten sind, haben sich gemäss Angaben des Bundesamts für Statistik online über eine Partnerbörse, eine Dating-App oder ein soziales Netzwerk1 kennen gelernt. Solche Dating-Apps und -Webseiten unterscheiden sich von klassischen Vermittlungsagenturen, welche vergleichsweise klein und noch mehrheitlich «analog» tätig sind, indem sie Personendaten (unter anderem auch besonders schützenswerte Daten) von einer Mehrzahl von Kunden über ein Internetportal oder eine App für Mobilgeräte erheben und diese teil- oder vollautomatisch bearbeiten, um einen geeigneten Partner zu vermitteln. 2. Im Dezember 2020 wurde der EDÖB darauf aufmerksam gemacht, dass die Nutzer der Dating-App Once keine Möglichkeit hätten, ein Konto über die Applikation zu löschen, und dass der Betreiber dieser App, die Once Dating AG, angeblich nicht auf Löschbegehren reagieren würde. 3. Die Once Dating AG ist ein privates Unternehmen mit Sitz in Pfäffikon im Kanton Schwyz, welches im Bereich Online-Dating tätig ist. Mit der App «Once» bietet die Once Dating AG einen Partnervermittlungsdienst an, welcher auf das Konzept des Slow-Datings setzt. Die Nutzung der App setzt eine Registrierung voraus. Dabei muss die Nutzerin oder der Nutzer verschiedene Angaben über sich machen oder Daten aus ihrem/seinem Facebook-Profil importieren. Zudem können auf freiwilliger Basis weitere Angaben zur Person gemacht werden. 4. Mithilfe von Künstlicher Intelligenz (KI) werden Personendaten ausgewertet, um den Nutzern einmal am Tag ein passendes Profil vorzustellen («Match»). Da die Nutzer der App aufgefordert werden, echte Angaben über sich zu machen, erfolgt sowohl bei der Datenerhebung bei den Nutzern als auch bei der Vermittlung von passenden Dating-Partnern eine Bearbeitung von Personendaten. 5. Auf der Grundlage von Art. 29 des Bundesgesetzes über den Datenschutz (DSG) leitete der EDÖB mit Schreiben vom 15. Februar 2021 eine Sachverhaltsabklärung bei der Once Dating AG ein, um einerseits ihre Löschungsprozesse zu prüfen und andererseits zu klären, ob die Bearbeitungen der Once Dating AG die Anforderungen des Datenschutzes an Datensicherheit und Transparenz einhalten. 6. Am 9. April beantwortete die Once Dating AG, vertreten durch Frau Rechtsanwältin die Fragen des EDÖB und teilte mit, dass kein Testzugang zu der App gewährt werden könne. Ausserdem erklärte RA dass die Once Dating AG die Kanzlei beauftragt habe, ihre Datenbearbeitungsaktivitäten zu analysieren und die aktuellen Datenschutz-Policies dem revidierten DSG in den nächsten Monaten entsprechend anzupassen. Die neuen internen Datenschutz-Policies wurden als "Work in Progress" als Beilage geschickt. Mit E-Mail vom 19. April 2021 stellte der EDÖB der Once Dating AG verschiedene Zusatzfragen, zu welchen diese fristgerecht mit Schreiben vom 10. Mai 2021 Stellung nahm. 7. Am 23. Juni 2021 stellte der EDÖB der Once Dating AG seine Sachverhaltsfeststellung vom selben Datum zu. Diese basiert ausschliesslich auf den von der Once Dating AG gelieferten

1 Bundesamt für Statistik (Hg.): Erhebung zu Familien und Generationen 2018. Erste Ergebnisse. Neuchâtel 2019, 9 S., verfügbar unter: https://www.bfs.admin.ch/bfs/de/home/statistiken/bevoelkerung/erhebungen/efg.assetdetail.10467788.html [aufgerufen am 14.04.2020] https://www.bfs.admin.ch/bfs/de/home/statistiken/bevoelkerung/erhebungen/efg.assetdetail.10467788.html https://www.bfs.admin.ch/bfs/de/home/statistiken/bevoelkerung/erhebungen/efg.assetdetail.10467788.html

5/44

Antworten und Dokumenten (Vgl. Ziff. 1.5) sowie aus öffentlich zugänglichen Informationen auf der Webseite der Once Dating AG (Datenschutzrichtilinien, FAQ, Medienmitteilungen etc.) sowie Informationen im Apple Store und Google Play Store. Der EDÖB hat aufgrund der ausreichenden Dokumentation auf eine Sitzung mit Vertretern der Once Dating AG wie auch auf einen Augenschein vor Ort verzichtet. Mit Schreiben vom 21. Juli 2021 nahm die Once Dating AG fristgerecht Stellung zur Sachverhaltsfeststellung. Der vorliegende Schlussbericht des EDÖB basiert auf diese Sachverhaltsfeststellung und beinhaltet die rechtliche Würdigung des EDÖB des Sachverhalts sowie seine Empfehlungen im Sinne des Datenschutzes. 1.2. Chronologie 15.02.2021: Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragenkataloges an Once Dating AG 19.03.2021: Mitteilung der Vertretung durch und Fristerstreckungsgesuch 09.04.2021: Beantwortung Fragenkatalog 19.04.2021: Stellung Zusatzfragen 10.05.2021: Beantwortung Zusatzfragen 23.06.2021: Versand Sachverhaltsfeststellung an Once Dating AG 21.07.2021: Änderungsvorschläge der Once Dating AG zur Sachverhaltsfeststellung 03.03.2023: Versand Schlussbericht, inklusive Empfehlungen, an Once Dating AG zur Stellungnahme 30.03.2023: Gewährung der mit Schreiben vom 28. März 2023 beantragten Fristverlängerung 02.05.2023: Annahme der Empfehlungen durch Once Dating AG 17.05.2023: Versand Schlussbericht mit Ergänzungen, an Once Dating AG

1.3. Gesetzliche Grundlage 8. Art. 1 bis 15 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Gemäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (Systemfehler). Gemäss Art. 29 Abs. 2 DSG kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. 1.4. Umfang der Sachverhaltsabklärung 9. Die vorliegende Sachverhaltsabklärung zielt darauf ab zu prüfen, ob und inwiefern Mängel hinsichtlich der Konformität mit dem DSG bei der Bearbeitung von Löschbegehren, bei der Erhebung und Weitergabe von Personendaten der Nutzer an Dritte und bei der Einhaltung des Bearbeitungsgrundsatzes der Transparenz und der Datensicherheit bestehen. 1.5. Berücksichtigte Dokumente 10. Die Sachverhaltsfeststellungen des EDÖB stützen sich auf folgende Dokumente ab: - Schreiben vom 9. April 2021 (vorab per E-Mail) mit folgenden Beilagen: o Datenflussdiagramm

6/44

o Interne Datenschutz-Policies als "Work in Progress" aufgrund der Integration in die Dating Group und Anpassungen ans revidierte Schweizer DSG - Schreiben vom 10. Mai 2021 inkl. Anhang 1 – Antworten zu Zusatzfragen - Schreiben vom 21. Juli 2021 inkl. Anhang 1 – Änderungsvorschläge zur Sachverhaltsfeststellung 2. Sachverhalt 2.1. Differenzen bei der Sachverhaltsfeststellung und dem Schlussbericht 11. Die Once Dating AG hat ihre Änderungs- und Ergänzungsvorschläge zur Sachverhaltsfeststellung vom 23. Juni 2021 mit Stellungnahme vom 21. Juli 2021 mitgeteilt. Diese wurden bei der Verfassung dieses Schlussberichts berücksichtigt. 2.2. Funktionsweise der App 2.2.1. Datenflussmodellierung 12. Das erhaltene Datenflussdiagramm ist in die drei Schichten Mobile App Functional Architecture, Backend Functional Architecture und Once Backend Technical Architecture gegliedert. 13. In Abbildung 1 wird die Benutzeroberfläche (UX Modules) dargestellt. Diese bezieht sich auf alle Dinge, auf die der Once App Nutzer zugreift, um Anforderungen zu senden oder andere Aufgaben in der Cloud auszuführen. Synchron erfolgen im Weiteren das Logging etc. mittels den dargestellten Tech and UX monitoring modules. Abbildung 1: Ansicht der Mobile App Functional Architecture

7/44

14. Die in Abbildung 2 dargestellte Funktionsschicht Backend Functional Architecture beschreibt die Administrationsoberfläche der App Once. Also primär alle Operationen, die im Hintergrund vorgenommen werden (bspw. das Aussehen und die Funktionen im Frontend verändern). Abbildung 2: Übersicht zur Backend Functional Architecture.

15. Die vorgängig abgebildete Datenflussmodellierung wird in Abbildung 3 zerlegt und auf einer detaillierteren Ebene genauer beschrieben, wie folgende Abbildung schematisch zeigt. Abbildung 3: Illustration der Once Backend Technical Architecture.

8/44

16. Die Backend-Architektur in der Cloud unterstützt die Frontend-Architektur. Sie besteht aus Hardware und Speicher und befindet sich auf einem Remote-Server. Der Cloud-Provider (AWS) steuert und verwaltet diese Backend Technical Architecture. 2.2.2. Registrierungsverfahren 17. Die App Once kann über den Google Play Store und über den Apple App Store heruntergeladen werden. Um die App zu nutzen, muss sich die Nutzerin oder der Nutzer registrieren. Gemäss Angaben der Once Dating AG kann die Anmeldung aktuell über 3 Methoden erfolgen: per Telefon, via Facebook-Connect oder via Apple-ID2, wobei die letzte Methode nur für Nutzer verfügbar ist, die die App auf einem Apple Gerät installiert haben. Gemäss der Datenschutzrichtlinie sollte eine Anmeldung per E-Mail auch möglich sein, womit offenbar das Login via Apple-ID gemeint ist.3 18. Für jede der drei Methoden ist ein unterschiedliches Verifizierungsverfahren vorgesehen, mit dem Ziel sicherzustellen, dass die Profile von Menschen und nicht von Robotern erstellt werden. Wer sich mit einer Handynummer anmeldet, wird mittels eines SMS-Verifizierungsprozesses verifiziert. Dabei erhält die Person einen Code per SMS, welchen sie in ihrem Profil eingeben muss. Bei einer Anmeldung über Facebook-Connect4 wird die Identität der Nutzer verifiziert, indem die Nutzerin oder der Nutzer der Once Dating AG Zugriff auf Daten ihres oder seines Facebook Profils gewährt. Diese seien gemäss Once Dating AG der Nutzername, das Geburtsdatum, die Nutzerfotos und die Nutzer-E-Mail von Facebook. Dadurch wird das Profil des Nutzers bei Once mit seinem Facebook-Account verknüpft. Die Once Dating AG hat hierzu Folgendes klargestellt: Obwohl in der Datenschutzrichtlinie aufgeführt wird, dass bei einer Anmeldung über Facebook darüber hinaus die «Freundesliste, Fotos und Interessen sowie Likes entsprechend den Facebook-Posts» an die Once Dating AG übermittelt werden, die Once Dating AG diese zusätzlichen Informationen nicht erhält.5 Wenn man sich für die Verifizierung per Apple ID entscheidet, erhält die Once Dating AG die E-Mail-Adresse oder einen Proxy der E-Mail-Adresse, je nach den Einstellungen der Nutzerin oder des Nutzers. 6 19. Nutzer müssen ausserdem mindestens 18 Jahre alt sein. Um dies zu prüfen, fordert Once ihre Nutzerinnen und Nutzer auf, einige Angaben über sich zu machen, wenn sie sich als Mitglied registrieren. Pflichtangaben sind: Vorname, Bild(er), Alter, Land/Standort sowie sexuelle Orientierung.7 Die Once Dating AG prüft das Alter und die Echtheit des Profils anhand der Bilder, welche die Nutzerin oder der Nutzer in die App hochlädt. Alle Profile werden mithilfe des Bildmoderationstools Sightengine halbautomatisch moderiert. Wenn die Nutzerin oder der Nutzer Bilder hochlädt, auf denen keine Person erkennbar ist bzw. nur eine Illustration auf dem Foto zu sehen ist, oder falls auf dem Foto mit hoher Wahrscheinlichkeit ein Prominenter oder ein Minderjähriger erkannt wird, wird das Profil gesperrt und manuell moderiert.

2 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 3 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 4 Mehr Informationen zum Facebook Tool «Facebook Login» unter Ziff. 31 5 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 6 Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26 f.) 7 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.) und Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] https://getonce.com/de/terms#privacy https://getonce.com/de/terms#privacy https://getonce.com/de/terms#privacy https://getonce.com/de/terms#privacy

9/44

Die entsprechenden Bilder werden entfernt und die Nutzerin oder der Nutzer wird entweder gesperrt oder benachrichtigt, die Bilder zu ändern.8 2.2.3. Matchmaking 20. Neben den Pflichtangaben können die Nutzer der App die folgenden Angaben freiwillig machen: Beschreibung; Bildung; Grösse; Job & Arbeitgeber; Kekse (Fragen zur Persönlichkeit); Hobbys; Reisen; Kinder/ keine Kinder; Religion; Politik; Vorlieben beim Trinken und Vorlieben beim Rauchen. Diese Informationen sowie die Pflichtangaben werden von der KI ausgewertet, um eine Partnerin oder einen Partner zu vermitteln, sind aber durch die anderen Nutzer nicht einsehbar (siehe Ziff. 27). 21. Der «Matchmaking-Algorithmus» wählt potentielle Partner basierend auf den Informationen in den Profilen der Nutzer und aufgrund ihrer täglichen Bewertungen von Profilen anderer Nutzer. Er ist eine selbstlernende KI, die Rückschlüsse über die Partnerpräferenzen der Nutzer aus diesen Bewertungen zieht. Sie passt sich dementsprechend an, um die vermuteten Präferenzen der Nutzer bei künftigen Vorschlägen zu berücksichtigen. Je mehr die Nutzer andere Profile bewerten, desto besser weiss die KI über deren Vorlieben Bescheid und kann dementsprechend bessere Matchs machen. Der Algorithmus lernt auch dadurch, dass er über die Kompatibilität zwischen den Nutzern lernt.9 2.2.4. Bearbeitungszwecke 22. Alle Informationen der Nutzer werden gemäss Angaben der Once Dating AG ausschliesslich für das Matchmaking verwendet. Die Once Dating AG führt in diesem Zusammenhang aus, dass sie «im Gegensatz zu vielen ihrer Konkurrenten, die Daten der Nutzer nicht verkauft und die persönlichen Daten der Nutzer nicht über In-App-Werbung monetarisiert»10 und, dass sie «keine persönlichen Daten für Werbung [verwendet], (…) die Nutzer nicht für Werbung [monetarisiert] und (…) nicht mit Affiliates [arbeitet]».11 23. Gemäss der Once Dating AG bedeutet die Aussage, dass sie keine persönlichen Daten für Werbung verwende, dass keine Anzeigen innerhalb der App Once platziert sind (Interstitials, Banner, etc.), welche Personendaten der Nutzer verwenden, um ihnen Werbung anzuzeigen. Mit der Aussage «wir monetarisieren unsere Nutzer nicht für Werbung» meint Once Dating AG, dass sie keine Nutzerdaten gegen irgendeine Art von Entgelt weitergeben.12 24. Die Once Dating AG bearbeitet Nutzerdaten für folgende Zwecke: a. Bereitstellung des täglichen Matches; b. Um passende Nutzer in der App vorzustellen z.B. auf dem Bewertungsbildschirm; c. Um Produktinformationen an die Nutzer zu senden z.B. Benachrichtigungen von erhaltener Nachrichten etc;

8 Ausserdem werden die Bilder moderiert, wenn der Algorithmus Nacktheit, Waffen oder rassistische Elemente mit hoher Wahrscheinlichkeit auf den Fotos erkennt. Vgl. Antwort zur Frage 14.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 f. bzw. 26 f.) 9 Vgl. Antwort zur Frage 2.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 3 f. bzw. 19 f.) 10 Vgl. Schreiben vom 9. April 2021, S. 1 f. 11 Vgl. Antwort zur Frage 6 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 12 Vgl. Antwort zur Zusatzfrage 2 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021).

10/44

d. Um Marketingkommunikation zuzustellen z.B. Nutzerumfragen und Werbeaktionen; e. Weitergabe an Dritte zu Marketingzwecken. 13 2.2.5. Weitere Massnahmen zur Missbrauchsbekämpfung 25. Neben der Verifizierung bei der Registrierung und der halbautomatisierten Bildermoderation implementiert die Once Dating AG auch die folgenden Massnahmen und bearbeitet dabei Personendaten der Nutzer, um Fake-Profile und andere Nutzermissbräuche zu erkennen und zu bekämpfen: a. Nutzerberichten: An 3 Endpunkten in der App haben die Nutzer die Möglichkeit, «bösartiges Verhalten» anderer Nutzer zu melden. b. Regelmässige IP-Prüfungen (und evtl. Blockierung): IP-Adressen aus bestimmten Ländern, die als besonders riskant eingeschätzt werden, die bereits von anderen bekannten betrügerischen Nutzern verwendet worden sind oder die zu Dritten gehören, die VPN anbieten und als betrügerisch bekannt sind, können blockiert werden. c. Punkte im Bewertungssystem: auf Basis von Nutzerberichten wurde ein Bewertungssystem implementiert, welches betrügerische Profile gemäss den folgenden Kriterien erkennt: Nutzerberichte, Wahrscheinlichkeit, dass es sich um eine betrügerische Telefonnummer handelt, letzte bekannte IP-Adressen, Bewertungsverhalten (Geschwindigkeit und Bewertung), Grösse der Beschreibung. d. Manuelle Moderation: Die Once Dating AG führt täglich eine manuelle Moderation durch, um andere Probleme zu beheben und um Scammer-Muster zu entdecken. e. Kundenbetreuung: die Nutzer können sich an den Kundendienst wenden, um Probleme (inkl. gefälschte Profile) zu melden. Die Once Dating AG hat ein Team von 2 Personen, die, unter der Aufsicht des CPO, Tickets in 4 Sprachen verwalten.14 2.2.6. Bekanntgabe von Personendaten der Nutzer an Dritte 26. Gemäss der Datenschutzrichtlinie von der Once Dating AG können Personendaten der Nutzer an die folgenden Dritten übermittelt werden: andere Nutzer von Once und «Dritten, die auf Rechnung von Once bestimmte Leistungen erbringen».15 2.2.7. Bekanntgabe von Personendaten an andere Nutzer der App 27. Mit Ausnahme der Fotos, die im «Bewertungsbildschirm» von anderen Nutzern eingesehen werden können, sind die Profilinformationen eines Nutzers oder einer Nutzerin nur für diejenigen Personen zugänglich, die vom Algorithmus als «Match des Tages» ausgewählt wurden.16

13 Vgl. Antworten zu Fragen 25.3 und 28.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 32 f.) 14 Vgl. Antwort zur Frage 14.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 11 f. bzw. 27 f.) 15 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 4 «Weitergabe Ihrer personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 16 Vgl. Antwort zur Frage 4.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20 f.) https://getonce.com/de/terms#privacy

11/44

28. Nicht registrierte Nutzer haben keine Möglichkeit, auf Personendaten registrierter Nutzer zuzugreifen.17 2.2.8. Bekanntgabe von Personendaten an Dienstleister/Partner 29. Gemäss der Datenschutzrichtlinie von Once Dating AG, können Personendaten der Nutzer «mit Dritten ausgetauscht werden, «die auf Rechnung von Once bestimmte Leistungen erbringen, wie zum Beispiel externen Dienstleistern insbesondere für Hosting und Pflege der Daten, Analysen, Kundendienst, Zahlungsabwicklung und Sicherheitsmaßnahmen.».18 «Austausch» soll hier gemäss der Once Dating AG als «Bekanntgabe» verstanden werden, weil die Once Dating AG keine personenbezogenen Daten von Nutzern von Dritten erhält, abgesehen von den Daten, die mit dem Facebook SDK beim Facebook-Login übertragen werden.19 30. Diese Datenbekanntgaben erfolgen im Zusammenhang mit folgenden Bearbeitungszwecken: Kundensupport, Zahlungsabwicklung und Sicherheitsoperationen sowie Analysen für Marketingzwecke. Die Once Dating AG verlässt sich auf externe Partner oder Dienstleister in diesen Bereichen, um einen sicheren und hochwertigen Service zu betreiben, weil sie nicht alle Kompetenzen oder technischen Bausteine im Haus hat.20 31. Die nachfolgenden Partner erhalten Zugriff auf folgende Daten:21: Dienstleister Dienst Kategorien der im Auftrag bearbeiteten Daten Facebook App-Analytik22: Messung und Visualisierung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version), anonymisierte Benutzerinformationen (Geschlecht, Plattform, Land), udid23 Facebook Login Facebook-Konto Google Analytics und Firebase App-Analytik: Messung und Visualisierung aller In-App-Ereignisse, Funnels, Kohorten, etc. App-Ereignisse, Telefonumgebung (Plattform, OS, App-Version, udid), anonymisierte Benutzerinformationen (Geschlecht, Plattform, Land, IP-Adresse)

17 Vgl. Antwort zur Frage 4.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 bzw. 21 f.) 18 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 2 «Arten von erhobenen personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 19 Vgl. Antwort zur Frage 5.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 7 bzw. 23) 20 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.) 21 Vgl. Antworten zur Fragen 5.1 und 5.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 5 f. bzw. 21 f.), Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) und Änderungsvorschlag 1 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 22 Das Tool Facebook Analytics wird am 30. Juni 2021 von Facebook eingestellt. Vgl. Facebook, Facebook Analytics wird eingestellt, verfügbar unter https://www.facebook.com/business/help/ 966883707418907 [aufgerufen am 26.04.2021]. 23 Udid ist ein Akronym für «Unique Device Identifier». Dies ist eine eindeutige Kennung für jedes Apple-Gerät. https://getonce.com/de/terms#privacy https://www.facebook.com/business/help/%20966883707418907

12/44

Batch Reengagement-Dienste: ermöglicht das Senden von Push-Benachrichtigungen an Benutzer, basierend auf Ereignissen und Auslösern. App-Ereignisse, Telefonumgebung (Plattform, Betriebssystem, App- Version), Benutzerinformationen (Geschlecht, Plattform, Alter, Land, Standort, Trinkvorlieben, Grösse, Politik, Religion, Sexualität) Adjust Analytik und Werkzeug zur Attributionserkennung Anonyme Benutzerkennung, App- Sitzungen (von Adjust SDK abgerufen), Umsatz, udid Paypal Online Bezahldienst. Anonyme Benutzerkennung Stripe Online Bezahldienst. Anonyme Benutzerkennungen, Kreditkartennummer, E-Mail-Adresse Sightengine Bildanalyse zur Moderation Anonyme Benutzerkennungen und Bilder Telesign Überprüft die Telefonnummer, die für die Benutzerauthentifizierung bei der Anmeldung verwendet wird. Sendet einen 6-stelligen Code zur Verifizierung, damit sich der Benutzer anmelden kann. Rufnummer Logentries24 Werkzeug zur Verwaltung von Protokollen Anonyme Benutzerkennung

Airbrake Crash-Reporting-Werkzeug Anonyme Benutzerkennung Sendgrid Reengagement-Dienste: ermöglicht das Senden von E-Mails an Benutzer, basierend auf Ereignissen und Auslösern E-Mail-Adresse Looker Visualisiert die wichtigsten Daten, um sie zu analysieren, Berichte zu erstellen und Entscheidungen zu treffen. Anonyme Benutzerkennungen, Produktereignisse, Geschlecht, Betriebssystem, Alter Zendesk Cloudbasierte Kundensupport-Plattform. Anonyme Benutzerkennung, E- Mail-Adresse und Konversationen mit unserem Kundensupport Vonage Videochats zwischen Nutzern, nachdem die Zustimmung eingeholt wurde. Anonyme Benutzerkennung und Video Apple Apple Sign-In E-Mail-Adresse für Apple-Anmeldung Tabelle 1 32. Grösstenteils erfolgen diese Datenbekanntgaben an Dienstleister/Partner über Programmierschnittstellen (API), welche durch das Einbauen von vorgefertigten Code-Bausteinen (SDK)

24 Dieser wird gemäss der Once Dating AG derzeit entfernt.

13/44

der Dienstleister in den Code der App Once ausgelöst werden. Durch die Integration dieser SDK werden viele Funktionen der App durch Algorithmen, welche von Dritten entwickelt werden, ausgeführt. 33. Einige dieser Algorithmen von Dritten führen eine Trackingfunktion aus. Dabei werden Personendaten der Nutzer durch Ditte bearbeitet, um das Nutzerverhalten zu verfolgen: Facebook Analytics, Google Analytics, Batch, Firebase,25 Adjust26, Telesign27, Sendgrid28, Looker29, Vonage30 und Airbrake31. 34. Die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Google) wird an den Dienstleister Adjust übermittelt, der seinerseits die Werbe-ID an Dritte (insbesondere Facebook und Google) für Werbezwecke weitergibt. Die Once Dating AG speichert jedoch die IDFA oder GPS-ADID der Nutzer nicht auf ihren Servern und verknüpft keine Daten der Nutzer zu deren Werbe- ID.32

25 Vgl. Antwort zur Fragen 27, 27.1 und 27.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 26 Adjust wurde zwar nicht in der Antwort von Once Dating AG zur Frage 27.1 erwähnt, wird aber gemäss ihrer Antwort zur Frage 23 hier auch aufgeführt. (Anhang 1 des Schreibens vom 9. April 2021, S. 15 bzw. 32) 27 Telesign wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der gemäss der Privacy Notice erhobenen Daten hier aufgeführt. Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 18.05.2021]. 28 Sendgrid wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der gemäss dem Privacy Statement von Twilio möglicherweise erhobenen Daten hier aufgeführt. Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personalinformation [aufgerufen am 18.05.2021] 29 Looker wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der gemäss der Privacy Policy von Looker möglicherweise erhobenen Daten hier aufgeführt. Vgl. Ziff. 2 der Privacy Policy, verfügbar unter https://looker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 30 Vonage wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird aber aufgrund der gemäss der Privacy Policy von Vonage möglicherweise erhobenen Daten hier aufgeführt. Vgl. https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 31 Airbrake wurde zwar nicht in der Antwort von Once Dating zur Frage 27.1 erwähnt, wird hier aber aufgeführt, weil gemäss der Airbrake Privacy Notice Drittdienste wie bspw. Google Analytics Daten von Airbrake Nutzern erheben können. Vgl. https://airbrake.io/privacy#information-collected [aufgerufen am 18.05.2021]. 32 Vgl. Antworten zur Fragen 22 bis 25 (Anhang 1 des Schreibens vom 9. April 2021, S. 15 f. bzw. 32) https://www.telesign.com/privacy-notice https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personal-information https://www.twilio.com/legal/privacy#how-twilio-processes-your-end-users-personal-information https://looker.com/trust-center/privacy/policy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://airbrake.io/privacy#information-collected

14/44

35. Gewisse Dienstleister behalten sich das Recht vor, die ihnen durch Once Dating AG bereitgestellten Daten im eigenen Interesse zu nutzen. Diese sind: Facebook, Google,33 Sendgrid34, Looker35, Vonage36 und Paypal37.38 2.2.9. Bekanntgabe von Personendaten ins Ausland 36. Gemäss der Datenschutzrichtlinie der Once Dating AG erfolgt manchmal eine Datenbekanntgabe ins Ausland, wenn Daten an Dritte weitergegeben werden. Für die Übermittlung von Daten in Länder, die kein angemessenes Datenschutzniveau aufweisen, wie zum Beispiel die USA, beruft sich die Once Dating AG auf EU-Standardvertragsklauseln oder «andere geeignete Schutzklauseln, um diesen Datenübertragungen einen festen Rahmen zu verleihen und die Geheimhaltung und Sicherheit Ihrer Daten abzusichern.».39 37. Auf die Frage, in welchem Rahmen eine Datenübertragung in Länder ohne angemessenes Datenschutzniveau erfolgt und welche Personendaten davon betroffen sind, gab die Once Dating AG lediglich den Cloud-Anbieter Amazon Web Services an, welche die Daten von der App Once hostet, wobei alle Daten in der EU (Irland) gespeichert werden, ausser den Fotos der Nutzer, die in einer AWS-Instanz in den USA gespeichert werden40.

33 Vgl. Antwort zur Zusatzfrage 1 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021). 34 Sendgrid wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss dem Privacy Statement von Twilio hier aufgeführt. «When we process Customer Usage Data, we act as a processor in many respects, but we may act as a controller in others. For example, we may need to use certain Customer Usage Data for the legitimate interests of billing, reconciling invoices with telecommunications carriers, and in the context of troubleshooting and detecting problems with the network. (…) » Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#how-twilio-processes-your-personal-information [aufgerufen am 18.05.2021] 35 Looker wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Looker hier aufgeführt. Vgl. Privacy Policy von Looker, verfügbar unter: https://looker.com/trust-center/privacy/policy [aufgerufen am 18.05.2021] 36 Vonage wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Vonage hier aufgeführt. Vgl. Vonage Privacy Policy, verfügbar unter: https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 18.05.2021] 37 Paypal wurde zwar nicht in der Antwort von Once Dating AG zur Zusatzfrage 1 erwähnt, wird aber gemäss der Privacy Policy von Paypal hier aufgeführt. Vgl. Privacy Policy, verfügbar unter: https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 [aufgerufen am 18.05.2021] 38 Zwischen der Zustellung der Sachverhaltsfeststellung und der Erarbeitung des Schlussberichts wurde die Privacy Notice von TeleSign überarbeitet. Gemäss den neuen Bestimmungen behält sich die TeleSign nicht mehr vor, Daten, die sie im Auftrag erhält, für eigene Zwecke zu bearbeiten. «In den meisten Fällen sind wir ein "Datenverarbeiter", d.h. wir verarbeiten Persönliche Daten, die wir von Organisationen (TeleSigns "Kunden") für die Erbringung unserer Dienstleistungen erhalten. […] Als Datenverarbeiter erheben und verwenden wir Ihre personenbezogenen Daten in Übereinstimmung mit den vertraglichen Verpflichtungen, die wir mit unseren Kunden haben.». Deshalb wird TeleSign in dieser Auflistung nicht mehr aufgeführt. Vgl. Hinweis zum Datenschutz, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.02.2022] 39 Vgl. Datenschutzrichtlinie vom 26.05.2020, Ziff. 5 «Übertragung von personenbezogenen Daten», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] 40 Vgl. Antworten zur Fragen 15.1 und 15.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 bzw. 28 f.) https://www.twilio.com/legal/privacy#how-twilio-processes-your-personal-information https://looker.com/trust-center/privacy/policy https://looker.com/trust-center/privacy/policy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 https://www.telesign.com/privacy-notice https://getonce.com/de/terms#privacy

15/44

38. Die gemäss Once Dating AG als Schutzklausel einschlägige AWS Kundenvereinbarung hält zum Datenschutz Folgendes fest: «3.2 Datenschutz. Sie können die AWS Regionen benennen, in denen Ihre Inhalte gespeichert werden. Sie stimmen der Speicherung Ihrer Inhalte in den von Ihnen gewählten AWS Regionen sowie deren Übertragung in diese AWS Regionen zu. Wir werden nicht auf Ihre Inhalte zugreifen oder diese nutzen, es sei denn, dies ist notwendig, um die Serviceangebote zu warten oder anzubieten oder erforderlich, um die Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Ihre Inhalte (a) nicht an staatliche Stellen oder Dritte weitergeben oder (b) Ihre Inhalte, vorbehaltlich Ziffer 3.3, nicht in andere als die von Ihnen gewählten AWS-Regionen verlagern, es sei denn, dies ist im Einzelfall erforderlich, um Gesetze einzuhalten oder einer verbindlichen Anordnung einer staatlichen Stelle nachzukommen. Wir werden Sie über eine rechtliche Verpflichtung oder Anordnung im Sinne dieser Ziffer 3.2 informieren, es sei denn, dies ist uns gesetzlich oder durch die Anordnung einer staatlichen Stelle untersagt. Wir werden Ihre Account Informationen nur der Datenschutzerklärung entsprechend verwenden, und Sie stimmen hiermit einer solchen Nutzung zu. Die Datenschutzerklärung ist auf Ihre Inhalte nicht anwendbar.» 41 39. Wir stellen aber aus der von der Once Dating AG bereitgestellten Partnerliste fest, dass verschiedene Dienstleister, mit denen die Once Dating AG zusammenarbeitet, in ihren Datenschutzerklärungen bzw. Nutzungsbedingungen ankündigen, dass sie Personendaten von Endkunden in Drittländer (z.B. USA) übermitteln. Ein angemessener Schutz der Daten in dem Zielland werde gemäss den Partnern durch EU-Standardvertragsklausel oder eine Zertifizierung unter dem Privacy Shield Framework gewährleistet. Diese sind: Google (Google Analytics, Firebase und Looker42), Facebook43, Adjust44; Paypal45; Stripe46; Sightengine47;

41 Vgl. AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 42 Vgl. Rechtliche Rahmenbedingungen für Datenübermittlungen, verfügbar unter https://policies.google.com/privacy/frameworks?hl=de und Ziff. 10 der Data Processing and Security Terms for Looker Services (Customers), verfügbar unter https://looker.com/trust-center/legal/customers/dpst [aufgerufen am 28.04.2021] 43 Vgl. Informationen für Unternehmen, verfügbar unter https://www.facebook.com/business/gdpr [aufgerufen am 28.04.2021] 44 Vgl. Annex “General Terms and Conditions for Data Processing”, verfügbar unter https://www.adjust.com/terms/general-terms-and-conditions/?entity=rest-of-world [aufgerufen am 28.04.2021] 45 Vgl. Ziff. 7 der Datenschutzerklärung, verfügbar unter https://www.paypal.com/ch/webapps/mpp/ua/privacyfull?locale.x=en_CH#7 [aufgerufen am 28.04.2021] 46 Vgl. Ziff. 7 der «Global Privacy Policy – World», verfügbar unter https://stripe.com/gb/privacy#internationaldata-transfers [aufgerufen am 28.04.2021] 47 Vgl. Data Processing Addendum, verfügbar unter https://s3-eu-west-1.amazonaws.com/static.sightengine.com/legal/20191212-dpa.pdf und Liste von Sub-Processors, verfügbar unter https://sightengine.com/policies/subprocessors [aufgerufen am 28.04.2021] https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf https://policies.google.com/privacy/frameworks?hl=de https://policies.google.com/privacy/frameworks?hl=de https://looker.com/trust-center/legal/customers/dpst https://www.facebook.com/business/gdpr https://www.adjust.com/terms/general-terms-and-conditions/?entity=rest-of-world https://www.adjust.com/terms/general-terms-and-conditions/?entity=rest-of-world https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 https://www.paypal.com/ch/webapps/mpp/ua/privacy-full?locale.x=en_CH#7 https://stripe.com/gb/privacy#international-data-transfers https://stripe.com/gb/privacy#international-data-transfers https://s3-eu-west-1.amazonaws.com/static.sightengine.com/legal/20191212-dpa.pdf https://s3-eu-west-1.amazonaws.com/static.sightengine.com/legal/20191212-dpa.pdf https://sightengine.com/policies/subprocessors https://sightengine.com/policies/subprocessors

16/44

Telesign48; Rapid749; Airbreak50; Twilio (Sendgrid)51; Zendesk52 und Vonage53. Also alle ausser Batch54. 40. Gemäss den «Internen Datenschutz-Policies», welche die Once Dating AG im Hinblick auf das neue DSG erarbeitet und gemäss ihrer Anwältin Fr. noch als «Work in Progress» zu betrachten sind, dürften Auftragnehmer der Once Dating AG keine Personendaten in Drittländern ohne die Zustimmung der Once Dating AG übermitteln. Sollte die Once Dating AG dies jedoch erlauben, dann würde sie als Auftraggeberin in der Regel sicherstellen, dass sich die fraglichen Datenübermittlungen auf die von der EU genehmigten Standardvertragsklauseln für die Übertragung persönlicher Daten stützen.55 2.3. Aufbewahrung und Löschung von Personendaten 2.3.1. Deaktivierung von Konten auf Verlangen 41. Nutzer können ihr Konto jederzeit selbst in der App deaktivieren, indem sie unter den Einstellungen die Option «Mein Konto deaktivieren» wählen. Wenn eine Nutzerin oder Nutzer dies tut, wird ihr oder sein Profil für andere Mitglieder unsichtbar gemacht. Eine Reaktivierung ist innerhalb eines Jahres möglich, weil die Informationen des Kontos für 1 (ein) Jahr nach dem Deaktivierungsdatum aufbewahrt werden.56 2.3.2. Löschung von Konten bzw. Personendaten der Nutzer auf Verlangen 42. Man findet zwar keine eigenständige In-App Option unter den Einstellungen («Paramètres») für das Löschen des Kontos mit entsprechenden Personendaten, aber es besteht seit 2017 die Möglichkeit, einen Löschungsantrag durch das Auswählen der Option «ich will mein

48 Vgl. Privacy Notice von Telesign, verfügbar unter: https://www.telesign.com/privacy-notice [aufgerufen am 15.05.2022] 49 Vgl. Rapid7 Privacy Policy, verfügbar unter: https://www.rapid7.com/de/privacy-policy/ [aufgerufen am 28.04.2021] 50 Vgl. Airbreak Privacy Policy, verfügbar unter: https://airbrake.io/privacy [aufgerufen am 28.04.2021] 51 Vgl. Twilio Privacy Statement, verfügbar unter: https://www.twilio.com/legal/privacy#transfers-of-personal-information-out-of-the-eea-and-switzerland [aufgerufen am 28.04.2021] 52 Vgl. Ziff. 8 der «Privacy Policy von Zendesk», verfügbar unter: https://www.zendesk.com/company/customerspartners/privacy-policy/#international-transfer-of-personal-information [aufgerufen am 28.04.2021] 53 Vgl. Privacy Policy von Vonage, verfügbar unter: https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy [aufgerufen am 28.04.2021] 54 Vgl. Ziff. 2.8 des Data Processing Agreements - Batch und Once Dating, verfügbar unter: https://drive.google.com/file/d/1UU8BbAPK5KaKVGzBkW6O_k_xawhQ3a31/view [aufgerufen am 28.04.2021] 55 Vgl. Ziff. 11 des Data Processing Addendums (Beilage 1 zum Schreiben vom 9. April 2021, S. 11) 56 Vgl. Antwort zur Frage 16.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 12 f. bzw. 29) und FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-deaktiviere-ich-mein [aufgerufen am 21.04.2021] https://www.telesign.com/privacy-notice https://www.rapid7.com/de/privacy-policy/ https://airbrake.io/privacy https://www.twilio.com/legal/privacy#transfers-of-personal-information-out-of-the-eea-and-switzerland https://www.twilio.com/legal/privacy#transfers-of-personal-information-out-of-the-eea-and-switzerland https://www.zendesk.com/company/customers-partners/privacy-policy/#international-transfer-of-personal-information https://www.zendesk.com/company/customers-partners/privacy-policy/#international-transfer-of-personal-information https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://www.vonage.com/legal/privacy-policy/?icmp=footer_legalpolicy_privacy https://drive.google.com/file/d/1UU8BbAPK5KaKVGzBkW6O_k_xawhQ3a31/view https://getonce.com/de/faq#wie-deaktiviere-ich-mein

17/44

Konto löschen» über den In-App Kontaktkanal («Nous contacter») einzureichen, wie folgende Abbildung zeigt:57 43. Somit können Löschbegehren entweder per Brief an die Adresse der Once Dating AG in Pfäffikon SZ, per E-Mail an hello@getonce.com oder über den Kontaktkanal in der App eingereicht werden. Die Bearbeitungszeit von Löschbegehren beträgt gemäss Angaben der Once Dating AG 24 Stunden und erfolgt seit Mai 2021 in automatisierter Form mithilfe eines Löschungs-Skripts, welches täglich ausgeführt wird.58 44. Gemäss der Datenschutzrichtlinie der Once Dating AG sollen Datenschutzbegehren jedoch an die E-Mail-Adresse dpo@getonce.com gerichtet werden, wo sie in der Regel innerhalb von zwei Monaten nach Eingang von der Once Dating AG bearbeitet werden. In der Datenschutzrichtlinie wird ausserdem ausgeführt, dass der Anfrage eine Kopie eines mit der Unterschrift des Inhabers versehenen Ausweisdokuments beizufügen ist. Darüber hinaus werden die Betroffenen darauf hingewiesen, dass falls «sich die Anfragen eines Mitglieds als deutlich unbegründet oder über das Maß hinausgehend herausstellen (insbesondere aufgrund ihres sich wiederholenden Charakters), ist Once [Dating AG] berechtigt, i) angemessene Aufwendungen geltend zu machen, die den Verwaltungskosten für die Bereitstellung der Informationen, den Kommunikationsaufbau oder das Ergreifen der angefragten Maßnahmen Rechnung tragen, oder ii) sich weigern, diesen Anträgen Folge zu leisten.».59 45. In der FAQ zu Once wird die Frage «Wie kann ich mein Konto endgültig löschen, anstatt es nur zu deaktivieren?» wie folgt beantwortet: «Wenn du dein Konto dauerhaft löschen

57 Vgl. Änderungsvorschlag 3 (Anhang 1 des Schreibens vom 21. Juli 2021, S. 2 bzw. 3) 58 Vgl. Antwort zur Frage 18 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 bzw. 30) 59 Datenschutzrichtlinie vom 26.05.2020, Ziff. 9 «Ihre Rechte», verfügbar unter https://getonce.com/de/terms#privacy [aufgerufen am 21.04.2021] Abbildung 4: Screenshot des Kontaktkanals in der App Once («Nous contacter») https://getonce.com/de/terms#privacy https://getonce.com/de/terms#privacy

18/44

möchtest, sende uns eine Nachricht mit deiner Telefonnummer, deiner E-Mail-Adresse oder deiner Facebook-E-Mail-Adresse, damit wir dein Profil finden können. Bitte bedenke, dass alle Vorschläge und alle Profildaten dabei verloren gehen und diese Aktion nicht rückgängig gemacht werden kann.». Es wird jedoch nicht präzisiert, wie bzw. über welchen Kommunikationskanal man diese «Nachricht» der Once Dating AG senden kann.60 46. Die Once Dating AG hat in ihrer Antwort zu unserer Frage Nr. 19 ausgeführt, dass sämtliche Personendaten der Nutzer gelöscht werden, wenn diese es verlangen; in ihrer Antwort zu unserer Frage Nr. 16.1 jedoch festgehalten:«…identifizierenden Daten des Mitglieds werden für 1 (ein) Jahr nach diesem Datum aufbewahrt, für den Fall, dass betrügerisches Verhalten gemeldet wird oder Beschwerden von einem anderen Mitglied gegen das Mitglied vorgebracht werden». 47. Once Dating AG hat hierzu klargestellt, dass in der Regel alle personenbezogenen Daten von Nutzern innert 24 Stunden nach dem Eingang eines Löschbegehrens automatisch gelöscht werden, mit Ausnahme des Falles, dass ein Nutzer mit betrügerischem Verhalten auf der App identifiziert wurde und bereits blockiert wurde. Nur in diesem Fall würden die Daten, die die Nutzerin oder der Nutzer bei der Anmeldung angegeben hat, sowie alle In-App-Aktivitätsdaten der Nutzerin oder des Nutzers für 1 (ein) Jahr nach dem Datum der Blockierung aufbewahrt bevor sie endgültig gelöscht werden.61 2.3.3. Deaktivierung und Löschung von Konten von inaktiven Nutzern 48. Die App Once führt weder eine automatisierte Löschung noch eine Deaktivierung von inaktiven Konten durch. Gemäss Angaben der Once Dating AG werden jedoch die Profile von Nutzern, die für eine lange Zeit die App nicht mehr genutzt haben, «in verschiedenen Dimensionen depriorisiert». Zuerst erfolgt eine De-Priorisierung der inaktiven Nutzer in dem Match-Making-Prozess, wenn sie die App seit mehr als 2 Wochen nicht genutzt haben. Nutzen sie die App seit mehr als 30 Tagen nicht, werden sie in der Datenbank von Once inaktiv. Dies hat zur Folge, dass sie keine Kommunikation (E-Mail, Benachrichtigungen) mehr von der Once Dating AG erhalten, aus ihrer Mailingliste gelöscht werden und nicht mehr für User Experience Umfragen und Fokusgruppen ausgewählt werden.62 2.3.4. Löschung von Personendaten bei Dritten 49. Auf unsere Frage, wie die Datenlöschung bei der Inanspruchnahme von Diensten Dritter sichergestellt wird, teilte uns die Once Dating AG mit, dass sie sich auf Dritte verlasse, um die Daten von gelöschten Nutzern zu löschen. Sie habe allerdings aktuell keinen proaktiven Prozess, um eine sofortige Löschung von Daten, die durch Dritte im Auftrag bearbeitet werden, zu beantragen, obwohl die Vereinbarungen, die sie mit diesen Dienstleistern geschlossen haben, die Möglichkeit vorsehen, dass sie auf Anfrage der Once Dating AG die Nutzerdaten löschen.63 50. Die neuen internen Policies der Once Dating AG beinhalten die folgende Vorgabe zur Löschung von Personendaten, die durch Dritte bearbeitet werden: “Each employee who works with personal data shall take all reasonable measures for the destruction and deletion from all systems of all personal data which is not necessary anymore and in compliance with the

60 Vgl. Antwort FAQ von Once, verfügbar unter https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultiganstatt-es-nur-zu [aufgerufen am 21.04.2021] 61 Vgl. Antwort zur Zusatzfrage 3 (Anhang 1 bzw. 2 des Schreibens vom 10. Mai 2021) 62 Vgl. Antwort zur Frage 3.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 4 bzw. 20) 63 Vgl. Antwort zur Frage 21 (Anhang 1 des Schreibens vom 9. April 2021, S. 14 f. bzw. 31 f.) https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultig-anstatt-es-nur-zu https://getonce.com/de/faq#wie-kann-ich-mein-konto-endgultig-anstatt-es-nur-zu

19/44

rules and keeping policies of Once – this may include the obligation third parties to be required to delete these personal data.”64 2.4. Datensicherheit 2.4.1. Entwicklung der App 51. Gemäss der Once Dating AG wurde die App Once nicht nach einem besonderen Standard hinsichtlich Datenspeicherung und Datenschutz (OWASP; ISO, NIST etc.) entwickelt, aber die Datenschutzkonformität wurde dadurch gewährleistet, dass die Once Dating AG die Entwicklung der Datenschutzvorschriften verfolgt hat und den Rat ihrer Rechtsberater in Bezug auf den Datenschutz bei der Entwicklung der App berücksichtigt hat. Die Once Dating AG ist der Auffassung, dass die Sicherheit der Daten dadurch gewährleistet wird, dass die Entwicklung der Anwendung von Senior Ingenieuren durchgeführt wird, die Erfahrung mit ähnlichen Anwendungen und in einem hochkritischen Kontext gesammelt haben (z. B. Militär, Amadeus, etc.), die Datenspeicherung gemäss den best practices der AWS-Sicherheit erfolgt und die Infrastruktur über Sicherheitsgruppen und IP-Filterung in mehrere Bereiche mit eingeschränktem Zugriff aufgeteilt wird. 2.4.2. Schwachstellentests 52. Die Once Dating AG bearbeitet aufgrund des Zwecks Partnervermittlung sensible Daten der Nutzer, unter anderem auch besonders schützenswerten Daten. Auch wenn diese - auf der Netzwerkebene geschützt - auf einem anderen System liegen, sind sie doch über die App erreichbar. Es wurden bisher weder Audits noch Penetrations-Tests durchgeführt, um die Sicherheit der App durch externe Schwachstellentests überprüfen zu lassen. Im Moment werden nur interne Schwachstellentests durchgeführt. Änderungen werden von einer zweiten Person des Teams auf mehrere Aspekte hin, inkl. die Implikationen der Änderungen aus Sicht des Datenschutzes, überprüft und analysiert, bevor sie aufgeschaltet werden. 65 2.4.3. Monitoring und Patchen 53. Das Monitoring bei Once erfolgt mittels Alarmierung bei Verbindungen zu kritischen Maschinen. Das regelmässige Patchen wird sichergestellt, indem die App typischerweise alle 2 Wochen gepatcht wird. Dies erfolgt durch vollständige Bereitstellungen der API-Infrastruktur.66 2.4.4. Verschlüsselung 54. Die Datenübertragungen zwischen dem Endgerät der Nutzer und den Servern von Once (AWS) erfolgen über verschlüsselte HTTPS-Verbindungen (HTTP over TLS). In der Cloud angekommen, werden die Daten aber wieder vollständig entschlüsselt. Damit hat der Cloud- Anbieter ungehindert Zugriff auf die Daten, da diese im Ruhezustand (Data at Rest) weder pseudonymisiert noch verschlüsselt werden.67 2.4.5. Zugriffskontrollen

64 Vgl. Ziff. 9 der Internal General Data Protection Guidance (Beilage 1 zum Schreiben vom 9. April 2021, S. 18 f.) 65 Vgl. Antworten zur Fragen 8, 11 und 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 f. bzw. 25 f.) 66 Vgl. Antwort zur Frage 12 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 67 Vgl. Antworten zu Fragen 9 und 10 (Anhang 1 des Schreibens vom 9. April 2021, S. 9 bzw. 25)

20/44

55. Der Zugriff auf Nutzerdaten wird einerseits durch VPN und IP-Beschränkungen und andererseits durch Zugriffsberechtigungen eingeschränkt. Ergänzend sind Ratenbegrenzung auf IP- Adressen für die Administration und für die öffentliche API implementiert mit dem Ziel, einen brute force Angriff auf Authentifizierungstoken zu verhindern. Die Administration ist über ein VPN mit persönlichem Zugriff nur für Teammitglieder erreichbar. Das Verwaltungstool ist mit persönlichen Anmeldeinformationen eingeschränkt, wonach jeder Nutzer nur auf diejenigen Daten zugreifen kann, die er benötigt. Ausserdem werden die Daten gemäss den Sicherheitsmassnahmen von AWS gespeichert.68 Logdaten und Protokolle sind durch persönliche Zugangsdaten geschützt, die nur an Personen weitergegeben werden, die Zugang zu den Protokollen benötigen.69 56. Gemäss der uns von der Once Dating AG zugestellten AWS Kundenvereinbarung ist die Once Dating AG «für die ordnungsgemäße Konfiguration und Nutzung der Serviceangebote verantwortlich» und muss «angemessene Maßnahmen ergreifen zur Sicherung, zum Schutz und zum Backup Ihrer Accounts und Ihrer Inhalte, wozu die Nutzung von Verschlüsselungstechnologie zum Schutz Ihrer Inhalte vor unberechtigtem Zugriff sowie eine regelmäßige Archivierung gehören können.». AWS ergreift ihrerseits «zumutbare und angemessene Maßnahmen», um der Once Dating AG «zu helfen, Ihre Inhalte gegen zufällige oder rechtswidrige Verluste, Zugriffe oder Offenlegung zu schützen».70 57. In den neuen internen Datenschutz-Policies werden die technischen und organisatorischen Massnahmen zum Schutz der Daten allgemein unter Ziff. 10.1 des Dokuments «Internal General Data Protection Guidance»71 sowie in Details im Dokument «Technical and Organisational Measures (TOMS)»72 umschrieben. Diese Massnahmen sind ein «Work-in-Progress» und wurden noch nicht implementiert. 2.5. Logging 58. Gemäss der Datenschutzrichtlinie der Once Dating AG werden Daten über die Nutzung der Webseite und der App Once erfasst, wobei alle über die Website und die App realisierten Aktionen sowie die Verbindungen, Verbindungszeiten und die gesamten Interaktionen der Nutzer mit den anderen Nutzern protokolliert werden. Gemäss Angaben der Once Dating AG werden Logdaten aggregiert und ausschliesslich zur Analyse der Applikationsperformance ausgewertet. Logdaten werden für 1 Monat aufbewahrt. 73 2.6. Einwilligung und Datenschutzeinstellungen der App 59. Die Once Dating AG rechtfertigt die Bearbeitung aller Daten, die sie von Nutzern erhebt, auf der Grundlage der Einwilligung der betroffenen Personen (Nutzerin oder Nutzer). Gemäss der Once Dating AG erteilen die Nutzer im Rahmen der Anmeldung74 eine Einwilligung zur Bearbeitung von «Daten, die während des Anmeldevorgangs gesammelt werden, sowie auf

68 Vgl. Antworten zu Fragen 13 und 13.1 (Anhang 1 des Schreibens vom 9. April 2021, S. 10 bzw. 26) 69 Vgl. Antworten zur Frage 26.3 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 70 Vgl. Ziff. 3.1 und 4.3 der AWS Kundenvereinbarung, verfügbar unter https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf [aufgerufen am 28.04.2021] 71 Beilage 1 zum Schreiben vom 9. April 2021, S. 19 f. 72 Beilage 1 zum Schreiben vom 9. April 2021, S. 26 f. 73 Vgl. Antworten zu Fragen 26, 26.1 und 26.2 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 bzw. 33) 74 Durch Ankreuzen des Kästchens neben der Aussage: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen». https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf https://d1.awsstatic.com/legal/aws-customer-agreement/AWS_Customer_Agreement-German_2020-11-30.pdf

21/44

die Profilinformationen, die zu jedem Zeitpunkt der App-Nutzung vom Nutzer gesammelt werden können.».75 60. Es ist nicht möglich, die Datenbearbeitungen in der App Once durch Datenschutzeinstellungen einzuschränken. Nutzer müssen allen Datenbearbeitungen inkl. Weitergabe an Dritte zu Marketingzwecke zustimmen, wenn sie Once nutzen wollen. Wenn sie dies nicht wünschen, können sie ihr Konto deaktivieren oder löschen.76 3. Datenschutzrechtliche Beurteilung 61. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen Aspekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen waren. 3.1. Bearbeitung von Personendaten 62. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) ist auf das Bearbeiten von sog. Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Entscheidend für die Anwendbarkeit des DSG ist vor diesem Hintergrund die Qualifizierung der bearbeitenden Daten als Personendaten. 63. Gemäss Art. 3 lit. a DSG gelten als Personendaten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen. Die gesetzliche Definition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können. Diese Verbindung zu einer Person kann anhand der Daten selbst eindeutig sein. In diesem Fall ist die Person bestimmt. Es ist aber auch möglich, dass die Person, zu der sich die Information bezieht, zwar nicht allein anhand dieses Datums identifiziert werden kann, aber anhand der Umstände auf sie geschlossen werden kann. In letzterem Fall spricht man von einer Person, die identifizierbar ist. (Botschaft DSG, BBl 1988 II 413, S. 444). 64. Vorliegend ist unbestritten, dass die Once Dating AG für und bei der Bereitstellung der App Once verschiedene Daten, die einen Bezug zu der Person des Nutzers oder der Nutzerin haben, zu diversen Zwecken (siehe dazu Rz. 24) bearbeitet: diese Daten sind einerseits die Angaben, welche die Nutzer über sich selbst in ihren Profilen und bei der Registrierung machen und andererseits Informationen, die bei der Nutzung der App entstehen (Bewertung von Profilen, Kontakt mit anderen Nutzern, Reaktion auf Benachrichtigung, Informationen über die Aktivität der Nutzer in der App etc.). Diese Datenbearbeitungen unterliegen dem DSG und müssen deshalb in Einklang mit den Bearbeitungsgrundsätzen gemäss Art. 4, 5 und 7 DSG erfolgen. 3.1.1. Bearbeitung von besonders schützenswerten Daten 65. Gemäss Art. 3 lit. c DSG gelten als besonders schützenswerte Daten solche über die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, Massnahmen der sozialen Hilfe, sowie administrative oder strafrechtliche Verfolgungen und Sanktionen.

75 Vgl. Antworten zu Fragen 28.1 und 30 (Anhang 1 des Schreibens vom 9. April 2021, S. 16 f. bzw. 33 f.) 76 Vgl. Antworten zur Frage 29 (Anhang 1 des Schreibens vom 9. April 2021, S. 18 f. bzw. 35)

22/44

66. Die Datenbearbeitungen der Once Dating AG umfassen zum Teil besonders schützenswerte Daten der Kategorie «Daten über die Intimsphäre». Dazu gehört die sexuelle Orientierung der Nutzer, die sie angeben müssen, damit ihnen ein geeigneter Partner oder eine geeignete Partnerin ausgesucht werden kann (siehe Ziff. 19), wie man aus der Datenschutzrichtlinie entnehmen kann: «Von Once erhobene personenbezogene Pflichtangaben (bei Nichtbereitstellung dieser Daten werden Sie die Dienste nicht nutzen können) […] Sensible Daten: sexuelle Orientierung (heterosexuell, homosexuell, bisexuell).». Ausserdem kann die Information, dass eine Person ein aktives Profil bei einer Dating App hat, unter Umstände Rückschlüsse über ihre Intimsphäre liefern, weil diese Information darauf hindeutet, dass der Nutzer aktiv nach einem Partner oder Partnerin sucht. 67. Zudem können die Datenbearbeitungen der Once Dating AG auch besonders schützenswerte Daten der Kategorien «Daten über religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten» sowie Gesundheitsdaten und Daten über die Rassenzugehörigkeit erfassen, je nach den Angaben, welche die Nutzer freiwillig in ihren Profilen machen (siehe Ziff. 20). 68. In diesem Sinne ist unbestritten, dass die Once Dating AG besonders schützenswerte Personendaten bearbeitet, Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Bearbeitung besonders schützenswerter Daten stellt, wird im Folgenden in den einzelnen Themenbereichen untersucht. 3.1.2. Bearbeitung von Persönlichkeitsprofilen 69. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Anhaltspunkte, was unter diesem Begriff zu verstehen ist, findet man in der Botschaft zum Bundesgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und in der Rechtsprechung. Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 447). 70. Die ehemalige Eidgenössische Datenschutzkommission hielt fest, dass der Begriff des Persönlichkeitsprofils nicht generell definiert werden kann, sondern das Vorliegen eines Persönlichkeitsprofils im Einzelfall auf Grund der konkreten Umstände zu bejahen oder zu verneinen ist. (Urteil der EDSK vom 27. Januar 2000, VPB 65.48, E. 2). Mithin muss eine Prüfung vorgenommen werden, ob die Once Dating AG Personendaten der Nutzer so zusammenstellt, dass eine Beurteilung wesentlicher Aspekte deren Persönlichkeit ermöglicht wird (BVerG A- 4232/2015 Urteil vom 18. April 2017, E. 5.2.1). Dabei ist eine Darstellung der Gesamtpersönlichkeit nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspekten ein Persönlichkeitsbild erstellt werden kann. In diesem Sinne entsteht ein Persönlichkeitsprofil auch anhand der Zusammenstellung einer Anzahl von Daten etwa über die Persönlichkeitsstruktur sowie über berufliche und private Aktivitäten, die ein wesentliches Teilbild einer betroffenen Person ergeben (Vgl. Basler Kommentar DSG, Art. 3 Bst. d, Rz. 66 f.). 71. Wenn sich eine Person bei der App Once registriert, muss sie gewisse Angaben über sich machen, damit sie mit anderen in der App registrierten Person in Verbindung gesetzt werden kann (siehe Ziff. 19). Beim Match-Making-Prozess zielt die Once Dating AG darauf ab, zwei Personen zusammen zu bringen, die gemäss den Einschätzungen von Once zusammenpassen würden. Diese Einschätzung basiert auf den Angaben, die die Nutzer über sich machen, sowie auf ihren Präferenzen (siehe Ziff. 21). Basierend auf diesen Personendaten erstellt die Once Dating AG ein Persönlichkeitsbild der Nutzer und zieht Schlussfolgerungen über die

23/44

Vorlieben (in Bezug auf potentielle Partner) der betroffenen Person. Dieses Persönlichkeitsbild lässt die Beurteilung wesentlicher Aspekte der betroffenen Personen zu und zielt geradezu darauf ab. Dementsprechend ist es als Persönlichkeitsprofil zu qualifizieren. 72. Daraus folgt, dass die Once Dating sowohl gewisse besonders schützenswerten Daten als auch Persönlichkeitsprofile bearbeitet. Die Einhaltung der erhöhten Anforderungen, die das Gesetz an die Bearbeitung von Persönlichkeitsprofilen knüpft, wird folgend in den einzelnen Themenbereichen geprüft. 3.2. Transparenz und Qualität der Informationen an die Nutzer der App Once 3.2.1. Grundsatz der Transparenz nach Art. 4 Abs. 4 DSG 73. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. Art. 4 Abs. 4 DSG sieht den Transparenzgrundsatz vor, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein müssen. 74. Der Grundsatz der Transparenz dient dazu, den betroffenen Personen zu ermöglichen, bewusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. Wenn die Bearbeitungszwecke nicht präzis genug bestimmt werden oder nicht in einer klaren und eindeutigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführten Datenbearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz (…) verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 Bst. b DSG), ebenfalls eine neue Dimension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die Information der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Datenschutzsystems.» (BBl 2003 2101, S. 2126) 75. Vor diesem Hintergrund sind die Informationen, welche der Inhaber der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, damit die Datenbeschaffung sowie die Rahmenbedingungen der Datenbearbeitung erkennbar sind, nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG). 76. Wenn die Datenbeschaffung und ihr Zweck aus den Umständen klar erkennbar sind, muss keine besondere Information erfolgen. Wenn eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar ist, muss die betroffene Person umso eher in geeigneter Art und Weise auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Wenn eine Information erforderlich ist, setzen die Grundsätze der Verhältnismässigkeit und von Treu und Glauben voraus, dass diese aus der Perspektive einer zum Zielpublikum der App gehörenden, verständigen Durchschnittsperson nach Treu und Glauben hinreichend sind, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. 3.2.2. Informationspflicht nach Art. 14 DSG 77. Die Once Dating AG bearbeitet in Zusammenhang mit der Bereitstellung der App Once sowohl besonders schützenswerte Personendaten (siehe Ziff. 3.1.1) als auch Persönlichkeitsprofile (siehe Ziff. 3.1.2). Somit untersteht die Once Dating AG der Informationspflicht nach Art. 14 DSG.

24/44

78. Die Informationspflicht beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen nach Art. 14 DSG ergänzt den Grundsatz der Transparenz und setzt eine ausdrückliche Information durch den Verantwortlichen über Folgendes voraus: die Beschaffung der Daten, den Zweck ihrer Bearbeitung, die Identität des Inhabers der Datensammlung sowie die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist (nicht aber die Identität jedes einzelnen Datenempfängers). Gemäss der Botschaft ist es aber möglich, dass unter Umstände weitere Angaben gemacht werden müssen: «Erfordert es der Grundsatz von Treu und Glauben, muss der Inhaber der Datensammlung indessen noch weitere Informationen liefern, beispielsweise darüber, ob die Beantwortung der gestellten Fragen freiwillig oder obligatorisch ist und über die Folgen einer Verweigerung der verlangten Angaben» (BBl 2131). Um seiner Informationspflicht nachzukommen muss der Verantwortliche alles unternehmen, was von ihm nach den Umständen vernünftigerweise verlangt werden kann. (BBl 2003 2101, S. 2132). 3.2.3. Einhaltung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) und der Informationspflicht (Art. 14 DSG) 79. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten: 1) Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffenen Person klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verantwortlichen in Form einer Information angegeben werden; 3) die Angemessenheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entscheidung über ihr Recht auf informationelle Selbstbestimmung treffen kann (z. B. ihre Einwilligung geben). In diesem Sinne müssen die Informationen, die bereitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein. 80. Die Informationspflicht nach Art. 14 setzt ausserdem voraus, dass die Information ausdrücklich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inhabers der Datensammlung, den Zweck des Bearbeitens und die Kategorien allfälliger Datenempfänger. 3.2.3.1. Erkennbarkeit der Datenerhebungen bei der App Once 81. Vorliegend werden die Nutzer der App Once bei der Registrierung aufgefordert, gewisse Angaben über sich zu machen und zu bestätigen, dass sie die Datenschutzrichtlinie und die AGB der Once Dating AG zur Kenntnis genommen haben (dabei werden beide Dokumente verlinkt), sowie folgenden Aussage zuzustimmen: «Ich akzeptiere, dass Once einige meiner personenbezogenen Daten sammelt und weiterverarbeitet, um ihren Dienst bereitzustellen». In diesem Sinne ist es für die betroffenen Personen erkennbar, dass die Once Dating AG Personendaten erhebt. 82. Dass die Nutzer bei der Registrierung aufgefordert werden, Kenntnis von der Datenschutzrichtlinie und den AGB zu nehmen, kann als Zeichen einer aktiven Information der Nutzer betreffend die im Zusammenhang mit der App Once durchgeführten Datenbearbeitungen angesehen werden, was mit Blick auf Art. 14 DSG und zu begrüssen ist. Es gibt jedoch keinen direkten Link auf die Datenschutzrichtlinie im Footer der Webseite getonce.com.77

77 Um darauf zu gelangen, muss man zuerst auf «Bedingungen» klicken, um den Link auf die «Datenschutzbedingungen», d.h. die Datenschutzrichtlinie der Once Dating AG, zu finden.

25/44

83. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann allerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verantwortlichen geliefert werden, angemessen sind (siehe Ziff. 79). Dies bedeutet vorliegend, dass in den Datenschutzrichtlinien und AGB der Once Dating AG angemessene Informationen über die durch die Once Dating AG durchgeführte Datenbearbeitungen inkl. Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen zu finden sein müssen. Insbesondere müsste ersichtlich sein: welche Daten für welche Zwecke und unter welchen Bedingungen bearbeitet werden. In Bezug auf besonders schützenswerte Daten und Persönlichkeitsprofilen müsste ausserdem ausgeführt werden, ob und inwieweit diese bearbeitet werden, für welche Zwecke, durch wen und ob eine Datenbekanntgabe an Dritte stattfindet. 3.2.3.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung 84. Gemäss den Nutzungsbedingungen legen diese die Hauptregeln für die Nutzung der Mobile App fest und werden «durch zusätzliche Richtlinien, die Datenschutzrichtlinie, die Cookie- Richtlinie und die häufig gestellten Fragen (FAQ) ergänzt». Die AGB beinhalten auch eine Vorrangregel, wonach im Falle eines Konflikts zwischen den verschiedenen Richtlinien der zu einer mangelnden Zugänglichkeit, Verständlichkeit und/oder Vorhersehbarkeit der Regeln führt, die AGB Vorrang vor der Datenschutzrichtlinie, der Cookie-Richtlinie und den FAQ haben. Gemäss Ziff. 6 der AGB erfolgen die Datenbearbeitungen, welche die Once Dating AG in Zusammenhang mit der App Once durchführt, «zur Erfüllung eines Vertrags, bei dem das Mitglied Vertragspartei ist» und sind dazu «erforderlich». Dabei wird auf die Datenschutzrichtlinie verwiesen.78 85. In der Datenschutzrichtlinie der Once Dating AG werden zuerst gewisse Bearbeitungszwecke unter Ziff. 1 («Zwecke und Rechtsgrundlage der Verarbeitungen») ohne weitere Informationen über die bearbeitenden Daten angegeben: «Verwaltung und Verwendung der App und der Website», «Newsletter» und «Verwaltung der Bewerbungen». Der Zweck «Verwaltung und Verwendung der App und der Website» wird dabei mit folgenden Informationen weiter konkretisiert: 1) Den Nutzern die Verwendung der App und die Nutzung der Dienste zu erlauben; 2) Mit den Nutzern per E-Mail, SMS oder auf dem Postweg zu kommunizieren; 3) Die Verbesserung der Services der Once Dating AG (mit folgenden Beispielen: «Analyse von Daten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen; wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird».). Dabei erklärt die Once Dating AG, dass die in diesem Zusammenhang durchgeführten Datenbearbeitungen «für die Erfüllung eines Vertrages, von dem das Mitglied Vertragspartei ist, notwendig» seien. Dabei wird auch informiert, dass die Once Dating AG in Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» auch «sogenannte „sensible“ Daten» bearbeitet79. Diese Datenbearbeitung erfolge aber nicht zur Erfüllung des Vertrags, sondern mit der ausdrücklichen Einwilligung der Nutzer, «die durch Ihre Anmeldung zustande kommt.». Diese Unterscheidung oder Präzisierung wird in den AGB nicht gemacht (siehe Ziff. 84). 86. Gemäss der Once Dating AG gibt sie Daten an Dritte weiter, damit diese gewisse Datenbearbeitungen (siehe Tabelle 1) mit folgenden Bearbeitungszwecken im Auftrag der Once Dating AG durchführen: Kundensupport, Zahlungsabwicklung, Sicherheitsoperationen und Analysen für Marketingzwecke (siehe Ziff. 30 ff.). Diese Zwecke werden zwar nicht explizit in der Datenschutzrichtlinie angegeben, aber können, mit Ausnahme der Analysen für

78 Gemäss Ziff. 6 der AGB 79 Für genauere Informationen wird auf Ziff. 2 verwiesen «(sexuelle Ausrichtung etc. - siehe unten „Arten von erhobenen personenbezogenen Daten“)».

26/44

Marketingzwecke, den allgemeinen Zwecken, welche unter Ziff. 1 der Datenschutzrichtlinie angegeben werden, subsumiert werden (siehe Tabelle 2). Somit lassen sich diese Bearbeitungszwecke mit Ausnahme der Analysen für Marketingzwecke aus den Informationen der Datenschutzrichtlinie ableiten. Der Zweck «Analysen für Marketingzwecke» ist hingegen nicht erkennbar. 87. Die Mehrheit der durchgeführten Datenbearbeitungen stehen in engem Zusammenhang mit der Erfüllung der durch die Once Dating AG angegebenen Bearbeitungszwecke (gemäss Ziff. 30 ff.), aber nicht alle. Die Dienste der Anbieter Vonage, Airbrake und Looker scheinen zwar in Zusammenhang mit der Erfüllung von Bearbeitungszwecken zu stehen, die in der Datenschutzrichtlinie angegeben werden, aber nicht mit den Zwecken Kundensupport, Zahlungsabwicklung, Sicherheitsoperationen oder Analysen für Marketingzwecke. Die Reengagement- Dienste, welche durch Batch bereitgestellt werden, können hingegen unter keinen der erwähnten Zwecken subsumiert werden (siehe Tabelle 2). Dienst (Datenbearbeiter) Bearbeitungszweck gemäss Angaben der Once Dating AG Zweck gemäss Datenschutzrichtlinie Cloudbasierte Kundensupport- Plattform (Zendesk)

Kundensupport «Um per E-Mail, SMS oder auf dem Postweg mit Ihnen (den Nutzern) zu kommunizieren» Reengagement-Dienste (Batch)

Keine Subsumtion möglich. Keine Subsumtion möglich, denn die Kommunikation mit den Kunden erfolgt nicht per E-Mail, SMS oder Postweg, sondern mittels Handybenachrichtigung. Online Bezahldienst (Paypal, Stipe) Zahlungsabwicklung «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Videochats zwischen Nutzern (Vonage) - «Um die Verwendung der App und die Nutzung der Dienste zu erlauben» Bildanalyse zur Moderation (Sightengine) Sicherheitsoperationen «Um unseren Service zu verbessern (nämlich: Analyse von Daten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen); wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird» Überprüfung von Rufnummern (Telesign) Werkzeug zur Verwaltung von Protokollen (Logentries)

27/44

Crash-Reporting-Werkzeug (Airbrake)

- «Um unseren Service zu verbessern (nämlich: Analyse von Daten, Forschung und Entwicklung, Aufdeckung betrügerischer Verhaltensweisen); wobei alleine auf der Grundlage einer automatisierten Verarbeitung keine Entscheidung eines Eingreifens getroffen wird» Visualisiert die wichtigsten Daten, um sie zu analysieren, Berichte zu erstellen und Entscheidungen zu treffen (Looker) App-Analytik (Google Analytics und Firebase; Facebook) Analysen für Marketingzwecke Keine Subsumtion möglich, denn die Analyse steht nicht im Zusammenhang mit der Verbesserung der Services, sondern dient Marketingzwecken. Analytik und Werkzeug zur Attributionserkennung (Adjust) Tabelle 2 88. Unter Ziff. 2 der Datenschutzrichtlinie («Arten von erhobenen personenbezogenen Daten») wird präzisiert, welche Daten im Zusammenhang mit den bereits unter Ziff. 1 ausgeführten Zwecken bearbeitet werden. Im Zusammenhang mit der «Verwaltung und Verwendung der App und der Website» wird zwischen Daten, die durch die Nutzer bereitgestellt werden müssen, um die App nutzen zu können (Pflichtangaben), und Daten, welche freiwillig durch die Nutzer bereitgestellt werden, differenziert. Unter den Pflichtangaben wird die sexuelle Orientierung als «sensibel» (besonders schützenswertes Datum) gekennzeichnet. Unter den freiwilligen Angaben werden die Informationen «über ethnische Herkunft, Religion, ethnische/religiöse Vorlieben beim Dating, politische Einstellung» als sensibel gekennzeichnet.

Abbildung 5: Auszug aus der Datenschutzrichtlinie

28/44

89. Die verwendete Struktur des Absatzes mit Aufzählungszeichen gibt zu verstehen, dass alle Angaben, welche nach dem Satz «Von Once erhobene freiwillige personenbezogene Angaben» aufgeführt sind, mit freiwilliger Zustimmung der Nutzerinnen und Nutzer von der Once Dating AG erhoben werden (siehe Abbildung 5). Allerdings gehört zumindest ein Teil davon zu den erforderlichen Angaben. In diesem Zusammenhang wird erläutert, dass die Once Dating AG Informationen bei ihren Interaktionen mit Kunden im Rahmen der Kundenbetreuung sammelt und diese zu Trainingszwecken und Qualitätssicherung überwacht oder aufzeichnet. Auch in diesem Zusammenhang wird mitgeteilt, dass die Once Dating AG Daten über die Aktivität der Nutzer auf der Website und der App erfasst. Diese Datenbearbeitung betreffe alle durch die Nutzer via Website oder App realisierten Aktionen, Verbindungen, Verbindungszeiten sowie die gesamten Interaktionen mit anderen Nutzern. Dabei wird allerdings nicht präzisiert, für welche Zwecke diese Informationen verwendet werden, sondern lediglich mitgeteilt, dass sie erhoben werden. 90. Ausserdem wird dabei informiert, dass die Once Dating AG Daten über die Endgeräte der Nutzer erhebt. Als Angaben, die im Zusammenhang mit den Endgeräten der Nutzer erhoben werden, werden die Modelle sowie Version des Betriebssystems erwähnt, und als Zweck für deren Bearbeitung wird die Verbesserung der mobilen Anwendungen angegeben. Wie wir allerdings feststellen konnten, bearbeitet die Once Dating AG neben diesen Informationen auch die u-id (siehe Ziff. 31) für verschiedene Zwecke und gibt die Werbe-ID der Nutzer (IDFA für iOS, GPS-ADID für Android) an Dritte bekannt, welche diese wiederum an weitere Dritte weitergeben, welche sie für Werbezwecke bearbeiten (siehe Ziff. 34). Auch dabei wird angedeutet, dass die Once Dating AG Daten im Rahmen von Markterhebungen sammelt, ohne allerdings anzugeben, welche Daten dabei bearbeitet werden. 91. Im Zusammenhang mit dem Bearbeitungszweck «Newsletter» wird Folgendes erläutert: «Damit wir Ihnen unsere Newsletter zukommen lassen können, wird von Once die von Ihnen mitgeteilte E-Mail-Adresse erfasst und verarbeitet. Dem Nutzer steht es frei, diese nicht bekannt zu geben. Die Mitteilung Ihrer E-Mail-Adresse ist zwingend erforderlich, wenn Sie die Newsletter von Once erhalten möchten.» Diese Information widerspricht zum Teil dem Inhalt der AGB, wonach die Nutzer bei der Anmeldung eine Einwilligung zum Versand von Newslettern erteilen: «Newsletter: Bei der Anmeldung für die App stimmt das Mitglied dem Empfang eines Newsletters von ONCE zu. Per Klick auf den Abmeldelink unten in jeder E-Mail von ONCE können die Mitglieder jederzeit von ihrem Widerspruchsrecht Gebrauch machen und den Newsletter abbestellen.». In diesem Zusammenhang stellen wir fest, dass die Nutzer nicht angemessen informiert werden, dass mit der Registrierung eine Einwilligung zum Versand des Newsletters erteilt wird.80 92. Aus den oben genannten Gründen erlaubt die Struktur des Textes der Datenschutzrichtlinie und zum Teil auch der Inhalt ihrer einzelnen Punkte den Nutzern nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Darum erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenzgebots nach Art. 4 Abs. 4 DSG. In Bezug auf die Bearbeitungsbedingungen wird die Kenntnisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass einige Informationen in den AGB nicht mit der Datenschutzrichtlinie (siehe z.B. Ziff. 84 und 91) oder den FAQ (siehe Ziff. 45) übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche

80 Unter Ziff. 2 wird auch erläutert, inwieweit die Once Dating AG Daten in Zusammenhang mit Bewerbungen bearbeitet. Da diese Datenbearbeitung nicht die Nutzer der App Once betrifft, sondern den Anstellungsprozess, ist diese nicht Gegenstand unserer Sachverhaltsabklärung.

29/44

Gesetze verwiesen wird81, jedoch nicht auf das DSG, obschon es auf die Datenbearbeitungen der Once Dating AG anwendbar ist. Eine unmissverständliche Information über die für die Anbieterin geltende Datenschutzgesetzgebung ist unerlässlich, um den Nutzern zu ermöglichen, ihre Rechtsansprüche zu kennen und durchzusetzen. 3.2.3.3. Information über die Kategorien der Datenempfänger 93. Unter Umständen gehört die Information über die Datenempfänger zu den minimalen Angaben, welche erforderlich sind, um einer Datenbearbeitung Transparenz zu gewähren. Wenn es um die Datenbekanntgabe von besonders schützenswerten Personendaten oder Persönlichkeitsprofilgen geht, ist die Kategorie der Empfänger sogar eine Pflichtangabe gemäss Art. 14a DSG. 94. Die Datenschutzrichtlinie der Once Dating AG enthält Informationen zu den Kategorien von Datenempfängern, ohne die übermittelten Daten näher zu erläutern. Unter Ziff. 4 der Datenschutzrichtlinie wird angegeben, dass grundsätzlich die «Mitglieder von Once», also die registrierten Nutzer, sowie «Dienstleister der Once Dating AG», die Empfänger der Daten sind, welche die Once Dating AG bearbeitet. Im Fall einer Fusion, Verkauf, Auflösung usw. erklärt die Once Dating AG ausserdem, dass Daten an andere Gesellschaften weitergegeben könnten. Zudem behält sich die Once Dating AG das Recht vor, Personendaten bekanntzugeben, wenn dies gesetzlich, gerichtlich oder behördlich vorgeschrieben ist, oder wenn dies zum Nachweis oder zur Ausübung der Rechte der Once Dating AG, ihrer Mitarbeitenden oder sonstiger Personen erforderlich scheint. 95. Gemäss unserer Abklärung behalten sich einige Dienstleister der Once Dating AG das Recht vor, die ihnen durch die Once Dating AG bereitgestellten Daten zu eigenen Zwecken zu nutzen. Diese sind: Facebook, Google, Sendgrid, Looker, Vonage und Paypal. (siehe Ziff. 35). Dies bedeutet, dass die Once Dating AG Daten an Dritte bekanntgibt, die diese nicht nur in ihrem Auftrag bearbeiten, sondern zum Teil auch in eigener Verantwortung. 96. Aufgrund der Tatsache, dass diese Empfänger die Daten nicht ausschliesslich im Auftrag der Once Dating AG bearbeiten, ist der Begriff «Dienstleister der Once» nicht zutreffend, um diese Kategorie von Datenempfängern zu beschreiben. Immer wenn die Empfänger Personendaten in eigener Verantwortung bearbeiten, gelten diese als Dritte, nicht aber als reine Dienstleister bzw. Auftragnehmer. 97. Da die Informationen in der Datenschutzrichtlinie keine Hinweise über die Bekanntgabe von Personendaten an Dritte, die Personendaten im eigenen Interesse und unter eigener Verantwortung bearbeiten, enthalten, erachten wir diese als unvollständig. Dies stellt einen Mangel hinsichtlich der Informationspflicht der Once Dating AG gegenüber ihren Nutzern dar. In der Datenschutzrichtlinie müsste diese Datenbekanntgabe an Dritte inkl. Bearbeitungszweck erläutert werden. 3.2.3.4. Erkennbarkeit der verwendeten Garantien für die Übermittlung von Daten ins Ausland 98. Da uns die Once Dating AG am 9. April 2021 mitteilte, dass sie die Kanzlei beauftragt hat, ihre Datenbearbeitungsaktivitäten zu analysieren und ihre

81 In den AGB wird auf das Gesetz Nr. 78-17 vom 6. Januar 1978 in der durch das französische Datenschutzgesetz Nr. 2004-801 vom 6. August 2004 abgeänderten Fassung verwiesen; in der Datenschutzrichtlinie wird auf die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten Nr. 2016/679 vom 27. April 2016 («DSGVO») verwiesen.

30/44

Datenschutz-Policies gemäss dem revidierten DSG anzupassen, gehen wir davon aus, dass die Datenschutzrichtlinie der Once Dating AG im Hinblick auf die Ausweitung der Informationspflicht gemäss dem neuen Gesetz überarbeitet werden soll. In diesem Zusammenhang weisen wir darauf hin, dass die Informationspflicht gemäss Art. 19 nDSG auch die Information über die verwendeten Garantien für die Datenübermittlung ins Ausland umfasst und eine allgemeine Aussage zu der Verwendung von Standardvertragsklauseln oder anderen «geeigneten Schutzklausen» nicht genügt, um diese zu erfüllen. Gemäss dem Erwägungsgrund 4 der neuen europäischen Standardvertragsklauseln «muss diese Information einen Verweis auf die angemessenen Garantien und die Möglichkeiten, wie eine Kopie von ihnen eingeholt werden kann, oder wo sie verfügbar sind, umfassen.»82. 3.2.3.5. Schlussfolgerung 99. Zusammenfassend lässt sich feststellen, dass die Informationen, welche die Once Dating AG ihren Nutzern zur Verfügung stellt, nicht angemessen sind. Die Reengagement-Dienste, welche durch Batch bereitgestellt werden, können unter keinen der in der Datenschutzrichtlinie dargestellten Zwecke subsumiert werden, und der Zweck «Analysen für Marketingzwecke» ist in dieser auch nicht erkennbar. Ausserdem geht aus der missverständlichen Struktur und zum Teil aus dem Inhalt der einzelnen Punkte nicht klar hervor, was die tatsächlich durchgeführten Datenbearbeitungen sind. Hinsichtlich der Datenbearbeitung in Zusammenhang mit dem Newsletter wird die Kenntnisnahme der datenschutzrelevanten Informationen erschwert durch die Tatsache, dass einige Informationen in den AGB nicht mit der Datenschutzrichtlinie übereinstimmen. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass in den AGB und in der Datenschutzrichtlinie auf unterschiedliche Gesetze verwiesen wird und das DSG gänzlich unerwähnt bleibt, obschon es für die Datenbearbeitungen der Once Dating AG eigentlich gilt. Ausserdem enthält die Datenschutzrichtlinie keine Informationen über die Datenbekanntgabe an Dritte, die nicht als Dienstleister der Once Dating AG handeln, sondern Personendaten für eigene Zwecke bearbeiten. 100. Dies stellt eine Verletzung des Transparenzgrundsatzes (Art. 4 Abs. 4 DSG) dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Rechtfertigungsgrund vorliegt, ist diese Persönlichkeitsverletzung widerrechtlich. 3.3. Löschkonzept und Löschmöglichkeiten der Nutzer 3.3.1. Grundsatz der Rechtmässigkeit (Art. 4 Abs. 1), von Treu und Glauben und der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) 3.3.1.1. Möglichkeit Personendaten auf Verlangen zu löschen (Art. 12 Abs. 2 lit. b DSG) 101. Angesichts der Sensibilität der auf der App Once bearbeitenden Daten sowie der Tatsache, dass die Daten gemäss der Datenschutzrichtlinie und den Angaben der Once Dating AG in dieser Sachverhaltsabklärung gestützt auf die Einwilligung der betroffenen Person bearbeitet werden, ist es unabdingbar, dass die Nutzer der App Once eindeutig auf ihre Löschmöglichkeiten hingewiesen werden und jederzeit die umgehende Löschung ihrer Personendaten bzw. ihres Profils verlangen können. Aufgrund des Grundsatzes von Treu und

82 Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

31/44

Glauben soll jeder Nutzer und Nutzerin dies auf einfacher Weise verlangen können. Das heisst, es darf nicht schwieriger sein, eine Einwilligung zurückzuziehen und die Löschung der eigenen Daten zu verlangen, als eine Einwilligung abzugeben und ein Konto bei Once Dating AG zu erstellen. Gemäss Art. 12 Abs. 2 lit. b DSG darf die Once Dating AG ausserdem ke