Nach einer langwierigen Sachverhaltsabklärung hat der EDÖB nun den Schlussbericht mit Empfehlungen für die Parteien Ricardo und TX Group erlassen. Aufgrund verschiedener datenschutzrechtlicher Verstösse brummt das EDÖB Ricardo elf Empfehlungen auf. Unsere Einschätzung dazu lesen Sie hier.
I. Ausgangslage
Seit Februar 2016 ist die TX-Gruppe daran, bei den dazugehörigen Unternehmen neue Datenschutzerklärungen einzuführen. Diese soll den Datenaustausch innerhalb der Gruppe fördern, damit die Sicherheit und das Online-Erlebnis verbessert werden kann.
Ein davon betroffenes Unternehmen ist die Ricardo AG, welche die Online-Auktionsplattform Ricardo betreibt. Diese führte im Juli 2017 die neue Datenschutzerklärung ein und machte Nutzerinnen und Nutzer im gleichen Monat per E-Mail auf die Änderung aufmerksam. Daraufhin gingen Beschwerden beim EDÖB ein, die kritisierten, dass Ricardos Vorgehen nicht transparent sei. Dies unter Anderem, weil sich Kunden genötigt fühlten, der Datenweitergabe zu Marketingzwecken zuzustimmen, ansonsten ihre bestehende Mitgliedschaft aufgelöst würde.
Nach einem Schriftenwechsel zwischen dem EDÖB und der Ricardo AG, worin die Ricardo AG dazu Stellung nehmen konnte, wie sie die Freiwilligkeit der Einwilligung sicherstellen oder auf welchen Rechtfertigungsgrund sie sich berufen, veranlasste der EDÖB die genauere Untersuchung der Angelegenheiten.
Seit dem Beginn der Untersuchung haben die TX Group AG und Ricardo AG mehrere neue Datenschutzerklärungen eingeführt, welche zu wiederholten Anpassungen der Sachverhaltsfeststellungen führte. Auch wurde zwischenzeitlich das neue Datenschutzgesetz (SR 235.1) erlassen.
II. Datenschutzrechtliche Beurteilung
Der EDÖB sieht die datenrechtlichen Bearbeitungsgrundsätze gleich dreierlei verletzt.
Erstens sei der Grundsatz der Verhältnismässigkeit verletzt worden, dadurch dass ein plattformübergreifendes Tracking bzw. eine umfangreiche Datenanreicherung aus verschiedenen Quellen geschehe.
Zweitens sei der Grundsatz von Treu und Glauben verletzt worden, indem irreführend über die Zwecke der neu eingeführten Datenbearbeitung kommuniziert wurde.
Auch sei gegen den Grundsatz der Transparenz verstossen worden, indem intransparente und nicht nachvollziehbare Informationen über die Datenbearbeitung und die Widerspruchsmöglichkeiten weitergegeben wurden.
Ricardo bzw. TX Group AG sind der Auffassung, dass die relevanten Datenbearbeitungen auf einem überwiegenden privaten Interesse der TX Group beruhen, und eine etwaige Persönlichkeitsverletzung dementsprechend gerechtfertigt ist.
Der EDÖB anerkennt das Interesse der TX Group und der daran teilnehmenden Unternehmen, die Interessen ihrer bestehenden und potenziellen Kunden zu kennen, um gezielter Werbung betreiben zu können. Dem Gegenüber steht das Interesse der Betroffenen Personen an informationeller Selbstbestimmung. Nach der Interessensabwägung durch den EDÖB überwiegen allerdings die Interessen der betroffenen Nutzer über die rein wirtschaftlichen Interessen von Ricardo und der TX Group.
III. Empfehlungen
Der EDÖB hat gegenüber der Ricardo und der TX Group AG elf Empfehlungen erlassen. Dabei gliedern diese sich in zwei Kategorien. Neun der Empfehlungen beziehen sich auf mangelnde Transparenz und Informationspflicht, sowie auf das Widerspruchsrecht. Dabei geht es darum, dass die Ricardo AG die von ihr unterhaltene Webseite unter Anderem so anzupassen ist, dass für die NutzerInnen erkennbar ist, zu welchen Zwecken Personendaten bearbeitet werden, welche Datenbearbeitungen zu Persönlichkeitsprofilen führen, welche Plattformen am Tracking zu Werbezwecken beteiligt sind und für welche Datenbearbeitungen sich die Ricardo AG auf welche Rechtfertigungsgründe beruft.
Der zweite Satz an Empfehlungen bezieht sich auf die nicht rechtsgültig eingeholte Einwilligung für die Weitergabe von Personendaten an die TX Group AG für Werbezwecke. Damit die Daten weitergegeben werden dürfen, braucht Ricardo einen Rechtfertigungsgrund. Der EDÖB verneint das Vorliegen von überwiegenden privaten Interessen, weshalb die Datenbearbeitung einzig durch eine Einwilligung der NutzerInnen gerechtfertigt werden kann. Der EDÖB empfiehlt deshalb, dass die Webseite dahin angepasst wird, dass die Einwilligung vor der Weitergabe der Daten an die TX Group AG eingeholt wird und die Einwilligung nach angemessener Information geschieht. Des Weiteren sind die bestehenden Daten von Kunden, welche zu Werbezwecken bereits erfasst worden sind, durch die TX Group AG zu löschen, sofern keine rechtsgültige Einwilligung vorliegt.
IV. Stellungnahmen der Ricardo AG und der TX Group AG
Nach der Veröffentlichung des Schlussberichts des EDÖB haben sowohl die Ricardo AG als auch die TX Group AG ihre Stellungnahmen eingereicht.
Die Unternehmen machen geltend, dass sich die Empfehlungen des EDÖB auf einen nicht mehr existierenden Sachverhalt und ein nicht mehr geltendes Gesetz stützen würden. Sie seien daher gegenstandslos.
Des Weiteren weisen die Parteien die Feststellungen von Verstössen gegen das DSG zurück und dementieren die rechtlichen Schlussfolgerungen. Es handle sich bei den Daten, die jeweils der TX Group AG übermittelt wurden, nicht um Personendaten, weshalb das DSG gar nicht zur Anwendung komme. Die allgemeinen Datenschutzgrundsätze würden respektiert und dementsprechend käme es gar nicht zu einer Persönlichkeitsverletzung. Schlussendlich argumentieren Ricardo und TX Group, dass obwohl kein Rechtfertigungsgrund nötig sei, die Einwilligung der NutzerInnen eingeholt werde bzw. ein überwiegendes privates Interesse vorliege.
V. Unsere Einschätzung
Es ist klar ersichtlich, dass dem EDÖB die Transparenz ganz besonders wichtig ist (auch zu sehen in unserem Bericht zu der Sachverhaltsabklärung i.S. Galaxus). Dies ist so auch richtig, liegt doch beim Schweizer Datenschutzrecht der Fokus sehr auf der Selbstverantwortung, für welche Transparenz eine Voraussetzung ist. Datenschutzerklärungen sollten deshalb sorgfältig formuliert werden. Allerdings wird so das ganze Gewicht der Transparenz auf die Datenschutzerklärungen abgewälzt, weil man davon ausgeht, dass Personen sonst ihr Auskunftsrecht nicht ausüben. Man sollte aber nicht übersehen, dass Betroffene durchaus in der Lage sind, sich auch in Datenschutzerklärungen zurecht zu finden, die etwas komplexer sind.
Des Weiteren ist an der Sachverhaltsfeststellung des EDÖB zu kritisieren, dass recht grosszügig mit dem Datenschutzrecht umgegangen wird. So wird in casu der Begriff des Personendatums extensiv ausgelegt. Das EDÖB kommt in sehr knappen Erwägungen zum Schluss, dass die von Ricardo übermittelten Daten personenbezogen seien, weil der Personenbezug keinen Schluss auf die bürgerliche Identität verlangt, sondern ein Pseudonym schon genüge.
Quellen (Links [als Hyperlink in Textform], Zitation von Büchern)
- EDÖB schliesst Verfahren gegen betreffend die Auktionsplattform Ricardo mit Empfehlung ab
- Schlussbericht vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) vom 11. April 2024 betreffend die Bearbeitung von Personendaten von Ricardo-Nutzerinnen und -Nutzern durch Ricardo AG und TX Group AG