Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
1/39
EDÖB-A-B3653401/5
Schlussbericht
vom 15. April 2024
des
Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)
in Sachen Digitec Galaxus AG
Sachverhaltsabklärung gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)
2/39
Inhaltsverzeichnis 1. Einführung ........................................................................................................................ 4 1.1. Ausgangslage .......................................................................................................................... 4 1.2. Chronologie ............................................................................................................................. 6 1.3. Gesetzliche Grundlage ............................................................................................................ 6 1.4. Umfang der Sachverhaltsabklärung ........................................................................................ 7 1.5. Berücksichtigte Dokumente ..................................................................................................... 7 2. Sachverhalt ...................................................................................................................... 8 2.1. Bearbeitung von Kundendaten durch die Digitec Galaxus AG ............................................... 8 2.1.1. Kundenkonto und Zustimmung der Datenschutzerklärung .............................................. 8 2.1.2. In der Datenschutzerklärung umschriebene Datenbearbeitungen ................................ 10 2.1.3. Datenbearbeitungen zu Personalisierungszwecken («Tracking») ................................. 11 2.1.3.1. Verwendete «Cookies» und andere Mechanismen ............................................... 11 2.1.3.2. Personalisierung des Angebots auf der Webseite ................................................. 13 2.1.3.3. Personalisierung der Werbeanzeige auf Webseiten Dritter ................................... 14 2.1.3.4. Personalisierte Kommunikation inkl. Marketingmitteilungen .................................. 15 2.1.4. Information und Widerspruchsmöglichkeiten ................................................................. 15 2.1.5. Datenübermittlungen an Dritte ....................................................................................... 17 2.1.5.1. ..................................................................................................... 17 2.1.5.2. ................................................................................................. 17 2.1.5.3. Social Plugins ......................................................................................................... 18 2.1.6. Bearbeitung von Persönlichkeitsprofilen ........................................................................ 18 2.1.7. Bekanntgabe von Profilen .............................................................................................. 19 2.2. Bearbeitung von Widerspruchs- und Löschungsbegehren ................................................... 19 2.2.1. Rechte der betroffenen Personen gemäss der Datenschutzerklärung .......................... 19 2.2.2. Bearbeitung von Datenschutzbegehren durch den Kundendienst ................................ 19 2.2.3. Löschung von Daten bei Dritten ..................................................................................... 21 2.2.4. Neuer Löschprozess ...................................................................................................... 21 2.2.5. Löschung von nicht mehr gebrauchten Daten (ohne das Mitwirken der Kunden) ......... 23 3. Datenschutzrechtliche Beurteilung ................................................................................. 23 3.1. Bearbeitung von Personendaten ........................................................................................... 23 3.1.1. Daten im Zusammenhang mit ..................................................... 24 3.1.2. Daten im Zusammenhang mit ......................................................... 25 3.1.3. Bearbeitung von Persönlichkeitsprofilen ........................................................................ 26 3.2. Transparenz und Informationspflicht ..................................................................................... 27 3.2.1. Grundsätze nach Art. 4 Abs. 3 und 4 sowie Art. 14 DSG .............................................. 27 3.2.2. Erkennbarkeit ................................................................................................................. 28 3.2.2.1. Erkennbarkeit der Datenerhebung ......................................................................... 28 3.2.2.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung ................................................................................................... 29 3.2.2.3. Erkennbarkeit der Bearbeitung im Rahmen von und ............................................................................................................... 29 3.2.2.4. Erkennbarkeit der Bearbeitung von Persönlichkeitsprofilen ................................... 30 3.2.3. Umfang der Datenbearbeitung ....................................................................................... 31 3.2.3.1. Nicht durchgeführte Datenbearbeitungen .............................................................. 31 3.2.3.2. Widerspruchsrecht .................................................................................................. 31 3.3. Grundsatz der Verhältnismässigkeit ...................................................................................... 32 3.3.1. Grundsatz nach Art. 4 Abs. 2 DSG ................................................................................ 32 3.3.2. Kundenkonto und Kundenverhaltensanalyse im Rahmen der «Kernleistung» .............. 33
3/39
3.3.3. Kundenkonto im Rahmen der Dienstleistung Community ............................................. 34 3.3.4. Persönlichkeitsverletzung und Rechtfertigung ............................................................... 35 4. Empfehlungen ................................................................................................................ 37 5. Verfahren ........................................................................................................................ 38 5.1. Stellungnahme der Digitec Galaxus AG ................................................................................ 38 5.2. Veröffentlichung des Schlussberichts mit Empfehlungen ..................................................... 38
Abbildungsverzeichnis Abbildung 1 – Suchhistorie im Browser ................................................................................................ 13 Abbildung 2 – Neues Löschkonzept der Digitec Galaxus AG ............................................................... 22
4/39
1. Einführung 1.1. Ausgangslage 1. Die Digitec Galaxus AG ist ein Unternehmen der Migros Gruppe, welche die Onlineshops Digitec und Galaxus betreibt. Galaxus ist das grösste Online-Warenhaus der Schweiz und führt ein stetig wachsendes Sortiment für fast alle Bedürfnisse. Digitec ist der grösste Schweizer Onlineshop für Elektronik. Gemäss eigenen Angaben der Digitec Galaxus AG sei es ihre Mission, ein komfortables und effizientes Einkaufen zu durchgehend tiefen Preisen zu ermöglichen und gleichzeitig eine umfassende Plattform für Inspiration, Information und Kommunikation zu schaffen, welche die Kundschaft dazu einlädt, selber aktiv zu partizipieren.1 Die Digitec Galaxus AG hat derzeit zehn Filialen in der Schweiz, die als Abholort für diejenigen, die bei Online-Bestellungen die Option Filialabholung wählen, und als Showroom mit einem sehr begrenzten Angebot, dienen.
2. Im März 2020 wurde der EDÖB durch eine betroffene Person darauf aufmerksam, dass Kundinnen und Kunden der Digitec Galaxus AG offenbar sämtlichen in der Datenschutzerklärung umschriebenen Datenbearbeitungen zustimmen müssen, um eine Bestellung beim Webshop Digitec tätigen zu können. In der Datenschutzerklärung der Digitec Galaxus AG wird unter anderem unter Ziffer 8.4 erläutert, dass Personendaten erfasst werden, um das Kunden- und Kaufverhalten in individualisierter und personenbezogener Form aufzuzeichnen und auszuwerten. Ferner wird erklärt, dass die gesammelten Personendaten mit Personendaten aus vergangenen Bestellungen bei der Digitec Galaxus AG, anderen Unternehmen der Migros-Gruppe oder Dritten bzw. öffentlich erhältlichen Personendaten verknüpft werden könnten. Dies deutete auf die Erstellung von Persönlichkeitsprofilen bei der Kundschaft der Digitec Galaxus AG hin. Zudem könnten Personendaten gemäss Ziffer 9 der Datenschutzerklärung auch an andere Unternehmen der Migros-Gruppe weitergegeben werden, welche die Daten in deren eigenen Interesse ebenfalls bearbeiten könnten. 3. In dem uns gemeldeten Fall hat eine Kundin, welche der Datenschutzerklärung durch Ankreuzen eines Kontrollkästchens bei der Registrierung zugestimmt hatte, nachträglich den Kundendienst kontaktiert, um der Speicherung und Weitergabe ihrer Adress- und Kreditkartendaten und jeder Auswertung zu Werbe- und Marketingzwecken zu widersprechen. Das eingereichte Widerspruchsbegehren wurde allerdings gemäss den uns verfügbaren Informationen vom Kundenservice abgelehnt.3 Dies mit der Begründung, dass sowohl die AGB als auch die Datenschutzerklärung der Digitec Galaxus AG für alle Kundinnen und Kunden ausnahmslos und gleichermassen gelten würden und dass keine individuellen Datenschutzeinstellungen angeboten werden könnten. 4. Am 18. Mai 2020 hat der EDÖB mit der Digitec Galaxus AG im Rahmen einer Vorabklärung Kontakt aufgenommen. Ziel unseres Schreibens war es, uns einen Überblick über die Bearbeitungsmethoden der Digitec Galaxus AG zu verschaffen und den uns gemeldeten Fall im Zusammenhang mit der Bearbeitung von Widerspruchsbegehren zu klären. Im Schreiben stellten wir konkrete Fragen betreffend die Datenschutzerklärung und zur Widerspruchs- bzw. Löschungspraxis. 5. Die Digitec Galaxus AG hat mit Schreiben vom 12. Juni 2020 zu unseren Fragen umfassend Stellung genommen. Ausserdem hält sie in ihren Vorbemerkungen fest, dass der Verantwortliche die Freiheit hat, die eigenen Bearbeitungszwecke zu bestimmen und dass sich die Verhältnismässigkeit der Bearbeitung an diesen Zwecken misst.
1 Digitec Galaxus AG, «Über uns», verfügbar unter: https://www.galaxus.ch/de/wiki/528 [aufgerufen am 19.05.2021]. 2 Schreiben vom 12. Juni 2020, S. 1 und Stellungnahme vom 3. September 2021, S. 3. 3 Vgl. E-Mail des Kundendienstes vom 26. März 2020, welche uns die betroffene Person am selben Tag weitergeleitet hat. (Ergänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021).
5/39
6. In den folgenden Monaten erhielt der EDÖB weitere Bürgeranfragen betreffend die Datenbearbeitungen der Digitec Galaxus AG sowie ihrer Bearbeitung von Widerspruchsbegehren. Bei einer dieser Meldungen wurde die betroffene Person durch einen Mitarbeiter des Kundendiensts informiert, dass ein fortwährender Widerspruch gegen die Datenschutzerklärung der Digitec Galaxus AG die Löschung ihres Kontos bei Digitec Galaxus zur Folge hätte.4 7. Aufgrund der weiteren eingegangen Bürgeranfragen sowie der Antwort von der Digitec Galaxus AG im Rahmen unserer Vorabklärung leitete der EDÖB mit Schreiben vom 15. Februar 2021 eine Sachverhaltsabklärung ein. Er stellte der Digitec Galaxus AG erneut verschiedene Fragen in Form eines Fragenkatalogs und verlangte die folgenden Dokumente: ein detailliertes Datenflussdiagramm, welches die Prozesse der Digitec Galaxus AG und Dienstleistungen Dritter - bestenfalls mit Beschriftung der entsprechend flankierenden Sicherheitsmassnahmen - illustriert und beschreibt; ihr Löschungskonzept für Kundendaten gemäss Frage 25 des Fragenkatalogs sowie jedes andere Dokument, das sie für nützlich halten würde. 8. Mit Schreiben vom 29. April 2021 reichte die Digitec Galaxus AG, vertreten durch und , ihre Antworten zum Fragenkatalog des EDÖB sowie eine Abbildung ihres neuen Löschprozesses ein. Auf unsere Bitte um Zustellung eines Datenflussdiagramms gab uns die Digitec Galaxus AG bekannt, dass ein solches Dokument in dieser Form nicht existiere. Stattdessen habe sie in ihren Ausführungen die Datenflüsse detailliert aufbereitet, zunächst in den Vorbemerkungen und nochmals bei den Antworten zu den einzelnen Fragen. Die Digitec Galaxus AG schlug ausserdem vor, ihre Antworten auf die Fragestellungen des EDÖB in einem Gespräch mit , zu erläutern und das Team des EDÖB durch die Eckpunkte ihrer Datenbearbeitungen zu führen. 9. Am 26. Mai 2021 teilte der EDÖB der Digitec Galaxus AG per E-Mail mit, dass er das Angebot der Digitec Galaxus AG annehmen würde, ihre Antworten in einem Gespräch mit zu erläutern, jedoch erst zum Zeitpunkt der Bereinigung der Sachverhaltsfeststellung. Am 4. August 2021 stellte der EDÖB der Digitec Galaxus AG eine provisorische Version seiner Sachverhaltsfeststellung vom selben Datum zusammen mit seinen Fragen zu offenen Punkten des Sachverhalts und Terminvorschlägen für das Gespräch zu. 10. Die Digitec Galaxus AG nahm zu unseren Fragen mit Schreiben vom 3. September 2021 schriftlich Stellung. Das Gespräch fand am 9. September 2021 beim EDÖB statt. Am Gespräch nahmen neben Mitarbeitenden des EDÖB und , Rechtsanwalt der Digitec Galaxus AG, teil. Im Rahmen des Gesprächs stellten die Mitarbeitenden des EDÖB Zusatzfragen zum Sachverhalt und beantworteten die Fragen der anderen Teilnehmenden betreffend das Verfahren und die weiteren Schritte. haben eine kurze Präsentation über die Digitec Galaxus AG abgehalten. Im Gespräch wurde abgesprochen, dass die Digitec Galaxus AG ergänzte Informationen
nachreichen würde. Diese zusätzlichen Informationen wurden am 21. Oktober 2021 per E-Mail zugestellt. Der EDÖB hat im Anschluss an diese E-Mail und die Stellungnahme vom 3. September 2021 seine Sachverhaltsfeststellung ergänzt. Diese ergänzte Version wurde am 22. November 2021 der Digitec Galaxus AG zur Information geschickt mit dem Hinweis, dass ohne ihren Gegenbericht innerhalb von 14 Tagen der EDÖB davon ausgehen würde, dass der Sachverhalt korrekt wiedergegeben wurde. Zudem wurde die Digitec Galaxus AG darüber informiert, dass ihre Anmerkungen im Rahmen der rechtlichen Analyse des Sachverhalts in der Form eines Schlussberichts berücksichtigt werden. Dazu würde die Digitec Galaxus AG die Möglichkeit haben, noch einmal Stellung zu nehmen. Mit Schreiben vom 2. Dezember 2021 machte die Digitec Galaxus AG weitere Korrekturund Anpassungsvorschläge. Diese wurden in diesem Schlussbericht berücksichtigt.
4 Vgl. E-Mail des Kundendienstes vom 13. Oktober 2020, welche uns die betroffene Person am 14. Oktober 2020 weitergeleitet hat. (Ergänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021).
6/39
11. Mit E-Mail vom 13. Juni 2023 teilte die Digitec Galaxus AG dem EDÖB mit, ihre Datenschutzerklärung überarbeitet und diese neu auf der Webseite publiziert zu haben. Der EDÖB forderte die Digitec Galaxus AG auf, zu der Frage Stellung zu nehmen, welche Punkte der Sachverhaltsfeststellung sich aus ihrer Sicht durch die Einführung der neuen Datenschutzerklärung in materieller Hinsicht geändert haben. Am 9. August 2023 nahm die Digitec Galaxus AG Stellung zu der Frage und teilte dem EDÖB mit, dass die Änderungen der überarbeiteten Datenschutzerklärung keine Sachverhaltsänderung oder -ergänzung zur Folge haben und einzig für allfällige Empfehlungen berücksichtigt werden können. Am 8. September 2023 bestätigte der EDÖB der Digitec Galaxus AG diese Ansicht und nahm die Änderungen der überarbeiteten Datenschutzerklärung zur Kenntnis. 1.2. Chronologie 26.03.2020: Eingang erste Bürgeranfrage in Sachen Digitec Galaxus AG 18.05.2020: Vorabklärung und Zustellung von Fragen an die Digitec Galaxus AG 12.06.2020: Beantwortung unserer Fragen durch die Digitec Galaxus AG 15.02.2021: Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragenkataloges an die Digitec Galaxus AG 17.03.2021: Mitteilung der Vertretung durch Walder Wyss AG und Fristerstreckungsgesuch 17.03.2021: Gewährung Fristerstreckung durch den EDÖB 29.04.2021: Beantwortung unserer Fragen durch Digitec Galaxus AG 26.05.2021: Antwort des EDÖB betreffend ein Gespräch mit
04.08.2021: Versand Sachverhaltsfeststellung an Digitec Galaxus AG 03.09.2021: Stellungnahme zur Sachverhaltsfeststellung durch Digitec Galaxus AG 09.09.2021: Gespräch mit Vertretern der Digitec Galaxus AG, des Migros-Genossenschafts-Bund und Walder Wyss AG 21.10.2021: Präzisierungen zur Sachverhaltsfeststellung durch EDÖB 22.11.2021: Versand der korrigierten Sachverhaltsfeststellung an Digitec Galaxus AG 02.12.2021: Ergänzungs- und Korrekturvorschläge der Digitec Galayus AG zur korrigierten Sachverhaltsfeststellung 13.06.2023: Mitteilung betreffend neue Datenschutzerklärung durch Digitec Galaxus AG an EDÖB 27.06.2023: Aufforderung zur Stellungnahme betreffend neue Datenschutzeklärung 09.08.2023 Stellungnahme von Digitec Galaxus AG zur neuen Datenschutzerklärung 30.01.2024: Versand des Schlussberichts an Walder Wyss AG 1.3. Gesetzliche Grundlage 12. Seit dem 1. September 2023 ist das neue Bundesgesetz vom 25. September 2020 über den Datenschutz in Kraft (nachfolgend «nDSG», SR 235.1). Gemäss Art. 70 nDSG gilt das neue Gesetz nicht für Untersuchungen des EDÖB, die im Zeitpunkt des Inkrafttretens hängig waren. Diese Fälle unterstehen dem bisherigen Recht, weshalb der EDÖB die rechtliche Beurteilung in der vorliegenden Sachverhaltsabklärung gestützt auf das Bundesgesetz vom 19. Juni 1992 über den Datenschutz (nachfolgend «DSG», SR 235.1) vorgenommen und abgeschlossen hat. Mit Blick auf die Fortführung von Datenbearbeitungen, die Gegenstand dieser Sachverhaltsabklärung sind, finden sich in einzelnen Kapiteln jedoch punktuelle Hinweise darauf, in wie weit die Bestimmungen des nDSG gegenüber dem alten Recht Änderungen vorsehen.
7/39
13. Art. 1 bis 15 DSG und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Gemäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler). Gemäss Art. 29 Abs. 2 DSG kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unterlassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht (BVGer) auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i. V. m. Art. 35 lit. b des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]). 1.4. Umfang der Sachverhaltsabklärung 14. Die vorliegende Sachverhaltsabklärung stützt sich auf den Sachverhalt vom 2. Dezember 2021 (vgl. Rz. 11) und zielt darauf ab zu prüfen, ob und inwiefern Mängel hinsichtlich der Konformität mit dem DSG bei der Bearbeitung von Widerspruchsgesuchen, bei der Verknüpfung von Personendaten der Kunden aus diversen Quellen für den Zweck der Kundenverhaltensanalyse sowie bei der Bekanntgabe von Personendaten der Kunden der Digitec Galaxus AG an andere Unternehmen der Migros-Gruppe bestehen. 1.5. Berücksichtigte Dokumente 15. Die Sachverhaltsfeststellungen des EDÖB stützen sich auf folgende Dokumente: - E-Mail vom 12. Juni 2020; - Schreiben vom 29. April 2021 inkl. Beilage 1 «Darstellung Löschprozess»; - Bürgeranfragen vom 26. März 2020, 14. Oktober 2020 und 10. November 2020; - Stellungnahme vom 3. September 2021; - E-Mail vom 21. Oktober 2021 mit Präzisierungen zum Sachverhalt (Klärung offener Punkte); - Schreiben vom 2. Dezember 2021 mit zusätzlichen Anpassungs- und Korrekturvorschlägen; - Webseite der Digitec Galaxus AG (Datenschutzerklärung5, AGBs6, Über uns etc.). - Weitere öffentlich zugängliche Informationen, wie in den Fussnoten gekennzeichnet
5 Versionen 1.1 und 1.3. Die Digitec Galaxus AG hat in ihrem Schreiben vom 29. April 2021 mitgeteilt, dass die Version 1.3 der Datenschutzerklärung vom 21. Oktober 2020 mit Blick auf das revidierte DSG (revDSG) und voraussichtlich besonders im Hinblick auf eine klarere Information zu bearbeiteten Datenkategorien und Bearbeitungszwecken überarbeitet wird. Die überarbeitete Datenschutzerklärung ist nicht Gegenstand dieser Abklärung. 6 Stand März 2019, verfügbar unter https://www.digitec.ch/de/wiki/478 [am 07.09.2021 aufgerufen].
8/39
2. Sachverhalt 2.1. Bearbeitung von Kundendaten durch die Digitec Galaxus AG 2.1.1. Kundenkonto und Zustimmung der Datenschutzerklärung 16. Um Produkte bei den Onlineshops Digitec und Galaxus zu kaufen, muss man sich als Kunde registrieren und mithin ein Kundenkonto erstellen.7 Eine Bestellung als Gast ist nicht möglich8. Dies sei gemäss der Digitec Galaxus AG eine bewusste Entscheidung des Unternehmens aus mehreren Gründen: a. Das Kundenkonto sei die zentrale Stelle zur Information über die Bestellhistorie, zur Verwaltung kundenseitiger Einstellmöglichkeiten und zur Steuerung weiterer Dienstleistungen: Diese Möglichkeiten, die gemäss Digitec Galaxus AG ein Kundenkonto voraussetzen, betrachtet das Unternehmen als Bestandteil ihres Service. Gemäss der Digitec Galaxus AG liege es im Interesse der Kunden selbst, ein Kundenkonto zu haben, über welches sie von verschiedenen, auch datenschutzrechtlich relevanten Verwaltungsmöglichkeiten Gebrauch machen können. Das Konto liege ausserdem im Interesse des Unternehmens selbst, weil es den Aufwand für eine Kundenbetreuung von hoher Qualität reduziere und es ihr ermögliche, das Kundenverhalten zu analysieren und bei starker Veränderung des Verhaltens betrügerische Aktivitäten zu erkennen und eine entsprechende Reaktion auszulösen. b. Das Konto ermögliche eine Personalisierung der Darstellung des Sortiments9 im Onlineshop sowie das Anzeigen von zuletzt besuchten Artikeln und das Erstellen von Merklisten: dies sei gemäss der Digitec Galaxus AG unabdingbar, damit sich die Kunden im Onlineshop orientieren können. Personalisierungen auf Basis von Verhaltensdaten des Besuchs (Cookies) seien nicht zuverlässig und funktionierten zudem nicht gerätübergreifend. c. Das Konto sei erforderlich, damit die Kunden an der «Community» Digitec teilnehmen können, was für die Digitec Galaxus AG ein wesentlicher Aspekt ihres Dienstleistungsangebots sei: Die Digitec Galaxus AG sei nicht nur ein Onlineshop, sondern eine Plattform mit einer aktiven Community von Nutzern, welche untereinander, mit der Digitec Galaxus AG und mit Produkten interagieren, indem sie Bewertungen schreiben. Bewertungen ohne Kundenkonto seien gemäss der Digitec Galaxus AG nicht nach Einhaltung der Lauterkeitsrechtvorschriften kontrollierbar. Dieses System sei es auch, welches Kunden ermögliche, gekaufte Artikel direkt über die Plattform anderen Kunden weiterverkaufen zu können, wobei die Digitec Galaxus AG lediglich als Vermittler gelte. Zudem ermögliche das Konto das sog. «Digitec live», also das Anzeigen von getätigten Einkäufen im öffentlichen Profil der Kunden.
7 Galaxus.ch, Bestellvorgang und Kundenkonto, verfügbar unter: https://www.galaxus.ch/de/wiki/557 [aufgerufen am 20.07.2021]. 8 Von den in der Schweiz 15 umsatzstärksten B2C-Online-Shops bieten interdiscount.ch, microspot.ch, brack.ch, ikea.com/ch und mediamarkt.ch einen Gastkauf an; Digitec.ch, galaxus.ch, zalando.ch, amazon.de, aliexpress.com, nespresso.com/ch, wish.com, coopathome.ch und zurrose-shop.ch bieten hingegen keinen Gastkauf an. In diesem Zusammenhang vertritt die Digitec Galaxus AG den Standpunkt, dass sie weder unter dem DSG noch unter dem revDSG verpflichtet sei, einen Gastkauf anzubieten: «Der Verantwortliche muss nutzerseitige Einstellungen nur datenschutzfreundlich voreinstellen, sofern er entscheidet, solche überhaupt anzubieten. Ein Gastkauf kann unter diesem Titel nicht verlangt werden.» (Vgl. Ziff. 11 des Schreibens vom 29. April 2021, S. 5). 9 Digitec Galaxus AG vermerkt, dass dies zurzeit mehr als Artikel erfasst.
9/39
d. Die Gestaltung der Webseite als Plattform, die eines Kundenkontos bedingt, dient zudem der Kundenbindung und der Absatzsteigerung der Firma in einem stark umkämpften Markt: die Digitec Galaxus AG stehe im Wettbewerb mit anderen Anbietern, die auch auf personalisiertes Marketing setzen, und sei deshalb darauf angewiesen, das Kundenkonto als Basis für eine Personalisierung zu verwenden, um die Wirksamkeit ihres Marketings auf der eigenen Website zu steigern und mit Kunden personalisiert zu kommunizieren. 17. Ein Konto kann man auch über erstellen. Dabei gibt der Nutzer die Zustimmung für die Weitergabe gewisser Daten10 aus dem an Digitec Galaxus AG. Von den übermittelten Daten werden lediglich Name und E-Mail-Adresse verwendet, um die entsprechenden Felder des Registrierungsformulars auszufüllen. Diese Angaben werden dann erst gespeichert, wenn die Kundin oder der Kunde den Registrierungsprozess abschliesst, um ein Kundenkonto bei Digitec Galaxus AG zu erstellen. Andere übermittelten Daten werden gemäss Digitec Galaxus AG nicht gespeichert.11 18. Bei der Registrierung als neuer Kunde muss man das Kontrollkästchen neben folgender Aussage ankreuzen: «Ja, ich stimme der in der Datenschutzerklärung umschriebenen Bearbeitung sämtlicher meiner Personendaten zu. Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe.»12. 19. Die Zustimmung zur Datenschutzerklärung der Digitec Galaxus AG wird auch im Text der Datenschutzerklärung an zwei Stellen wie folgt thematisiert: «Es ist uns ein Anliegen, dass Sie der Bearbeitung Ihrer Personendaten zustimmen. Mit dieser Datenschutzerklärung informieren wir Sie umfassend über unsere Datenbearbeitungsmethoden. Und Sie entscheiden, ob Sie die Bearbeitung Ihrer Personendaten wünschen.» und «Diese Datenschutzerklärung erfasst sowohl historische als auch zukünftige Personendaten. Stimmen Sie der Bearbeitung Ihrer Personendaten zu, werden wir nicht nur die in Zukunft von Ihnen erhobenen Personendaten in Übereinstimmung mit dieser Datenschutzerklärung bearbeiten, sondern auch Ihre bei uns bereits gespeicherten Personendaten.».13 Wobei mit « historische Daten» die Personendaten gemeint sind, die zum Zeitpunkt der Einführung der Datenschutzerklärung bei der Digitec Galaxus AG bereits vorhanden waren14. 20. Gemäss der Digitec Galaxus AG soll dieses Verfahren nicht so verstanden werden, dass die Durchführung gewisser in der Datenschutzerklärung beschriebenen Datenbearbeitungen nur aufgrund dieser Zustimmung erlaubt wären, sondern lediglich als eine kundenfreundliche Massnahme, die dazu dient, den Kunden den Gegenstand der möglichen Datenbearbeitungen durch die Digitec Galaxus AG zu verdeutlichen.15 21. Die Digitec Galaxus AG vertritt ferner den Standpunkt, dass die Personendaten, welche Digitec für die Kommunikation und die Personalisierung von Angeboten und Produktbewertungen benötigt, erst mit der Registrierung, also folglich nach der Zustimmung der Datenschutzerklärung, anfallen.
.
10 Je nach Dienst werden unterschiedliche Daten übermittelt. Vgl. Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 11 Vgl. Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 12 Text auf der Seite «Als Privatkunde registrieren». 13 Vgl. Datenschutzerklärung der Digitec Galaxus AG. Diese und die folgenden Verweise auf die Datenschutzerklärung der Digitec Galaxus AG betreffen die Version 1.3 vom 21.10.2020, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 14 Vgl. Antwort zur Frage 4 (Ziff. 24 des Schreibens vom 29. April 2021, S. 9). 15 Vgl. Ziff. 19 des Schreibens vom 29. April 2021, S. 7.
10/39
Verzichtet der Kunde darauf, die Bestellung abzuschliessen, d.h. eröffnet er kein Kundenkonto oder meldet er sich nicht mit einem bereits bestehenden Konto an, bleiben diese Daten gemäss Digitec Galaxus AG ohne Personenbezug und werden nur zu statistischen, nicht personenbezogenen Zwecken verwendet .16 2.1.2. In der Datenschutzerklärung umschriebene Datenbearbeitungen 22. Unter Ziffer 6 der Datenschutzerklärung17 werden Beispiele von Situationen angegeben, bei denen die Digitec Galaxus AG Personendaten über die Kunden sammeln kann, und unter Ziffer 7 werden Beispiele von Datenkategorien aufgelistet, welche durch die Digitec Galaxus AG erhoben werden. 23. Unter Ziffer 8 werden verschiedene Zwecke angegeben, für welche die Digitec Galaxus AG Personendaten bearbeitet. Diese werden in 5 Kategorien unterteilt: Bearbeitungszwecke im Zusammenhang mit ihren Waren und Dienstleistungsangeboten, mit der Kundenkommunikation, mit besonderen Aktivitäten und Anlässen, mit der Analyse des Kundenverhaltens und mit Direktmarketing. 24. Unter Ziffer 9 wird erläutert, an wen die Digitec Galaxus AG Personendaten weitergibt. Gemäss der Datenschutzerklärung kann sie Personendaten der Kunden an andere Unternehmen der Migros-Gruppe weitergeben, die sie «im eigenen Interesse für die gleichen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere individualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitäten. Ausserdem wird unter Ziffer 9 ausgeführt, dass die Digitec Galaxus AG Personendaten an Dienstleister weitergibt, die im Auftrag und in Interesse der Digitec Galaxus AG Daten bearbeiten. 25. Weiter wird die Datenbearbeitung im Zusammenhang mit der Verwendung von Cookies (Ziff. 10), Log-Dateien (Ziff. 11), Analyse-Tools und anderen Trackingtechnologien (Ziff. 12) sowie Social Plugins (Ziff. 13) allgemein beschrieben.18 26. Verschiedene Datenbearbeitungen bzw. Bearbeitungszwecke, die in der Datenschutzerklärung erwähnt sind, werden gemäss der Digitec Galaxus AG im Moment nicht durchgeführt und sind auch zukünftig nicht geplant. Diese sind: a. b. c.
d.
16 Vgl. Antworten zu Fragen 3 und 5 (Ziff. 23 und 26 des Schreibens vom 29. April 2021, S. 9 f.) und Stellungnahmen vom 2. und 23. Dezember 2021 sowie vom 25. Januar 2022. 17 Vgl. Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 18 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 19 Vgl. Antwort zur Frage 4 (Schreiben vom 12. Juni 2020, S. 3) und Antworten zu Fragen 1, 17 und 22.2 (Ziff. 20, 57 und 65 des Schreibens vom 29. April 2021, S. 8, 18 bzw. 21). 20
21
11/39
e.
f. 27. Der Grund hierfür liegt darin, dass die Datenschutzerklärung absichtlich breit formuliert worden ist. Die Digitec Galaxus AG vertritt in diesem Zusammenhang den Standpunkt, dass eine Datenschutzerklärung, welche breit formuliert ist, datenschutzfreundlicher ist, als eine Datenschutzerklärung, welche granulare Ausführungen enthält und deshalb öfter geändert werden muss: «Das kommt den betroffenen Personen zugute, denn dadurch ist ihnen bei der Aufnahme der Kundenbeziehung bewusst - also dann, wenn sie die Datenschutzerklärung erstmals und i.d.R. auch letztmals konsultieren -, dass eine verhältnismässig breitere Datenbearbeitung in Frage kommt. Das ist zweifellos datenschutzfreundlicher als eine Datenschutzerklärung, die sich häufig ändert und es den betroffenen Personen aufgäbe, die Datenschutzerklärung erneut zu lesen und auf Änderungen zu prüfen».24 28.
2.1.3. Datenbearbeitungen zu Personalisierungszwecken («Tracking») 2.1.3.1. Verwendete «Cookies» und andere Mechanismen 29. Digitec Galaxus AG verwendet Cookies Die Cookies speichern Informationen über das verwendete Endgerät, die Herkunft des Besuchers (d.h. den Kanal, über welchen der Besucher zur Website kam, z.B. E-Mail-Kampagne, Social Media oder Google-Suche), die Navigation über die Webseite (z.B. Seitenaufrufe, Produktansichten, Suchanfragen und weitere Interaktionen) sowie das Datum und Uhrzeit der Interaktionen bzw. des Besuchs.
(Vgl. Antworten zu Fragen 1 und 14 (Ziff. 20 bzw. 53 des Schreibens vom 12. Juni 2020, S. 8 bzw. 17). 22 Siehe Fussnote Nr. 6. 23 Siehe Fussnote Nr. 6 und Ziff. 25 des Schreibens vom 29. April 2021, S. 9. 24 Vgl. Ziff. 16, 17, 20 und 21 des Schreibens vom 29. April 2021, S. 6 f. 25 Vgl. Antworten zu Fragen 1 und 15 (Ziff. 20 bzw. 54 des Schreibens vom 29. April 2021, S. 7 f. bzw. 17) und Stellungnahme vom 3. September 2021, S. 5.
12/39
30. Folgende Cookies werden bei einem Besuch der Webseite www.digitec.ch gespeichert:26
31. Folgende Cookies werden bei einem Besuch der Webseite www.galaxus.ch gespeichert28:
26 Gemäss mit Webprotokoll durchgeführter Analyse der Webseite vom 7. Juli 2021. Ergebnisse verfügbar unter:
27 Die Digitec Galaxus AG hält in ihrer Stellungnahme vom 3. September 2021 fest, dass sie die Speicherdauer von Cookies von Drittanbietern nicht bestimmen kann (S. 6). 28 Gemäss mit Webprotokoll durchgeführter Analyse der Webseite vom 7. Juli 2021. Ergebnisse verfügbar unter:
13/39
32.
: Schlüssel Wert
33. Die folgende Abbildung, die durch die Digitec Galaxus AG zur Verfügung gestellt wurde, zeigt ein Beispiel einer gespeicherten Suchhistorie :
Abbildung 1 – Suchhistorie im Browser 34. Die mittels Cookies erhobenen Daten dienen also hauptsächlich als Grundlage der Personalisierung des Angebots auf der Webseite selbst sowie der Werbung der Digitec Galaxus AG, die in anderen Webseiten aufgeschaltet werden. 35. In den Apps wird ausserdem eine Software von verwendet, um die Installationen der Apps zu messen.29 2.1.3.2. Personalisierung des Angebots auf der Webseite 36. Die Personalisierung des Angebots auf der Webseite wird einerseits durch den und andererseits schätzt basierend auf Daten über das Nutzerverhalten auf der Webseite
37. Die Personalisierung .31
29 Vgl. Antwort zur Frage 9 (Ziff. 47 des Schreibens vom 29. April 2021, S. 15). 30 Die Digitec Galaxus AG ist der Auffassung, dass diese Daten nicht personenbezogen sind (siehe Rz. 21). Vgl. Stellungnahme vom 3. September 2021 S. 6 und Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 31 Vgl. Antworten zu Fragen 6 und 7 (Ziff. 29 ff. des Schreibens vom 29. April 2021, S. 11 ff), Stellungnahme vom 3. September 2021 und Präzisierungen zum Sachverhalt vom 21. Oktober 2021.
14/39
38. 39. Eine weitere Form von Personalisierung der Webseite erfolgt
2.1.3.3. Personalisierung der Werbeanzeige auf Webseiten Dritter 40. Um ihre Werbung auf der Grundlage von Cookies gemäss Ziff. 8.5 der Datenschutzerklärung35 zu personalisieren, arbeitet die Digitec Galaxus AG mit verschiedenen Werbenetzanbietern zusammen, welche Werbung für sie auf die Webseiten Dritter ausspielen. Diese sind: . Ausserdem lässt die Digitec Galaxus AG Werbung auf Social-Media- Plattformen und in Videoangeboten ausspielen. Die Digitec Galaxus AG verwendet den Dienst , um die durch erhobenen Daten auszuwerten. leitet aus den erhobenen Daten potentielle Kundenbedürfnisse und Kundeninteresse sowie eine geschätzte Alterskohorte und ein vermutetes Geschlecht ab. Dementsprechend werden die Anzeigen personalisiert. Dies erfolgt wie folgendermassen: Gewisse Cookies, die sich bei einem Besuch der Webseiten der Digitec Galaxus AG im Browser und im Endgerät der Nutzer abspeichern, werden durch die Werbeanzeigen, welche auf Webseiten Dritter platziert sind, ausgelesen. Diese Werbeanzeigen reagieren auf die übermittelten Informationen, um passende Werbung auszuspielen (z.B. zeigen die angesehenen, aber nicht bestellten Produkte).36 41. Für die Personalisierung der Werbung auf Social-Media-Plattformen wie verwendet die Digitec Galaxus AG den Dienst
32 Die Information, die die Digitec Galaxus AG in ihrer Antwort zur Frage 6 übermittelte (Ziff. 31 des Schreibens vom 29. April 2021, S. 11) wurde in der Stellungnahme vom 3. September 2021 präzisiert (S. 2 und 6). 33 Vgl. Antwort zur Frage 6 (Ziff. 35 des Schreibens vom 29. April 2021, S. 12). 34 Vgl. Antwort zur Frage 6 (Ziff. 38 des Schreibens vom 29. April 2021, S. 12) sowie Stellungnahme vom 3. September, S. 7. 35 Individualisierte und personalisierte Anpassung der Angebote sowie der Werbung auf unseren Internet-Seiten, Apps für mobile Geräte oder bei unseren Kanälen auf Internet-Plattformen, Multimedia-Portalen bzw. sozialen Netzwerken. 36 Vgl. Antwort zur Frage 6 (Ziff. 39 des Schreibens vom 29. April 2021, S. 13) und Präzisierungen zum Sachverhalt vom 21. Oktober 2021. 37 Vgl. Antwort zur Frage 6 (Ziff. 40 des Schreibens vom 29. April 2021, S. 13).
15/39
2.1.3.4. Personalisierte Kommunikation inkl. Marketingmitteilungen 42. Die Digitec Galaxus AG bearbeitet auch Daten der Nutzerinnen und Nutzer, um ihnen personalisierte Kommunikation z.B. in Form eines personalisierten Newsletters, eines Gutscheins oder eines Flyers38 zuzustellen. Die Personalisierung erfolgt auf der Grundlage von Daten über das Kundenverhalten (z.B. auf zuletzt angesehene Produkte, gekaufte Produkte oder Inaktivität) sowie Alter, Geschlecht und Sprache, welche im Nutzerkonto erfasst sind. 43. Gemäss der Digitec Galaxus AG erteilen die Nutzerinnen und Nutzer, die das Kästchen bei der Registrierung gemäss Ziff. 17 ankreuzen, eine Einwilligung zur Zustellung von elektronischen Marketingmitteilungen. In diesem Sinne beziehe sich die Aussage «Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe.» lediglich auf die Zustellung elektronischer Werbung und nicht auf weitere Arten personalisierter Marketingmitteilungen, weil die Digitec Galaxus AG der Auffassung ist, eine Einwilligung sei für Letztere nicht erforderlich. 2.1.4. Information und Widerspruchsmöglichkeiten 44. Die Webseiten digitec.ch und galaxus.ch enthalten keinen Cookie-Banner (Hinweis auf die Verwendung von Cookies bzw. Speicherung von Informationen im Browser des Nutzers). Nutzerinnen und Nutzer werden über die Speicherung von Cookies in der Datenschutzerklärung informiert. 45. In der Datenschutzerklärung der Digitec Galaxus AG wird aufgeführt, dass auf ihren Internetseiten «Cookies und ähnliche Technologien wie z.B. Pixel Tags (zusammen "Cookies")» verwendet werden. Wofür Cookies verwendet werden, wird wie folgt erklärt: Die von uns genutzten Cookies dienen zunächst dazu, die Funktionen unserer Internet-Seiten – wie zum Beispiel die Warenkorbfunktionalität – zu gewährleisten. Ausserdem verwenden wir Cookies, um unser Internet-Angebot Ihren Kundenwünschen anzupassen und Ihnen das Surfen bei uns so komfortabel wie möglich zu gestalten. Wir verwenden Cookies auch zur Optimierung unserer Werbung. Mit Cookies können wir Ihnen Werbung und/oder besondere Waren und Dienstleistungen präsentieren, die für Sie aufgrund Ihrer Nutzung unserer Internet-Seite besonders interessant sein könnten. Unser Ziel ist es dabei, unser Internet-Angebot für Sie so attraktiv wie möglich zu gestalten und Ihnen Werbung zu präsentieren, die Ihren Interessengebieten entspricht.39 46. Zur Speicherdauer der Cookies wird in der Datenschutzerklärung Folgendes aufgeführt: Die meisten der von uns verwendeten Cookies werden nach Ende der Browser-Sitzung automatisch wieder von Ihrem Computer oder mobilen Gerät gelöscht (sogenannte Session-Cookies). Zum Beispiel verwenden wir Session-Cookies um Ihre Landes- und Sprachvoreinstellungen und Ihren Warenkorb über verschiedene Seiten einer Internet-Sitzung hinweg zu speichern. Darüber hinaus verwenden wir auch temporäre bzw. permanente Cookies. Diese bleiben nach dem Ende der Browser-Sitzung auf Ihrem Computer oder mobilen Gerät gespeichert. Bei einem weiteren Besuch auf einer unserer Internet-Seiten wird dann automatisch erkannt, welche Eingaben und Einstellungen Sie bevorzugen. Diese temporären bzw. permanenten Cookies bleiben je nach Art des Cookies zwischen einem Monat und zehn Jahre auf Ihrem Computer oder mobilen Gerät gespeichert und werden nach Ablauf der programmierten Zeit automatisch deaktiviert.
38 Vgl. Antwort zu Fragen 6 und 13 (Ziff. 36 bzw. 52 des Schreibens vom 29. April 2021, S. 12 und 16f.) sowie Angaben der Digitec Galaxus AG
39 Ziff. 10.1 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021].
16/39
Sie dienen dazu, unsere Internet-Seiten nutzerfreundlicher, effektiver und sicherer zu machen. Dank dieser Cookies bekommen Sie beispielsweise speziell auf Ihre Interessen abgestimmte Informationen auf der Seite angezeigt. Die auf Ihrem Computer oder mobilen Gerät gespeicherten Cookies können unter Umständen auch von Partnerunternehmen stammen. Diese können andere Unternehmen der Migros-Gruppe oder auch Unternehmen ausserhalb der Migros-Gruppe sein. Diese Cookies ermöglichen unseren Partnerunternehmen, Sie mit Werbung anzusprechen, die Sie tatsächlich interessieren könnte. Die Cookies der Partnerunternehmen bleiben zwischen einem Monat und zehn Jahre auf Ihrem Computer oder mobilen Gerät gespeichert und werden nach Ablauf der programmierten Zeit automatisch deaktiviert.40 47. In der Datenschutzerklärung werden die Nutzer wie folgt unterwiesen, wie die Speicherung von Cookies verhindert werden kann: Die meisten Internet-Browser akzeptieren Cookies automatisch. Sie können jedoch Ihren Browser anweisen, keine Cookies zu akzeptieren oder Sie jeweils anzufragen, bevor ein Cookie einer von Ihnen besuchten Internet-Seite akzeptiert wird. Sie können auch Cookies auf Ihrem Computer oder mobilen Gerät löschen, indem Sie die entsprechende Funktion Ihres Browsers benutzen. Falls Sie sich entschliessen, unsere Cookies oder die Cookies unserer Partnerunternehmen nicht zu akzeptieren, werden Sie auf unseren Internet-Seiten gewisse Informationen nicht sehen und einige Funktionen, die Ihren Besuch verbessern sollen, nicht nutzen können.41 48. Das aktive Blockieren von sämtlichen Cookies hat als Folge, dass es nicht möglich ist, weiter auf die Webseite zu surfen, weil dies verhindert, dass die Webseite richtig funktioniert. Werden nur Third-Party-Cookies blockiert, vorliegend die Cookies , kann die Seite normal verwendet werden.42 49. Spezifisch zur Unterbindung der Cookies von wird in der Datenschutzerklärung auf die Möglichkeit hingewiesen, die Browser-Erweiterung zur Deaktivierung von zu installieren: Sie können die Erfassung der durch Cookies erzeugten und auf Ihre Nutzung der Internet-Seite bezogenen Daten (inkl. Ihrer IP-Adresse) an sowie die Verarbeitung dieser Daten durch verhindern, indem Sie das unter dem folgenden Link verfügbare Browser-Plugin herunterladen und installieren. Nähere Informationen zu und Datenschutz finden Sie unter 50. Die Kunden können der Zustellung von Marketingmitteilungen über das Kundenkonto oder durch einen Link in elektronischen Newslettern jederzeit widersprechen.44
40 Ziff. 10.3 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 41 Ziff. 10.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 42 Vgl. Antwort zur Frage 8 (Ziff. 46 des Schreibens vom 29. April 2021, S. 15). 43 Ziff. 12 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 44 Vgl. Antwort zur Frage 1 (Schreiben vom 12. Juni 2020, S. 2), Stellungnahme vom 3. September 2021 (S. 7).
17/39
2.1.5. Datenübermittlungen an Dritte 2.1.5.1. 51. Wie oben aufgeführt, verwendet die Digitec Galaxus AG den Dienst , um Nutzerverhaltensdaten auszuwerten. In diesem Zusammenhang bearbeitet Deshalb erklärt die Digitec Galaxus AG, dass sie neben einem Auftragsbearbeitungsvertrag einen zusätzlichen Vertrag über die abgeschlossen habe. 52.
Im Zusammenhang mit der Verwendung von Analyse-Tools wird Folgendes in der Datenschutzerklärung aufgeführt: «Je nach Anbieter eines Web Analyse-Tools können diese Server im Ausland stehen. […]
2.1.5.2. 53.
45 Ziff. 9 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 46 Ziff. 12 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 47 Nutzungsbedingungen für , verfügbar unter:
48 Datenverarbeitungsbedingungen von verfügbar unter:
49 verfügbar unter:
18/39
2.1.5.3. 54.
2.1.6. Bearbeitung von Persönlichkeitsprofilen 56. Neben der Erhebung und Auswertung von Daten zur Analyse des Kundenverhalten werden gemäss Datenschutzerklärung die Daten, welche die Digitec Galaxus AG erhebt, mit anderen Daten verknüpft mit dem Zweck, die Datenbasis und die Analyse des Kundenverhaltens zu verbessern. Dabei werden Profile der Nutzer generiert .53
57. Durch die individualisierte und personalisierte Aufzeichnung und Auswertung des historischen und aktuellen Kunden- und Kaufverhaltens bei der Nutzung der Angebote auf den Internet-Seiten der Digitec Galaxus AG, auf Apps für mobile Geräte oder auf Internet-Plattformen, Multimedia-Portalen bzw. sozialen Netzwerken, erkennt, klassifiziert und analysiert die Digitec Galaxus AG aktuelle und potentielle Kundenbedürfnissen, Kundeninteressen sowie das Kundenpotential (siehe Ziff. 2.1.3).54 58. Ausserdem leitet die Digitec Galaxus AG bei einem Kauf auf Rechnung aus den Kundenprofil Schlussfolgerungen über die Bonität der Kunden ab, indem sie die folgenden Daten über die Kunden bearbeitet:
Die statistischen Daten, mit denen das Profil des Kunden angereicht wird, sind die folgenden Daten über den Wohnort des Kunden: 5
50
51 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 52 Vgl. Stellungnahme vom 3. September 2021, S. 8. 53 Vgl. Antwort zur Frage 11 (Ziff. 49 des Schreibens vom 29. April 2021, S. 16) und Ziff. 8.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 54 Ziff. 8.4 der Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 55 Vgl. Antworten zu Fragen 12 und 16 (Ziff. 51, 55 und 56 des Schreibens vom 29. April 2021, S. 16f.).
19/39
2.1.7. Bekanntgabe von Profilen 59. Gemäss der Digitec Galaxus AG werden weder die Kundenprofile noch die Ergebnisse der Kundenverhaltensanalyse an Dritte bekanntgegeben, wobei einzelne Personen innerhalb des Migros- Genossenschafts-Bunds technisch eine Zugriffsmöglichkeit auf die Daten haben.
2.2. Bearbeitung von Widerspruchs- und Löschungsbegehren 60. Einer der Kernpunkte und Anlass dieser Sachverhaltsabklärung waren die Meldungen von Bürgern betreffend die Bearbeitung von Datenschutzbegehren, insbesondere von Widerspruchsbegehren durch die Digitec Galaxus AG. 2.2.1. Rechte der betroffenen Personen gemäss der Datenschutzerklärung 61. Die Digitec Galaxus AG führt in ihrer Datenschutzerklärung unter Ziffern 3 und 4 auf, dass die Betroffenen der Bearbeitung ihrer Personendaten widersprechen können, indem sie Digitec.ch durch die zur Verfügung gestellten Kanäle (telefonisch oder mittels Kontaktformular) kontaktieren: 3. Welche Rechte haben Sie mit Bezug auf Ihre Personendaten? Sie haben das Recht jederzeit Ihre Datenschutzrechte geltend zu machen und Auskunft über Ihre gespeicherten Personendaten zu erhalten, Ihre Personendaten zu berichtigen, zu ergänzen, der Bearbeitung Ihrer Personendaten zu widersprechen oder die Löschung Ihrer Personendaten zu verlangen. Die Kontaktmöglichkeiten finden Sie in Ziffer 4 unten. Wir behalten uns vor, in diesem Zusammenhang elektronisch (insbesondere per E-Mail) mit Ihnen zu korrespondieren. 4. Wie können Sie uns kontaktieren? Falls Sie Ihre Rechte mit Bezug auf Ihre Personendaten geltend machen möchten oder Fragen bzw. Bedenken haben hinsichtlich der Bearbeitung unserer Personendaten, können Sie uns wie folgt kontaktieren: /Information/ContactInformation. Wir werden uns bemühen, Ihre Fragen oder Bedenken nach Erhalt umgehend zu beantworten.57 2.2.2. Bearbeitung von Datenschutzbegehren durch den Kundendienst 62. Gemäss der Digitec Galaxus AG gehen Datenschutzbegehren im Kundendienst ein, wo sie erfasst und anschliessend umgesetzt werden. Um Datenschutzbegehren richtig zu erkennen und bearbeiten zu können, werden die Mitarbeitenden des Kundendienstes gemäss der Digitec Galaxus AG von einem externen Datenschutzbeauftragten geschult. Zudem wurde ein gruppenweites E-Learning bereits ausgerollt, wobei auch die Mitarbeitenden der Digitec Galaxus AG (inkl. des Kundendienstes) im Datenschutz geschult werden sollen. Bei Unsicherheiten steht ihnen zudem eine, im Datenschutz geschulte, interne Kontaktperson zur Verfügung.58
56 Vgl. Antworten zur Frage 4 des Schreibens vom 12. Juni 2020 (S. 3) und zur Frage 18 (Ziff. 58 des Schreibens vom 29. April 2021, S. 18). 57 Datenschutzerklärung der Digitec Galaxus AG, verfügbar unter: https://www.digitec.ch/de/wiki/2791 [aufgerufen am 26.05.2021]. 58 Vgl. Antwort zur Frage 2 (Schreiben vom 12. Juni 2020, S. 2).
20/39
63. In den uns gemeldeten Fällen wurden Kunden, die ein Widerspruchsbegehren per E-Mail beim Kundendienst eingereicht haben, um gewisse von ihnen nicht erwünschte Datenbearbeitungen (vorliegend die Datenbekanntgabe an Dritte bzw. die Speicherung, die Verwendung und Auswertung von Personendaten zu Werbe- und Marketingzwecken) zu verbieten, informiert, dass dies nicht möglich sei. In einem der uns gemeldeten Fällen erklärte ein Mitarbeiter des Kundendienstes, dass die Richtlinien der Digitec Galaxus AG für ausnahmslos jeden Kunden gleichermassen gelten würden, weshalb dem einzelnen Kunden keine individuelle Lösung angeboten werden könnte.59 Hierzu nahm die Digitec Galaxus AG wie folgt Stellung: «Unsere Kunden haben nicht die Möglichkeit, ihnen [den Datenbearbeitungen] im Einzelnen zu widersprechen. In diesem Sinne ist es richtig, dass wir keine individuellen Datenschutzeinstellungen anbieten, mit Ausnahme des Direktmarketings, das der Kunde einstellen kann». In diesem Sinne hielt die Digitec Galaxus AG weiter Folgendes fest: «Ein Kunde, der die Bearbeitung von Personendaten zu Analysezwecken nicht wünscht, kann aber von der Bestellung absehen und hat jederzeit die Möglichkeit, die Löschung seiner Kundendaten zu verlangen. Darüber informieren wir ausdrücklich in unserer Datenschutzerklärung (Ziff. 3). Löschbegehren kommen wir nach (dazu Frage 2). Damit decken wir das Widerspruchsrecht unserer Kunden umfassend ab»60 64. Mit dem Satz «Darüber informieren wir ausdrücklich in unserer Datenschutzerklärung (Ziff. 3)» sei nicht gemeint, dass die betroffenen Personen in der Datenschutzerklärung darauf aufmerksam gemacht werden, dass sie, mit Ausnahme der Zustellung von Direktmarketingmitteilungen, nicht die Möglichkeit haben, einzelnen Datenbearbeitungen zu widersprechen und, dass sie ihr Widerspruchsrecht ausüben können, indem sie von einer Bestellung absehen bzw. die Löschung der bereits erfassten Daten verlangen würden. Vielmehr werde ausgeführt, dass sie in der Datenschutzerklärung über ihr Löschungsrecht informiert werden, welches sie über ihr Kundenkonto durch das Klicken auf den Link «Benutzerkonto löschen» geltend machen können.61 Digitec Galaxus AG vertritt den Standpunkt, dass das Widerspruchsrecht der Kunden umfassend abgedeckt sei, wenn die Kunden jederzeit über die Kontaktmöglichkeit in der Datenschutzerklärung, über das Nutzerkonto oder z.B. durch einen Link in elektronischen Newslettern widersprechen können. Gemäss unseren Abklärungen können die Kunden nicht beispielsweise, sondern ausschliesslich der Zustellung von elektronischen Marketingmitteilungen widersprechen. 65. In einem weiteren uns gemeldeten Fall wurde die betroffene Person durch den Kundendienst informiert, dass, um ihrem Widerspruchsbegehren nachkommen zu können, die Digitec Galaxus AG ihr Kundenkonto löschen müsste. Dies wurde aber gemäss den uns verfügbaren Information einer anderen betroffenen Person, die uns im Februar 2020 kontaktiert hat, nicht mittgeteilt bzw. wurde ihr die Löschung des Kontos nicht angeboten. Gemäss der Digitec Galaxus AG werden die Daten der Kunden, die ein Widerspruchsbegehren beim Kundendienst einreichen, nicht automatisch gelöscht: Die Kunden, welche ihre gespeicherten Daten bei der Digitec Galaxus AG löschen wollen, müssen dies ausdrücklich verlangen (mehr dazu unter Rz. 68).62 66. Die Digitec Galaxus AG hält bezüglich dieser Aussagen von Kundendienstmitarbeitenden fest, dass sie keine Kenntnis davon habe, was Mitarbeiter des Kundendiensts in Einzelfällen möglicherweise gesagt haben könnten, dass sie aber einer Verallgemeinerung etwaiger einzelner Aussagen widerspreche.63 Was die Bearbeitung von Löschungsbegehren anbelangt, hält sie fest, dass ihr keine Fälle bekannt seien, in denen eine Löschung nicht korrekt umgesetzt worden sei.64
59 Vgl. E-Mail des Kundendienstes vom 26. März 2020, welche uns die betroffene Person am selben Tag weitergeleitet hat. (Ergänzt aufgrund der Stellungnahme der Digitec Galaxus AG vom 3. September 2021). 60 Vgl. Antwort zur Frage 1 (Schreiben vom 12. Juni 2020, S. 2). 61 Vgl. Antwort zur Frage 21 (Ziff. 61 des Schreibens vom 29. April 2021, S. 19). 62 Vgl. Antwort zur Frage 24.1 (Ziff. 69 f. des Schreibens vom 29. April 2021, S. 22). 63 Vgl. Stellungnahme vom 3. September 2021 (S. 9). 64 Vgl. Antwort zur Frage 2 (Schreiben vom 12. Juni 2020, S. 2).
21/39
2.2.3. Löschung von Daten bei Dritten 67. Da die Digitec Galaxus AG gewisse Personendaten durch Auftragsdatenbearbeiter bearbeiten lässt (siehe Ziff. 2.1.5), stellte sich die Frage, wie sie die Löschung von nicht mehr gebrauchten Daten, die durch Auftragsdatenbearbeiter aufbewahrt werden, sicherstellt. Die Digitec Galaxus AG hält dazu fest, dass sich die Antwort je nach Typ und Anbieter der Auftragsbearbeitung unterscheidet. Auf eine detaillierte Auflistung in ihrer Stellungnahme hat sie verzichtet, aber sie erklärte, dass das Unternehmen generell Auftragsdatenbearbeitungsvereinbarungen (ADV) mit seinen Auftragsdatenbearbeitern abschliessen würde, welche ein Weisungsrecht und eine Löschpflicht vorsehen würden und definieren, wann der Dienstleister zur Löschung verpflichtet sei (z.B. rollierend nach 30 Tagen).65 In anderen Fällen hielt die Digitec Galaxus AG fest, dass sie darauf abziele, den Dienstleister automatisiert per E-Mail zur Löschung anzuweisen. Eine vollautomatische Löschung über alle Systeme hinweg habe sie jedoch bisher nicht umgesetzt.66 2.2.4. Neuer Löschprozess 68. Gemäss der Digitec Galaxus AG wurde ein neuer Löschprozess bei der Digitec Galaxus AG eingeführt, wonach neu die Kunden jederzeit die Option haben, über ihr Kundenkonto die Löschung ihrer Daten zu verlangen, indem sie die Option «Benutzerkonto löschen» wählen.
65 Die Digitec Galaxus AG hat uns als Beispiel in der Beilage zur Stellungnahme vom 3. September 2021 eine Kopie eines Vertrages, welchen sie mit dem Dienstleister abgeschlossen hat, zugestellt.
66 Vgl. Antwort zur Frage 22.3 (Ziff. 66 des Schreibens vom 29. April 2021, S. 21). 67 Vgl. Antworten zu Fragen 21 und 22.1 (Ziff. 61 f. des Schreibens vom 29. April 2021, S. 19 f.) und Stellungnahme vom 3. September 2021, S. 9. 68 Vgl. Antwort zur Frage 10 (Ziff. 48 des Schreibens vom 29. April 2021, S. 15) und Antwort zur Frage 1 (Ziff. 2 der Stellungnahme vom 3. September 2021, S. 1 f.). 69 Vgl. Antwort zur Frage 24.2 (Ziff. 70 des Schreibens vom 29. April 2021, S. 22).
01 S
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch
2.2.5. Löschung von nicht mehr gebrauchten Daten (ohne das Mitwirken der Kunden) 72. Zur Löschung von Personendaten ohne das Mitwirken der Kunden durch Einreichen eines Löschungsbegehrens wird unter Ziff. 2 der Datenschutzerklärung Folgendes aufgeführt: 2. Wie lange bewahren wir Daten auf? Wir behalten Ihre Personendaten so lange auf, wie wir dies zur Einhaltung der geltenden Gesetze als notwendig oder angemessen erachten oder so lange sie für die Zwecke, für die sie gesammelt wurden notwendig sind. Wir löschen Ihre Personendaten, sobald diese nicht mehr benötigt werden und auf jeden Fall nach Ablauf der gesetzlich vorgeschriebenen maximalen Aufbewahrungsfrist. 73. Dabei stellte sich die Frage, für wie lange die Digitec Galaxus AG die Daten, die für die verschiedene Bearbeitungszwecke erhoben worden sind, als erforderlich betrachtet und mithin aufbewahrt. Die Digitec Galaxus AG hat in diesem Zusammenhang festgehalten, dass sie alle Personendaten der Kunden während einer laufenden Kundenbeziehung (d.h. solange das Kundenkonto aktiv ist) aufbewahrt, es sei denn der Kunde die Löschung seiner Daten ausdrücklich verlangt.70 3. Datenschutzrechtliche Beurteilung 74. Nachfolgend werden auf der Basis des verbindlich festgestellten Sachverhalts diejenigen Aspekte behandelt, deren Datenschutzkonformität in Rahmen dieser Sachverhaltsabklärung zu prüfen waren. 3.1. Bearbeitung von Personendaten 75. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz ist auf das Bearbeiten von Personendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Als «Personendaten» im Sinne von Art. 3 lit. a DSG gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Liegen keine Personendaten vor, kommt das DSG nicht zur Anwendung. Werden Personendaten bearbeitet, müssen die Vorgaben des DSG beachtet werden. Das nDSG sieht diesbezüglich keine Änderungen vor, abgesehen davon, dass unter Personen neu nur noch natürliche Personen verstanden werden. 76. Gemäss den AGB der Digitec Galaxus AG gilt für die Bearbeitung von Personendaten ihre Datenschutzerklärung. Alle Datenbearbeitungen, welche in der Datenschutzerklärung umschrieben werden, können also prinzipiell als Bearbeitungen von Personendaten verstanden werden. 77. Allerdings bestreitet die Digitec Galaxus AG, dass gewisse Daten, die sie bearbeiten, einen Personenbezug aufweisen. Dies sind die Daten, welche sie mittels Cookies und andere Trackingmechanismen erhebt und bei der Nutzung des zur Bearbeitung übermittelt. Ausserdem wird die Nutzung des in der Datenschutzerklärung nicht ausdrücklich erwähnt, was darauf hindeuten könnte, dass die Digitec Galaxus AG die Hashwerte der E-Mail-Adressen der Kunden, die sie bei hochlädt, nicht als Personendaten betrachtet. Nachfolgend wird deshalb geprüft, ob diese Daten dennoch als «Personendaten» im Sinne des DSG gelten.
70 Vgl. Antwort zur Frage 25 (Ziff. 71 des Schreibens vom 29. April 2021, S. 23).
24/39
78. Personendaten müssen einen Personenbezug aufweisen. Konkret muss die Person, auf welche sich die Angaben beziehen, bestimmt oder bestimmbar sein: Eine Person ist bestimmt, wenn sich bereits aufgrund der Informationen selbst eindeutig ergibt, auf welche Person sie sich beziehen. Bestimmbar ist die Person hingegen, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aber aus den Umständen, das heisst dem Kontext einer Information auf sie geschlossen werden kann (Botschaft DSG, BBl 1988 II 413, S. 444). 79. Zur Annahme der Bestimmbarkeit genügt nicht jede theoretische Möglichkeit der Identifizierung. Die Antwort hängt vom konkreten Fall ab, wobei das Interesse, die Mittel des Interessenten sowie insbesondere die Möglichkeiten der Technik mitzuberücksichtigen sind. Muss nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden, dass ein Interessent, sei es der Datenbearbeiter oder ein Dritter, den Identifizierungsaufwand auf sich nehmen wird, dann liegt in der Regel keine Bestimmbarkeit vor (BBl 1988 II 444 f. Ziff. 221.1; BELSER, a.a.O., N. 6 zu Art. 3 DSG; ROSENTHAL, a.a.O., N. 24 f. zu Art. 3 DSG). 80. Zur Annahme der Bestimmtheit einer Person im Sinne des DSG spielt es weder eine grosse Rolle, wie gross der Aufwand ist, um die Person hinter einem Identifikator zu identifizieren, noch, ob sich der Datenbearbeiter diesen Mühen unterziehen will oder kann, wenn ein eindeutiger Bezug zwischen den Daten und der Person vorliegt. Denn selbst wenn der Datenbearbeiter nicht imstande wäre, einer Angabe den Namen einer Person zuzuordnen, liegt gleichwohl Bestimmbarkeit der Angaben im Sinne des DSG vor, wenn ein eindeutiger Bezug zwischen den Daten und der Person vorliegt. In diesem Sinne hielt die ehemalige Eidgenössische Datenschutzkommission (nachfolgend «EDSK») beispielsweise fest, dass, auch wenn E-Mails lediglich aus Zahlenfolgen oder Phantasiebezeichnungen bestehen, eine eindeutige Koppelung zwischen den Personen und diesen Daten vorliegt, sofern sie eindeutig zu einer Person gehören. Die EDSK stellte in Bezug auf E-Mail- Adressen fest, dass sich Personen die Mühe machen, im Internet E-Mail-Adressen zu sammeln, deren Halter sie nicht identifizieren können, weil sie damit rechnen können, dass die an aktive Adressen versandte E-Mail-Werbung ankommt und von den Empfängern zur Kenntnis genommen wird. «Dabei entsteht die Chance, dass sie auf einen potenziellen Kunden für die feilgehaltenen Produkte oder Dienstleistungen trifft. […] Demnach sind E-Mail-Adressen - unabhängig davon, ob es sich um Phantasiebezeichnungen handelt oder nicht - Personendaten im Sinne von Art. 3 Abs. 1 Bst. a DSG.» (Urteil der EDSK vom 15. April 2005, VPB 69.106, E. 2.4). 81. In Hinblick auf das Risiko einer Re-Identifizierung von Daten, die bearbeitet wurden, um die Identität der betroffenen Person zu verschleiern, stellt «Identifizierung» nicht nur auf die Möglichkeit ab, Namen und/oder Adressen betroffener Personen zu ermitteln, sondern auch auf eine potenzielle Identifizierbarkeit durch Herausgreifen, Verknüpfung und Inferenz. Von einer Anonymisierung der Daten kann man ausgehen, wenn keine Partei in der Lage ist, eine Person aus einem Datenbestand herauszugreifen, eine Verbindung zwischen zwei Datensätzen eines Datenbestands (oder zwischen zwei unabhängigen Datenbeständen) herzustellen oder durch Inferenz Informationen aus einem solchen Datenbestand abzuleiten. Wenn andererseits immer noch die Möglichkeit einer Re-Identifizierung der Daten durch Herausgreifen, Verknüpfung und Inferenz besteht, spricht man von pseudonymisierten Daten. Pseudonymisierten Daten stellen insofern Personendaten nach Art. 3 lit. a DSG dar, als sie ohne unangemessenen Aufwand re-identifiziert werden können (vgl. BLECHTA, a.a.O., N. 11 und 12 zu Art. 3 DSG). 3.1.1. Daten im Zusammenhang mit 82. Vorab ist festzuhalten, dass die Datenbearbeitung im Zusammenhang mit nicht im Fokus der vorliegenden Sachverhaltsabklärung stand. Soweit Digitec Galaxus AG angibt, dass sie neben einem Auftragsdatenbearbeitungsvertrag einen zusätzlichen Vertrag über die Bearbeitung in gemeinsamer Verantwortung mit abgeschlossen habe, wird dieser Aspekt des Sachverhalts und die grundsätzliche Rechtmässigkeit des darauf beruhenden Einsatzes von deshalb nicht näher geprüft. Zur Frage der erkennbaren Ausweisung des Einsatzes von s. Kap. 3.2.2.3.
25/39
83. In den -Hilfen erläutert , dass Nutzungsdaten, welche mit erhoben und ausgewertet werden, keine «personenidentifizierbaren Informationen» seien. Die Definition von von «personenidentifizierbaren Informationen» stimmt allerdings nicht mit dem Begriff von Personendaten nach Art. 3 lit. a DSG überein. Für gelten Angaben als «personenidentifizierbare Informationen», wenn allein durch diese eine natürliche Person direkt identifiziert, kontaktiert oder genau geortet werden kann. betrachtet beispielsweise die folgenden Angaben nicht als Personendaten: Pseudonyme Cookie-ID; Pseudonyme Werbe-ID; IP-Adresse; sowie sonstige pseudonyme Endnutzerkennungen, weist allerdings darauf hin, dass
. Vor diesem Hintergrund soll die Einstufung durch von Daten als nicht-personenidentifizierbare Informationen nicht als Synonym von Nicht-Personendaten verstanden werden. 84. Unabhängig von der Definition von macht die Digitec Galaxus AG geltend, dass sie diese Daten nicht als Personendaten betrachtet. Dies begründet sie damit, dass sie keine realistische Möglichkeit hat, die Personen hinter den Angaben zu identifizieren bzw. diese einer bestimmten Person zuzuordnen, ausser wenn sich diese Personen als Nutzer bei Digitec Galaxus AG registrieren und einloggen. Was die Nutzung von anbelangt, verwendet die Digitec Galaxus AG diese Argumentation um festzuhalten, dass die Daten, welche bearbeitet, auch nicht als Personendaten gelten. 85. Unter Berücksichtigung der oben genannten Definition von Personendaten können Daten, die mit einer eindeutigen Kennung des Endnutzers verbunden sind, als Personendaten betrachtet werden. Gemäss unserer Analyse werden die Daten, welche mittels bearbeitet werden, verknüpft mit einer Client-ID an übermittelt. Die Client-ID ist eine einzigartige Kennung, welche unter anderem aus einer Kombination von Informationen über den Browser und das Endgerät generiert wird und erlaubt, dass ein Nutzer über mehrere Sessions erkannt wird, sofern er denselben Browser und dasselbe Endgerät verwendet. Da Digitec Galaxus AG die Client-ID nicht , erhält die Clint-ID einen noch stärkeren persönlicheren Charakter, weil die Nutzungsdaten trotz Löschung der Cookies weiterhin mit dieser eindeutigen Kennung verknüpft werden können. Da sich die Nutzer der Webshops anmelden müssen, um Produkte zu bestellen, erfolgt ausserdem eine Identifizierung durch Digitec Galaxus AG der Person, auf die sich die Nutzerdaten beziehen. Diese sind von Anfang an als Personendaten zu betrachten, weil sie einen eindeutigen Bezug zu dem entsprechenden Nutzer oder der entsprechenden Nutzerin des Endgeräts/Browsers haben. Somit handelt es sich bei Nutzungsdaten und sonstigen gerätespezifischen Daten, die einer bestimmten Nutzerin oder Nutzer zugeordnet werden können, um Personendaten i.S.d. DSG. 3.1.2. Daten im Zusammenhang mit 86. Die Digitec Galaxus AG lädt eine Liste mit gehashten E-Mail-Adressen bei hoch, damit diese die Dienstleistungen im Zusammenhang mit der Erstellung von Kundenlisten für Werbungkampagnen bereitstellen kann. Die Digitec Galaxus AG hat nicht ausdrücklich bestritten, dass es sich bei den gehashten E-Mail-Adressen nicht um Personendaten handelt, sondern nur festgehalten, dass diese vor einer Übermittlung an pseudonymisiert werden. Die Verwandlung von Textdaten auf Hashwerten kann unter Umständen genügen, um die Geltung des DSG auszuschliessen. Dies ist allerdings nicht der Fall, wenn die Möglichkeit einer Re-Identifizierung der Daten ohne unverhältnismässig grossen Aufwand besteht. 87. Vorliegend wird das Hashverfahren SHA-256 verwendet, um E-Mail-Adressen von Kunden auf Hashwerte umzuwandeln. erhält lediglich Hashwerte, kann aber durchaus aus den Hashwerten Rückschlüsse auf konkrete Nutzer ziehen. Da jeder und Nutzerin eine E-Mail-Adresse bei registriert hat und gleiche Werte immer identische Hashwerte generieren, kann dem durch Digitec Galaxus AG übermittelten Hashwert eine E-Mail-Adresse zuordnen, die registriert ist, wenn diese mit Hashwerten, die aus registrierten E-Mail-Adressen selbst berechnet, vergleicht. So kann feststellen, welche auch Kunden der Digitec Galaxus AG sind. Somit sind diese Hashwerte Personendaten i.S.d. DSG.
26/39
3.1.3. Bearbeitung von Persönlichkeitsprofilen 88. Persönlichkeitsprofile werden in Art. 3 lit. d DSG als «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt» definiert. Gemäss Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Auch Datensammlungen über das Konsumverhalten sind geeignet, mindestens ein Teilbild der betroffenen Personen zu ergeben. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt (BBl II 1988 413, S. 446 f.). Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, indem sie eine Entwicklung, einen Werdegang der betroffenen Person aufzeigen, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme darstellen. Eine Darstellung der Gesamtpersönlichkeit ist nicht erforderlich. Es genügt, wenn aus wichtigen Eigenschafts- und Verhaltensaspekten ein Persönlichkeitsbild erstellt werden kann. Ein Beispiel einer möglichen Bearbeitung von Persönlichkeitsprofilen ist die Aufzeichnung von Kundengewohnheiten und -präferenzen, der personalisierten Auswertung von Kreditkartentransaktionen, etc. (BVGer A-4232/2015 vom 18. April 2017, E. 5.2.1). Gemäss dem Leiturteil des Bundesverwaltungsgerichts zum Persönlichkeitsprofil in Sachen Moneyhouse können sich auch an sich harmlose, der Öffentlichkeitssphäre zurechenbare Informationen zu einem Persönlichkeitsprofil verdichten (BVGer A-4232/2015 vom 18. April 2017). Für die Frage, ob eine Zusammenstellung mehrerer Daten einer bestimmten Person ein Persönlichkeitsprofil ergibt, kommt es zum einen auf die Menge und den Inhalt der personenbezogenen Informationen an, mit anderen Worten, ob und inwiefern diese Werturteile über die betroffene Person erlauben. 89. Die Digitec Galaxus AG analysiert das Verhalten ihrer Kunden. Durch erkennt, klassifiziert und analysiert die Digitec Galaxus AG aktuelle und potentielle Kundenbedürfnisse, Kundeninteressen sowie das Kundenpotential. Die Personalisierung erfolgt auf der Grundlage von Daten über das Kundenverhalten
welche im Nutzerkonto erfasst sind. 90. Durch die Kundenverhaltensanalyse werden Kundengewohnheiten und -präferenzen aufgezeichnet und dahingehend ausgewertet, dass bspw. eine Personalisierung des Sortiments im Onlineshop ermöglicht wird. Personendaten werden über einen längeren Zeitraum zusammengetragen und damit eine Entwicklung der Person aufgezeigt. Folglich führt die Bearbeitung durch die Digitec Galaxus AG zu einer Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit ihrer Kunden erlaubt und somit zu Persönlichkeitsprofilen führt. 91. Im nDSG wurde die Begrifflichkeit des «Persönlichkeitsprofils» durch die Begrifflichkeit des «Profilings» ersetzt. Gemäss Art. 5 lit. f umfasst die Bearbeitungsform des Profilings «jede Art der automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen». 92. Im Rahmen der parlamentarischen Arbeiten hat der Gesetzgeber von 2020 das «Profiling» in lit. g. von Art. 5 nDSG durch die qualifizierte Bearbeitungsform des «Profilings mit hohem Risiko» ergänzt, welche in der Vorlage des Bundesrats noch nicht vorgesehen war. Dabei handelt es sich um ein «Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.» Es ist augenscheinlich, dass sich der Gesetzgeber von 2020 mit dieser Formulierung an die Definition des altrechtlichen «Persönlichkeitsprofils» angelehnt hat und dieses weitgehend übernimmt (so RUDIN, in: Baeriswyl/Pärli/Blonski (Hrsg.), Stämpflis Handkommentar um DSG, 2. Aufl. Art. 5 N 52).
27/39
Obwohl beide Begrifflichkeiten eine automatisierte Form der Bearbeitung voraussetzen, ist deren Bedeutung nicht deckungsgleich. Während es sich beim altrechtlichen Persönlichkeitsprofil um das Ergebnis einer Datenbearbeitung handelt, bezeichnet «Profiling» eine besondere Form der Bearbeitung. Aus dem logischen Zusammenhang zwischen dem Resultat und der Form einer Bearbeitung wiederum lässt sich in Anlehnung an die einschlägige Lehre ableiten, dass automatisierte Bearbeitungen, die im Ergebnis zu einem altrechtlichen «Persönlichkeitsprofil» führen, das eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlaubt, im Regelfall auch die Qualifikationsmerkmale des «Profilings mit hohem Risiko» erfüllen (in diesem Sinne STENGEL/LO- DERER unter Berufung auf Daniel Rosenthal u.a., in: Bieri/Powell (Hrsg.), Kommentar DSG, Ausg. 2023 Art. 5 N 16 f.). 93. Wie oben dargelegt, lassen die von der Digitec Galaxus AG bearbeiteten Persönlichkeitsprofile eine Beurteilung wesentlicher Persönlichkeitsaspekte zu, wie sie auch für das «Profiling mit hohem Risiko» nach neuem Recht kennzeichnend ist. Ob im konkreten Fall denn auch von einem solchen «Profiling mit hohem Risiko» auszugehen ist, kann der EDÖB indessen offenlassen, da sich die vorliegende Sachverhaltsabklärung nach altem Recht beurteilt. 3.2. Transparenz und Informationspflicht 3.2.1. Grundsätze nach Art. 4 Abs. 3 und 4 sowie Art. 14 DSG 94. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar. 95. Personendaten dürfen nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Ergänzt wird der Zweckbindungsgrundsatz vom Grundsatz der Erkennbarkeit in Art. 4 Abs. 4 DSG, wonach die Beschaffung von Personendaten und insbesondere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein muss. Sinn und Zweck dieser Norm ist, den betroffenen Personen zu ermöglichen, bewusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. In diesem Sinne müssen die Informationen, die bereitgestellt werden, umfassend, korrekt und für den Nutzer eindeutig und klar sein. 96. Wenn die Datenbearbeitungen nicht präzis genug bestimmt oder nicht in einer klaren und eindeutigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführten Datenbearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz […] verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 lit. b DSG), ebenfalls eine neue Dimension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die betroffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingungen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die Information der betroffenen Person bilden somit den eigentlichen Eckpfeiler des ganzen Datenschutzsystems» (BBl 2003 2101, S. 2126). 97. Dazu sollen die Informationen und deren Bereitstellung aus der Perspektive einer zum Zielpublikum gehörenden, verständigen Durchschnittsperson nach Treu und Glauben hinreichend sein, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. Vor diesem Hintergrund sind die Informationen, welche der Inhaber oder die Inhaberin der Datensammlung in einer konkreten Situation der betroffenen Person erteilen muss, nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG). 98. Das DSG kennt neben dem Transparenzgebot des Art. 4 Abs. 4 DSG auch eine Informationspflicht des Verantwortlichen beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen: Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren (vgl. Art. 14 Abs. 1 DSG).
28/39
99. Die Informationspflicht nach Art. 14 DSG setzt voraus, dass die Information ausdrücklich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforderlich sind, insbesondere die Identität des Inhabers der Datensammlung, den Zweck des Bearbeitens und die Kategorien allfälliger Datenempfänger. 100. Folgende Anforderungen müssen erfüllt werden, um den Transparenzgrundsatz einzuhalten: 1) Die Erhebung von Personendaten muss erkennbar sein und dabei muss es der betroffenen Person klar sein, wofür welche Daten über sie bearbeitet werden; 2) wenn dies aus den Umständen nicht ersichtlich ist, müssen die Bearbeitungszwecke und Rahmenbedingungen durch den Verantwortlichen in Form einer Information angegeben werden; 3) die Angemessenheit der Informationen wird daran gemessen, ob eine betroffene Person auf Grundlage dieser eine bewusste Entscheidung über ihr Recht auf informationelle Selbstbestimmung treffen kann (z.B. ihre Einwilligung geben). In diesem Sinne müssen die Informationen, die bereitgestellt werden, umfassend, korrekt und für den Nutzer oder die Nutzerin eindeutig und klar sein. 101. Das nDSG geht indes weiter, indem es die Verantwortlichen verpflichtet, die Betroffenen angemessen über die Beschaffung von Personendaten zu informieren, auch dann, wenn die Daten nicht bei der betroffenen Person beschafft werden (vgl. Art. 19 nDSG). Die Verantwortlichen haben bei der Beschaffung den betroffenen Personen diejenigen Informationen mitzuteilen, die erforderlich sind, damit sie ihre Rechte nach dem nDSG geltend machen können und eine transparente Datenbearbeitung gewährleistet ist (vgl. Art. 19 Abs. 2 nDSG). 3.2.2. Erkennbarkeit 3.2.2.1. Erkennbarkeit der Datenerhebung 102. Vorliegend werden Nutzerinnen und Nutzer in Form einer Datenschutzerklärung auf der Webseite über die Bearbeitung ihrer Personendaten wie bspw. über den Zweck der Datenbearbeitung, die Bekanntgabe der Personendaten an Dritte u.v.m. informiert (vgl. Ziff. 2.1.2.). Nutzerinnen und Nutzer kreuzen bei der Registrierung das Kontrollkästchen neben der Aussage «Ja, ich stimme der in der Datenschutzerklärung umschriebenen Bearbeitung sämtlicher meiner Personendaten zu. Dies umfasst die Bearbeitung sämtlicher meiner Personendaten, insbesondere zum Zweck der Analyse des Kundenverhaltens und des Direktmarketings durch alle Unternehmen der Migros-Gruppe» an (vgl. Ziff. 19). 103. Dass bei der Registrierung aufgefordert wird, durch das Ankreuzen Kenntnis von der Datenschutzerklärung zu nehmen, kann als Zeichen einer aktiven Information angesehen werden, was mit Blick auf Art. 14 DSG zu begrüssen ist. Die Information wird folglich durch die Digitec Galaxus AG ausdrücklich bereitgestellt. 104. Die Einhaltung des Transparenzgebots und der Informationspflicht gemäss Art. 14 DSG kann allerdings nur abschliessend bejaht werden, wenn die Informationen, die durch den Verantwortlichen geliefert werden, auch angemessen sind. Insbesondere müsste ersichtlich sein, welche Daten für welche Zwecke und unter welchen Bedingungen bearbeitet werden. In Bezug auf Persönlichkeitsprofile müsste ausserdem ausgeführt werden, ob und inwieweit diese durch wen für welche Zwecke bearbeitet werden und ob eine Datenbekanntgabe an Dritte stattfindet.
29/39
3.2.2.2. Erkennbarkeit der Bearbeitungszwecke und der Rahmenbedingungen der Datenbearbeitung 105. Das Zweckbindungsprinzip will die Bearbeitung von Personendaten kontrollieren, indem es den Verantwortlichen dazu zwingt, im Vornherein zu definieren, in welchem Kontextraum er die Personendaten verwenden will. Wenn der Verantwortliche klar macht, zu welchen Zwecken er die Daten erhebt, stabilisiert er die Erwartungen der betroffenen Person und reduziert Informationsasymmetrien (GEORGE DAMIAN, Prinzipien und Rechtmässigkeitsbedingungen im privaten Datenschutzrecht, Kritische Betrachtungen zu Geschichte und Gegenwart eines Schutzkonzepts in der Schweiz und der Europäischen Union, Zürich - Basel - Genf 2021, S. 286). 106. Nach Ziff. 15.3 der AGB gilt für die Bearbeitung von Personendaten durch die Digitec Galaxus AG die Datenschutzerklärung. Unter Ziff. 8 der Datenschutzerklärung («Warum bearbeiten wir Personendaten?») werden verschiedene Zwecke angegeben, für welche Personendaten bearbeitet werden. Diese sind in fünf Kategorien unterteilt: Bearbeitungszwecke im Zusammenhang mit ihren Waren und Dienstleistungsangeboten, mit der Kundenkommunikation, mit besonderen Aktivitäten und Anlässen, mit der Analyse des Kundenverhaltens und mit Direktmarketing. Gemäss Ziff. 9 der Datenschutzerklärung kann die Digitec Galaxus AG Personendaten für die genannten Zwecke an andere Unternehmen der Migros-Gruppe weitergeben, die sie «im eigenen Interesse für die gleichen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere individualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitäten. Unter Ziff. 7 der Datenschutzerklärung («Welche Personendaten sammeln wir?») wird in einer Aufzählung präzisiert, welche Daten bearbeitet werden. Unterschieden wird zwischen «Daten zur Person» und «Daten zur Kundenaktivität». 107. Vorliegend umschreibt die Digitec Galaxus AG zwar die Zwecke, die gesammelten Personendaten und an wen diese bekanntgegeben werden, allerdings ist nicht ersichtlich, welche Personendaten konkret zu welchen Zwecken bearbeitet und welche Personendaten konkret an welche Unternehmen weitergegeben werden. Ziff. 7 der Datenschutzerklärung erweckt den Anschein, als würden sämtliche dort aufgelisteten Daten für sämtliche Zwecke verwendet und damit an sämtliche in Ziff. 9 umschriebenen Dritten bekanntgegeben werden. Für betroffene Personen muss jedoch ersichtlich sein, welche Personendaten konkret zu welchen Zwecken bearbeitet werden. Ist dies für die betroffene Person nicht klar, kann sie keine bewussten Entscheidungen über ihr informationelles Selbstbestimmungsrecht treffen. Ausserdem ist es bspw. nicht möglich, die Erforderlichkeit eines Eingriffs zu beurteilen oder die Einhaltung der Grundsätze der Speicherbegrenzung und der Datenrichtigkeit. 108. In diesem Sinne sind die Informationen, die bereitgestellt werden, für den Nutzer oder die Nutzerin nicht eindeutig und klar. Sie erlaubt es den betroffenen Personen nicht, sich einen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Verantwortliche haben in ihrer Datenschutzerklärung klar und erkennbar zu umschreiben, welche Personendaten zu welchem Zweck bearbeitet und an wen diese weitergegeben werden. Folglich erachten wir die Informationen in der Datenschutzrichtlinie als ungenügend hinsichtlich des Transparenzgebots nach Art. 4 Abs. 4 DSG. 3.2.2.3. Erkennbarkeit der Bearbeitung im Rahmen von und
109. Die Digitec Galaxus AG beschreibt in Ziff. 12 der Datenschutzerklärung, wie sie Web Analyse- Tools verwenden. Sie verweist darauf, dass je nach Anbieter eines Web Analyse-Tools die Server im Ausland stehen können. Es wird einzig auf das , marginal eingegangen.
30/39
110. In Kap. 3.1.1. und 3.1.2 wurde festgehalten, dass es sich im Rahmen von bei Nutzungsdaten und sonstigen gerätespezifischen Daten, die bestimmten Nutzerinnen oder Nutzern zugeordnet werden können und im Rahmen von bei Hashwerten um Personendaten i.S.d. DSG handelt. Die Datenschutzerklärung liefert keine Informationen über Damit wird der Grundsatz der Transparenz verletzt. 111. In Bezug auf die Nutzung von wird lediglich der Zweck der Webseite Optimierung genannt. Wir stellen aber fest, dass Tracking ebenfalls für die Bearbeitung von Persönlichkeitsprofile im Zusammenhang mit Werbung und Marketing eingesetzt wird. Die Aussage aus der Datenschutzerklärung «Die im Rahmen von von Ihrem Browser übermittelte IP-Adresse wird nicht mit anderen Daten von zusammengeführt.» trifft nicht zu. Wenn in Apps oder auf Webseiten zusammen mit anderen produkten wie implementiert wird, werden die Daten mit Werbe-IDs erfasst und mit anderen Daten zusammengeführt. Dies findet auf der Webseite von Digitec statt (siehe Rz. 50). 3.2.2.4. Erkennbarkeit der Bearbeitung von Persönlichkeitsprofilen 112. Die Digitec Galaxus AG bearbeitet über Digitec und Galaxus Persönlichkeitsprofile (siehe Kap. 3.1.3). Somit untersteht die Digitec Galaxus AG der Informationspflicht nach Art. 14 DSG. 113. Ziff. 7 der Datenschutzerklärung beschreibt mittels Aufzählung, welche Personendaten gesammelt werden. Für die betroffenen Personen ist nicht ersichtlich, dass überhaupt und insbesondere zu welchen Zwecken Persönlichkeitsprofile bearbeitet werden. Eine konkrete Information im Sinne von Art. 14 DSG liegt damit nicht vor. In Ziff. 8.4 werden die Bearbeitungszwecke im Zusammenhang mit der Analyse des Kundenverhaltens beschrieben. Fraglich ist hierbei, inwiefern ein Bearbeitungsvorgang einen Bearbeitungszweck darstellen kann. Aus der Aufzählung ist ersichtlich, dass die Analyse zur Optimierung der Standorte und des Produktangebots in den Filialen und der Kundenbedürfnisse dienen soll. Letztendlich dient die Kundenverhaltensanalyse der Absatzsteigerung, in dem den betroffenen Personen individualisierte bzw. auf ihre Interessen zugeschnittene Angebote unterbreitet werden können. Auch hier fehlt es an Transparenz für die betroffenen Personen. Es ist nicht klar ersichtlich, zu welchem Zweck eine Kundenverhaltensanalyse erfolgt und welche Daten in diesem Zusammenhang bearbeitet werden. Folglich verletzt die Digitec Galaxus AG ihre Informationspflicht nach Art. 14 DSG. 114. Ziff. 9 der Datenschutzerklärung beschreibt, an wen die Digitec Galaxus AG Personendaten weitergibt. Gemäss Datenschutzerklärung kann sie Personendaten der Nutzerinnen und Nutzer an andere Unternehmen der Migros-Gruppe weitergeben, die sie «im eigenen Interesse für die gleichen Zwecke benutzen» können, wie diejenigen der Digitec Galaxus AG. Also insbesondere individualisierte und personalisierte Analysen des Kundenverhaltens und für Direktmarketing-Aktivitäten. Gemäss Art. 12 Abs. 2 DSG darf der Verantwortliche oder die Verantwortliche nicht ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekanntgeben. Eine einzelne Bekanntgabe eines Persönlichkeitsprofils genügt; eine regelmässige Bekanntgabe ist nicht erforderlich. Die Rechtmässigkeit der Weitergabe von Persönlichkeitsprofilen an Dritte hängt vom Vorliegen eines Rechtfertigungsgrunds, z.B. der expliziten Einwilligung der betroffenen Person oder einer gesetzlichen Grundlage, ab (BVGer A-4232/2015 vom 18. April 2017, E. 5.2.1 f.). 115. Die Digitec Galaxus AG erklärt, dass sie einen Rechtfertigungsgrund prüfen würden, wenn dies der Fall wäre. Konkret wird im Kap. 3.2.3.1 auf diese Thematik eingegangen. Folglich kann davon ausgegangen werden, dass keine Bekanntgabe an Dritte erfolgt und Art. 12 Abs. 2 DSG nicht zur Anwendung kommt.
31/39
3.2.3. Umfang der Datenbearbeitung 3.2.3.1. Nicht durchgeführte Datenbearbeitungen 116. Verschiedene Datenbearbeitungen bzw. Bearbeitungszwecke, die in der Datenschutzerklärung erwähnt sind, werden gemäss der Digitec Galaxus AG im Moment nicht durchgeführt und sind auch zukünftig nicht geplant.
117. Die Digitec Galaxus AG erklärt, ihre Datenschutzerklärung absichtlich breit zu formulieren. Sie vertritt den Standpunkt, dass eine Datenschutzerklärung, welche breit formuliert ist, datenschutzfreundlicher sei, als eine Datenschutzerklärung, welche granulare Ausführungen enthält und deshalb öfter geändert werden muss. Das komme den betroffenen Personen zugute, denn dadurch sei ihnen bei der Aufnahme der Kundenbeziehung bewusst - also dann, wenn sie die Datenschutzerklärung erstmals und i.d.R. auch letztmals konsultieren -, dass eine verhältnismässig breitere Datenbearbeitung in Frage komme. 118. Eine betroffene Person vertraut nach Treu und Glauben darauf, dass die Informationen in der Datenschutzerklärung zutreffen. Wird dem Ansatz von der Digitec Galaxus AG gefolgt, können Verantwortliche eine Datenschutzerklärung verfassen, welche jegliche Datenbearbeitungen auf Vorrat miteinbeziehen. Eine Datenschutzerklärung mit Datenbearbeitungen «auf Vorrat» lässt die betroffenen Personen im Unwissen. Ihnen wäre es nicht mehr möglich, Datenbearbeitungen, die tatsächlich erfolgen, von denjenigen, die möglicherweise in Zukunft eintreten können, abzugrenzen. Die betroffenen Personen sind sich über die Datenbeschaffung und ihre wesentlichen Rahmenbedingungen nicht mehr im Klaren. Sie müssten in einem ersten Schritt vom Verantwortlichen oder der Verantwortlichen wissen, welche Datenbearbeitungen tatsächlich erfolgen und könnten erst in einem zweiten Schritt ihre Betroffenenrechte ausüben. Die betroffenen Personen dürfen nach Treu und Glauben damit rechnen, dass die Datenbearbeitungen, welche in der Datenschutzerklärung umschrieben werden, auch tatsächlich erfolgen. 119. Das Verhalten von der Digitec Galaxus AG verstösst gegen den Grundsatz von Treu und Glauben und stellt eine Verletzung des Transparenzgrundsatzes dar, die zu einer Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG führt. Wenn kein Rechtfertigungsgrund vorliegt, ist diese Persönlichkeitsverletzung widerrechtlich. 3.2.3.2. Widerspruchsrecht 120. Die Digitec Galaxus AG führt in ihrer Datenschutzerklärung unter Ziff. 3 und 4 auf, dass die Betroffenen der Bearbeitung ihrer Personendaten widersprechen können, indem sie die Digitec Galaxus AG durch die zur Verfügung gestellten Kanäle (telefonisch oder mittels Kontaktformular) kontaktieren. 121. Nach der Digitec Galaxus AG sei das Widerspruchsrecht umfassend abgedeckt, wenn die Nutzerinnen und Nutzer von der Bestellung absehen oder die Löschung ihrer Daten verlangen können (vgl. Kap. 2.2). Es gebe keine Möglichkeit, Datenbearbeitungen im Einzelnen zu widersprechen. Die Digitec Galaxus AG biete, mit Ausnahmen des Direktmarketings, keine individuellen Datenschutzeinstellungen an. Hier stützt sich die Digitec Galaxus AG auf ihren Standpunkt, dass die Datenbearbeitungen, konkret die Pflicht zur Registrierung durch ein Kundenkonto mit gekoppelter Kundenverhaltensanalyse, grundsatzkonform seien und kein Rechtfertigungsgrund notwendig sei.
32/39
122. Bereits unter Kapitel 3.2.3.1. wurde festgehalten, dass eine betroffene Person nach Treu und Glauben darauf vertraut, dass die Informationen in der Datenschutzerklärung zutreffen. Die betroffenen Personen dürfen damit rechnen, dass die Datenbearbeitungen, welche in der Datenschutzerklärung umschrieben werden, auch tatsächlich erfolgen sowie ihre Betroffenenrechte grundsätzlich auch geltend gemacht werden können. 123. In diesem Sinne liegt eine mit dem Grundsatz von Treu und Glauben unvereinbare Situation vor, wenn die Digitec Galaxus AG erklärt, dass das Widerspruchsrecht ihrer Nutzerinnen und Nutzer umfassend abgedeckt wird, wenn sie von der Bestellung absehen oder die Löschung seiner Kundendaten verlangen können. Diese Lösungen entsprechen weder den berechtigten Erwartungen, die entstehen, wenn eine Person die Datenschutzerklärung liest, noch sind sie mit den geltenden datenschutzrechtlichen Bestimmungen vereinbar. Somit können die Personen erwarten, dass sie gewissen Datenbearbeitungen nach der Registrierung widersprechen können. Ausserdem haben die Nutzerinnen und Nutzer gestützt auf Art. 12 Abs. 2 lit. b DSG ein gesetzlich garantiertes Widerspruchsrecht, wonach ein Datenbearbeiter ohne Rechtfertigungsgrund keine Personendaten einer Person gegen deren ausdrücklichen Willen bearbeiten darf. 124. Wenn Nutzerinnen oder Nutzer ein Widerspruchsbegehren beim Kundendienst einreichen und kein Rechtfertigungsgrund für die Weiterbearbeitung der Daten vorliegt, müssen die fraglichen Datenbearbeitungen eingestellt werden. Bearbeitungen gegen den ausdrücklichen Willen der betroffenen Person und ohne Rechtfertigungsgrund stellen eine Persönlichkeitsverletzung dar. Wird die betroffene Person diese Datenbearbeitungen hinnehmen müssen, um eine Bestellung abzugeben, wenn sie für diesen Zweck nicht notwendig sind und kein Rechtfertigungsgrund für deren Durchführung vorliegt, wird sie in ihrer Persönlichkeit widerrechtlich verletzt. Sofern sich die Digitec Galaxus AG auf ein überwiegendes privates Interesse nach Art. 13 DSG stützen will, so hat sie dies im Rahmen der Ablehnung des Widerspruchsrechts zu begründen. Die Aussagen, wonach die Datenbearbeitungen grundsatzkonform seien und dass das Widerspruchsrecht umfassend abgedeckt sei, wenn die Nutzerinnen und Nutzer von der Bestellung absehen oder die Löschung ihrer Daten verlangen können, treffen deshalb nicht zu. 3.3. Grundsatz der Verhältnismässigkeit 3.3.1. Grundsatz nach Art. 4 Abs. 2 DSG 125. Gemäss Art. 4 Abs. 3 DSG dürfen Personendaten nur zu dem Zweck bearbeitet werden, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist. Dabei ist nicht auszuschliessen, dass eine Datenbearbeitung für mehrere Zwecke erfolgen kann. Werden Daten für mehrere Zwecke bearbeitet, muss für jeden einzelnen Zweck geprüft werden, ob die Datenbearbeitung den datenschutzrechtlichen Grundsätzen, insbesondere dem Grundsatz der Verhältnismässigkeit, entspricht. Denn je nach Zweck kann die rechtliche Beurteilung unterschiedlich ausfallen. 126. Nach Art. 4 Abs. 2 DSG muss die Bearbeitung der Personendaten verhältnismässig sein. Dies verlangt, dass Personendaten nur soweit bearbeitet werden dürfen, als dies für einen bestimmten Zweck objektiv geeignet und tatsächlich erforderlich ist. Der Verhältnismässigkeitsgrundsatz verlangt weiter, dass die Datenbearbeitung für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar ist, d.h., in einem vernünftigen Verhältnis zum Eingriff in die Grundrechte, insb. das Recht auf informationelle Selbstbestimmung, steht (verhältnismässig i.e.S.). Erforderlich ist eine vernünftige Zweck-Mittel-Relation. Eine Datenbearbeitung ist unverhältnismässig, wenn das Ziel mit einem weniger schweren Eingriff in die Persönlichkeit erreicht werden kann (vgl. BGE 133 I 77 E. 4.1, S. 81). Ausdruck des Verhältnismässigkeitsprinzips ist das Gebot der Datenminimierung, wonach nur diejenigen Daten beschafft und bearbeitet werden dürfen, die für einen Zweck auch tatsächlich benötigt werden.
33/39
127. Die Rechtsprechung des Bundesverwaltungsgerichts i.S. Google Street View (BVerG A-7040/2009 30.03.2011, E. 8.2.3) und des Bundesgerichts i.S. Video-Überwachung in einem Mieterhaus (BGE 142 III 263, E. 2.2.2) bestätigt: Wenn kein vernünftiges Verhältnis zwischen dem Bearbeitungszweck und der Persönlichkeitsbeeinträchtigung besteht, weil bspw. das gewählte Mittel einen erheblichen Eingriff in der Persönlichkeit der betroffenen Person darstellt, stellt die Datenbearbeitung eine Persönlichkeitsverletzung im Sinne von Art. 12 Abs. 2 lit. a DSG dar (BVerG A-4232/2015 vom 18.04.2017, E. 5.2.1). 128. Vorliegend ist zu prüfen, ob die Verpflichtung zur Errichtung eines Kundenkontos und Koppelung einer Kundenverhaltensanalyse verhältnismässig ist. 129. Der Bestellverlauf bzw. die Teilnahme an der «Community» ist wie folgt gestaltet: Nutzerinnen und Nutzer, die ein Produkt kaufen möchten und Teil der «Community» sein wollen, müssen sich auf Digitec und Galaxus mit einem Kundenkonto registrieren. Die von den betroffenen Personen bei der Registrierung angegebenen Personendaten werden als Datensatz einem Kundenkonto zugeordnet. Erst durch das Kundenkonto wird ein Persönlichkeitsprofil erstellt. 3.3.2. Kundenkonto und Kundenverhaltensanalyse im Rahmen der «Kernleistung» 130. Die Digitec Galaxus AG betreibt primär einen Onlineshop, welcher die sog. «Kernleistung» des Unternehmens darstellt. Dies wird in Ziff. 8.1. der Datenschutzerklärung zum Ausdruck gebracht, wonach verschiedene Zwecke im Zusammenhang mit den Waren aufgezählt werden wie bspw. die Bereitstellung und der Verkauf von Waren, die Abwicklung von Bestellungen und Verträgen, etc. Der Grundsatz der Verhältnismässigkeit bzw. der Datenminimierung gilt auch bei der Gestaltung des Bestellverlaufs. Eine Datenbearbeitung hat zu unterbleiben, wenn eine gleich geeignete, aber mildere Massnahme für den angestrebten Erfolg ausreichen würde. Das Gebot der Erforderlichkeit einer Massn