Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) kam nach einer umfangreichen Untersuchung zum Schluss, dass Digitec Galaxus AG bei den Kundendatenbearbeitungen die Grundsätze im Datenschutz zu Transparenz und Verhältnismässigkeit verletzt. Die Hintergründe und unsere Einschätzung finden Sie im nachfolgenden Beitrag.
I. Ausgangslage
Der EDÖB wurde im März 2020 durch eine betroffene Person darauf aufmerksam gemacht, dass es bei Digitec Galaxus AG im Rahmen des Bestellprozesses nur möglich sei, sämtlichen Datenbearbeitungen zuzustimmen. In der Datenschutzerklärung von Digitec Galaxus AG steht insbesondere geschrieben, dass Personendaten erfasst werden, um das Kaufverhalten in individualisierter und personenbezogener Form aufzuzeichnen und auszuwerten. Die gesammelten Personendaten werden ausserdem mit Personendaten aus vergangenen Bestellungen beim Onlineshop, anderen Unternehmen der Migros-Gruppe oder öffentlich zugänglichen Personendaten verknüpft.
Nach Ansicht des EDÖB deutet dies auf die Erstellung von Persönlichkeitsprofilen bei der Kundschaft hin. Weiter hielt die Datenschutzerklärung fest, dass die Personendaten auch an anderen Unternehmen der Migros-Gruppe weitergegeben werden.
Einer Kundin, die der Weitergabe ihrer Adress- und Kreditkartendaten widersprechen wollte, teilte Digitec Galaxus AG mit, dass ihre Datenschutzerklärung für alle Kunden ausnahmslos und gleichermassen gelten würde, eine individuelle Datenschutzeinstellung könne nicht angeboten werden.
Nach dem Bekanntwerden dieser Umstände nahm der EDÖB eine umfassende Sachverhaltsabklärung vor und sprach eine Empfehlung aus.
II. Empfehlungen des EDÖB
a. Detaillierte Datenschutzerklärung
Der EDÖB verlangt von Digitec Galaxus AG, dass die Datenschutzerklärung (DATENSCHUTZERKLÄRUNG) so angepasst werden muss, dass eindeutig über die Datenbearbeitung informiert wird. Es soll für die Kundinnen und Kunden klar sein, welche Daten für welchen Zweck bearbeitet werden. Zusätzlich soll die Kundschaft auch klar über die verwendeten Web-Analyse-Tools informiert werden.
b. Erklärungen nicht auf Vorrat
Weiter empfiehlt der EDÖB, dass die DATENSCHUTZERKLÄRUNG nur die Bearbeitung von Personendaten beschreiben soll, die auch tatsächlich vorgenommen werden. Um die Transparenz gegenüber den Kunden zu erhöhen, soll nicht die Datenbearbeitung «auf Vorrat» in der DATENSCHUTZERKLÄRUNG ermöglicht werden. Das fliesst auch in das Prinzip der Zweckgebundenheit der Datenbearbeitung ein, das in Art. 6 Abs. 3 DSG vorgeschrieben wird.
c. Kundenkonto
Neben den bereits erwähnten Empfehlungen kam der EDÖB auch zum Schluss, dass es für Kundinnen und Kunden möglich sein soll, als Gast bestellen zu können und sich nicht zwangsläufig ein Kundenkonto eröffnen zu müssen. Bis jetzt hat Digitec Galaxus AG die Datenbearbeitung mit der Pflicht, ein Konto zu eröffnen, gekoppelt. Das ist nach Ansicht des EDÖB nicht verhältnismässig und verstösst gegen den Grundsatz in Art. 6 Abs. 2 DSG und die informationelle Selbstbestimmung der Kunden. Die Vorschläge zur Herstellung des rechtmässigen Zustandes seitens Digitec Galaxus AG gegenüber dem EDÖB kann zu gegebener Zeit erwartet werden. Hauptargument von Digitec Galaxus AG ist, dass sich Retouren sonst nicht bearbeiten liessen.
Dass Systemtechnisch ein Kundenstamm für die interne IT notwendig ist, ist wohl unbestritten. Dies bedeutet jedoch noch nicht, dass auch auf dem Frontend Kundendaten im Rahmen eines Kundenkontos dem Kunden ausgespielt werden muss. Dass dies zu mehr Aufwand führt für den E-Commerce ist verständlich, dürfte aber im Sinne der Kundenfreundlichkeit doch einfach zu bewerkstelligen sein.
Sobald diese Änderungsvorschläge von Digitec Galaxus AG dem EDÖB vorliegen, wird geprüft, ob und in wie weit gegen die Bearbeitung vorgegangen wird, welche Gegenstand von nicht rechtskonform umgesetzten Empfehlungen sind.
III. Stellungnahme Digitec Galaxus AG
In einer publizierten Firmenneuigkeit von Digitec Galaxus AG, geht das Unternehmen auf die Vorwürfe und Empfehlungen des EDÖB ein. Auch wenn sie klar sagen, sie widersprechen dem Ergebnis, wollen sie trotzdem den Empfehlungen Folge leisten.
Gegen die Empfehlung, die Datenschutzerklärung auszubauen und eindeutig über die Datenbearbeitung und den Zweck zu informieren, erwiderte Digitec Galaxus AG, dass während des laufenden Verfahrens eine neue DATENSCHUTZERKLÄRUNG eingeführt wurde und diese Empfehlung bereits vorweggenommen wurde.
Schaut man sich die Datenschutzerklärung von Digitec Galaxus an, ist dies u.E. noch nicht hinreichend der Fall. Es wird abzuwarten sein, wie der EDÖB dies einschätzt. Unseres Erachtens ist eine detaillierte Datenschutzerklärung erforderlich, damit Kundinnen und Kunden ihre Rechte wahren können. Werden Erklärungen «en Bloc» abgegeben, so kann der Kunde kaum identifizieren, wie er die Cookies einstellen soll, damit gewisse Analyse-Daten nicht zum Analyse-Anbieter weitergereicht werden oder ob er aufgrund der «Teilungswut» von Daten nicht besser zu einem anderen Anbieter wechselt.
Bezüglich der verlangten Erweiterung der Datenschutzerklärung behauptet Digitec Galaxus AG, dass das EDÖB mit seinen Empfehlungen zur Transparenz zu weit gehe und damit deutlich über den Gesetzesvorschriften liegt. Sie sehen eine längere und umfassendere DATENSCHUTZERKLÄRUNG nicht im Interesse ihrer Kundschaft.
U.E. hat dies auch mit der Gestaltung einer Datenschutzerklärung zu tun. Wichtig ist, dass Kunden und Kundinnen im Fokus sind und die Informationen finden, die sie wünschen zu finden. Eine Desinformation ist fehl am Platz und lässt vermuten, dass Datenschutz nicht gelebt wird.
Oft ist es verlockend in einer Datenschutzerklärung zu erfassen, was eventuell einmal in der Zukunft in Betrieb genommen werden soll oder zu einem Zweck für den man irgend wann einmal in der Zukunft Verwendung findet. Letzteres würde aber eben gerade bedeuten, dass die Zweckgebundenheit ausgehöhlt werden würde.
Bezüglich der informationellen Selbstbestimmung sieht Digitec Galaxus AG die Option des Gastkaufs jedoch nicht als zielführend an, da zum einen die Erfüllung der Servicedienstleistungen wie Retouren und Garantiefälle umständlicher machen. Zum anderen kann die Personalisierung und passende Angebote mit einem Gastkonto weniger schnell im Shop gefunden werden und das würde das Einkaufserlebnis ineffizient machen. Weiter bringt Digitec Galaxus noch das Argument des internationalen Wettbewerbs vor und dass bei Konkurrenten wie Amazon oder Aliexpress ebenfalls ein Kundenkonto eröffnet werden muss. Durch die Empfehlungen des EDÖB würden sie ungleich behandelt werden. Die Empfehlung des Gastkaufs wird weiter kritisiert, da es zu schwammig ist und auch nur als Alternative genannt wird.
IV. Unsere Einschätzung
Grundsätzlich sehen wir die Empfehlungen des EDÖB als gerechtfertigt und als zielführend an, um die Grundsätze der Personendatenbearbeitung des Schweizer Datenschutzgesetzes einzuhalten. Auch wenn die aufgeführten Empfehlungen eher umfassend sind, bieten sie den Kundinnen und Kunden die gewünschte Transparenz und auch Zweckgebundenheit der Bearbeitung an.
Eine kurze «one-pager» Datenschutzerklärung war vielleicht nach dem alten Recht noch zulässig. Heute ist das aber überholt und wird nicht mehr als kundenfreundlich angesehen. Eine umfassende und gut strukturierte Datenschutzerklärung ist in unserer Meinung für die Kundinnen und Kunden zielführender und transparenter.
Darüber hinaus ist zu bemerken, dass die Einhaltung der Forderungen des EDÖB von Transparenz und Zweckgebundenheit betreffend der Datenschutzerklärung auch dem Europäischen Standard und der DSGVO entspricht. Davon ausgenommen ist einzig das Verbot zum Kundenkontozwang, das auch insbesondere in Deutschland umstritten ist. Einzig bei Dauerschuldverhältnissen besteht in Deutschland bereits die Pflicht zum Kündigungsbotton.