Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
Schlussbericht
vom 11. April 2024
des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
betreffend die Bearbeitung von Personendaten von Ricardo-Nutzerinnen und -Nutzern durch Ricardo AG und TX Group AG (alt: Tamedia AG)
gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)
basiert auf der Sachverhaltsfeststellung vom 28. Februar 2020 mit Ergänzungen und Korrekturen vom 12. Mai und 26. September 2023
2/52
Inhaltsverzeichnis 1. Einführung ........................................................................................................................................ 4 1.1 Ausgangslage ...................................................................................................................... 4 1.2 Entwicklungen im Sachverhalt seit Eröffnung der Sachverhaltsabklärung ......................... 4 1.3 Chronologie ......................................................................................................................... 6 1.4 Gesetzliche Grundlage ........................................................................................................ 7 1.5 Umfang der Sachverhaltsabklärung .................................................................................... 8 2. Feststellungen .................................................................................................................................. 9 2.1 Plattformen von Ricardo und Bedingungen zu deren Nutzung ........................................... 9 2.2 Änderung der Datenschutzerklärung von Ricardo .............................................................. 9 2.3 Umfang und Zweck der Bearbeitung personenbezogener Daten ..................................... 10 2.3.1 Daten, die beim Besuch der Portale erfasst werden ......................................................... 10 2.3.2 Daten, die bei der Registrierung eines Benutzerkontos erfasst werden ........................... 11 2.3.3 Daten, die bei der Nutzung als registrierter Nutzer erfasst werden .................................. 11 2.3.4 Informationen zu Einkäufen und Vertragsschlüssen ......................................................... 12 2.3.5 Daten aus der Teilnahme an Gewinnspielen und Wettbewerben ..................................... 12 2.3.6 Nutzerumfragen und Marktforschung ................................................................................ 13 2.3.7 Standortinformationen ....................................................................................................... 13 2.4 Datenbearbeitungen .......................................................................................................... 14 2.4.1 Mitteilung über die «Datenweitergabe» und deren Zwecke .............................................. 14 2.4.2 Datenbearbeitungen gemäss Datenschutzerklärung vom 9. Juli 2015 ............................. 14 2.4.3 Datenbearbeitungen gemäss Datenschutzerklärung vom 11. Februar 2020 ................... 15 2.4.4 Aktuelle Nutzung und Weitergabe gemäss Ausführungen von Ricardo ........................... 17 2.4.4.1 17 2.4.4.2 17 2.4.4.3 18 2.4.5 Anonymisierung/Pseudonymisierung ................................................................................ 20 2.5 Information und Widerspruchsmöglichkeiten .................................................................... 20 2.5.1 Information und Ablauf bei einer neuen Anmeldung/Registrierung bei Ricardo ............... 20 2.5.2 Information über die Änderung der Datenschutzerklärung an die Ricardo-Mitglieder .. 20 2.5.2.1 Datenschutzerklärung vom 27. Juli 2017 ..................................................................... 20 2.5.2.2 Datenschutzerklärung vom 25. Mai 2018 und folgende Versionen ............................. 21 2.5.3 Konkrete Widerspruchsmöglichkeiten und Umsetzung ..................................................... 23 2.6 Relevante Neuerungen zum Sachverhalt nach der Gründung der SMG AG .................... 23 2.6.1 Neu geltende Datenschutzerklärung ................................................................................. 24 2.6.2 CMP ................................................................................................................................... 27 3. Datenschutzrechtliche Beurteilung ................................................................................................ 28 3.1. Bearbeitung von Personendaten und Anwendbarkeit des DSG ....................................... 28 3.1.1. Datenbearbeitungen bei Ricardo und weitere Datenverwendung durch TX Group .......... 28 3.1.2. Begriff Personendaten ....................................................................................................... 28 3.1.3. Vorliegen eines eindeutigen Personenbezugs .................................................................. 29 3.2. Bearbeiten von Persönlichkeitsprofilen ............................................................................. 30 3.2.1. Begriff Persönlichkeitsprofil ............................................................................................... 31 3.2.2. Bearbeitung von Persönlichkeitsprofilen der Ricardo-Nutzenden ..................................... 31 3.3. Ricardo und TX Group als Datenverantwortliche .............................................................. 32 3.4. Bestehen einer Persönlichkeitsverletzung ........................................................................ 33
3/52
3.4.1. Einhaltung der Bearbeitungsgrundsätze (Art. 12 Abs. 2 lit. a DSG) ................................. 33 3.4.2. Bearbeitung der Daten einer Person gegen deren ausdrücklichen Willen (Art. 12 Abs. 2 lit. b DSG) 42 3.4.3. Persönlichkeitsverletzung aufgrund von Datenbearbeitungen, die die Persönlichkeit wesentlich beeinträchtigen ................................................................................................................ 43 3.4.4. Fazit zu den verorteten Persönlichkeitsverletzungen ........................................................ 43 3.5. Rechtfertigungsgründe ...................................................................................................... 44 3.6. Empfehlungen ................................................................................................................... 50 4. Verfahren........................................................................................................................................ 51 4.1. Rechtliches Gehör und weiteres Vorgehen ....................................................................... 51 4.2. Stellungnahmen der Ricardo AG und der TX Group AG .................................................. 51 4.3. Veröffentlichung des Schlussberichts mit Empfehlungen ................................................. 52
4/52
1. Einführung 1.1 Ausgangslage 1. Die Tamedia-Gruppe - seit dem 20. Dezember 2019 TX-Gruppe - führte seit Februar 2016 bei zugehörigen Unternehmen schrittweise eine neue, einheitliche Datenschutzerklärung ein. Diese sollte den internen Datenaustausch innerhalb der Gruppe ermöglichen, damit das Online-Erlebnis sowie die Sicherheit verbessert werden. Die Auktionsplattform Ricardo - betrieben von der zur TX-Gruppe gehörenden Gesellschaft Ricardo AG1 (nachfolgend Ricardo) - hat diese Datenschutzerklärung im Juli 2017 eingeführt. 2. Die bestehenden Kunden wurden am 12. Juli 2017 per E-Mail über die Änderung der Datenschutz-Bestimmungen informiert. Der EDÖB hat Meldungen bzw. Beschwerden von betroffenen Personen erhalten, wonach das Vorgehen von Ricardo nicht transparent sei. Die Betroffenen würden zur Zustimmung, insbesondere zur Datenweitergabe zu Marketingzwecken, genötigt, indem ein allfälliger Widerspruch die Auflösung der Mitgliedschaft zur Folge hätte. 3. Mit Schreiben vom 19. Juli 2017 hat der EDÖB Ricardo gebeten darzulegen, wie sie mit dem gewählten Vorgehen die Freiwilligkeit der Einwilligung sicherstellt bzw. über welchen Rechtfertigungsgrund Ricardo verfügt, um die über den ursprünglichen Zweck hinausgehenden Datenbearbeitungen zu rechtfertigen. 4. Am 27. Juli 2017 beantwortete der Datenschutzverantwortliche (DPO) von Ricardo das Schreiben des EDÖB, wobei er diese Funktion sowohl bei Ricardo als auch bei der Tamedia AG (neu: TX Group AG) und der gesamten Tamedia-Gruppe (neu: TX-Gruppe) wahrnimmt. 5. Nach der Stellungnahme von Ricardo sah sich der EDÖB dazu veranlasst, die Angelegenheit genauer zu untersuchen. Er eröffnete mit Schreiben vom 4. September 2017 ein formelles Verfahren zur Abklärung des Sachverhalts. 1.2 Entwicklungen im Sachverhalt seit Eröffnung der Sachverhaltsabklärung 6. Im März 2018 stellte der EDÖB den Sachverhalt in einer ersten Fassung fest. Gegenstand waren die im Juli 2017 neu eingeführte Datenschutzerklärung, die diesbezügliche Mitteilung an die Ricardo-Mitglieder (d.h. Nutzerinnen und Nutzer, die über einen Account verfügen) sowie Ergebnisse aus diversen Abklärungen mit Ricardo. Die Abklärungen bezogen sich auf die von Ricardo beschriebenen Datenbearbeitungen, insbesondere auf den erwähnten Datenaustausch innerhalb der Tamedia-Gruppe zu Marketing- und Sicherheitszwecken. 7. Ricardo nahm zu dieser ersten Fassung am 29. März 2018 Stellung und kündigte eine neue Datenschutzerklärung mit diversen Änderungen zur Anpassung an die DSGVO2 an. Am 25. Mai 2018 hat Ricardo die angepasste Datenschutzerklärung eingeführt. Insbesondere sollte damit dem Datenaustausch innerhalb der Tamedia-Gruppe ab diesem Datum widersprochen werden können. 8. Der EDÖB analysierte in der Folge die überarbeiteten Datenschutzbestimmungen und klärte den Sachverhalt neu ab, um die aktualisierte Sachlage zu berücksichtigen. Die Bearbeitungen von Ricardo-Daten bei der Tamedia AG (insbesondere ) - d.h. die Datenaufbereitung bzw. die «Aggregierung- und Anonymisierungsprozesse» sowie die Datenverknüpfung und Segmentierung - wurden näher abgeklärt. 9. Im März 2019 wurde die Datenschutzerklärung von Ricardo bzw. die standardisierte Datenschutzerklärung der Tamedia AG erneut aktualisiert4. Zudem wurde im Rahmen einer Reorganisation
1 Ricardo.ch AG bis zum 25. November 2019. 2 Datenschutz-Grundverordnung der Europäischen Union (EU). 3 . 4 Datenschutzerklärung Ricardo/Tamedia AG vom 30. März 2019.
5/52
die Geschäftseinheit per 1. März 2019 in die selbständige Tochtergesellschaft ausgelagert. 10. Die Ergebnisse der Abklärung sowie die beschriebenen Entwicklungen und Feststellungen machten eine Ausweitung des Verfahrens auf die Tamedia AG notwendig. Die Tamedia AG wurde per 20. Dezember 2019 in die TX Group AG (nachfolgend: TX Group) umfirmiert, und auch Ricardo hat eine Namensänderung erfahren.5 Daher wurde auch die Datenschutzerklärung vom 11. Februar 2020 an diese neue Namensgebung angepasst. 11. Am 26. November 2021 informierte der DPO von Ricardo bzw. TX Group den EDÖB über die Gründung der Joint Venture SMG Swiss Marketplace Group AG (nachfolgend: SMG) per 11. November 2021: eine gemeinsam von der TX Group AG, Ringier AG, Mobiliar AG und General Atlantic gehaltene Gesellschaft. Der EDÖB bat Ricardo und TX Group darum, ihm alle relevanten Informationen für die vorliegende Sachverhaltsabklärung mitzuteilen, bzw. offenzulegen, welche Neuerungen oder Änderungen bezüglich der Datenbearbeitungen bzw. Datenflüsse oder bei den Datenverantwortlichkeiten die Umstrukturierung mit sich bringen würde.6 12. Mit Schreiben vom 10. Februar 2022 nahm die TX Group dazu Stellung und teilte mit, die an der gegenständlichen Datenbearbeitung beteiligten Akteure würden aus Sicht der betroffenen Nutzer unverändert bleiben. Zudem würden «bis auf Weiteres» keine Daten von Nutzern der ehemaligen TX Markets Produkte mit den Produkten der Scout24 oder mit anderen SMG Aktionären geteilt. Die Geschäftsbereiche der ehemaligen TX Markets Produkte und jenen von Scout24 seien nach wie vor getrennte Geschäftsbereiche, zwischen welchen keine Daten ausgetauscht würden.
13. In Anbetracht der Ausführungen seitens Ricardo/TX Group, dass die Datenbearbeitungen, Datenflüsse und Datenverantwortlichkeiten nach der Umstrukturierung unverändert bleiben, wurde folglich festgehalten, dass die Sachverhaltsabklärung aus verfahrensrechtlicher Sicht keine Anpassung bzw. Ausdehnung erfahren musste. 14. Nichtsdestotrotz kamen in diesem Zusammenhang für die vorliegende Sachverhaltsabklärung relevanten Neuerungen vor, welche eine Ergänzung der Sachverhaltsfeststellung erforderlich machten, namentlich die Aufschaltung der neuen Datenschutzerklärung der SMG und der Einsatz einer Consent Management Plattform auf den Webseiten der Gruppe. Diese Neuerungen werden unter Ziff. 2.6 näher beschrieben. 15. Im Rahmen ihrer Stellungnahme vom 29. Juni 2023 betreffend die Sachverhaltsfeststellung mit Ergänzungen vom 12. Mai 2023 führte Ricardo bzw. SMG aus, dass ein Datenaustausch nunmehr zwischen Ricardo und den anderen SMG-Gesellschaften stattfinde. Der EDÖB stellte auch fest, dass Ziff. 3.9. und 5.1 der Datenschutzerklärung von SMG mittlerweile per 15. Mai 2023 um einen Absatz entsprechend ergänzt wurde. Somit passte der EDÖB den Sachverhalt erneut an, um festzuhalten, dass die Ausführungen in Rz. 12 f. offenbar nicht mehr der aktuellen Sachlage entsprechen. 16. Der EDÖB hat am 18. Juli 2023 und erneut am 31. August 2023 Ricardo/SMG und die TX Group aufgefordert, Stellung zum ergänzten Sachverhalt zu nehmen. Dabei haben sie präzisiert, dass an die Datenbearbeitung der «TX Group Daten-Angebote» auch die Plattformen, welche mit der Umstrukturierung im November 2021 aus der TX Group AG in die Swiss Marketplace Group AG (SMG) gewechselt haben (bspw. Ricardo, tutti, Carforyou, Homegate), angeschlossen seien. 7 TX Group
5 Seit 25. November 2019 neu Ricardo AG; vgl. Stellungnahme Ricardo/TX Group vom 16. Januar 2020 sowie Datenschutzerklärung Ricardo/TX Group vom 11. Februar 2020. 6 Schreiben EDÖB 22.12.2021 / 21.01.2022. 7 Vgl. Schreiben TX Group vom 14. September 2023.
6/52
hielt diesbezüglich Folgendes fest: «Abgesehen von der gesellschaftsrechtlichen Umstrukturierung haben sich die Datenbearbeitung und die Datenflüsse im Rahmen der ’TX Group Daten-Angebote’ jedoch nicht geändert.8». Betreffend den «Datenaustausch innerhalb der SMG», welcher in Ziff. 3.9. und 5.1 der Datenschutzerklärung von SMG vorgesehen wird, hat SMG klargestellt, dass dieser mit den Datenbearbeitungen, welche im Rahmen der «TX Group Daten-Angebote» durchgeführt werden, nichts zu tun habe. Auch wenn beide Datenbearbeitungen u.a. den Zweck der Profilbildung für die Steuerung gezielter Werbung haben, handele es sich dabei um «zwei technisch wie auch organisatorisch voneinander getrennte Datenbearbeitungen bzw. -weitergaben» 9. 17. Der EDÖB stellte also fest, dass eine weitere bisher nicht im Rahmen der vorliegenden Sachverhaltsabklärung untersuchte Datenbearbeitung stattfindet. Angesichts des fortgeschrittenen Stands des vorliegenden Verfahrens, hat der EDÖB aus verfahrensökonomischen Gründen darauf verzichtet, den Sachverhalt in Bezug auf den «Datenaustausch innerhalb SMG» weiter abzuklären und das Verfahren formell auf die Swiss Marketplace Group AG (SMG) oder auf deren Gesellschaften auszudehnen. Sollte sich dies als notwendig erweisen, besteht immer noch die Möglichkeit, auf der Grundlage des inzwischen revidierten Gesetzes eine neue Untersuchung einzuleiten und diesen Datenaustausch auf seine Datenschutzkonformität hin zu überprüfen. 1.3 Chronologie 12.07.2017 Mitteilung Änderung Datenschutzerklärung an Ricardo-Mitglieder 19.07.2017 Schreiben EDÖB an Ricardo (Vorabklärung) 27.07.2017 Erste Stellungnahme Ricardo 04.09.2017 Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragenkataloges an Ricardo 27.09.2017 Fristerstreckungsgesuch Ricardo 06.11.2017 Beantwortung Fragenkatalog durch Ricardo 06.12.2017 Sitzung mit Vertretern von Ricardo und EDÖB 09.03.2018 Versand Sachverhaltsfeststellung an Ricardo 29.03.2018 Stellungnahme Ricardo zur Sachverhaltsfeststellung 09.05.2018 Mitteilung neue Datenschutzerklärung per 25. Mai 2018 durch Ricardo 25.05.2018 Neue Datenschutzerklärung (Anpassung an DSGVO) 08.10.2018 Ergänzungsfragen betreffend die neue Datenschutzerklärung von 2018 08.11.2018 Fristerstreckungsgesuch Ricardo 08.01.2019 Antwort Ricardo zu den Ergänzungsfragen 18.02.2019 Schreiben EDÖB (Klärungsfragen) 20.03.2019 Antwort Ricardo 30.03.2019 Neue Datenschutzerklärung 08.11.2019 Versand der aktualisierten Sachverhaltsfeststellung an Ricardo/Tamedia AG und formelle Eröffnung der Sachverhaltsabklärung bei Tamedia AG 16.12.2019 Frist Stellungahme Ricardo/Tamedia AG – Fristerstreckung wird gewährt 20.12.2019 Umfirmierung der Tamedia AG in die TX Group AG (nachfolgend: TX Group) 16.01.2020 Stellungnahme Ricardo/ TX Group 11.02.2020 Neue Datenschutzerklärung 28.02.2020 Versand der Sachverhaltsfeststellung an Ricardo/TX Group 25.03.2020 Erneute Stellungnahme Ricardo/TX Group zur Sachverhaltsfeststellung vom 28. Februar 2020 (Diese wurde anschliessend entsprechend angepasst) 28.05.2021 Schreiben an DPO Ricardo/TX Group (mit Ergebnis unserer rechtlichen Auswertung) und Einladung zur Skype-Besprechung
8 Ibidem. Vgl. auch Schreiben vom 10. Februar 2022 sowie vom 25. Juli 2023. 9 Vgl. Schreiben TX Group vom 14. September 2023; vgl. auch Schreiben Ricardo AG/SMG vom 14. September 2023
7/52
29.06.2021 Zusendung der rechtlichen Auswertung (Zusammenfassung) bzw. Ausführungen zu unseren rechtlichen Erwägungen und zum verorteten Verbesserungsbedarf 15.07.2021 Skype-Besprechung: Austausch betreffend die rechtliche Auswertung des EDÖB und Darstellung von Neuerungen seitens Ricardo/TX Group (insb. Consent Management Plattform, CMP) 03.08.2021 Schreiben Ricardo/TX Group betreffend die Anwendung und Einstellung der CMP 18.08.2021 Zustellung «Legitimate interest assessment» und Löschkonzept der TX Group 31.08.2021 Zustellung der internen Guideline der TX Group zur Konfiguration einer CMP 11.11.2021 Gründung der Joint Venture Swiss Marketplace Group AG (SMG) 26.11.2021 DPO der TX Group informiert den EDÖB über die Gründung der SMG 22.12.2021/ Schreiben des EDÖB: Bitte um relevante Informationen betr. die Umstrukturierung 21.01.2022 und ihre Auswirkungen auf die Sachverhaltsabklärung 10.02.2022 Schreiben der TX Group: Erläuterungen betreffend die neue Organisationsstruktur der SMG, keine Veränderungen der Datenverarbeitungen & Datenflüsse, Darstellung von eingeführten datenschutzrechtlichen Massnahmen (Datenschutzerklärung SMG, Datenschutzhinweise für TX-Daten-Angebote, Einführung von CMP) 23.03.2022 Skype-Besprechung betr. Auswirkungen der Umstrukturierung auf die laufende Sachverhaltsabklärung 12.05.2023 Zustellung ergänzter Sachverhaltsfeststellung an Ricardo/TX Group 07.06.2023 Die von TX Group beantragte Fristerstreckung wird bis zum 30.06.2023 gewährt 29.06.2023 Stellungnahme von Ricardo /SMG und TX Group zur ergänzten Sachverhaltsfeststellung vom 12. Mai 2023 18.07.2023 Versand der ergänzten Sachverhaltsfeststellung an Ricardo /TX Group mit Korrekturen und Ergänzungen nach den Stellungnahmen vom 29. Juni 2023 25.07.2023 Stellungnahmen Ricardo /SMG und TX Group zur neu ergänzten Sachverhaltsfeststellung 27.07.2023 Telefonisches Gespräch mit DPO Ricardo/SMG) 31.08.2023 Schreiben des EDÖB: Bitte um Stellungnahme zu scheinbaren Widersprüchen zwischen Bestimmungen der Datenschutzerklärung und Ausführungen von Ricardo und TX Group 14.09.2023 Antwort Ricardo/SMG und TX Group 26.09.2023 Anpassung und Zustellung der Sachverhaltsfeststellung aufgrund der Stellungnahmen vom 25. Juli und 14. September 2023 11.04.2024 Versand des Schlussberichts an Ricardo und TX Group 1.4 Gesetzliche Grundlage 18. Seit dem 1. September 2023 gilt das neue Bundesgesetz vom 25. September 2020 über den Datenschutz (nachfolgend «nDSG», SR 235.1). Gemäss Art. 70 nDSG gilt das neue Gesetz nicht für Untersuchungen des EDÖB, die im Zeitpunkt des Inkrafttretens hängig sind. Diese Fälle unterstehen dem bisherigen Recht, weshalb der EDÖB seine rechtliche Beurteilung gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Datenschutz vorgenommen hat. Mit Blick auf die Fortführung von Datenbearbeitungen, die Gegenstand dieser Sachverhaltsabklärung sind, finden sich in einzelnen Kapiteln jedoch punktuelle Hinweise darauf, in wie weit die Bestimmungen des nDSG gegenüber dem alten Recht Änderungen vorsehen. 19. Art. 1 bis 15 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Gemäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler). Gemäss Art. 29 Abs. 2 DSG
8/52
kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht (BVGer) auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i. V. m. Art. 35 lit. b des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]). 1.5 Umfang der Sachverhaltsabklärung 20. Das vorliegende Verfahren konzentriert sich insbesondere auf die Weitergabe der Daten der Ricardo-Nutzenden an TX Group (alt: Tamedia) und deren Verwendung bzw. Verknüpfung mit Daten aus weiteren Quellen zum Zweck der zielgerichteten Werbung, sowie auf die bestehenden Widerspruchsmöglichkeiten. Dabei wurde insbesondere die Information, welche an die Ricardo-Mitglieder bzw. Nutzenden in der Datenschutzerklärung sowie in den diversen Mitteilungen von Ricardo erteilt wurde, näher geprüft. Wie bereits unter den Ziffern 11 ff. ausgeführt, machte die veränderte Sachlage eine Ausdehnung der ursprünglich nur bei Ricardo durchgeführten formellen Sachverhaltsabklärung auf die Tamedia AG (neu: TX Group AG) notwendig. Aus verfahrensökonomischen Gründen verzichtet der EDÖB darauf, den Sachverhalt in Bezug auf den „Datenaustausch innerhalb SMG“ weiter abzuklären bzw. das Verfahren formell auf die Swiss Marketplace Group AG (SMG) oder auf deren Gesellschaften auszudehnen. 21. Der EDÖB hat in seiner Sachverhaltsfeststellung vom 28. Februar 2020 (siehe unten, Ziff. 2.1 bis 2.5) Änderungen der Datenschutzerklärung und in der Sachlage bis zum 28. Februar 2020 berücksichtigt. Er stützte sich dabei auf die Datenschutzerklärungen von Ricardo (insb. Version vom 11. Februar 2020), auf die Stellungnahmen von Ricardo und TX Group (alt: Tamedia) und die dem EDÖB zugestellten Unterlagen sowie auf die Erkenntnisse aus der gemeinsamen Sitzung vom 6. Dezember 2017.10 22. Weitere Unterlagen, welche nach dem 28. Februar 2020 dem EDÖB zugestellt wurden (insb. Legitimate Interest Assessment) sowie durch die TX Group zwischenzeitlich eingeführte «datenschutzrechtliche Massnahmen» (Aufschaltung Datenschutzerklärung, Einsatz einer Consent Management Plattform auf der Website von Ricardo) und Erkenntnisse aus den Sitzungen vom 15. Juli 2021 und 23. März 2022 wurden ebenfalls berücksichtigt (siehe dazu Ziff. 2.6). Weitere Entwicklungen wurden ab der Zustellung der Sachverhaltsfeststellung mit Ergänzungen am 12. Mai 2023 nicht mehr berücksichtigt, abgesehen von den Korrekturen und Ergänzungen, die aufgrund der Stellungnahmen der Ricardo AG und der TX Group AG vom 29. Juni 2023, 31. August 2023 und 14. September 2023 vorgenommen wurden.
9/52
2. Feststellungen 23. Die unterstehenden Feststellungen beziehen sich auf den Sachverhalt vom 28. Februar 2020 bzw. auf die Datenschutzerklärung vom 11. Februar 2020 (Ziff. 2.1.-2.5) und berücksichtigen die Neuerungen, die sich zwischenzeitlich mit der Aufschaltung einer neuen Datenschutzerklärung und Einführung einer Consent-Management-Plattform11 ergeben haben (s. Ziff. 2.6). 2.1 Plattformen von Ricardo und Bedingungen zu deren Nutzung 24. Ricardo betreibt unter den Domainnamen ricardo.ch und autoricardo.ch12 Plattformen für den Handel mit Produkten aller Art. Mitglieder können über diese Plattformen Produkte erwerben oder verkaufen und hierbei aus drei verschiedenen Angebotsarten auswählen: Auktionen, Angebote zu Fixpreisen und Auktionen mit einem Sofort-Kaufen-Preis.
25. Wer auf den Plattformen von Ricardo Produkte anbieten oder erwerben möchte, muss sich grundsätzlich registrieren13. Die Registrierung ist kostenlos. Das Verkaufen auf ricardo.ch ist kostenpflichtig14. Die folgenden Gebühren entstehen beim Verkaufen auf ricardo.ch: Einstellgebühren: gratis; optionale Promotionsgebühren: freiwillige Gebühren, um die Sichtbarkeit der Angebote zu erhöhen; Abschlussgebühren: Abschlusskommission (Erfolgsprovision) nach einem erfolgreichen Verkauf15. 2.2 Änderung der Datenschutzerklärung von Ricardo 26. Am 27. Juli 2017 wurde die bisherige Datenschutzerklärung von Ricardo durch eine neue abgelöst16. Damit sollte der Datenaustausch unter den Tamedia-Unternehmen ermöglicht werden. Die neue Datenschutzerklärung sollte als gemeinsame Basis für Unternehmen der Tamedia-Gruppe gelten. Seitdem wurde die Datenschutzerklärung mehrmals aktualisiert (siehe dazu Rz. 29-30). 27. Die neuen Datenschutzerklärungen von Ricardo beziehen sich sowohl auf Datenbearbeitungen von Ricardo, als auch auf Datenbearbeitungen von den Gesellschaften der TX-Gruppe (alt: Tamedia-Gruppe) sowie verbundenen Unternehmen. Sie ist Standard bei allen Gesellschaften der TX-Gruppe, die untereinander Daten austauschen. Damit können relevante Angebote und Dienstleistungen und auf die jeweiligen Bedürfnisse zugeschnittene Werbung angezeigt werden. Mit dem Datenaustausch soll auch die Sicherheit für die Mitglieder verbessert werden, um beispielsweise Online-Betrug besser vorzubeugen17.
11 Siehe Rz. 14 und 22. 12 Seit Mitte Dezember 2019 ist das Erfassen neuer Inserate auf autoricardo.ch nicht mehr möglich. Es wird stattdessen auf die Dienste der Partner-Plattformen tutti.ch, carforyou.ch sowie ricardo.ch verwiesen. Weiter ist geplant, die Plattform autoricardo.ch im ersten Quartal 2020 aus dem Netz zu nehmen (Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020). 13 Eine Ausnahme: Bei autoricardo.ch kann der Käufer ein in einer Kleinanzeige inseriertes Fahrzeug erwerben, ohne registriert zu sein. 14 Siehe https://help.ricardo.ch/hc/de/articles/115002854885-Gebühren-für-das-Verkaufen und Gebührenreglement vom 13.09.2018 (neues Gebührenmodell, siehe https://www.ricardo.ch/de/login?return_url=%2Fde%2Fpricing). 15 Bei erfolgreichem Verkauf wird 9% des Verkaufspreises (max. Fr. 190 CH) bezahlt (Erfolgsprovision). Siehe Gebührenreglement vom 13.09.2018. 16 Siehe Datenschutzerklärung vom 12. Juli 2017 (gültig ab 27. Juli 2017), auf der Webseite von Ricardo, unter der Rubrik „AGB & Reglemente“. 17 Vgl. auch Ziffer 2.5. https://help.ricardo.ch/hc/de/articles/115002854885-Geb%C3%BChren-f%C3%BCr-das-Verkaufen https://www.ricardo.ch/de/login?return_url=%2Fde%2Fpricing
10/52
Dazu ist sie auf die gruppenweite Datennutzung angewiesen».18 28. Folgendes steht in der Einleitung der Datenschutzerklärung von Ricardo: Diese Datenschutzerklärung von ricardo.ch, ein Angebot der ricardo.ch AG, informiert Sie darüber, wie wir und die Gesellschaften der TX-Gruppe sowie verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen); nachfolgend insgesamt auch «Wir») mit Daten umgehen, welche über Sie bearbeitet werden, sei es bei der Nutzung unserer Webseiten und mobilen Applikationen (nachfolgend auch «digitalen Angebote» oder «Portale» genannt; hier finden Sie eine vollständige Liste) oder auf andere Weise.19 29. Zweck der unterdessen neu geltenden Datenschutzerklärung vom 25. Mai 2018 war eine Anpassung an die DSGVO. Insbesondere sollten Widerspruchsmöglichkeiten bezüglich Datenaustausch bzw. – Weitergabe innerhalb der Tamedia-Gruppe geschaffen werden. 30. Mit der Aktualisierung per 30. März 2019 wurde eine neue Ziffer (Ziff. 12) betreffend Standortinformationen eingeführt. Per 11. Februar 2020 wurde die Datenschutzerklärung nochmals aktualisiert. Die Aktualisierung wurde aufgrund der Umfirmierungen von Ricardo und der Tamedia- Gruppe (neu: TX-Gruppe) notwendig. Inhaltlich wurden jedoch in dieser letzten Fassung keine Änderungen vorgenommen. Die vorliegenden Feststellungen (Ziff. 2.1.-2.5) beziehen sich prinzipiell auf diese Fassung vom 11. Februar 2020. 2.3 Umfang und Zweck der Bearbeitung personenbezogener Daten20 31. Nachfolgend wird beschrieben, welche Daten gemäss der Datenschutzerklärung von Ricardo bzw. standardisierten Datenschutzerklärung der TX Group21 sowie der Stellungnahme von Ricardo/TX Group (alt: Tamedia) bearbeitet werden können, und zu welchen Zwecken dies geschehen kann. 2.3.1 Daten, die beim Besuch der Portale erfasst werden 32. Beim Besuch der Portale (bei Ricardo: „ricardo.ch“ oder „autoricardo.ch“) werden Log-Daten/Traffic-Daten systembedingt erfasst: IP-Adresse, Browsertyp, Internet Service Provider, aufgerufene digitale Angebote, Referenz/Exit-Seiten, Zeitpunkt und Dauer des Besuchs. 33. In der Datenschutzerklärung von Ricardo/TX Group steht dazu folgendes: Wenn Sie ohne weitere Angaben von Ihnen unsere digitalen Angebote verwenden, protokolliert die von uns eingesetzte Webserver-technologie automatisch allgemeine technische Besuchsinformationen in sogenannten Log-Dateien. Dazu zählen unter anderem die IP-Adresse des verwendeten Geräts, von welchem aus der Besuch erfolgt, Angaben zum Browsertyp, zum Internet Service Provider und zum verwendeten Betriebssystem, welche digitalen Angebote bei uns aufgerufen wurden, Referenz/Exit-Seiten, der Zeitpunkt und die Dauer des Besuchs. Die Erhebung und Verarbeitung dieser Informationen erfolgt zum Zweck, die Nutzung der Webseiten zu ermöglichen (Verbindungsaufbau), die Sicherheit und Stabilität unserer Systeme und Angebote zu gewährleisten und zu erhöhen, die Nutzung unserer Angebote und Dienste zu analysieren, allgemeine geographische Informationen zu erheben und die Optimierung unseres Internetangebotes zu ermöglichen (Marketingmassnahmen, zielgruppenspezifische Werbung etc.), sowie zu internen statistischen Zwecken.
18 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 19 Datenschutzerklärung von Ricardo/TX Group vom 11. Februar 2020. 20 Siehe Ziff. 1 der Datenschutzerklärung von Ricardo/TX Group («Umfang und Zweck der Bearbeitung personenbezogener Daten»). 21 Datenschutzerklärung vom 11. Februar 2020.
11/52
Eine Identifikation des Benutzers findet dabei nicht statt. Ebenso wird grundsätzlich keine Verbindung zwischen diesen automatisch gesammelten Informationen und bei uns gespeicherten Personendaten hergestellt. Ausnahme von dieser Grundregel kann jedoch dann bestehen, wenn Sie bei einem unserer Portale bereits ein registriertes Benutzerkonto haben.22 34. Zudem werden beim Besuch der Portale Cookies sowie Tracking- und Analyse-Tools eingesetzt: Darüber hinaus setzen wir beim Besuch unserer Portale Cookies und Analyse-Tools (bspw. Google Analytics) ein.23 2.3.2 Daten, die bei der Registrierung eines Benutzerkontos erfasst werden 35. Bei der Registrierung eines Benutzerkontos ist die Eingabe bestimmter Personendaten erforderlich. Bei Ricardo werden folgende Daten erfasst: Geschlecht, Anrede, Vor- und Nachname, Adresse (vollständige Postadresse, PLZ, Ort), E-Mail-Adresse, Geburtsdatum, Telefonnummer, Information zu abonnierten Newslettern oder sonstiger Werbung, Sprache, Benutzername (durch das Mitglied freiwillig definiert).24 Seit September 2019 werden bei der Registrierung für ein privates Konto bloss noch E-Mail-Adresse und Passwort erhoben. Bevor eine Nutzerin oder ein Nutzer auf Ricardo kaufen bzw. verkaufen kann, muss sie/er sodann folgende Personendaten erfassen: Vor- und Nachnahme, Geburtsdatum, Adresse (Strasse, PLZ, Ort), Telefonnummer, Identitätsdokument (optional), Sprache, Benutzername (wird automatisch generiert). Im Benutzerkonto können Nutzer ausserdem optional eine Anrede angeben, den automatisch generierten Benutzernamen anpassen oder ihre Benachrichtigungspräferenzen (inkl. Newsletter) verwalten.25 36. Was den Zweck der Erfassung dieser Daten anbelangt, steht in der standardisierten Datenschutzerklärung von Ricardo/TX Group folgendes: Die Daten verwenden wir zur Abwicklung und Administration unserer digitalen Angeboten, zur Überprüfung der eingegebenen Daten auf Plausibilität, d.h. zur Begründung, inhaltlichen Ausgestaltung, Abwicklung und Änderung der mit Ihnen abgeschlossenen Vertragsverhältnisse über Ihr Benutzerkonto sowie im Falle kostenpflichtiger Dienste zur ordnungsgemässen Rechnungsstellung.26 2.3.3 Daten, die bei der Nutzung als registrierter Nutzer erfasst werden 37. Die standardisierte Datenschutzerklärung von Ricardo/TX Group hält folgendes fest: Während der Nutzung des Portals durch die registrierten Nutzer erheben wir Daten aus statistischen Gründen, um die reibungslose Funktionsfähigkeit des Portals zu ermöglichen sowie zur Analyse, Optimierung und Personalisierung der Nutzung unserer Angebote und Dienste. So sammeln wir Daten darüber, ob und wie Sie unsere digitalen Angebote nutzen, insbesondere welche Funktionen und welche Werbung Sie wie wahrnehmen.27 38. Bei Ricardo werden bei der Nutzung des Portals durch registrierte (und eingeloggte) Nutzer folgende Daten erfasst: Sofort-Käufe (BINs), Gebote bei Auktionen (Bids), Bestellungen (Orders), Angebotene Produkte auf ricardo.ch (listings), Kontaktaufnahmen bei Classified-Produkten (contact forms), Fragen und Antworte bei Angeboten (Questions & Answers) („Customer activity around articles“)28. 39. Wie Ricardo/TX Group in ihrer Stellungnahme vom 16. Januar 2020 mitgeteilt hat, würden diese oben genannten Daten von Ricardo selber für eigene Marketing- und Werbezwecke verwendet.
22 Ziff. 1 Bst. a der Datenschutzerklärung vom 11. Februar 2020 («Beim Besuch unserer Portale»). 23 Ziff. 1 Bst. a der Datenschutzerklärung vom 11. Februar 2020. 24 Vgl. Schreiben Ricardo vom 6. November 2017. 25 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 26 Ziff. 1 Bst. b der Datenschutzerklärung vom 11. Februar 2020. 27 Ziff. 1 Bst. c der Datenschutzerklärung vom 11. Februar 2020. 28 Schreiben Ricardo vom 6. November 2017.
12/52
Dies habe mit der Erhebung von Nutzungsdaten und deren Austausch in der Gruppe jedoch nichts zu tun.29 40. Wenn ein registrierter Besucher sich über sein Benutzerkonto eingeloggt hat, werden die Nutzerdaten mit den Konto-Daten zusammengeführt. 2.3.4 Informationen zu Einkäufen und Vertragsschlüssen 41. Die standardisierte Datenschutzerklärung von Ricardo/TX Group hält folgendes fest: Wenn Sie auf unserer Seite ein Produkt kaufen, respektive einen kostenpflichtigen Dienst beziehen, ist die Angabe von Daten wie beispielsweise Vor- und Nachnamen, Adresse (vollständige Postadresse, PLZ, Ort) und allenfalls weiteren Daten zwingend, da wir diese für die Abwicklung des Vertrages mit Ihnen benötigen. Wenn Sie zum Kauf eines Produkts respektive eines kostenpflichtigen Dienstes eine Online-Zahlungsoption wie etwa Kreditkarte oder PayPal wählen, erfolgt die Bezahlung über das Online-Zahlungssystem des jeweiligen Anbieters. Die Bearbeitung von Personen- und Zahlungsdaten erfolgt in diesem Fall direkt über den Anbieter des jeweiligen Zahlungssystems. Wir kennen und speichern Ihre Zahlungsdaten nicht. Es gelten jeweils zusätzlich die Datenschutzbestimmungen des jeweiligen Anbieters des Online-Zahlungssystems. Soweit Sie registriert sind und über ein Benutzerkonto verfügen, können wir Ihre Daten im Benutzerkonto für den nächsten Einkauf / Vertragsschluss speichern. Wir speichern auf jeden Fall alle Informationen zu ihren aktuellen und bisherigen Einkäufen und Vertragsschlüssen, d.h. die Produkte, die Dienstleistungen, die Anzahl Produkte und Dienstleistungen pro Einkauf, den Zahlungsbetrag. Wir sind berechtigt, diese Information für Marketing- und Analysezwecke verwenden zu dürfen. Weitere Informationen zu Marketing- und Analysezwecken finden Sie weiter unten in Ziffer 4.30
42. Wie Ricardo/TX Group in ihrer Stellungnahme vom 16. Januar 2020 mitgeteilt hat, würden diese Daten (d.h. Informationen zu Einkäufen und Vertragsschlüssen, also die Produkte, die Dienstleistungen, die Anzahl Produkte und Dienstleistungen pro Einkauf, den Zahlungsbetrag) von Ricardo selber für eigene Marketing- und Werbezwecke verwendet. Die entsprechenden Datenbearbeitungen würden aber mit dem gruppenweiten Datenaustausch nichts zu tun haben31. 43. 2.3.5 Daten aus der Teilnahme an Gewinnspielen und Wettbewerben 44. In der Datenschutzerklärung34 wird erwähnt, dass personenbezogene Daten auch bei der Teilnahme an Gewinnspielen und Wettbewerben bearbeitet werden können und gegebenenfalls für Direktmarketing und Marktforschung verwendet und weitergegeben werden:
29 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 30 Ziff. 1 Bst. d der Datenschutzerklärung vom 11. Februar 2020. 31 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 32 Ziff. 1 Bst. d der Datenschutzerklärung vom 12/27. Juli 2017. 33 Vgl. Schreiben Ricardo vom 29. März 2018. Siehe auch Schreiben Ricardo/Tamedia vom 6. November 2017
34 Datenschutzerklärung vom 11. Februar 2020.
13/52
Wir verwenden die von Ihnen angegebenen Daten zur Organisation und Durchführung der Veranstaltungen sowie zur Benachrichtigung und/oder Publikation der Gewinner auf unseren Portalen, mittels direkter Benachrichtigung oder auf sozialen Netzwerken. Wenn Sie uns dies ermöglicht haben, können wir Ihre Daten gemäss Ziffer 2 und 4 verwenden und auch gemäss Ziffer 3 weitergeben.35 2.3.6 Nutzerumfragen und Marktforschung 45. Ergebnisse aus Nutzerumfragen (bestehend «aus aggregierten und anonymen Daten») können nach der Datenschutzerklärung36 «zur Verbesserung der Nutzererfahrung» verwendet werden: Wir verwenden die von Ihnen angegebenen Daten ausschliesslich zur Verbesserung der Nutzererfahrung und zur Weiterentwicklung unserer Produkte. Die Ergebnisse bestehen ausschliesslich aus aggregierten und anonymen Daten. Wenn Sie zugestimmt haben, können Sie auch durch andere Gesellschaften der TX- Gruppe sowie verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) kontaktiert werden, um beispielsweise an anderen Nutzerumfragen teilzunehmen.37 2.3.7 Standortinformationen 46. Gemäss der Datenschutzerklärung von Ricardo/TX Group38 werden Standortdaten über bestimmte Mobile-Applikationen verwendet (eine aktuelle Liste befindet sich auf der Website www.tamedia.ch). Falls Sie mit einem Mobilgerät unsere Mobile-Applikationen benutzen (eine Liste aller betreffenden Mobile-Applikationen finden Sie hier), können wir unter Verwendung von GPS-Signaldaten Informationen über den Standort Ihres Mobilegeräts (Längen- und Breitengrad, Angaben zur horizontalen Genauigkeit) erfassen. Wir verwenden die Standortdaten dazu, Ihr Nutzererlebnis zu steigern, indem wir Ihnen über die Mobile- Applikation(en) (eine Liste aller betreffenden Mobile-Applikationen finden Sie hier) auf Ihrem Mobilegerät standortbezogene Onlinewerbung und andere standortbezogene digitale Inhalte anzeigen (ortsbasierte Wetterangaben & Nachrichten; Darstellung von ungefähren Nutzerstandorten). Sofern rechtlich erforderlich, fragen wir Sie nach Ihrer Zustimmung, bevor wir Ihre Standortdaten für die genannten Anwendungen erheben. Wir können in diesem Zusammenhang die Dienstleistungen von anderen Unternehmen innerhalb und ausserhalb der TX-Gruppe in Anspruch nehmen (« Auftragsdatenverarbeiter »). Soweit zur Erbringung der betreffenden Dienstleistungen erforderlich, können wir Ihre Standortdaten an diese Unternehmen weitergeben. Eine Liste der betreffenden Unternehmen finden Sie hier. Wir stellen durch die Auswahl der Auftragsdatenbearbeiter und durch geeignete vertragliche Vereinbarungen sicher, dass der Schutz Ihrer Daten während der gesamten Bearbeitung sichergestellt ist. Sie haben auch nach erteilter Zustimmung jederzeit die Möglichkeit, die Erhebung, Bearbeitung und Weitergabe Ihrer Standortdaten zu deaktivieren. Wenn Sie keine standortbasierte Onlinewerbung und Inhalte erhalten möchten, können Sie den Zugriff auf Ihren Standort entweder ablehnen oder die Ortungsdienste in den Einstellungen Ihres Mobilegeräts jederzeit deaktivieren. Um die Ortungsdienste zu deaktivieren, folgen Sie bitte den Anleitungen der Gerätehersteller: - für Apple-Geräte: https://support.apple.com/de-ch/HT202074 - für Android-Geräte: https://support.google.com/ads/answer/2662922?hl=de39
Über die Mobile-Applikation von Ricardo werden aktuell keine Standortdaten erfasst.40
35 Ziff. 1 Bst. e der Datenschutzerklärung vom 11. Februar 2020. 36 Datenschutzerklärung vom 11. Februar 2020. 37 Ziff. 1 Bst. f der Datenschutzerklärung vom 11. Februar 2020. 38 Datenschutzerklärung vom 11. Februar 2020. 39 Ziff. 12 der Datenschutzerklärung vom 11. Februar 2020. 40 vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. http://www.tamedia.ch/ https://support.apple.com/de-ch/HT202074 https://support.google.com/ads/answer/2662922?hl=de
14/52
2.4 Datenbearbeitungen 47. Nachfolgend wird beschrieben, welche Datenbearbeitungen betreffend die Ricardo-Daten gemäss der Datenschutzerklärung stattfinden sollen bzw. gemäss der Beschreibung von Ricardo tatsächlich stattfinden – und zu welchen Zwecken. 2.4.1 Mitteilung über die «Datenweitergabe» und deren Zwecke 48. Mit einem Datenaustausch innerhalb der Tamedia-Gruppe (neu: TX Group) sollen die Daten der Ricardo- bzw. Tamedia-Benutzer zu Marketingzwecken sowie zu Sicherheitszwecken bearbeitet werden. Siehe dazu Ziff. 2.2, Rz. 26ff. Die Ricardo-Mitglieder wurden per E-Mail und auf der Website von ricardo.ch wie folgt informiert: «Mit der neuen Datenschutzerklärung können wir Ihnen für Sie relevante Angebote und Dienstleistungen anzeigen und Ihr Online-Erlebnis sowie die Sicherheit unserer Angebote verbessern. Damit erhöht sich der Schutz vor Online-Betrug und -Missbrauch.»41 «Warum gibt es überhaupt eine interne Weitergabe bei Tamedia? Ein wichtiger Grund für die Weitergabe ist die Verbesserung der Sicherheit für die Mitglieder, um beispielsweise Online-Betrug besser vorzubeugen. Dies wird ermöglicht, indem Informationen bei Verdachtsfällen zwischen den Online-Plattformen von Tamedia ausgetauscht werden können. Zudem möchten wir in Zukunft für Sie relevantere und auf Ihre Bedürfnisse zugeschnittene Werbung anzeigen.»42 49. Der Datenaustausch innerhalb der Gruppe bzw. die Weitergabe zu Sicherheitszwecken (z.B. Missbrauchsbekämpfung) wurde nicht explizit in der Datenschutzerklärung vorgesehen.
.43 Es wurde jedoch nicht dargelegt, wie die entsprechenden Abläufe und Prozesse sich von den Abläufen Datenverarbeitung bzw. Datenaufbereitung zu Marketingzwecken unterscheiden.44 Dazu nimmt Ricardo/TX Group wie folgt Stellung:
2.4.2 Datenbearbeitungen gemäss Datenschutzerklärung vom 9. Juli 2015 50. Nach einer älteren Version der Datenschutzerklärung (gültig ab 9. Juli 201545) konnte Ricardo die personenbezogenen Daten der Mitglieder «für Marketing-Massnahmen wie z.B den Versand von E-mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter, E-Mails zu Informationszwecken) verarbeiten und nutzen». 51. Dazu durfte Ricardo die Daten auch «an Hilfspersonen im In- und Ausland sowie verbundene Unternehmen und Gruppengesellschaften weitergeben, die für [Ricardo46] werben» – also an Dritte,
41 Mitteilung an alle Ricardo-Mitglieder per E-Mail vom 12. Juli 2017. 42 FAQ «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018», im Mai 2018 auf ricardo.ch aufgeschaltet. 43 Vgl. Schreiben von Ricardo/Tamedia vom 20. März 2019 sowie Stellungnahme Ricardo/TX-Group vom 16.01.2020. 44 Siehe dazu Frage 4 des EDÖB vom 18. Februar 2019 und entsprechende Antwort Ricardo/Tamedia vom 20. März 2019. 45 Datenschutzerklärung vom 9. Juli 2015, veröffentlicht auf der Webseite von Ricardo (Rubrik „AGB & Reglemente»). 46 Im Text: « für uns selber ».
15/52
die für die eigenen Werbezwecke von Ricardo Personendaten bearbeiten. Diese verpflichteten sich vertraglich zur Nichtweitergabe der Personendaten. 52. Weiter gab es in der Datenschutzerklärung einen expliziten Hinweis auf die Opt-out-Möglichkeit („Auf Ihren Wunsch verzichten wir auf die Verwendung Ihrer Daten zu Werbezwecken“) mit entsprechenden Kontaktdaten47. 53. Darüber hinaus wurde auch auf die Erhebung der Surfdaten beim Besuch der Webseite sowie die Nutzung von Cookies und die Web-Analyse u.a. anhand Google Analytics hingewiesen, auch hier mit der Anleitung, wie diese Funktionen deaktiviert werden können48. 2.4.3 Datenbearbeitungen gemäss Datenschutzerklärung vom 11. Februar 2020 54. In der Datenschutzerklärung vom 11. Februar 2020 wird festgehalten, dass die darin aufgeführten Daten zu Marketingzwecken genutzt werden können und an Unternehmen der TX-Gruppe oder an verbundene Unternehmen weitergegeben werden können49: 55. Direktmarketing und Online-Werbung Mit Ihrer Registrierung oder der Bestellung als Gast auf einem unserer Portale (hier finden Sie eine vollständige Liste) können wir Ihre Personendaten auch für personalisierte Werbemassnahmen nutzen. Dies betrifft sowohl die Personalisierung von Werbung per E-Mail, wie beispielsweise E-Mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter), per Telefon, Post, Telefax, Textnachrichten, Bildnachrichten sowie auf Instant Messaging Diensten als auch die Auslieferung von personalisierten Inhalten und Werbung auf unseren Portalen. Hierfür können wir automatisiert uns bekannte Informationen über Ihr Nutzungsverhalten auf unseren Portalen auswerten, damit wir vermeiden können, dass Sie unpassende Werbung erhalten. Diese Bearbeitungen entnehmen Sie Ziffer 4. (…) Wir sind berechtigt, Dritte mit der technischen Abwicklung von Werbemassnahmen und der Werbung für uns selbst zu beauftragen und sind berechtigt, Ihre Daten zu diesem Zweck weiterzugeben (vgl. unten Ziff. 3). 50 56. Weitergabe von Daten an Dritte Wir arbeiten mit anderen Unternehmen oder Personen zusammen beziehungsweise beauftragen andere Unternehmen oder Personen mit der Bearbeitung und Speicherung von Daten. Diese könnten Zugang zu Ihren personenbezogenen Daten oder Nutzungsdaten erhalten, jedoch nur soweit es zur Erledigung ihrer Aufgaben erforderlich ist. Wir können von Ihnen erfasste Angaben und im Rahmen unserer Nutzungsmessungen gemäss Ziff. 1 oben erhobene Daten zu Ihrer Person, resp. Ihrem Nutzerkonto entweder an Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (eine aktuelle Liste aller betreffenden Unternehmen finden Sie hier) zur Auswertung, Verbesserung und bedarfsgerechten Ausgestaltung unserer Dienste, respektive der Dienste der verbundenen Unternehmen, zur Kundenpflege, zur Personalisierung und zu Marketingzwecken nutzen und weitergeben. Die Datenbearbeitungen durch andere Unternehmen der TX-Gruppe oder der mit der TX-Gruppe verbundenen Unternehmen sind nachfolgend in Ziffer 4 beschrieben. 51
47 Ziff. 14 der Datenschutzerklärung vom 9. Juli 2015 („Nutzung zu Werbezwecken“). 48 Ziff. 5 bis 7 der Datenschutzerklärung vom 9. Juli 2015. 49 Datenschutzerklärung vom 11. Februar 2020, Ziff. 2 «Direktmarketing und Online-Werbung» und Ziff. 3 «Weitergabe von Daten an Dritte». 50 Ziff. 2 der Datenschutzerklärung vom 11. Februar 2020. 51 Ziff. 3 der Datenschutzerklärung vom 11. Februar 2020.
16/52
57. Die Unternehmen der TX-Gruppe sowie verbundene Unternehmen, die nach der Datenschutzerklärung untereinander Daten austauschen, sind folgende 52: - Tamedia Basler Zeitung AG (www.baslerzeitung.ch) - Berner Oberland Medien AG BOM (www.berneroberlaender.ch, www.thunertagblatt.ch) - Tamedia Espace AG (www.bernerzeitung.ch, www.langenthalertagblatt.ch, www.derbund.ch) - Tamedia Verlag Finanz und Wirtschaft AG (www.fuw.ch) - TX Group AG (www.20min.ch, www.friday-magazine.ch) - Tamedia Publications romandes SA (www.24heures.ch, www.bilan.ch. www.lematin.ch, www.lematindimanche.ch, www.femina.ch, www.tdg.ch, www.lematindusoir.ch) - Tamedia Publikationen Deutschschweiz AG (www.schweizerfamilie.ch, www.sonntagszeitung.ch, www.tages-anzeiger.ch, www.zueritipp.ch) - Tamedia ZRZ AG (www.landbote.ch, www.zuonline.ch, www.zsz.ch) - Digital Ad Services AG (www.goldbach.com) - Homegate AG (www.homegate.ch, www.home.ch, www.tutti.ch) - ImmoStreet.ch AG (www.immostreet.ch) - OLMeRO AG (www.renovero.ch) - Ricardo AG (www.ricardo.ch) - Starticket AG (www.starticket.ch)
58. Diese Weitergabe «erfolgt grundsätzlich mit pseudonymisierten oder anonymisierten Daten». Die umgesetzten technischen und organisatorischen Massnahmen sollen sicherstellen, dass eine personenbezogene Identifizierung nicht mehr möglich ist: Eine Weitergabe an Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) gemäss vorliegender Ziffer 3 erfolgt grundsätzlich mit pseudonymisierten oder anonymisierten Daten. D. h., dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr Ihnen zugeordnet werden können. Wir stellen innerhalb der Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) vertraglich und mittels technischer und organisatorischer Massnahmen sicher, dass eine personenbezogene Identifizierung nicht mehr möglich ist.53 59. Die Datenbearbeitungen durch andere Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundenen Unternehmen zu Marketing- und Analysezwecken werden in Ziffer 4 der Datenschutzerklärung beschrieben: Die Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) haben das Ziel, die Ihnen angebotenen digitalen Angebote kontinuierlich zu verbessern und bedarfsgerechter und sicherer auszugestalten. Dazu können laufend unter Einsatz verschiedener Analysetools nutzerspezifische historische und zukünftige Daten, über die wir verfügen, miteinander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, aggregiert, pseudonymisiert und anonymisiert werden. Zur Verbesserung unserer Datenbasis können wir öffentlich erhältliche Daten oder Daten von Drittanbietern hinzuziehen. Die Erkenntnisse aus Ihrer Nutzung unseres Angebotes können im Rahmen der Analyse des Nutzerverhaltens bei anderen teilnehmenden Unternehmen genutzt und verwertet werden. Eine solche Datenbearbeitung erfolgt vor allem mit pseudonymisierten oder anonymisierten Daten. Die Bearbeitung erfolgt insbesondere zum Zweck, Ihnen gemäss Ziffer 2 personalisierte Werbung zukommen zu lassen oder auf einem unserer Portale anzuzeigen sowie die Sicherheit unserer Portale zu verbessern.54
52 Diese Liste der «Unternehmen der TX-Gruppe, die untereinander Daten austauschen» wird laufend auf der Website von TX- Group aktualisiert (entsprechender Verweis in der Datenschutzerklärung von Ricardo): https://www.tamedia.ch/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf (Version vom 01.10.2019), https://tx.group/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf (Version vom 15.01.2021). 53 Ziff. 3 der Datenschutzerklärung vom 11. Februar 2020. 54 Ziff. 4 der Datenschutzerklärung vom 11. Februar 2020 («Bearbeitung Ihrer Personendaten zu Marketing- und Analysezwecken»). https://www.tamedia.ch/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf https://www.tamedia.ch/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf https://tx.group/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf https://tx.group/tl_files/content/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf
17/52
60. Es können somit laufend unter Einsatz verschiedener Analysetools «nutzerspezifische historische und zukünftige Daten, über die TX-Gesellschaften verfügen, miteinander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, aggregiert, pseudonymisiert und anonymisiert werden.» Zudem können zur Verbesserung der Datenbasis von TX Group öffentlich erhältliche Daten oder Daten von Drittanbietern hinzugezogen werden55. 2.4.4 Aktuelle Nutzung und Weitergabe gemäss Ausführungen von Ricardo 61. Seit der Einführung der neuen Datenschutzerklärung im Juli 2017 und unseren ersten Abklärungen56 hat sich die Sachlage bezüglich Datenweitergabe und Datenaustausch entwickelt, wie nachfolgend gezeigt wird. Insbesondere erfolgt mittlerweile57 eine Verknüpfung bzw. Anreicherung der Datensegmente aus verschiedenen Quellen – was bisher nicht der Fall war58. 62. Die aktuellen Datenbearbeitungen können aufgrund der neu verfügbaren Informationen und erfolgten Abklärungen59 wie folgt beschrieben werden:
63.
64.
2.4.4.2 65. . Dies erlaubt eine Anreicherung der Datensegmente von Ricardo mit weiteren Daten der anderen Gruppengesellschaften. Die von aufbereiteten Daten und aus
55 Gemäss Ricardo/Tamedia (neu: TX Group) findet bis anhin keine solche Anreicherung statt (Schreiben Ricardo vom Januar 2019). 56 Vgl. Sachverhaltsfeststellung vom März 2018. 57 Vgl. Schreiben Ricardo vom März 2019. 58 «Datenbearbeitungen, insbesondere die Verknüpfung oder die Veredelung der Profildaten mit anderen Daten finden aktuell nicht statt. In Zukunft könnte dies aber durchaus eine Option werden» (vgl. Schreiben vom 6. November 2017). «Weder die Benutzerdaten von Ricardo noch die aus der Aggregierung resultierenden Segmente werden an Dritte weitergegeben, sei es innerhalb oder ausserhalb der Tamedia-Gruppe. Sie werden auch nicht mit weiteren Daten oder Segmenten aus anderen Quellen zusammengeführt. Diese strikte Trennung gilt auch für die verwendeten Cookies» (vgl. Sachverhaltsfeststellung vom März 2018). 59 Siehe Schreiben von Ricardo vom Januar und März 2019. Siehe auch Vertrag IT-Dienstleistungen vom 19. Dezember 2018.
18/52
verschiedenen Quellen zusammengestellten Datensegmente werden anschliessend an für die digitale Werbeauslieferung60 übermittelt61.
Mit der bedarfsgerechten Ausgestaltung und Auslieferung der digitalen Werbung soll den betreffenden Nutzern ein Mehrwert geboten und die Attraktivität der Portale für bestehende und potentielle Werbekunden gesteigert werden. 66. Die detaillierten Abläufe und Prozesse werden nachfolgend beschrieben. 2.4.4.3 67.
68.
69.
70.
63 71.
60 Im Rahmen einer Reorganisation wurde die Geschäftseinheit per 1. März 2019 in die selbständige Tochtergesellschaft ausgelagert (vgl. Schreiben Ricardo, 20. März 2019). 61 Vgl. Schreiben Ricardo vom 20. März 2019. 62
63
19/52
-
72. In der Datenschutzerklärung wird festgehalten, dass alle Informationen zu den aktuellen Einkäufen und Vertragsschlüssen (Produkte, Dienstleistungen, Zahlungsbetrag) gespeichert und für Marketing und Analysezwecke verwendet werden dürfen (vgl. Ziffer 2.3.4 vorstehend) – unter anderem mit Verweis auf Ziffer 4 der Datenschutzerklärung. Nach den Aussagen von Ricardo/TX Group würden diese Daten jedoch von Ricardo selber für eigene Marketing- und Werbezwecke verwendet. Die entsprechenden Datenbearbeitungen würden mit dem gruppenweiten Datenaustausch nichts zu tun haben.64 73.
74.
75. wendet dabei vor der Übermittlung an einen «k-50-Anonymisierungsfilter» an, der sicherstellt, dass die Anzahl Personen pro Segment nicht unter den Schwellenwert von 50 fällt. 76.
77.
64 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020.
66 Vgl. Schreiben Ricardo/Tamedia vom März 2019.
20/52
2.4.5 Anonymisierung/Pseudonymisierung 78. Ricardo/Tamedia (TX Group) weist darauf hin, dass die Weitergabe innerhalb der Tamedia (TX)- Gruppe im Auftrag geschieht und die aggregierten Daten für Tamedia (TX Group) keinen Rückschluss mehr auf eine bestimmte oder bestimmbare Person zulassen würden. Für Tamedia (TX Group) stellen diese Daten folglich nicht mehr Personendaten dar, und deren Bearbeitung fällt nicht unter das DSG. Ricardo beschreibt die «Ausgabedaten» und die «Nutzungsdaten» sowie die daraus erstellten (einheitlichen) Segmente als «anonym» und geht davon aus, dass diese nicht personenbezogen im Sinne des DSG sind 79. Mit anderen Worten: Aufgrund der beschriebenen Anonymisierungs- und Aggregierungsprozess bzw. den technischen und organisatorischen Massnahmen geht Ricardo davon aus, dass eine Reidentifizierung der Ricardo-Kunden oder Nutzer zu keinem Zeitpunkt möglich ist. Bei der Auslieferung von digitalen Werbeinhalten bzw. zielgruppenspezifischer Werbung finde keine Identifizierung der betreffenden Person statt, und somit würden keine personenbezogenen Daten verwendet.67 80.
.68
2.5 Information und Widerspruchsmöglichkeiten 2.5.1 Information und Ablauf bei einer neuen Anmeldung/Registrierung bei Ricardo 81. Um sich als neues Mitglied zu registrieren, muss der Nutzer bei der ersten Anmeldung/Registrierung auf ricardo.ch oder autoricardo.ch die AGB und die Datenschutzerklärung vollumfänglich akzeptieren69. Auf dem Anmeldeformular weist ein Text unter dem Anmeldebutton darauf hin, dass Beides mit der Anmeldung akzeptiert wird. Beide Dokumente werden verlinkt. 2.5.2 Information über die Änderung der Datenschutzerklärung an die Ricardo-Mitglieder 82. Ricardo-Mitglieder wurden über die neu geltende Datenschutzerklärung in deren Fassung von 2017 und 2018 per E-Mail informiert70. Zusätzliche Informationen wurden mit der neuen Datenschutzerklärung auf der Website von ricardo.ch aufgeschaltet. 2.5.2.1 Datenschutzerklärung vom 27. Juli 2017 83. Ricardo hat seine bestehenden Mitglieder am 12. Juli 2017 per E-Mail über die Änderungen der Datenschutzerklärung informiert. Der Mitteilung war unter anderem zu entnehmen, dass mit der neuen Datenschutzerklärung für die Nutzer relevante Angebote und Dienstleistungen angezeigt und so das Online-Erlebnis wie auch die Sicherheit verbessert werden können. 84. Weiter wurde ausgeführt, dass bestehende Nutzer mit der Weiterverwendung ihres Accounts ab demselben Tag die neue Datenschutzerklärung automatisch akzeptiert haben. 85. Die Information lautete wie folgt:
67 Vgl. Schreiben Ricardo/Tamedia vom Januar 2019. 68 Vgl. 69 Mittlerweile (ab März 2020) muss die Datenschutzerklärung nicht mehr akzeptiert werden, aber in Kenntnis genommen werden. 70 Die Ergänzung der Datenschutzerklärung in der Fassung vom 30. März 2019 wurde den Ricardo-Kunden nicht separat (per E-Mail) kommuniziert, da Letztere von den dabei neu eingeführten Datenbearbeitungen (Ziffer 12: «Standortinformationen») inhaltlich nicht betroffen sind. Über die Mobile-Applikation von Ricardo werden keine Standortdaten erfasst. (Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020).
21/52
Gerne informieren wir Sie über die neue Datenschutzerklärung von ricardo.ch, welche am 12. Juli 2017 in Kraft treten wird. ZUR DATENSCHUTZERKLÄRUNG Wieso wurde die Datenschutzerklärung geändert? Die Datenschutzerklärung wurde innerhalb der Mediengruppe Tamedia harmonisiert, um den internen Datenaustausch zu ermöglichen. Was genau ändert sich? Mit der neuen Datenschutzerklärung können wir Ihnen für Sie relevante Angebote und Dienstleistungen anzeigen und Ihr Online-Erlebnis sowie die Sicherheit unserer Angebote verbessern. Damit erhöht sich der Schutz vor Online-Betrug und -Missbrauch. Indem Sie die Dienstleistungen von ricardo.ch oder autoricardo.ch am oder nach dem 12. Juli 2017 verwenden, akzeptieren Sie die neue Datenschutzerklärung automatisch. Falls Sie damit nicht einverstanden sind, können Sie innert 14 Tagen per E-Mail an datenschutz@ricardo.ch oder schriftlich per Post widersprechen. Der Widerspruch hat eine Auflösung der Mitgliedschaft zur Folge. Wir danken Ihnen für Ihre Treue! Ihr ricardo.ch-Team71 Mittels Klicks auf einen Link konnte auf die neue Datenschutzerklärung zugegriffen werden. 86. Die seit dem 27. Juli 2017 geltende Datenschutzerklärung (und damit auch die Datenweitergabe innerhalb der Tamedia-Gruppe) galt als automatisch akzeptiert, wenn das Mitglied die Dienstleistungen von ricardo.ch oder autoricardo.ch ab dem 12. Juli 2017 weiterhin verwendete oder der Datenschutzerklärung nicht innert 14 Tagen (bis zum 27. Juli 2017) widersprach. Der Widerspruch hatte eine Auflösung der Mitgliedschaft zur Folge. 87. Ricardo teilte denjenigen, die der neuen Datenschutzerklärung auch nur hinsichtlich der Bearbeitungen für personenbezogene Analyse- und Marketingzwecke widersprochen haben, denn auch mit, dass ihr Benutzerkonto geschlossen wurden. Gemäss Ricardo war dieser Ausschluss jedoch nicht beabsichtigt72. 88. Eine Deaktivierung des Nutzungsdaten-Trackings (bei Tamedia) war/ist zu diesem Zeitpunkt mittels einem Opt-out-Cookie jedoch möglich. (vgl. konkrete Umsetzung, nachfolgend unter Ziffer 2.5.3). Ein Widerspruch zum Datenaustausch innerhalb Tamedia war hingegen nicht möglich. 89. Nachdem sich der EDÖB mit Schreiben vom 19. Juli 2017 kritisch zum Umstand geäussert hat, dass die Änderung der Datenschutzerklärung am Tage der Mitteilung in Kraft treten sollte, teilte Ricardo mit, der 12. Juli 2017 sei irrtümlicherweise als Einführungsdatum angegeben worden. Richtig sei der 27. Juli 2017. Im Sinne einer Klarstellung sei das Dokument „Zusammenfassung der Datenschutzerklärung ricardo.ch AG am 21. Juli 2017 auf der Webseite von Ricardo (unter der Rubrik „AGB & Reglemente“) aufgeschaltet worden. Denjenigen Mitgliedern, die sich in der Zwischenzeit an den Kundendienst von ricardo.ch gewendet haben, wurde das korrekte Einführungsdatum mitgeteilt. 2.5.2.2 Datenschutzerklärung vom 25. Mai 2018 und folgende Versionen 90. Am 9. Mai 2018 wurden die Ricardo-Mitglieder per Mail auf die neue ab 25. Mai 2018 geltende Datenschutzerklärung aufmerksam gemacht.
71 E-Mail Ricardo vom 12. Juli 2017. 72 Schreiben Ricardo vom März 2018: „Sollten Mitglieder einzig auf Grund eines Widerspruchs dagegen unter den neuen Datenschutzerklärung 12./27. Juli 2017 ausgeschlossen worden sein, war dies nicht beabsichtigt“. http://news.ricardo.ch/u/nrd.php?p=Ui8yOXFM2s_2256019_1426983_1_7&ems_l=1366999&d=MjAxN19EU0VfSW5mb19OZXdzbGV0dGVyX0RF%7C http://news.ricardo.ch/u/nrd.php?p=Ui8yOXFM2s_2256019_1426983_1_8&ems_l=1366999&d=MjAxN19EU0VfSW5mb19OZXdzbGV0dGVyX0RF%7C mailto:datenschutz@ricardo.ch
22/52
Wir aktualisieren die Datenschutzerklärung von ricardo.ch per 25. Mai 2018, um mit der neuen strengeren EU-Verordnung zum Schutz von personenbezogenen Daten (DSGVO) Schritt zu halten. Damit erhalten Sie mehr Kontrolle über Ihre Daten. Die wichtigste Neuerung der Datenschutzerklärung besteht darin, dass Sie neu die Möglichkeit haben, gewissen Datenbearbeitungen zu widersprechen. (…)73 91. In der Datenschutzerklärung vom 25. Mai 2018 sowie in den folgenden Versionen steht nun Folgendes: Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen. Ein solcher Widerspruch schliesst die Erhebung von Personendaten nicht gänzlich aus. Unter folgendem Link74 können Sie die Erfassung Ihrer Nutzungsdaten durch uns verhindern. Der Widerspruch schliesst lediglich aus, dass erhobene Personendaten nicht anonymisiert für Marketingzwecke bearbeitet und zu diesem Zweck auch an andere Unternehmen weitergeleitet und von diesen analysiert werden können. Um die Erhebung von Personendaten gänzlich auszuschliessen oder zumindest zu reduzieren müssen die in Ziffer 10 erwähnten Schritte betreffend Deaktivierung von Cookies befolgt werden. Dies kann zur Folge haben, dass Sie die von Ihnen bezogenen Dienste nicht mehr weiter beziehen oder nutzen können. 75 92. Das Dokument «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018»76diente dazu, die häufig gestellten Fragen zur entsprechenden Änderung darzustellen. Nach allgemeinen Fragen und Antworten über die DSGVO wurden die «wichtigsten Änderungen der Datenschutzerklärung» aufgelistet. Insbesondere wurde auf eine neue Opt-out-Möglichkeit hingewiesen: «Neu haben Sie die Möglichkeit, der Weitergabe Ihrer Daten zu Marketing und Werbezwecken zu widersprechen.». Der Grund des Datenaustausches innerhalb der Tamedia wurde wie folgt erklärt: Warum gibt es überhaupt eine interne Weitergabe bei Tamedia? Ein wichtiger Grund für die Weitergabe ist die Verbesserung der Sicherheit für die Mitglieder, um beispielsweise Online-Betrug besser vorzubeugen. Dies wird ermöglicht, indem Informationen bei Verdachtsfällen zwischen den Online-Plattformen von Tamedia ausgetauscht werden können. Zudem möchten wir in Zukunft für Sie relevantere und auf Ihre Bedürfnisse zugeschnittene Werbung anzeigen. Wenn Sie dies aber nicht möchten, können Sie uns das hier mitteilen.77 93. Demnach sollte also ab dem 25. Mai 2018 neu möglich sein, dem Datenaustausch innerhalb der Tamedia-Gruppe zu widersprechen. Durch Anklicken auf den oben aufgeführten Link, konnte der eingeloggte Nutzer an einer Sektion der Seite help.ricardo.ch mittels der Option «Abmeldung Datenaustausch Tamedia» und Eingabe der E-Mail-Adresse das entsprechende Opt-out vornehmen. Zu dieser Widerspruchsmöglichkeit, welche in der Zwischenzeit nicht mehr angeboten wird, führte der Datenschutzverantwortliche von Ricardo/TX Group in seiner Stellungnahme vom 25. März 2020 folgendes aus:
94. In seiner Stellungnahme vom 16. Januar 2020 zum Sachverhalt führte Ricardo/TX Group aus, die in der Datenschutzerklärung erwähnte Widerspruchsmöglichkeit per E-Mail78 betreffe die Datennutzung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesellschaften
73 Vgl. E-Mail von Ricardo vom 9. Mai 2018. 74 Verweis auf https://www.tamedia.ch/de/datenschutzerklaerung/nutzungsdaten. 75 Vgl. Ziff. 6 der Datenschutzerklärung vom 11. Februar 2020 («Anspruch auf Auskunft, Berichtigung, Löschung und Beschwerde»). 76 Am 25.09.2018 besucht; das betreffende Dokument befindet sich nicht mehr auf der Website von ricardo.ch. 77 Dokument «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018». 78 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen». Datenschutzerklärung, Ziffer. 6. https://www.tamedia.ch/de/datenschutzerklaerung/nutzungsdaten
23/52
selber. Dabei gehe es um Datenbearbeitungen, die mit der gruppenweiten Datennutzung nichts zu tun haben.79 2.5.3 Konkrete Widerspruchsmöglichkeiten und Umsetzung 95. Gemäss Ricardo und TX Group stehen den Nutzern somit die folgenden Widerspruchsmöglichkeiten zur Verfügung80: - Widerspruch zu den Marketing-Massnahmen von Ricardo per E-Mail: Die in der Datenschutzerklärung erwähnte Widerspruchsmöglichkeit per E-Mail81 betrifft lediglich die Datennutzung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesellschaften selber. Ein Widerspruch zum Datenaustausch innerhalb der Gruppe per E-Mail sei hingegen - nicht möglich. Ricardo/TX Group hielt dazu fest, dass dies nicht durchsetzbar wäre, weil TX Group (TDA) die E-Mail-Adressen der betreffenden Nutzer nicht bekannt sei.82 - Widerspruch Nutzungsdaten-Tracking durch Einsatz eines Opt-out-Cookies: Über einen in der Datenschutzerklärung angegebenen Link wird den Nutzern der Plattformen der Tamedia/TX-Group geboten, dem Nutzungsdaten-Tracking innerhalb der Gruppe zu widersprechen (dieser Link/URL der Tamedia/TX Group wird in der Datenschutzerklärung unter Ziff. 6 Anspruch auf Auskunft, Berichtigung, Löschung und Beschwerde sowie unter Ziff. 10 «Tracking und Analyse-Tools» angegeben). 96. Konkret werden die oben umschriebenen Widerspruchsmöglichkeiten aktuell wie folgt umgesetzt: - Ein Widerspruch per E-Mail hat zur Folge, dass ein betreffender Nutzer für Marketingmassnahmen durch Ricardo (bspw. Newsletter) gesperrt wird bzw. die ihn betreffenden Daten für diesen Zweck nicht mehr verwendet werden. Der Nutzer bekommt keine Werbe-Mitteilungen mehr. Die Einstellungen betreffend den Newsletter können auch im Benutzer-Konto geändert werden (An-/ Abmeldung). Weitere Marketingmassnahmen von Ricardo und welche Auswirkung ein allfälliges Widerspruchsbegehren auf sie hätte sind nicht bekannt.
- Über den angegebenen Link der TX Group kann das Opt-out-Cookie auf dem Endgerät des Nutzers installiert werden. So kann die Erhebung von Nutzungsdaten durch Tracking-Cookies unterbunden werden: Das eingesetzte Opt-out-Cookie wird bei jedem künftigen Besuch der Plattformen der TX Group (u.a. Ricardo) erkannt83.
Dies hat als Folge, die Lieferung von auf Nutzungsdaten-Tracking basierten Werbung zu verunmöglichen. 2.6 Relevante Neuerungen zum Sachverhalt nach der Gründung der SMG AG 97. Im Rahmen der Umstrukturierung wurde die für die Ricardo-Nutzer geltende Datenschutzerklärung überarbeitet. Mit der Einführung von Consent-Management-Plattformen (CMP) sollen die Ricardo-Nutzer die Cookies-Einstellungen verwalten können.
79 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 80 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 81 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen». Datenschutzerklärung, Ziffer. 6. 82 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 83 Werden ein anderer Browser oder ein anderes Gerät verwendet oder die Cookies gelöscht, muss der Deaktivierungsvorgang erneut durchgeführt werden, um das Nutzungsdatentracking zu unterbinden. 84 Vgl. Schreiben Ricardo/Tamedia AG vom Januar und März 2019.
24/52
2.6.1 Neu geltende Datenschutzerklärung 98. Der EDÖB stellte fest, dass die Datenschutzerklärung im Zuge der Umstrukturierung überarbeitet wurde und dass eine neue Datenschutzerklärung für die Plattformen von Ricardo (sowie sämtliche SMG-Portale) gilt bzw. auf der Website von Ricardo aufgeschaltet wurde. Die Ricardo-Nutzer wurden mittels eines Informationsbanners auf den Landingpages darüber informiert, dass sich die Datenschutzerklärung geändert hat.85 Für die sogenannten «TX Daten-Angebote» (Portalen der TX Group wie zum Beispiel ricardo.ch, carforyou.ch, tutti.ch, homegate.ch, 20minuten.ch, immostreet.ch, etc.) wurden zudem eigene, separate Datenschutzhinweise erarbeitet, welche die betroffenen Nutzer darüber informieren sollen, welche Daten und zu welchen Zwecken im Rahmen der TX Daten-Angebote (inkl. die Angebote von Ricardo) bearbeitet werden.86 99. Wenn die Ricardo-Nutzenden auf die aktuelle Datenschutzerklärung auf der Website (unter der Rubrik Datenschutz oder AGB) klicken, bekommen sie die standardisierte Datenschutzerklärung der SMG Swiss Marketplace Group AG87 angezeigt: Diese Datenschutzerklärung informiert Sie darüber, wie SMG Swiss Marketplace Group AG und die Gesellschaften der SMG Swiss Marketplace Group (SMG Swiss Marketplace Group AG, Casasoft AG, Anibis Vertrieb GmbH, CAR FOR YOU AG, Immostreet.ch SA, Ricardo AG, Acheter-Louer.ch & Publimmo Sàrl, Nhat Viet Group Co. Ltd, IAZI, Informations- und Ausbildungszentrum für Immobilien AG; nachfolgend gemeinsam "wir, "uns", "unsere", "SMG und SMG Gruppe“), bei der Nutzung unserer Webseiten, Plattformen, Portale oder mobilen Applikationen (nachfolgend gemeinsam "Angebot") sowie im Rahmen einer Zusammenarbeit mit Ihren personenbezogenen Daten umgehen, an wen wir Ihre Daten gegebenenfalls weitergeben können und welche Rechte Ihnen im Hinblick auf die Verwendung Ihrer Daten gegenüber uns zustehen. Die SMG Gruppe wird gemeinsam von der Schweizerischen Mobiliar Versicherungsgesellschaft, Bundesgasse 35, 3001 Bern ("Mobiliar"), der TX Group AG, Werdstrasse 21, 8004 Zürich ("TX Group"), der Ringier AG, Brühlstrasse 5, 4800 Zofingen ("Ringier") und der General Atlantic SC B.V., Raamplein 1, 1016XK Amsterdam, Niederlande ("General Atlantic") gehalten (nachfolgend gemeinsam die "Aktionäre"). 100. In der Datenschutzerklärung werden die SMG bzw. die SMG Gruppe als Datenverantwortliche genannt (Kapitel 1: Wer ist verantwortlich für die Bearbeitung Ihrer Daten?): SMG bzw. die SMG Gruppe sind verantwortlich für die Bearbeitung Ihrer Daten, die im Rahmen unserer Angebote oder Zusammenarbeit mit Ihnen gesammelt oder erhalten oder für andere Zwecke, wie in dieser Datenschutzerklärung definiert, bearbeitet werden. 101. Unter einem weiteren Kapitel (3. Umfang, Zweck und Rechtsgrundlage der Bearbeitung Ihrer Daten) wird beschrieben, zu welchen Zwecken die Daten bei der Nutzung der Angebote der SMG Gruppe «grundsätzlich» bearbeitet werden. 102. In den zehn folgenden Unterkapitel der Datenschutzerklärung werden die Datenbearbeitungen sowie die «Rechtsgrundlage» je nach Zweck ausgeführt. Bezüglich der Rechtsgrundlage wird auf die DSGVO verwiesen. Für die Datenerhebung bzw. Nutzung und Verknüpfung der Daten zur Auswertung des Nutzerverhaltens und zu personenbezogenen Werbezwecken (personalisierte Marketingmassnahme) bzw. die vorliegende Angelegenheit ist der folgende Abschnitt insbesondere relevant: 3.9 Marketing- und Analysezwecke Mit Ihrer Registrierung oder der Bestellung als Gast über eines unserer Angebote können wir Ihre Daten auch für personalisierte Werbemassnahmen von uns sowie von mit uns verbunden Unternehmen, von Dritten und von unseren Aktionären verwenden. Personalisierte Werbemassnahmen umfassen insbesondere die Personalisierung von Werbung mittels digitaler Werbeanzeigen auf unseren Web-Angeboten und Mobile-Applikationen, per E- Mail, wie beispielsweise E-Mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter), per
85 Vgl. Schreiben TX Group vom 10. Februar 2022. 86 Vgl. Schreiben TX Group vom 10. Februar 2022. 87 Die Datenschutzerklärung der SMG Swiss Marketplace Group AG vom 11. November 2021 ist Bestandteil des vorliegenden Sachverhalts.
25/52
Telefon, Post, Telefax, Textnachrichten, Bildnachrichten sowie auf Instant Messaging Diensten. Am Ende jedes von der uns versendeten E-Mails findet sich ein Link, über den Sie den Newsletter jederzeit abbestellen können. Den Newsletter können Sie auch jederzeit per E-Mail an kundendienst@ricardo.ch abbestellen. Wir schicken Ihnen nur Newsletter, sofern diese ähnlichen Angebote betreffen oder Sie ausdrücklich zugestimmt haben. Ansonsten liegt die Auslieferung von personalisierten Inhalten und Werbung, z.B. auf unseren Portalen oder Portalen von mit uns verbundenen Unternehmen, in unserem berechtigten Interesse gemäss anwendbarem Datenschutzrecht, Ihnen unsere Produkte oder Dienste anzubieten, die Sie interessieren könnten sowie unsere Angebote optimal zu vermarkten. Sofern eine vorgängige Einwilligung, insbesondere zur Bearbeitung Ihrer Daten durch mit uns verbundene Unternehmen oder durch unsere Aktionäre notwendig ist, holen wir diese vorgängig ein. Dazu können laufend unter Einsatz verschiedener Analysetools nutzerspezifische historische und zukünftige Daten, über die wir verfügen, miteinander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, aggregiert, pseudonymisiert und anonymisiert werden. Zur Verbesserung unserer Datenbasis können wir öffentlich erhältliche Daten oder Daten von Drittanbietern hinzuziehen. Die Erkenntnisse aus Ihrer Nutzung unseres Angebotes können im Rahmen der Analyse des Nutzerverhaltens bei anderen teilnehmenden Unternehmen genutzt und verwertet werden. Eine solche Datenbearbeitung erfolgt grundsätzlich mit pseudonymisierten oder anonymisierten Daten. Sie können dieser Bearbeitung Ihrer Daten jederzeit widersprechen in dem Sie sich per E-Mail an kundendienst@ricardo.ch wenden. 103. Der letzte Absatz entspricht der Formulierung der früheren Datenschutzerklärung (vgl. Rz. 56). Hier wird auch eine Widerspruchsmöglichkeit per E-Mail an den Kundendienst von Ricardo explizit erwähnt. Gestützt auf die Aussagen der TX Group, dass die Datenbearbeitungen nach dem 28. Februar 2020 grundsätzlich nicht geändert wurden, wird davon ausgegangen, dass die in der Datenschutzerklärung erwähnte Widerspruchsmöglichkeit per E-Mail nach wie vor88 die Datennutzung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesellschaften selber betrifft. Dabei geht es um «Datenbearbeitungen, die mit der gruppenweiten Datennutzung nichts zu tun haben»89. Ein Widerspruch per E-Mail zum Datenaustausch innerhalb der Gruppe ist nach wie vor nicht möglich. 104. Im Kapitel 5. wird die Weitergabe an Dritte thematisiert. Weitergabe Ihrer Daten an Dritte Wir arbeiten mit anderen Unternehmen oder Personen zusammen beziehungsweise beauftragen andere Unternehmen oder Personen mit der Bearbeitung und Speicherung von Daten gemäss dieser Datenschutzerklärung. […] I Weitergabe an Unternehmen der SMG Gruppe Sofern mit den oben in Kapitel 3 beschriebenen Zwecken vereinbar oder rechtlich zulässig, können Ihre Daten sowie Nutzungsdaten zu Ihrer Person resp. Ihrem Benutzerkonto, an Unternehmen der SMG Gruppe zur Auswertung, Verbesserung und bedarfsgerechten Ausgestaltung unserer Angebote, zur Kundenpflege, zur Personalisierung und zu Marketingzwecken genutzt und weitergegeben werden. Sofern hierzu Ihre Einwilligung notwendig ist, holen wir diese vorgängig bei Ihnen ein. Eine solche Einwilligung kann jederzeit widerrufen werden. Wenn keine Einwilligung notwendig ist, beruht die Weitergabe Ihrer Daten auf unserem berechtigten Interesse oder dem berechtigten Interessen eines Unternehmens der SMG Gruppe oder mit der SMG Gruppe verbundene Unternehmen und Joint Ventures der SMG Gruppe, gemäss anwendbarem Datenschutzrecht die Nutzung unserer Webseiten zu ermöglichen (Verbindungsaufbau), die Sicherheit und Stabilität unserer Systeme und Angebote zu gewährleisten und zu erhöhen, die Nutzung unserer Angebote zu analysieren, statistisch auszuwerten, anzupassen und zu verbessern, Ihnen Werbung anzuzeigen oder zu schicken sowie die Optimierung unseres Internetangebots zu ermöglichen. [Neuer Abschnitt seit dem 15. Mai 2023:] [Zudem betreiben wir auf verschiedenen Plattformen eine automatisierte Bewertung des Nutzerverhaltens, umdaraus ein Profil der jeweiligen Nutzer zu erstellen (Kapitel 3.9). Dieses teilen wir im Falle Ihrer Einwilligung mit-
88 Vgl. Rz 94/95. 89 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. mailto:kundendienst@ricardo.ch
26/52
den zur SMG Gruppe gehörenden Plattformen, um ein übergreifendes Profil zu erstellen, das die verschiedenen- Plattformen für die Steuerung von Werbung, für Marketing und für Analysen nutzen können. Namentlich sind dies folgende Plattformen: ImmoScout24, Homegate, Immostreet.ch, home.ch, Publimmo, Acheter-Louer.ch, CASA- SOFT, IAZI, AutoScout24, MotoScout24, CAR FOR YOU, anibis.ch, tutti.ch, Ricardo, FinanceScout24.] II Weitergabe an Aktionäre der SMG Gruppe Wir können Ihre Daten an die Aktionäre der SMG Gruppe […] weitergeben. Die Aktionäre dürfen ihrerseits die Daten ihren gehaltenen Tochtergesellschaften weitergeben, sofern sie Ihre Daten nur zu den gleichen Zwecken bearbeiten (nachfolgend beschrieben), wie dies die Aktionäre selber tun dürfen. Eine Weitergabe erfolgt zur Auswertung, Verbesserung und bedarfsgerechten Ausgestaltung der Produkte und Dienste unserer Aktionäre, zur Personalisierung, zu Marketingzwecken sowie zur Betrugs- und Missbrauchsbekämpfung. Eine Weitergabe der Daten wie hierin beschrieben erfolgt nur, sofern dies rechtlich zulässig ist oder wir Ihre Einwilligung vorab bei Ihnen eingeholt haben. Eine solche Einwilligung kann jederzeit widerrufen werden. Die TX Group AG unterhält eine Reihe von Daten- Angeboten zugunsten anderer Unternehmen (angeschlossene Unternehmen). Die SMG Gruppe bezieht bei der TX Group AG ebenfalls solche Leistungen. Diese Daten-Angebote können das Nutzererlebnis auf Plattformen von angeschlossenen Unternehmen personalisieren (z.B. durch Empfehlungen von Inhalten), Betrugs-Aktivitäten auf Plattformen besser erkennen, auf den eigenen Plattformen zielgruppenspezifische Werbung anzeigen («ad targeting») oder personalisierte Werbung auf den Plattformen weiterer anderer angeschlossenen Unternehmen anzeigen («ad retargeting»). Weitere Informationen über die Verarbeitung Ihrer Daten durch die TX Group Daten-Angebote finden Sie hier. 105. Wenn man auf «hier» klickt, gelangt man auf eine Webseite der TX Group «Datenschutzhinweise zu den TX-Daten-Angeboten»90 : Die TX Group AG unterhält eine Reihe von Daten-Angeboten zugunsten von Unternehmen (nachfolgend «angeschlossene Unternehmen» sowie «TX Daten-Angebote»). TX Group AG kann den angeschlossenen Unternehmen in diesem Rahmen aggregierte, nicht personenbezogene Daten zur Verfügung stellen (im Folgenden jeweils «Daten» genannt), d.h. bestimmte Aussagen über grössere Nutzergruppen. Diese Unternehmen können durch die Verwendung solcher Daten das Nutzererlebnis auf ihren Plattformen personalisieren (z.B. durch Empfehlungen von Inhalten), Betrugs-Aktivitäten auf Plattformen besser erkennen, auf den eigenen Plattformen zielgruppenspezifische Werbung anzeigen («ad targeting») oder personalisierte Werbung auf den Plattformen weiterer anderer angeschlossenen Unternehmen anzeigen («ad retargeting»). Diese Personalisierung des Nutzererlebnisses durch die angeschlossenen Unternehmen erfolgt in der Regel auf nicht-personenbezogener Basis, d.h. ohne die von der TX Group AG erhaltenen Angaben einzeln bekannten Nutzern zuzuordnen. Soweit ein angeschlossenes Unternehmen von der TX Group AG erhaltene Daten demgegenüber Ihnen persönlich zuordnet (z.B. wenn Sie sich durch eine Registrierung identifiziert haben), untersteht die entsprechende Datenbearbeitung separaten Datenschutzerklärungen des betreffenden Unternehmens (Ziff. 3). In diesen Datenschutzhinweisen informieren wir Sie aus Transparenzgründen über den Umgang mit solchen Daten im Rahmen der TX Daten-Angebote. Sie gelten für alle Nutzer der Plattformen der angeschlossen Unternehmen. 106. Diese Datenschutzhinweise sollen über den Umgang mit den Daten, welche im Rahmen der TX Daten-Angebote bearbeitet werden, informieren. Diese zusätzliche Datenschutzerklärung soll für alle Nutzer der Plattformen der angeschlossenen Unternehmen91, somit auch für die Ricardo-Nutzer, gelten. 107. In der Einleitung der Datenschutzerklärung der SMG steht dazu: «Wir können Ihnen zusätzliche Datenschutzerklärungen zur Verfügung stellen, wenn wir dies für sinnvoll halten. Solche zusätzlichen Datenschutzerklärungen ergänzen diese Datenschutzerklärung und müssen mit dieser zusammengelesen werden».
90 Vgl. URL https://tx.group/de/datenschutzerklaerung/datenschutzhinweise-zu-den-tx-daten-angeboten. Diese Seite (besucht am 11.04.2023) ist auch Bestandteil des vorliegenden Sachverhalts. 91 Liste angeschlossener Unternehmen TX Data Services (09.11.2021): Tamedia Publikationen Deutschschweiz AG, Tamedia Finanz und Wirtschaft AG, Tamedia Publications romandes SA, Tamedia Basler Zeitung AG, Tamedia ZRZ AG, Tamedia Espace AG, Tamedia Abo Services AG, SMG Swiss Marketplace Group AG, CAR FOR YOU AG, ImmoStreet.ch S.A., Ricardo AG, Goldbach NeXT AG, Goldbach Publishing AG, Jaduda GmbH, Neo Advertising SA, Swiss Radioworld AG. https://tx.group/de/datenschutzerklaerung/datenschutzhinweise-zu-den-tx-daten-angeboten
27/52
108. Unter dem Kapitel 10. «Welche Rechte haben Sie in Bezug auf Ihre Daten?» ist das «Widerspruchsrecht» wie folgt erläutert: Widerspruchsrecht Sie können der Bearbeitung Ihrer Daten zu Marketing- und Analysezwecken sowie der Weitergabe Ihrer Daten innerhalb der SMG Gruppe gemäss Kapitel 3.9 jederzeit per E-Mail an kundendienst@ricardo.ch widersprechen. Ein solcher Widerspruch schliesst die Erhebung von personenbezogenen Daten nicht gänzlich aus, sondern nur für Marketing- und Analysezwecke sowie für die Weitergabe Ihrer Daten innerhalb der SMG Gruppe gemäss Kapitel 3.9. Darüber hinaus können Sie jeglicher Datenbearbeitung, die auf einem berechtigten Interesse von uns beruht, per E-Mail an kundendienst@ricardo.ch widersprechen, wenn Sie Gründe, die sich aus ihrer besonderen Situation ergeben, darlegen können. Für TX Group Daten-Angebote: Über den Link «Voreinstellungen verwalten» in der Fusszeile der Hauptseite dieser Webseite bzw. in den Einstellungen der Mobile App gelangen Sie zum Cookie Preference Center. Um die Bearbeitung Ihrer Daten durch die TX Group Daten-Angebote (vgl. Kapitel 5.3 [sic]92 und weiterer Technologien zu deaktivieren, können Sie alle im Cookie Preference Center aufgelisteten Bearbeitungszwecke, zu denen eine Datenbearbeitung durch die TX Group Daten-Angebote unterbunden werden soll, ausschalten. Zusätzlich haben Sie die Möglichkeit, im Cookie Preference Center in der Liste der Lieferanten die TX Group AG zu deaktivieren. Detaillierte Informationen zu den Bearbeitungszwecken finden Sie im Cookie Preference Center. Nach der Vornahme Ihrer Cookie-Einstellungen wird ein Cookie in Ihrem Browser bzw. auf Ihrem Endgerät gespeichert. Wenn Sie den Browser wechseln, ein anderes Gerät verwenden oder Ihre Cookies löschen, müssen Sie den Deaktivierungsvorgang erneut durchführen. 2.6.2 CMP 109. Im Sommer 2021 informierte der DPO der TX Group den EDÖB über die schrittweise Einführung von Consent Management Plattformen auf den Portalen der TX Group (z.B. Ricardo, Carforyou, Tutti, 20 Minuten, Homegate). Dadurch sollen die Nutzer «ihre Privatsphäre-Einstellungen» verwalten können und «insbesondere auch die Datenbearbeitungen im Zusammenhang mit den TX Daten-Angeboten unterbinden».93 110. Im Anhang 1 wird dargelegt, wie die CMP auf dem Portal ricardo.ch aktuell aussieht.
92 Falscher Verweis, richtig wäre 5.2. 93 Schreiben TX Group vom 10. Februar 2022.
95 Schreiben Ricardo/TX Group vom 3. August 2021.
28/52
3. Datenschutzrechtliche Beurteilung 3.1. Bearbeitung von Personendaten und Anwendbarkeit des DSG 111. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz ist auf das Bearbeiten von Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Als «Personendaten» im Sinne von Art. 3 lit. a DSG gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Liegen keine Personendaten vor, kommt das DSG nicht zur Anwendung. Das nDSG sieht diesbezüglich keine Änderungen vor, abgesehen davon, dass unter Personen neu nur noch natürliche Personen verstanden werden. 3.1.1. Datenbearbeitungen bei Ricardo und weitere Datenverwendung durch TX Group 112. Bei der Benützung der Auktionsplattformen von Ricardo.ch werden verschiedene Daten zu diversen Zwecken erfasst, weitergegeben, verarbeitet und analysiert (siehe dazu Ziffer 2.3 und 2.4 der Sachverhaltsfeststellung96). 113. Die Erfassung der Daten bei der Anmeldung sowie weitere Bearbeitungen von Daten der Ricardo-Kunden durch Ricardo stellen zweifellos Bearbeitungen von Personendaten im Sinne von Art. 2 DSG i.V.m. Art. 3 Bst. a und e DSG dar. 114.
.99 115. Was die in Ausgabedaten umgewandelten Stammkundendaten, die Nutzungsdaten sowie die daraus erstellten einheitlichen Segmente anbelangt, bestreitet Ricardo/TX Group die Qualifikation als Personendaten. Sie vertreten den Standpunkt, dass diese Daten nicht mehr als Personendaten gelten würden, da sie aufgrund der angewendeten technischen und organisatorischen Massnahmen (insbesondere die Aggregierung und Anonymisierung/Pseudonymisierung der Daten) keinen Rückschluss mehr auf eine bestimmte oder bestimmbare Person zulassen würden und eine Re-Identifizierung der Ricardo-Kunden oder Nutzer zu einem späteren Zeitpunkt unmöglich wäre. Diese Daten seien folglich anonymisierte Daten ( , so dass deren Bearbeitung durch Tamedia (TX Group) zum Zweck der zielgerichteten Werbung nicht in den Anwendungsbereich des DSG falle. Die Zustellung von digitalen Werbeinhalten bzw. zielgruppenspezifischer Werbung an die durch den «anonymen» Identifikator vertretenen Nutzer stelle auch keine Bearbeitung von Personendaten im Sinne des DSG dar. 3.1.2. Begriff Personendaten
96 Die detaillierten Abläufe und Prozesse von der Erfassung bis zur Ausspielung der personalisierten Werbung werden insbesondere im Ziffer 2.4.4.3 des Sachverhalts beschrieben. 97 Vgl. Sachverhalt, Rz 71 98 Vgl. Sachverhalt, Rz 69 99 Vgl. Sachverhalt, Rz 73
29/52
116. Personendaten (bzw. «Daten» im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Die gesetzliche Definition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürlichen oder juristischen Person in Verbindung gebracht werden können. Der Wortlaut von Art. 3 Bst. a DSG ist folglich extensiv auszulegen (BLECHTA, in: Basler Kommentar, Datenschutzgesetz/Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 7 zu Art. 3 DSG). 117. Bestimmbar ist eine Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (Botschaft DSG, BBl 1988 II 413, S. 444). Auf welche Weise der Bezug zur betroffenen Person, mithin die Identifizierung, hergestellt wird, wie etwa anhand eines Schlüssels, einer AHV-Nummer, eines Aktenzeichens oder auch einer Kundennummer, ist grundsätzlich ohne Bedeutung (BLECHTA, a.a.O., N. 10 zu Art. 3 DSG). 118. Zur Annahme der Bestimmbarkeit der Person genügt jedoch nicht jede theoretische Möglichkeit deren Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (BBl 1988 II 444 f.; so z.B. die komplizierte Analyse einer Statistik, mithilfe welcher eine Information einer bestimmten Person zugeordnet werden könnte). Dies ist im konkreten Fall zu prüfen, wobei insbesondere auch die Möglichkeiten der Technik mitberücksichtigt werden müssen (BELSER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 6 zu Art. 3 DSG; ROSENTHAL, Handkommentar DSG, N. 24 f. zu Art. 3 DSG). 119. Der Aufwand für eine Identifizierung hängt massgeblich vom Interesse und den Mitteln des Interessenten ab. Hierzu sind die Mittel einzubeziehen, die grundsätzlich jedermann zugänglich sind, sowie jene Mittel, über die der Datenbearbeiter zusätzlich verfügt, sei es aufgrund seines besonderen Wissens, sei es aufgrund der ihm zugänglichen Informationsquellen (z.B. eine interne Datenbank) oder aufgrund anderer Umstände. Zu prüfen ist weiter, welches Interesse der Datenbearbeiter an einer Identifizierung hat, um festzustellen, ob nach allgemeiner Lebenserfahrung damit gerechnet werden muss, dass er den konkret zur Identifizierung erforderlichen Aufwand auf sich nehmen würde. Dieses Interesse kann sich im Laufe der Zeit ebenso ändern wie die Mittel, die dem Datenbearbeiter zur Identifikation zur Verfügung stehen (ROSENTHAL, Handkommentar DSG, N. 26 zu Art. 3 DSG). 120. Anonymisierung und Pseudonymisierung von Personendaten sind Bearbeitungsmethoden, die die Verschleierung der Identität der betroffenen Person bezwecken. Von einer Anonymisierung der Daten kann man ausgehen, wenn keine Partei in der Lage ist, eine Person aus einem Datenbestand herauszugreifen, eine Verbindung zwischen zwei Datensätzen eines Datenbestands (oder zwischen zwei unabhängigen Datenbeständen) herzustellen oder durch Inferenz Informationen aus einem solchen Datenbestand abzuleiten.100 Wenn andererseits immer noch die Möglichkeit einer Re-Identifizierung der Daten durch Herausgreifen, Verknüpfung und Inferenz besteht, spricht man von pseudonymisierten Daten.101 121. Pseudonymisierte Daten stellen insofern Personendaten nach Art. 3 Bst a DSG dar, als sie ohne unangemessenen Aufwand re-identifiziert werden können (vgl. BLECHTA, a.a.O., N. 11 - 12 zu Art. 3 DSG). 3.1.3. Vorliegen eines eindeutigen Personenbezugs 3.1.3.1. Erstellung eines pseudonymisierten Identifikators zwecks Personalisierung 122. Um die Ausgabe- und Nutzungsdaten der Ricardo-Nutzenden mit Daten aus anderen Quellen verknüpfen zu können, werden sogenannte Identifikatoren verwendet. Auf diese Weise können Daten, die bei den Ricardo-Nutzenden erhoben wurden, mit Daten von anderen Unternehmen (TX-Daten-Angeboten) verknüpft werden, die sich ebenfalls auf diese Nutzenden beziehen.
100 Siehe Stellungnahme 5/2014 der Artikel-29-Datenschutzgruppe zu Anonymisierungstechniken. 101 Ibidem.
30/52
123.
124. Die Verwendung dieser eindeutigen Identifikatoren ermöglicht der TX Group bzw. dem Werbevermarktungsunternehmen einem Nutzenden personalisierte Werbung anzuzeigen, die auf die bearbeiteten aggregierten Informationen basiert. Der Bezug zwischen den aggregierten Daten und dem einzelnen Nutzenden bleibt trotz der Pseudonymisierung bestehen, da andernfalls das Ziel - die Personalisierung der angezeigten Werbung auf Basis des getrackten Nutzungsverhaltens - nicht erreicht werden könnte. 3.1.3.2. Interesse und technische Möglichkeit, pseudonymisierte Daten einer Person zuzuordnen 125. Für die Datenverknüpfung und die Werbeauslieferung muss TX Group nicht an die «bürgerliche Identität» des Nutzers gelangen: ein Pseudonym genügt. Deshalb ist nicht davon auszugehen, dass TX Group in Zusammenhang mit der Erfüllung dieses Zweckes ein Interesse hat, die Personen hinter dem Identifikator ( ) bei den Datenbearbeitungen im Zusammenhang mit Werbezwecken zu re-identifizieren bzw. an ihre «bürgerliche Identität» zu gelangen. Die TX Group hätte im Hinblick auf die Erfüllung eines anderen Zwecks ein Interesse an dieser Re-Identifizierung, konkret zur Aufdeckung von Missbrauch. Dass aktuell keine entsprechenden Prozesse stattfinden, spielt für die Feststellung der Bestimmtheit der Nutzer und mithin die Qualifizierung der Daten als Personendaten keine Rolle. 126. Das Interesse an einer Re-Identifizierung ist zudem nicht das einzige Kriterium für die Annahme eines Personenbezugs (siehe Rz. 117ff). Personendaten können bereits vorliegen, wenn TX Group über die Mittel verfügt, um diese Daten ohne unangemessenen Aufwand einer Person zuzuordnen. Dies ist eben vorliegend der Fall (siehe Rz. 123-124). 3.1.3.3. Fazit 127. Zusammenfassend kann festgehalten werden, dass vorliegend ein eindeutiger Personenbezug vorliegt und sich die Identität der betroffenen Person ohne unverhältnismässigen Aufwand durch Ricardo und TX Group feststellen lässt. Bei den von TX Group bearbeiteten Daten handelt es sich somit um Personendaten im Sinne des DSG: Ricardo gibt Personendaten an TX Group weiter und diese müssen auch nach den technischen Massnahmen bzw. dem Aggregierung- und Pseudonymisierungsprozess als Personendaten für die TX Group betrachtet werden. Somit gelten für deren Bearbeitung die Vorgaben des DSG. 3.2. Bearbeiten von Persönlichkeitsprofilen 128. Das DSG knüpft an die Bearbeitung von Persönlichkeitsprofilen besondere Rechtsfolgen an: Ist für die Bearbeitung von Personendaten die Einwilligung erforderlich, muss diese bei einer Bearbeitung von Persönlichkeitsprofilen ausdrücklich erfolgen (Art. 4 Abs. 5 DSG). Auch gilt eine Informationspflicht beim Beschaffen von Persönlichkeitsprofilen (Art. 14 DSG). 129. Der Grund für diesen erhöhten Schutz des Gesetzes liegt darin, dass die Bearbeitung oder die Erstellung von Persönlichkeitsprofilen die Persönlichkeit der betroffenen Personen besonders stark berühren. Die Erstellung von Persönlichkeitsprofilen ist insbesondere durch die Auswer-
103 Vgl. Sachverhalt, Rz. 49.
31/52
tungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automatisierter Datenbestände immer leichter und häufiger geworden. Oftmals haben die Betroffenen keine Kenntnis vom Bestehen eines Profils, können demzufolge weder die Richtigkeit noch die Verwendung kontrollieren und werden dadurch der Freiheit beraubt, sich so darzustellen, wie sie dies wollen (BBl 1988 II 447). 3.2.1. Begriff Persönlichkeitsprofil 130. Gemäss Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil «eine Zusammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 447). 131. Nach der Rechtsprechung des Bundesgerichts werden Persönlichkeitsprofile bearbeitet, wenn eine Vielzahl an sich nicht besonders schützenswerter Daten so zusammengestellt wird, dass eine Beurteilung wesentlicher Aspekte der Persönlichkeit ermöglicht wird. Auch