Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1, 3003 Bern Tel. 031 323 74 84, Fax 031 325 99 96 www.edoeb.admin.ch
A2015.02.24-0001 / 2014-00175 1. Juni 2015/GP
Schlussbericht vom
betreffend Abklärung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragen (EDÖB) gemäss Art. 29 des Bundesgesetzes über den Datenschutz vom 19. Juni 1992 (DSG; SR 235.1)
im Zusammenhang mit E-Cockpit und Bicicletta
von PostFinance, Mingerstrasse 20, 3030 Bern
2/36
Inhaltsverzeichnis
3/36
5.11 Auskunftsrecht ....................................................................................................................... 26 5.11.1 Ausgangslage ................................................................................................................ 26 5.11.2 Beurteilung aus Sicht des EDÖB .................................................................................. 27 5.12 Datenbekanntgabe an Dritte ................................................................................................. 28 5.12.1 Ausgangslage ................................................................................................................ 28 5.12.2 Beurteilung aus Sicht des EDÖB .................................................................................. 28 5.13 Anmeldung der Datensammlung ........................................................................................... 28 5.13.1 Ausgangslage ................................................................................................................ 28 5.13.2 Beurteilung aus Sicht des EDÖB .................................................................................. 29 6. Ergebnisse ..................................................................................................................................... 29 6.1 Daten als Personendaten ...................................................................................................... 30 6.2 Daten als besonders schützenswerte Personendaten .......................................................... 30 6.3 Daten als Persönlichkeitsprofile ............................................................................................ 30 6.4 Bearbeitung nach Treu und Glauben / Transparenz ............................................................. 31 6.5 Verhältnismässigkeit der Datenbearbeitung ......................................................................... 31 6.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht ................................................................. 31 6.5.2 Verhältnismässigkeit in zeitlicher Hinsicht..................................................................... 31 6.6 Zweck der Datenbearbeitung ................................................................................................ 32 6.7 Rechtfertigung der Persönlichkeitsverletzung ....................................................................... 32 6.8 Datenrichtigkeit ...................................................................................................................... 33 6.9 Datensicherheit ...................................................................................................................... 34 6.10 Auskunftsrecht ....................................................................................................................... 34 6.11 Datenbekanntgabe an Dritte ................................................................................................. 34 6.12 Anmeldung der Datensammlung ........................................................................................... 35 7. Schlussfolgerungen ........................................................................................................................ 35 7.1 Bezüglich der Kontrolle im Zusammenhang mit E-Cockpit und Bicicletta von PostFinance 35 7.2 Verfahren und weiteres Vorgehen......................................................................................... 35
4/36
Ab August 2014 ist PostFinance dazu übergegangen, ihre Kunden auf einer Zwischenseite nach dem Log-In in E-Finance über die Einführung der überarbeiteten Plattform und die damit verbundenen neuen Teilnahmebedingungen (TNB) zu E-Finance zu informieren. Die Kunden wurden aufgefordert, die neuen TNB zu akzeptieren, damit sie zukünftig E-Finance noch nutzen können. Aufgrund zahlrei- cher Bürgermeldungen hat sich der EDÖB am 21. August 2014 entschlossen, im Rahmen einer Sach- verhaltsabklärung im Sinne von Art. 29 des Bundesgesetzes über den Datenschutz (DSG; SR 235.1) die Umsetzung von E-Cockpit und den Werbeangeboten von Dritten (Bicicletta) zu prüfen und an- schliessend in einem Bericht seine datenschutzrechtliche Beurteilung zu verfassen.
Am 22. September 2014 gelangte der EDÖB schriftlich an PostFinance und verlangte von ihr, dass sie ihren Kunden nach dem 12. Oktober 2014, ungeachtet davon, ob diese die neuen TNB akzeptiert haben, weiterhin Zugang zu E-Finance gewährt, mindestens solange die Abklärungen des EDÖB laufen. Ansonsten er einen Antrag auf vorsorgliche Massnahmen prüfen müsse. Es kam in der Folge zu Gesprächen, in deren Rahmen PostFinance sich u.a. bereiterklärte, den bisherigen Kunden eine Option zum Abmelden von Bicicletta bereits auf der Zwischenseite nach dem Log-In anzubieten. Auf die Beantragung vorsorglicher Massnahmen wurde verzichtet.
In weiteren Sitzungen mit PostFinance wurde anfangs April 2015 erreicht, dass PostFinance sich dazu bereit erklärt hat, im Sinne von Verbesserungsvorschlägen des EDÖB zwei wesentliche Änderungen umzusetzen: Einerseits wird bei E-Cockpit die Möglichkeit implementiert werden, dass die Kunden E- Cockpit deaktivieren können, mit der Folge, dass die kategorisierten Daten gelöscht werden. Anderer- seits wird bei denjenigen Kunden, welche den neuen TNB E-Finance ohne unmittelbare Wahlmöglich- keiten bezüglich Bicicletta zugestimmt haben, die Einwilligung nochmals eingeholt. In den Ausführun- gen in Ziff. 6 dieses Schlussberichtes wird auf diese Verbesserungen, wo nötig, eingegangen.
Der vorliegende Schlussbericht umfasst die rechtliche Würdigung des Sachverhaltes, welcher auf der bereinigten Sachverhaltsfeststellung vom 11. März 2015 basiert.
5/36
Umfang der Kontrolle Die Datenschutzkontrolle bezog sich auf die Datenabläufe im Zusammenhang mit E-Cockpit und Bi- cicletta, soweit diese Funktionen bis zur bereinigten Sachverhaltsfeststellung vom 11. März 2015 be- kannt waren. Insbesondere ist Bicicletta noch nicht in Betrieb und vollständig definiert. Bezüglich der Frage der Datensicherheit beschränkt sich der Bericht auf die grundsätzliche Umsetzung des DSG, da eine praktische Risikoanalyse nicht Bestandteil dieser Untersuchung ist. Weitere Applikationen im Zusammenhang mit E-Finance (z.B. „Apps“ und Mobile Payment) bilden keinen Gegenstand dieser Sachverhaltsabklärung.
Chronologie der Kontrolle
August 2014 Ankündigung Sachverhaltsabklärung mit Fragenkatalog und Bitte um Dokumentationen
September 2014 Eingang der Dokumentationen und Beantwortung der Fragen durch PostFinance
Oktober 2014 Augenschein in Zofingen inkl. Demonstration und Beantwortung offener Fragen
November 2014 Ergänzungsfragen sowie Einfordern zusätzlicher Unterlagen durch EDÖB
Dezember 2014 Beantwortung Ergänzungsfragen vom 10. November 2014 durch PostFinance mit Zusendung weiterer Unterlagen
Januar 2015 Zustellung der Sachverhaltsfeststellung des EDÖB an PostFinance zur Stellungnahme
Februar 2015 Sitzung mit PostFinance zur Bereinigung der Sachverhaltsfeststel- lung vom 7. Januar 2015
März 2015 Zustellung der bereinigten Sachverhaltsfeststellung an PostFinance
März 2015
Erhalt der Bestätigung von PostFinance bezüglich der bereinigten Sachverhaltsfeststellung 23. März 2015 Zustellung des Schreibens an PostFinance betreffend Verbesse- rungsvorschläge 2. April 2015
Erhalt der Bestätigung von PostFinance zur Umsetzung unserer Verbesserungsvorschläge bei E-Cockpit und Bicicletta 13. Mai 2015 Zustellung des zweiten Schreibens an PostFinance betreffend Ver- besserungsvorschläge 18. Mai 2015 Erhalt der zweiten Bestätigung von PostFinance zur Umsetzung unserer Verbesserungsvorschläge bei E-Cockpit und Bicicletta
6/36
Sachverhaltsfeststellung vom 11. März 2015 Es wird vollumfänglich auf die Sachverhaltsfeststellung vom 11. März 2015 verwiesen.
Datenschutzrechtliche Beurteilung 5.1 Vorbemerkungen Art. 12 und 13 DSG legen die Voraussetzungen fest, nach welchen die Bearbeitung von Personenda- ten durch Private rechtmässig ist. Wer im privaten Bereich Personendaten bearbeitet, darf nach Art. 12 Abs. 1 DSG dabei die Persönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Gemäss Art. 12 Abs. 2 DSG darf er insbesondere nicht:
a. Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbei- ten; b. ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbei- ten; c. ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeits- profile Dritten bekannt geben.
In der Regel liegt keine Persönlichkeitsverletzung vor, wenn die betroffene Person die Daten allge- mein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat (Art. 12 Abs. 3 DSG).
Das Bundesgericht hat im zur Publikation vorgesehenen Urteil 1C_285/2009 vom 8. September 2010, E.5.2.4, zu den Rechtfertigungsgründen betreffend Art. 12 Abs. 2 lit. a DSG Folgendes festgehalten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als ver- fehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbeitung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zu- rückhaltung bejaht werden können.
Mit Blick auf den vorliegenden Schlussbericht bedeutet dies, dass – falls PostFinance Daten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG bearbeitet – Rechtfertigungsgründe geprüft werden, deren Vorliegen aber nur mit Zurückhaltung anzunehmen ist.
Die nachfolgenden Ausführungen sollen aufzeigen, ob die Datenbearbeitung durch PostFinance im Zusammenhang mit E-Cockpit und Bicicletta im Zeitpunkt der Kontrolle durch den EDÖB datenschutz- konform ausgestaltet ist. Dabei stehen die allgemeinen Datenschutzgrundsätze, namentlich die Ver- hältnismässigkeit und die Zweckbindung neben der gültigen Einwilligung, im Zentrum.
7/36
5.2 E-Cockpit- und Bicicletta-Daten als Personendaten 5.2.1 Ausgangslage Das DSG findet dort Anwendung, wo Personendaten i.S.v. Art. 3 lit. a DSG bearbeitet werden. Als Personendaten gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare (natürliche oder juristische) Person beziehen.
5.2.2 Beurteilung aus Sicht des EDÖB Sowohl bei E-Cockpit als auch bei Bicicletta werden der Privatkunden von E-Finance bearbeitet. Diese Daten sind bestimmten Personen zuge- ordnet und als solche als Personendaten i.S.v. Art. 3 lit. a DSG zu verstehen.
Daten, welche in E-Finance im Zusammenhang mit E-Cockpit und Bicicletta bearbeitet werden, sind als Personendaten i.S.v. Art. 3 lit. a DSG zu qualifizieren.
5.3 E-Cockpit
Nachfolgend soll geprüft werden, ob in E-Cockpit oder in Bicicletta besonders schützenswerte Perso- nendaten bearbeitet werden.
5.3.2 Beurteilung aus Sicht des EDÖB E-Cockpit analysiert die Neben bankenspezifischen Kategorien (z.B. Hypothekarzins, Amortisation / Bargeldbezug / PostFinance Kreditkarten) werden zahlreiche Datenkategorien aus anderen Branchen resp. Lebensbereichen bearbeitet (vgl. Ziff. 8.6 der Sachver- haltsfeststellung vom 11. März 2015). Es befinden sich darunter Kategorien, die eine Auswertung im Bereich der besonders schützenswerten Personendaten i.S.v. Art. 3 lit. c Ziff. 2 DSG erlauben könn-
8/36
ten, z.B. Arzt, Spital, Optiker. Diese Informationen sind jedoch unabhängig von E-Cockpit vorhanden, um den Zahlungsverkehr über PostFinance zu ermöglichen. Ob der qualifizierte Schutz der besonders schützenswerten Personendaten zum Tragen kommt, muss deshalb vom Kontext abhängig sein, in welchem die Daten stehen oder verwendet werden. Der EDÖB hat festgestellt, dass die kategorisier- ten E-Cockpit-Daten ausschliesslich den einzelnen Privatkunden in ihrem E-Finance-Bereich zur Ver- fügung stehen. PostFinance wertet die Daten nicht für eigene oder fremde Zwecke aus. Daraus wird ersichtlich, dass die in E-Finance erhobenen Daten durch PostFinance nicht zu besonders schüt- zenswerten Personendaten verdichtet werden. Eine derartige Auswertung und Verdichtung könnte einzig der Kunde, und damit die betroffene Person selbst, durchführen. Aus diesen Gründen kann festgehalten werden, dass PostFinance mit E-Cockpit in der derzeitigen Ausgestaltung keine beson- ders schützenswerte Personendaten i.S.v. Art. 3 lit. c DSG bearbeitet.
Eine ähnliche Ausgangslage ist für Bicicletta gegeben. Bicicletta hat als Grundlage die innerhalb von E-Cockpit bearbeiteten und kategorisierten Daten. Die E-Cockpit-Daten werden in Bicicletta weiter- verwendet um mittels Algorithmen die Wahrscheinlichkeit zu berechnen, ob ein Privatkunde einer bestimmten Zielgruppe angehört, um ihm Angebote von Dritten in seinem E-Finance-Bereich anzuzei- gen. Wiederum stellt sich die Frage, ob hier der qualifizierte Schutz der besonders schützenswerten Personendaten zum Tragen kommt. Ziel der Berechnungen innerhalb von Bicicletta ist die Wahr- scheinlichkeit zu eruieren, dass ein Kunde in Zukunft in einer bestimmten Branche einkaufen wird.
Weitere Branchen werden zu einem späteren Zeitpunkt definiert. PostFinance hat nach eigenen Angaben bereits viele Anfragen von interessierten Geschäftskunden erhalten. Es wurden aber bereits diverse kritische Branchen definiert, welche nicht beworben werden sollen (vgl. Ziff. 9.6.1 der Sachverhaltsfeststellung vom 11. März 2015). Es kann festgehalten werden, dass mit den heute bekannten Kategorien von Daten innerhalb von Bicicletta keine besonders schützenswerte Personen- daten i.S.v. Art. 3 lit. c DSG bearbeitet werden. Je nach Branchen, welche in Zukunft beworben wer- den sollen, müsste die Datenbearbeitung gemäss Art. 3 lit. c DSG neu überprüft werden.
Zusammenfassend kann festgehalten werden, dass sowohl im Kontext von E-Cockpit wie auch von Bicicletta keine besonders schützenswerten Personendaten i.S.v. Art. 3 lit. c DSG bearbei- tet werden.
5.4 E-Cockpit
9/36
desgesetz über den Datenschutz vom 23. März 1988 (BBl II 1988 413) und andererseits in der Lehre und Rechtsprechung.
Gemäss Botschaft zum DSG (BBl II 1988 447) ist ein Persönlichkeitsprofil eine Zusammenstellung einer grösseren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Akti- vitäten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zu- sammenstellung von an sich nicht besonders schützenswerten Daten (z.B. über Lesegewohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persönlichkeit zulässt.
Nach herrschender Lehre muss die Zusammenstellung der Daten nicht ein Gesamtbild der Persön- lichkeit ergeben. Es genügt, wenn von wichtigen Teilaspekten (z.B. Konsumverhalten, Profile von Kreditkartenbenutzern zur Verhinderung von Betrügereien, Eignungstest, Kreditdossiers, etc.) ein Persönlichkeitsbild entsteht (BSK-DSG, Urs Belser, Art. 3 N 21). Von einem Persönlichkeitsprofil ist jedoch erst dann auszugehen, wenn für die betroffene Person ein Risiko entsteht, dass „sie sich in der Gesellschaft nicht mehr so darstellen kann, wie sie es für richtig hält“ (BSK-DSG, Urs Belser, Art. 3 N 22 mit Hinweis auf VPB 65.48, E. 2.d).
Gemäss Rechtsprechung (VPB 65.48, E. 2.b.) hängt die Erstellung eines Persönlichkeitsprofils von der Menge, dem Inhalt sowie der Zeitdauer der zusammengestellten Daten ab. Demnach sind Perso- nendaten, die über einen längeren Zeitraum zusammengetragen werden (z.B. Zahlungsverhalten oder die Zahlungsfähigkeit über Jahre hinweg) und dadurch gleichsam ein biografisches Bild ergeben, in- dem sie eine Entwicklung, einen Werdegang, also eine Art „Längsprofil“ der betroffenen Person auf- zeigen, eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Momentaufnahme, ein „Querprofil“, darstellen. Aber, selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausge- gangen wird, muss letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mit entscheidend dafür sein, ob der qualifizierte gesetzliche Schutz, den der Gesetzgeber für die Persön- lichkeitsprofile vorgesehen hat, zum Tragen kommen soll oder nicht.
Durch die Auswertungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüp- fung automatisierter Datenbestände ist die Erstellung von Persönlichkeitsprofilen heutzutage einfacher und häufiger geworden. Das Problem von Persönlichkeitsprofilen liegt darin, dass sie die Vielfalt und Komplexität der menschlichen Persönlichkeit (zu) sehr vereinheitlichen und schematisieren und dabei den betroffenen Personen nicht gerecht werden. Sodann haben betroffene Personen meist keine Kenntnis vom Bestehen eines Persönlichkeitsprofils. Damit können sie dessen Richtigkeit und Ver- wendung nicht kontrollieren. Einmal erstellt, können Persönlichkeitsprofile betroffene Personen der Freiheit berauben, sich so darzustellen, wie sie es für richtig halten. Damit vermögen Persönlichkeits- profile die Entfaltung der Persönlichkeit ganz wesentlich zu beeinträchtigen. Deshalb hat der Gesetz- geber festgelegt, dass Persönlichkeitsprofile gleich wie besonders schützenswerte Personendaten zu behandeln sind und nur unter bestimmten Voraussetzungen erstellt und bearbeitet werden dürfen.
10/36
Weil PostFinance in E-Cockpit und Bicicletta umfangreiche Daten bearbeitet und analysiert, muss nachfolgend geprüft werden, ob die Daten in E-Cockpit oder in Bicicletta in ihrer Gesamtheit ein Per- sönlichkeitsprofile i.S.v. Art. 3 lit. d DSG darstellen.
5.4.2 Beurteilung von Persönlichkeitsprofilen in E-Cockpit aus der Sicht des EDÖB Die aus dem Data Warehouse (DWH) stammenden Ausgangsdaten, die in E-Cockpit bearbeitet wer- den, umfassen der Privatkunden von PostFi- nance, welche in ihrer Gesamtheit eine grosse Menge von Daten darstellen. E-Cockpit teilt diese Da- ten automatisch einer bestimmten Kategorie zu. Die Zuordnung wird aus den PostFinance hat diverse Haupt- und Unterkategorien für die Zuordnung definiert (vgl. dazu Ziff. 8.6 der Sachverhaltsfeststellung vom 11. März 2015), Ein Teil wurde lediglich aufgenommen, damit der Kunde sie bei Gebrauch benutzen kann. Gemäss PostFinance ist auch längst nicht jede Transaktion automatisch zuordenbar, sondern die Kunden können durch eigene Regeln „nachhelfen“. Der Kunde kann die von E-Cockpit vorgege- bene Default-Kategorisierung für alle weiteren Berechnungen übersteuern. Wie in Ziff. 8.6. der Sach- verhaltsfeststellung vom 11. März 2015 aufgelistet, erhält die PostFinance durch die automatischen oder manuellen Kategorisierungen der Transaktionsdaten eines E-Finance-Kunden grundsätzlich viele Datenkategorien. Neben bankenspezifischen Kategorien (z.B. Hypothekarzins, Amortisation / Bar- geldbezug / PostFinance Kreditkarten) werden zahlreiche Datenkategorien aus anderen Branchen resp. Lebensbereichen bearbeitet Diese Daten werden bis zu zehn Jahre in E-Cockpit gespeichert (vgl. Ziff. 8.7 der Sachverhaltsfeststellung vom 11. März 2015). Somit ist davon auszugehen, dass die Gesamtheit der Menge, des Inhalts und der zeitlichen Aufbewahrung dieser Daten ein wesentliches Teilbild einer betroffenen Person ausmachen kann. Aber selbst wenn von einem wesentlichen Teilbild der Persönlichkeit ausgegangen wird, muss – wie eingangs erwähnt – letztlich der konkrete Zusammenhang, in dem die Daten verwendet werden, mitentscheidend dafür sein, ob der qualifizierte gesetzliche Schutz zum Tragen kommen soll oder nicht. Dies ist dann der Fall, wenn durch die Erstellung eines Persönlichkeitsprofils für eine betroffene Person ein Risiko ent- steht, dass sie sich in der Gesellschaft nicht mehr so darstellen und entfalten kann, wie sie es für rich- tig hält. Für die Beurteilung dieses Aspektes betreffend E-Cockpit ist entscheidend, dass diese Daten ausschliesslich den einzelnen Privatkunden zur Verfügung stehen, welche E-Cockpit in ihrem E- Finance-Bereich nutzen wollen. PostFinance nutzt die Daten weder für eine personenbezogene Aus- wertung noch werden Affinitäten u.Ä. berechnet. Es werden auch keine Daten an Dritte weitergege- ben. Insofern besteht für die betroffenen Personen keine Gefahr, dass sie sich in der Gesellschaft nicht mehr so darstellen oder entfalten können, wie sie es für richtig halten.
Zusammenfassend ist aufgrund der Gesamtheit der Menge, des Inhalts und der zeitlichen Aufbewah- rung der Daten in E-Cockpit von einem wesentlichen Teilbild einer betroffen Person auszugehen. So- lange die Daten jedoch ausschliesslich für die Kunden im Zusammenhang mit den Funktionen von E- Cockpit verwendet und die Daten weder von PostFinance noch von Dritten weiterverarbeitet werden, werden in E-Cockpit keine Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG bearbeitet.
11/36
5.4.3 Beurteilung von Persönlichkeitsprofilen in Bicicletta aus der Sicht des EDÖB Bicicletta hat als Grundlage die innerhalb von E-Cockpit bearbeiteten und kategorisierten Daten, wes- halb auch hier aufgrund der Gesamtheit der Menge von Daten, des Inhalts und der zeitlichen Aufbe- wahrung der Daten von einem wesentlichen Teilbild einer betroffenen Person ausgegangen werden muss (zu den Ausführungen vgl. Ziff. 5.4.2 dieses Schlussberichtes).
Wiederum stellt sich die Frage, ob der qualifizierte Schutz des Persönlichkeitsprofils i.S.v. Art. 3 lit. d DSG zum Tragen kommt. Die E-Cockpit-Daten werden in Bicicletta weiterverwendet um mittels Algo- rithmen die Wahrscheinlichkeit zu berechnen, ob ein Privatkunde in einem bestimmten Zeitraum in einer bestimmten Branche einkaufen wird (Affinität).
Unter Branche werden die Unterkategorien verstanden, denen die Transaktionen mit dem betreffenden Geschäftskunden standardmässig zugeordnet werden.
Weitere werden folgen. PostFinance betont, dass bei Einkäufen innerhalb einer Branche nur die ausgewertet werden (vgl. Ziff. 9.6.2 der Sachverhaltsfeststellung vom 11. März 2015). Die durch Analysen mittels Algorithmen gewonnenen Erkenntnisse werden im Zusammenhang mit Bicicletta für Marketingmassnahmen verwendet. Das heisst, es wird in den Daten eines betroffenen Kunden gesucht, um ihn einer Branche zuzuordnen und ihm zielgerichtete Werbeangebote in seinem E-Finance-Portal anzuzeigen. Diese Analysen und Auswertungen finden im Verbogenen statt, sie entziehen sich dem Bewusstsein der betroffenen Personen, sodass sie deren Richtigkeit und Verwendung in vollem Umfang auch nicht kontrollieren können. Eine derartige systematische Datenbearbeitung kann dem Betroffenen die Frei- heit nehmen, sich so darzustellen, wie er will, insbesondere wenn er weiss, dass solche Profile über ihn bestehen oder gerade gebildet werden. Wenn seine Transaktionsdaten systematisch für Werbe- angebote für Dritte analysiert und die betroffene Person branchenspezifisch schematisiert wird, kann das Änderungen im Denken, Handeln und Verhalten des Betroffenen bewirken. Und dies kann die Entfaltung seiner Persönlichkeit wesentlich beeinträchtigen. Aus diesen Gründen muss im Zusam- menhang mit der Verwendung und Analyse der Transaktionsdaten bei Bicicletta von einem Persön- lichkeitsprofil i.S.v. Art. 3 lit. d DSG ausgegangen werden.
Zusammenfassend kann festgehalten werden, dass bei E-Cockpit nicht von einem Persönlich- keitsprofil i.S.v. Art. 3 lit. d DSG auszugehen ist, solange die Daten ausschliesslich für die Kunden im Zusammenhang mit den Funktionen von E-Cockpit gespeichert werden und sie weder von PostFinance noch von Dritten weiterverarbeitet werden. Im Unterschied dazu wer- den in Bicicletta diese E-Cockpit-Daten analysiert mit dem Ziel, den betroffenen Personen ziel- gerichtete Werbung von Dritten in E-Finance einzublenden, weshalb hier von einem Persön- lichkeitsprofil gemäss Art. 3 lit. d DSG anzugehen ist.
12/36
5.5 Bearbeitung nach Treu und Glauben / Transparenz 5.5.1 Ausgangslage Transparenz und Information der betroffenen Personen in Bezug auf die Beschaffung und Verwen- dung der Daten bilden die eigentlichen Eckpfeiler einer Datenbearbeitung (Botschaft DSG BBl 2003 2126).
Die Bearbeitung von Personendaten muss nach Treu und Glauben erfolgen (Art. 4 Abs. 2 DSG). Da- ten sollen nicht in einer Art erhoben und bearbeitet werden, mit der die betroffene Person aus den Umständen heraus nicht rechnen musste und mit der sie nicht einverstanden gewesen wäre. Gegen diesen Grundsatz verstösst beispielsweise derjenige, der Daten nicht offen bearbeitet, ohne dabei gegen eine Rechtsnorm zu verstossen (Botschaft DSG BBl 1988 II 449). Demzufolge muss eine Da- tenbearbeitung für die betroffenen Personen transparent erfolgen. Dies bedeutet gemäss Art. 4 Abs. 4 DSG, dass für betroffene Personen die Datenbeschaffung und jede weitere Datenbearbeitung (BSK- DSG, Urs Maurer-Lambrou/Andrea Steiner, Art. 4 N 8), der Zweck jeder (weiteren) Datenbearbeitung, die Identität des Datenbearbeiters und – bei einer Datenbekanntgabe an Dritte – die Kategorien von möglichen Datenempfängern erkennbar sein müssen (Botschaft DSG BBl 2003 2125). Auch die Be- schaffung von Personendaten bei Dritten muss erkennbar sein (Botschaft DSG BBl 2003 2126).
Die Anforderungen, welche an die Erkennbarkeit gestellt werden, sind nach den Umständen sowie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Botschaft DSG BBl 2003 2125). Unter dem Gesichtspunkt der Verhältnismässigkeit ist zu prüfen, in welchem Mass die betroffene Person auf die wesentlichen Rahmenbedingungen der Beschaffung aufmerksam ge- macht werden muss, welche Mittel dem Inhaber der Datensammlung zur Verfügung stehen, um diese Rahmenbedingungen erkennbar zu machen, und in welchem Umfang von ihm erwartet werden kann, dass er diese Mittel auch einsetzt, namentlich unter Berücksichtigung ihrer Kosten und ihrer Wirksam- keit. Zu berücksichtigen sind ferner die in der Branche oder für die betreffende Art von Transaktionen geltenden Usanzen. Für die einfachen Transaktionen des täglichen Lebens, die so geartet sind, dass die Beschaffung und ihr Zweck sowie die Identität des Inhabers der Datensammlung für die betroffene Person auf Anhieb leicht und deutlich erkennbar sind, bringt Art. 4 Abs. 4 DSG keine neue Verpflich- tung mit sich. Ist eine Beschaffung auf Grund der Umstände hingegen weniger deutlich erkennbar, muss die betroffene Person umso eher mit angemessenen Mitteln auf die Erhebung und ihre wesent- lichen Rahmenbedingungen aufmerksam gemacht werden. Im Internet ist ein Hinweis auf dem Ein- gangsportal in einer genügend sichtbaren Rubrik, der auf weitere Angaben zur Beschaffung und Ver- wendung der Daten verweist, in den meisten Fällen ein einfaches und angemessenes Informations- mittel (Botschaft DSG BBl 2003 2126).
Werden Daten aus allgemein zugänglichen Quellen beschafft und hat die betroffene Person deren Bearbeitung nicht ausdrücklich untersagt (Art. 12 Abs. 3 DSG), so sind grundsätzlich keine weiteren Massnahmen bezüglich Gewährleistung der Erkennbarkeit der Beschaffung und Bearbeitung nötig.
13/36
Ab August 2014 ist PostFinance dazu übergegangen, ihre E-Finance-Kunden auf einer Zwischenseite nach dem Log-In im Online-Portal über die Einführung der überarbeiteten Plattform und die damit verbundenen neuen TNB zu E-Finance zu informieren. Die Kunden wurden aufgefordert, diese zu akzeptieren, damit sie zukünftig E-Finance noch nutzen können. Taten die Kunden dies nicht sofort, konnten sie E-Finance bis zum 12. Oktober 2014 wie gewohnt weiterbenutzen, allerdings fehlte auf der Zwischenseite ein solcher Hinweis. Die Privatkunden wurden nicht mit separater Briefpost über diese Änderungen informiert.
Auf der Zwischenseite informierte PostFinance u.a. wie folgt: „Ab nächstem Jahr können Sie zusätz- lich von massgeschneiderten Angeboten profitieren, welche Ihnen Partner von PostFinance vergüns- tigt anbieten. Die Vertraulichkeit Ihrer Daten ist sichergestellt, da wir Ihre Kundendaten nicht an unse- re Partner weiterleiten. Im Rahmen dieser Neuerungen haben wir die Teilnahmebedingungen E- Finance (TNB) komplett überarbeitet (vgl. insbesondere Ziff. 19 und 20). Die neuen TNB ersetzen die bisherigen „TNB E-Finance“ und „TNB für die Benutzung der Dienstleistungen Kredit- und Prepaidkar- ten Online im E-Finance (Kartenservice Online)“. Bitte lesen Sie die neuen TNB aufmerksam durch, welche am 12. Oktober 2014 in Kraft treten. Um E-Finance zukünftig nutzen zu können, müssen Sie diese akzeptieren. Somit können Sie auch weiterhin Ihre Geldgeschäfte einfach und bequem im E- Finance abwickeln.“
Die neuen TNB zu E-Finance sind per Link auf der Zwischenseite für die Kunden einsehbar.
Im Folgenden ist zu prüfen, inwieweit PostFinance den Anforderungen von Art. 4 Abs. 2 und 4 DSG in Bezug auf Transparenz und Erkennbarkeit bei E-Cockpit und Bicicletta Rechnung trägt.
5.5.2 Beurteilung von Treu und Glauben bei E-Cockpit aus Sicht des EDÖB Bezüglich E-Cockpit wird in den TNB in Ziff. 19 wie folgt informiert: „E-Finance ist mit dem Dienst E- Cockpit ausgestattet. E-Cockpit ist für die private Nutzung durch Privatkunden konzipiert und stellt dem Privatkunden seine Zahlungen grafisch dar. Dazu wird jede Transaktion automatisch einer Ein- nahme- oder Ausgabekategorie zugeordnet. Der Privatkunde kann die Ausgestaltung der Unterkate- gorien auf seine eigenen Bedürfnisse anpassen. PostFinance kann den Umfang dieses Dienstes er- weitern oder ändern, um das Angebot zu optimieren.“
Die Informationen über die Neuerungen bezüglich der Datenbearbeitung im Zusammenhang mit E- Cockpit auf der Zwischenseite mit dem Link auf die neuen TNB nach dem Log-In sind für die Kunden genügend sichtbar. Auch die Wahl des Mittels der elektronischen Zwischenseite ist geeignet, um die betroffenen Personen zu erreichen. Bezüglich der Information über den Zweck der Datenbearbeitung hinsichtlich E-Cockpit werden die E-Finance-Kunden in erster Linie in Ziff. 19 der neuen E-Finance- TNB grundsätzlich genügend umfassend informiert. Darin wird erwähnt, dass E-Cockpit dem Zweck dient, die Zahlungen von Privatkunden grafisch darzustellen. E-Cockpit umfasst jedoch auch ein Ar- chivierungs- und Recherche-Tool, mit welchem jeder Privatkunde seine Transaktionen voraussichtlich bis zu zehn Jahre zurück abrufen kann. Daneben können mit E-Cockpit auch Sparziele und Budgets definiert und Push-Meldungen eingerichtet werden (vgl. Ziff. 8.1. der Sachverhaltsfeststellung vom 11.
14/36
März 2015). Diese Funktionen werden in Ziff. 19 der TNB nicht erwähnt, sind jedoch für den E- Finance-Kunden jederzeit online in E-Finance genügend erkennbar.
Zusammenfassend erfolgt die Datenbearbeitung bei E-Cockpit den Grundsätzen von Treu und Glau- ben und Erkennbarkeit nach Art. 4 Abs. 2 DSG.
5.5.3 Beurteilung von Treu und Glauben bei Bicicletta aus Sicht des EDÖB Hinsichtlich Bicicletta werden die Privatkunden in Ziff. 11 und Ziff. 20 der TNB informiert. PostFinance führt hier wie folgt aus: „PostFinance bietet ihren Privatkunden in E-Finance eine Plattform an, auf welcher Drittanbieter Angebote in Form von persönlichen Rabatten und Aktionen aufschalten lassen können. Bei diesen Angeboten bleiben die Privatkunden anonym, selbst wenn sie die Angebote einlö- sen. Dazu muss ein Privatkunde, der ein solches, für ihn verfügbares Angebot in Anspruch nehmen will, dieses zunächst online «reservieren». Ist der entsprechende Bezug erfolgt und mit einem von PostFinance definierten Zahlungsmittel bezahlt worden, schreibt ihm PostFinance den entsprechen- den Rabatt nachträglich automatisch gut. PostFinance agiert dabei lediglich als Vermittlerin zwischen dem Drittanbieter, der das Angebot unterbreitet, und dem Privatkunden, der von diesem Angebot pro- fitiert. Allfällige Ansprüche des Privatkunden aus dem Vertrag mit dem Drittanbieter richten sich aus- schliesslich nach den entsprechenden Vereinbarungen der beiden. Ein Drittanbieter weiss zu keiner Zeit, welche Privatkunden das Angebot in E-Finance aufgeschaltet erhalten haben. Ein Drittanbieter kann zudem keinen Rückschluss auf einen bestimmten Privatkunden ziehen, da der Privatkunde, der das Angebot in Anspruch nimmt, dies dem Drittanbieter nicht offenlegen muss. PostFinance legt dem Drittanbieter weder die Adresse noch sonstige Personendaten des Privatkunden offen. Wünscht der Privatkunde keine derartigen Angebote, kann er darauf (durch entsprechende Abmeldung innerhalb von E-Finance) verzichten und sich damit auch von der damit verbundenen Analyse seiner Daten abmelden. Bis dahin geht PostFinance vom Einverständnis des Privatkunden mit der Anzeige ent- sprechender Angebote und der dazu nötigen Datenbearbeitung aus.“
Auch für die Datenbearbeitung im Zusammenhang mit Bicicletta sind die Informationen über die Neue- rungen auf der Zwischenseite mit dem Link auf die neuen TNB für die Kunden genügend sichtbar. Die Wahl des Mittels der elektronischen Zwischenseite nach dem Log-In ist geeignet, um die betroffenen Personen zu erreichen. Mit Ziff. 11 und Ziff. 20 der neuen E-Finance-TNB werden die Kunden über den Zweck der Datenbearbeitung von Bicicletta, über die Datenbeschaffung und dass keine Datenwei- tergabe an Dritte erfolgt, grundsätzlich genügend umfassend informiert. Der Kunde versteht, dass seine Transaktionsdaten analysiert werden, um ihm zielgerichtete Werbung von Drittanbietern auf dem E-Finance-Portal aufzuschalten, falls er Bicicletta nutzen will. Es wird ihm auch genügend trans- parent mitgeteilt, wie Bicicletta funktioniert. PostFinance informiert hier auch darüber, dass keine Ad- ressen oder sonstige Personendaten an den Drittanbieter weitergegeben werden. Ebenso wird er- wähnt, dass der Kunde sich „innerhalb von E-Finance“ von Bicicletta abmelden kann („Opt-out“). Ge- mäss PostFinance können sich die Kunden nach der Lancierung von Bicicletta innerhalb von E- Finance bei den „Einstellungen“ von Bicicletta wieder abmelden. Eine Information über dieses Vorge- hen wird in der Produktebeschreibung von Bicicletta online unter www.postfinance.ch Erwähnung finden. Insofern erfolgt die Datenbearbeitung bei Bicicletta nach dem Grundsatz von Treu und Glau-
15/36
ben i.S.v. Art. 4 Abs. 2 DSG und der nachträgliche Verzicht („Opt-Out“) ist für die betroffenen Perso- nen genügend transparent.
Zusammenfassend erfolgt die Datenbearbeitung bei E-Cockpit und Bicicletta nach dem Grund- satz von Treu und Glauben i.S.v. Art. 4 Abs. 2 DSG und ist für die betroffene Person genügend erkennbar.
5.6 Verhältnismässigkeit der Datenbearbeitung Die Bearbeitung von Personendaten hat sich am Grundsatz der Verhältnismässigkeit auszurichten (Art. 4 Abs. 2 DSG). Verhältnismässigkeit bedeutet, dass ein Datenbearbeiter nur diejenigen Daten bearbeiten darf, die zur Erreichung eines bestimmten Zwecks objektiv geeignet und tatsächlich erfor- derlich sind, und dass die Nachteile, die mit der Bearbeitung verbunden sind, in einem angemessenen Verhältnis zu den Vorteilen stehen müssen. Die Datenbearbeitung muss für die betroffene Person sowohl hinsichtlich ihres Zwecks als auch hinsichtlich ihrer Mittel zumutbar sein (d.h. verhältnismässig i.e.S.). Dazu muss geprüft werden, ob zwischen dem Bearbeitungszweck und einer im Hinblick darauf nötigen (d.h. durch die Art und Weise der Bearbeitung gegebenenfalls bewirkte) Persönlichkeitsbeein- trächtigung ein vernünftiges Verhältnis besteht (Botschaft DSG BBl 1988 II 450). Es hat also eine Ab- wägung von Zweck und Wirkung des Eingriffs stattzufinden und es ist zu prüfen, ob nicht ein milderes Mittel ebenso zum Ziel führt. Die Prüfung der Verhältnismässigkeit verlangt eine Gesamtwürdigung aller Umstände.
Im Folgenden wird die Verhältnismässigkeit der Datenbearbeitung von Konto- und Transaktionsdaten für E-Cockpit und für Bicicletta in inhaltlicher sowie zeitlicher Hinsicht untersucht.
5.6.1 Verhältnismässigkeit in inhaltlicher Hinsicht - Ausgangslage Eine Datenbearbeitung ist dann verhältnismässig, wenn sie inhaltlich auf das absolut Notwendige beschränkt wird, um ein bestimmtes Ziel zu erreichen. Die inhaltliche Verhältnismässigkeit fordert einen möglichst schonenden Umgang mit Personendaten. Dies bedingt auch, dass keine für den ver- folgten Zweck nicht benötigten Überschussinformationen anfallen dürfen. Ebenso ist es unzulässig, Personendaten auf Vorrat zu erheben, sofern der damit verfolgte Zweck dies nicht unabdingbar erfor- dert (BGE 125 II 473 E. 4.b S. 476).
Nachfolgend ist zu prüfen, ob die Datenbearbeitung von PostFinance bezüglich E-Cockpit und Bicic- letta inhaltlich verhältnismässig erfolgt.
5.6.2 Beurteilung der inhaltlichen Verhältnismässigkeit bei E-Cockpit aus Sicht des EDÖB Mit E-Finance stellt PostFinance seinen Kunden eine Plattform zur Verfügung, um Ihnen die Abwick- lung ihres Bankgeschäftes über Datenleitungen zu ermöglichen. Der Kunde soll zeit- und ortsunab-
16/36
hängig Online-Zugriff auf seine Konten und Kontobewegungen haben. E-Banking-Kunden erwarten üblicherweise eine Benutzeroberfläche, welche ihre Konten und deren Bewegungen kundenfreundlich darstellt, und dass sie sich einfach und schnell ihre fürs E-Banking notwendigen Informationen, wie z.B. gebuchte Zahlungen, finden können.
E-Cockpit teilt alle über PostFinance abgewickelten Zahlungen eines Privatkunden auf die vordefinier- ten Einnahmen- und Ausgabenkategorien auf, zählt zusammen und stellt diese Kategorien dem Kun- den grafisch auf der Benutzeroberfläche dar (Kuchendiagramm). E-Cockpit umfasst zudem ein Archi- vierungs- und Recherche-Tool, mit welchem neu jeder E-Finance-Privatkunde seine Transkationen voraussichtlich bis zu zehn Jahre zurück abrufen kann. Somit ist E-Cockpit geeignet, den erforderli- chen Zweck von E-Finance zu ergänzen. Fraglich ist jedoch, ob E-Cockpit auch erforderlich ist für eine funktionierende E-Banking-Benutzeroberfläche. Vor diesem Hintergrund muss beachtet werden, dass E-Cockpit seit 2012 den Privatkunden von E-Finance angeboten wird. Das Tool konnte bisher vom Kunden im E-Finance-Bereich auf Wunsch aktiviert und die dazugehörigen separaten Teilnahmebe- dingungen (TNB E-Cockpit 2013) akzeptiert werden. Nach der Aktivierung konnte der Kunde zu einem beliebigen Zeitpunkt später E-Cockpit wieder kündigen, und seine Daten wurden gemäss Informatio- nen der PostFinance nicht mehr analysiert (vgl. Ziff. 6 TNB E-Cockpit 2013). Seit dem Release 14C bildet E-Cockpit einen integralen Bestandteil von E-Finance. In der neuen Benutzeroberfläche von E- Finance sind die Funktionen von E-Cockpit im Zuge der Neugestaltung der Plattform vollständig inte- griert worden, d.h. E-Cockpit bildet neu einen festen Bestandteil für alle Privatkunden von E-Finance, der sich nicht abschalten lässt. Wie erwähnt kann E-Cockpit die Transaktionen in E-Finance statt der bisherigen Balkendarstellung zusätzlich als Kuchendiagramm darstellen und bietet ein Archivierungs- und Recherche-Tool. Zusätzlich erlaubt es dem Privatkunden, Sparziele oder Budgets zu definieren und Meldungen („Alarmings“) einzurichten. Die zusätzliche Darstellungsform und die ergänzenden Tools mögen einen wichtigen Schritt zur Modernisierung von E-Finance und für viele Kunden wün- schenswert sein. Die historische Entwicklung von E-Finance zeigt aber, dass E-Cockpit für eine funk- tionierende E-Banking-Benutzeroberfläche nicht zwingend erforderlich ist. Die feste Einbindung von E- Cockpit in E-Finance ohne Verzichtsmöglichkeit ist daher i.S.v. Art. 4 Abs. 2 DSG nicht notwendig.
5.6.3 Beurteilung der inhaltlichen Verhältnismässigkeit bei Bicicletta aus Sicht des EDÖB Wie bereits erwähnt verfolgt E-Finance als E-Banking-Benutzeroberfläche zusammenfassend den Zweck, dass PostFinance-Kunden ihre Bankgeschäfte über Datenleitungen abwickeln können.
Bei Bicicletta werden aus PostFinance-Zahlungsverkehrsdaten Erkenntnisse gezogen, anhand derer Drittanbieter im E-Finance-Portal den Privatkunden gezielte Angebote in Form von Rabatten unter- breiten können. Als Grundlage für die Analyse der Zahlungsverkehrsdaten stehen dabei die durch E- Cockpit kategorisierten Daten. Mittels Algorithmen wird die statistische Wahrscheinlichkeit berechnet, dass ein Privatkunde in einem bestimmten Zeitraum in einer bestimmten Branche einkaufen wird (Affi- nität). und den betroffenen Personen zugewiesen. Bicicletta ist für reine Marketingfunktionen konzipiert worden. Die Datenbearbeitung in diesem Zu- sammenhang ist für die Funktion von E-Finance i.S.v. Art. 4 Abs. 2 DSG nicht notwendig.
17/36
Eine feste Einbindung von E-Cockpit in E-Finance ist für die Benutzeroberfläche i.S.v. Art. 4 Abs. 2 DSG nicht erforderlich. Ebenso ist Bicicletta als Marketingfunktion für Geschäftskunden von PostFinance für das Funktionieren von E-Finance nicht notwendig.
5.6.4 Verhältnismässigkeit in zeitlicher Hinsicht – Ausgangslage Das Erfordernis der Verhältnismässigkeit begrenzt die Datenbearbeitung auch in zeitlicher Hinsicht. Sofern personenbezogene Daten für den verfolgten Zweck nicht mehr gebraucht werden, sind sie zu vernichten oder zu anonymisieren. Dabei ist eine frühest mögliche Löschung/Anonymisierung vorzu- sehen.
Nachfolgend ist zu prüfen, ob die Datenbearbeitung von PostFinance bezüglich E-Cockpit und Bicic- letta zeitlich verhältnismässig erfolgt.
5.6.5 Beurteilung der zeitlichen Verhältnismässigkeit von E-Cockpit aus Sicht des EDÖB Die Kundendaten im Sinne von Stammdaten werden nur so lange gespeichert, wie der Privatkunde E- Finance nutzt. Auch die kategorisierten Transaktionsdaten werden so lange gespeichert, wie der Pri- vatkunde E-Finance nutzt, maximal aber zehn Jahre. Die Datenbearbeitung bei E-Cockpit hat einer- seits zum Zweck, die Transaktionsdaten von Privatkunden zu kategorisieren, um sie grafisch darzu- stellen. Des Weiteren umfasst E-Cockpit ein Archivierungs- und Recherche-Tool, mit welchem jede betroffene Person seine Transaktionen voraussichtlich bis zu zehn Jahre zurück abrufen kann. Mit E- Cockpit kann der Privatkunde seine Transaktionen abrufen, in Kategorien zusammenfassen und mit anderen Zeitperioden vergleichen. Für diese Funktionen und die Recherche-Möglichkeit erscheint die Speicherung der Daten bis maximal zehn Jahre als sinnvoll und zeitlich i.S.v. Art. 4 Abs. 2 DSG ver- hältnismässig, zumal sie mit der Aufbewahrungspflicht für Geschäftsbücher nach Art. 958f OR korres- pondiert.
5.6.6 Beurteilung der zeitlichen Verhältnismässigkeit von Bicicletta aus Sicht des EDÖB Für Bicicletta ist folgende Speicherdauer vorgesehen: Von dort wer- den sie an Bicicletta geliefert, wo sie bis zum nächsten Berechnungslauf gespeichert werden Die eingelösten Angebote werden nach Ablauf der Kampagne zehn Jahre aufbewahrt. Die Transaktionen von eingelösten Angeboten werden maximal zehn Jahre aufbewahrt. Wenn ein Kunde sich von Bicicletta abmeldet, werden die Stammdaten, die Kundennummer und die relevanten Transaktionen und Angebote weiterhin gemäss den buchhalterischen Kriterien gespeichert (Art. 958f OR). Alle anderen Daten werden gelöscht resp. die berechneten Daten werden auf null gesetzt, wenn sie nicht mehr gebraucht werden, d.h. nach Abwicklung aller für die Durchführung der Abmeldung notwendigen Arbeitsschritte. Die Datenbearbeitung ist damit zeitlich i .S.v. Art. 4 Abs. 2 DSG verhält- nismässig.
18/36
Sowohl bei E-Cockpit als auch Bicicletta ist die Datenbearbeitung i.S.v. Art. 4 Abs. 2 DSG zeit- lich verhältnismässig.
5.7 Zweckbindung der Datenbearbeitung 5.7.1 Ausgangslage Personendaten dürfen nur für den Zweck bearbeitet werden, welcher bei der Beschaffung angegeben worden ist oder der aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Verwendungszweck der Daten muss bereits bei der Datenbeschaffung ersichtlich sein oder sonst feststehen. Ein Sammeln und weiteres Bearbeiten von Daten – quasi auf „Vorrat“ – ohne dass ein bestimmter Zweck feststeht oder angegeben wird, ist unzulässig. Wird vom ursprünglich angege- benen oder aus den Umständen ersichtlichen Zweck abgewichen, sind die betroffenen Personen dar- über zu informieren. Die Zweckbindung der Datenbearbeitung ist auch bei der Weitergabe der Daten einzuhalten.
Es soll nachfolgend überprüft werden, ob durch die Datenbearbeitung im Zusammenhang mit E- Cockpit und mit Bicicletta der Datenschutzgrundsatz der Zweckbindung nach Art. 4 Abs. 3 DSG ver- letzt wird.
5.7.2 Beurteilung der Zweckbindung bei E-Cockpit aus Sicht des EDÖB Die Bearbeitung der Konto- und Transaktionsdaten für E-Finance hat in erster Linie den Zweck, die Abwicklung des Bankgeschäftes über Datenleitungen zu ermöglichen. Der Kunde soll zeit- und orts- unabhängig Online-Zugriff auf seine Konten und Kontobewegungen haben.
E-Cockpit stellt innerhalb des E-Finance-Portals einen zusätzlichen Service dar, welcher die über PostFinance abgewickelten Zahlungen eines Privatkunden anhand zusammenzählt und grafisch darstellt (Kuchendiagramm). E-Cockpit umfasst zudem eine Archivierungs- und Recherche-Tool und erlaubt dem Privatkunden, Sparziele oder Budgets zu definieren und Meldungen einzurichten. Solange sich die Datenbearbeitung von E-Cockpit auf die Funktionen Darstellung, Archivierung und Recherche beschränkt, liegt sie noch im ursprünglichen Zweck der Abwicklung des Bankgeschäftes über Daten- leitungen. Auch die Zusatzfunktionen wie Definition von Sparzielen und Budgets oder Meldungen be- wegen sich noch in diesem Bereich. Es kann deshalb festgehalten werden, dass E-Cockpit in der beschriebenen Form den Zweckbindungsgrundsatz von Art. 4 Abs. 3 DSG nicht verletzt.
19/36
5.7.3 Beurteilung der Zweckbindung bei Bicicletta aus Sicht des EDÖB Bei Bicicletta werden aus PostFinance-Zahlungsverkehrsdaten eines Privatkunden Erkenntnisse ge- zogen. Mittels Algorithmen werden die Wahrscheinlichkeit, dass ein Privatkunde in einem bestimmten Zeitraum in einer bestimmten Branche einkaufen wird (Affinität), bei den verschiedenen Geschäftskunden der Branche berech- net. Die Berechnungen haben zum Zweck, dem entsprechenden Kunden zielgruppenspezifische An- gebote von Dritten (Geschäftskunden von PostFinance) anzuzeigen. Diese Datenbearbeitung stellt eine Zweckänderung i.S.v. Art. 4 Abs. 3 DSG dar. Insofern wird durch die Bearbeitung der PostFi- nance-Kundendaten im Zusammenhang mit Bicicletta der Zweckbindungsgrundsatz nach Art. 4 Abs. 3 DSG verletzt.
Mit E-Cockpit in der heutigen Ausgestaltung wird der Zweckbindungsgrundsatz von Art. 4 Abs. 3 DSG nicht verletzt. Bicicletta als Marketingfunktion für Geschäftskunden von PostFinance verletzt jedoch den Zweckbindungsgrundsatz nach Art. 4 Abs. 3 DSG.
5.8 Datenrichtigkeit 5.8.1 Ausgangslage Jeder Datenbearbeiter hat sich über die Richtigkeit der Personendaten zu vergewissern (Art. 5 Abs. 1 DSG). Vergewissern bedeutet, dass die Richtigkeit von Personendaten abzuklären ist. Der Datenbe- arbeiter hat alle angemessenen Massnahmen zu treffen, damit die Daten berichtigt oder vernichtet werden, die im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung unrichtig oder unvollstän- dig sind. Werden unrichtige Daten bearbeitet, so kann dies zu erheblichen Beeinträchtigungen der betroffenen Personen führen. Dabei können an sich geringfügige Fehler bereits bedeutsame Auswir- kungen haben (Botschaft DSG BBl 1988 II 450).
Nachfolgend soll geprüft werden, ob die Datenbearbeitung in E-Cockpit und in Bicicletta den Anforde- rungen an die Datenrichtigkeit entspricht.
5.8.2 Beurteilung der Datenrichtigkeit bei E-Cockpit und Bicicletta aus Sicht des EDÖB Im Rahmen von E-Cockpit werden die über PostFinance abgewickelten Transaktionen eines Privat- kunden auf die vordefinierten Einnahmen- und Ausgabenkategorien automatisch aufgeteilt resp. zu- geordnet. Sofern der Privatkunde keine andere Regel definiert hat, wird die Zuteilung zu einer Katego- rie aus den abgeleitet, welche unabhängig von E-Cockpit bestehen. PostFinance hat dafür zahlreiche Haupt- und Unterkate-
20/36
gorien vorgesehen (vgl. dazu Ziff. 8.6 der Sachverhaltsfeststellung vom 11. März 2015). E-Cockpit im heute zu beurteilenden Zustand steht ausschliesslich den E-Finance-Kunden zur Verfügung. PostFi- nance nutzt die Daten weder für eine personenbezogene Auswertung, noch werden Affinitäten u.Ä. berechnet; es werden auch keine E-Cockpit-Daten an Dritte weitergegeben. Falls eine automatische Zuordnung nicht korrekt oder gar nicht erfolgt, kann der Kunde jederzeit „nachhelfen“, indem er eigene Regeln vornimmt resp. die automatische Zuordnung übersteuert. Unkorrekte Zuordnungen haben keine weiteren Beeinträchtigungen zur Folge für die betroffenen Personen, da die Daten ausschliess- lich ihnen zur Verfügung stehen. Aus diesen Gründen wird bei E-Cockpit der Datenrichtigkeit i.S.v. Art. 5 Abs. 1 DSG genüge getan.
Bei Bicicletta wird aus kategorisierten E-Cockpit-Daten und den Stammdaten die statistische Wahrscheinlichkeit, dass ein Privatkunde in einem bestimmten Zeitraum in einer bestimmten Branche einkaufen wird (Affinität), der bei den verschiedenen Geschäftskunden der Branche berechnet. Im Unterschied zu E-Cockpit, wo die vom Privatkunden übersteuerten Stan- dardkategorisierungen berücksichtigt werden, übernimmt Bicicletta die individuellen Änderungen nicht und (vgl. Ziff. 8.6 der Sachverhaltsfest- stellung vom 11. März 2015). Gemäss PostFinance muss als Berechnungsgrundlage von Standard- Kategorien ausgegangen werden, damit die Ergebnisse mit anderen Kunden vergleichbar sind. Die Resultate der Berechnungen werden in der Bicicletta-Datenbank gespeichert. Art. 5 Abs. 1 DSG ver- pflichtet PostFinance, sich über die Richtigkeit der Personendaten zu vergewissern. Bei Bicicletta ist dies grundsätzlich nicht möglich, da den berechneten Daten eine gewisse Ungenauigkeit inhärent ist. Es handelt sich hier um Wahrscheinlichkeiten, ob ein betroffener PostFinance-Kunde einer bestimm- ten Zielgruppe resp. Branche angehört oder nicht. Obwohl PostFinance ein Interesse daran hat, dass die betroffenen Kunden effektiv zu der berechneten Zielgruppe gehören, ist eine Abklärung i.S.v. Art 5 Abs. 1 DSG nicht möglich. Es liegt deshalb eine Verletzung von Art. 5 Abs. 1 DSG vor.
Zusammenfassend kann gesagt werden, dass in E-Cockpit den Anforderungen an die Daten- richtigkeit gemäss Art. 5 Abs. 1 DSG genüge getan wird, da die Daten ausschliesslich den je- weiligen Kunden zur Verfügung stehen und diese selbständig Korrekturen anbringen können. Den berechneten Ergebnissen in Bicicletta ist eine gewisse Ungenauigkeit inhärent, weshalb Art. 5 Abs. 1 DSG verletzt wird.
5.9 Datensicherheit 5.9.1 Ausgangslage Gemäss Art. 7 Abs. 1 DSG müssen Personendaten durch angemessene technische und organisatori- sche Massnahmen gegen unbefugtes Bearbeiten gesichert werden. Konkretisiert werden diese Anfor-
21/36
derungen in Art. 8 ff. der Verordnung zum Bundesgesetz über den Datenschutz vom 14. Juni 1993 (VDSG; SR 235.11). Zu gewährleisten sind insbesondere die Vertraulichkeit, die Verfügbarkeit sowie die Integrität der Personendaten. Diese Anforderungen sind dann nicht mehr gewährleistet, wenn ein unberechtigter Dritter auf die Daten zugreifen oder manipulieren könnte. Die Datensicherheit liegt in der Verantwortung derjenigen Stelle, welche die Datenherrschaft über die Personendaten innehat.
Nachfolgend ist zu prüfen, ob die Bearbeitung der Personendaten von PostFinance im Zusammen- hang mit E-Cockpit und Bicicletta den Anforderungen an die Datensicherheit genügt.
5.9.2 Beurteilung der Datensicherheit aus Sicht des EDÖB Den Zugang zu den Datenbanken von E-Cockpit und Bicicletta haben diejenigen PostFinance- Mitarbeiter, welche diesen für ihre Aufgabe benötigen.
Abhängig von der Klassifizierung sind Graphical User Interface (GUI), Applikation sowie Datenbank in einer getrennten Netzwerkzone installiert. Die Applikation ist in der Applikationszone und die Datenbank in der Secure- Zone installiert. Sie befinden sich in den Rechenzentren von PostFinance in Bern und Zofingen. Die Netzwerkzonen werden durch dezidierte Firewalls geschützt und überwacht. Für die Verbindungen zwischen den Netzwerkzonen können nur definierte und freigegebene Ports und Netzwerkprotokolle verwendet werden. Die jeweiligen Netzwerkzonen werden mit unterschiedlichen Monitoring Aktivitäten (z.B. IDS, Stateful Inspection etc.) Realtime überwacht. Für diese Zonen bestehen keine öffentlichen Zugänge. Speziell berechtigte PostFinance-Mitarbeiter (Datenbank Administrator, Applikationsmana- ger) haben hier für technische Wartung Zugriff. Mitarbeitende müssen einen Auftrag dafür haben (z.B.
22/36
Organisatorische Massnahmen zur Sicherstellung der Datensicherheit sind beispielsweise Gremien zur Bestimmung und Umsetzung der Datensicherheit, interne Kontrollen, Rollenkonzepte pro Applika- tion, Klassifizierung von Informationen, Durchführung von Schutzbedarfsanalysen bei Vorliegen sensi- tiver Informationen resp. Personendaten, regelmässige Kontrollen der Zugriffsberechtigungen etc. Details werden in Ziff. 10.2 der Sachverhaltsfeststellung vom 11. März 2015 beschrieben.
Die Berechtigungen werden „Need-to-Know“-basierend und rollenbasiert vergeben.
Zur Gewährleistung der Datensicherheit dienen weiter die Richtlinien und Handbücher, die für die gesamte PostFinance gelten.
Die von PostFinance getroffenen technischen und organisatorischen Massnahmen sind geeig- net, die E-Cockpit- und die Bicicletta-Daten gegen unbefugtes Bearbeiten i.S.v. Art. 7 Abs. 1 DSG i.V.m. Art. 8 ff VDSG zu sichern.
5.10 Rechtfertigung der Persönlichkeitsverletzung 5.10.1 Ausgangslage
23/36
Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch eine gesetzliche Grundlage gerechtfertigt ist (Art. 13 Abs. 1 DSG).
Wie vorangehend ausgeführt, liegt aufgrund der Datenbearbeitung entgegen Art. 4 und Abs. 5 Abs. 1 DSG eine Persönlichkeitsverletzung nach Art. 12 Abs. 2 lit. a DSG vor. Es sind deshalb nachfolgend Rechtfertigungsgründe zu prüfen. Das Bundesgericht hat im Urteil BGE 136 II 508 vom 8. September 2010, E.5.2.4, zu den Rechtfertigungsgründen betreffend Art. 12 Abs. 2 lit. a DSG folgendes festge- halten: Eine strikt systematische Auslegung, wonach lediglich bei lit. b und c, nicht aber bei lit. a von Art. 12 Abs. 2 DSG das Geltendmachen eines Rechtfertigungsgrunds zulässig sein soll, erweist sich als verfehlt. Art. 12 Abs. 2 lit. a DSG ist daher so auszulegen, dass eine Rechtfertigung der Bearbei- tung von Personendaten entgegen der Grundsätze von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG zwar nicht generell ausgeschlossen ist, dass Rechtfertigungsgründe im konkreten Fall aber nur mit grosser Zurückhaltung bejaht werden können.
Als Rechtfertigung für die Datenbearbeitung im Zusammenhang mit E-Cockpit und Bicicletta kommt im vorliegenden Fall die Einwilligung der betroffenen Personen in Frage.
Wann eine gültige Einwilligung vorliegt, bestimmt Art. 4 Abs. 5 Satz 1 DSG, wonach die Einwilligung nach angemessener Information freiwillig erfolgen muss.
Das Erfordernis einer angemessenen Information will erreichen, dass die betroffene Person ihre Ein- willigung in Kenntnis der Sachlage gibt, d.h. erst entscheiden muss, wenn sie sich ein Bild (auch) über die möglichen negativen Folgen ihrer Einwilligung machen konnte. Erforderlich, aber auch genügend ist letztlich, dass sich die betroffene Person im Klaren darüber sein kann, worin sie einwilligen soll, d.h. was die Tragweite ihrer Entscheidung ist. Je nach Situation wird eine Aufklärung erforderlich sein, die nicht nur auf die Umstände der Datenbearbeitung, sondern auch auf ihre wichtigsten möglichen Risiken bzw. Folgen für die betroffene Person hinweist, insbesondere wenn diese schwerwiegend sind. Eine Einwilligung muss freiwillig erfolgen, das heisst Ausdruck des freien Willens der betroffenen Person sein. Ungültig ist die durch Täuschung, Drohung oder Zwang zustande gekommene Einwilli- gung. Der betroffenen Person muss eine – mit nicht unzumutbaren Nachteilen behaftete – Hand- lungsalternative zur Verfügung stehen (vgl. BVGer A-3907/2008 E. 4.2).
5.10.2 Beurteilung der Einwilligung für E-Cockpit aus Sicht des EDÖB Kunden werden auf einer Zwischenseite nach dem Log-In auf die neuen TNB zu E-Finance aufmerk- sam gemacht. Diese sind per Link für den Kunden einsehbar und müssen durch Setzen eines Häk- chens akzeptiert werden. Es stellt sich hier die Frage, wie diese Akzeptanz der Kunden bezüglich E- Cockpit zu werten ist.
Auf der Zwischenseite wurde informiert, dass u.a. die bisher separaten TNB zu E-Cockpit neu in die TNB zu E-Finance integriert wurden. In diesen neuen TNB wird über die Datenbearbeitung im Zu-
24/36
sammenhang mit E-Cockpit in Ziff. 11 und Ziff. 19 informiert. Mit diesen Massnahmen erfolgt die In- formation zu E-Cockpit grundsätzlich angemessen, die betroffenen Personen können die Folgen bei einer Einwilligung in Bezug auf E-Cockpit abschätzen (zu den Ausführungen vgl. Ziff. 5.5.2 dieses Schlussberichtes). Es ist also zu prüfen, ob mit der Akzeptanz der neuen E-Finance TNB die Einwilli- gung zu E-Cockpit freiwillig erfolgt ist. Seit dem 12. Oktober 2014 haben alle Kunden, welche die neu- en TNB bis anhin noch nicht akzeptiert haben, die Möglichkeit, die neuen TNB vollumfänglich zu ak- zeptieren oder die neuen TNB zu akzeptieren, aber auf die Analyse von Personendaten zu Marketing- zwecken zu verzichten. Ein Verzicht auf E-Cockpit ist jedoch nicht möglich, da E-Cockpit nach dem Willen von PostFinance ein fester Bestandteil von E-Finance sein soll. Will ein betroffener Kunde der Datenbearbeitung von E-Cockpit nicht zustimmen, muss er von E-Finance ausscheiden, da er die neuen TNB zu E-Finance nur als Ganzes annehmen kann. Ein Ausscheiden hat zur Folge, dass der Kunde keinen elektronischen Zugang mehr zu seinen PostFinance-Konten hat. Die E-Finance-Kunden müssen in dem Fall ihre Zahlungsaufträge mittels Zahlungsformular auf dem Postweg erledigen oder an den Postschalter gehen. Vor diesem Hintergrund ist zu beachten, dass die PostFinance in den letzten Jahren das System des elektronischen Zahlungsverkehrs permanent ausgedehnt hat, wohin- gegen die Infrastruktur für den Barzahlungsverkehr eher abgebaut wurde, da sie aufwändig und teuer ist (vgl. auch Botschaft zum Postgesetz, Ziff. 5.2.2, S. 5204-5205). Diese Entwicklung wird sich in den nächsten Jahren wohl fortsetzen. Desweitern ist zu beachten, dass Privatkunden von reinen elektroni- schen Konten (wie z.B. das E-Sparkonto), welche nur über das E-Finance verfügbar sind, keine Alter- native zu E-Finance haben, um diese Konten führen zu können. Daraus folgt, dass bei Ablehnung der neuen E-Finance-TNB für die Kunden keine zumutbaren Handlungsalternativen zur Verfügung stehen. Mit der Annahme der neuen TNB zu E-Finance werden die Kunden auch gezwungen, die Datenbear- beitung im Zusammenhang mit E-Cockpit zu akzeptieren. Da für E-Cockpit keine Verzichtsmöglichkeit gegeben ist, liegt keine Freiwilligkeit i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor. Für E-Cockpit liegt folglich keine gültige Einwilligung i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor.
5.10.3 Beurteilung der Einwilligung für Bicicletta aus Sicht des EDÖB Wie vorne ausgeführt (vgl. Ziff. 5.4.3 dieses Schlussberichtes), werden bei der Datenbearbeitung im Zusammenhang mit Bicicletta nach Ansicht des EDÖB Persönlichkeitsprofile bearbeitet. Die Einwilli- gung muss in diesem Fall nach Art. 4 Abs. 5 Satz 2 DSG ausdrücklich erfolgen und dem Inhaber der Datensammlung obliegt eine erweitere Informationspflicht nach Art. 14 DSG.
Es ist zunächst zu prüfen, ob mit der Akzeptanz der neuen E-Finance TNB die Einwilligung zu Biciclet- ta erfolgt ist. Nach Art. 4 Abs. 5 Satz 2 DSG muss bei der Bearbeitung von besonders schützenswer- ten Personendaten oder von Persönlichkeitsprofilen die Einwilligung ausdrücklich erfolgen. Ausdrück- lich ist die Einwilligung, wenn die Zustimmung der betroffenen Person sich ausdrücklich auf die Bear- beitung dieser Daten bezieht. Seit dem 12. Oktober 2014 haben die E-Finance-Kunden auf der Zwi- schenseite nach dem Einstieg in E-Finance die Wahlmöglichkeiten, entweder die TNB zu akzeptieren und von Angebote von Dritten zu profitieren oder die TNB zu akzeptieren, jedoch auf die Analyse von Personendaten zu Marketingzwecken und damit auf Angebote von Dritten zu verzichten. Diese Wahlmöglichkeiten werden allen Kunden zur Verfügung gestellt, welche bis zum 12. Oktober 2014 noch nicht in E-Finance eingestiegen sind resp. die neuen TNB zu E-Finance noch nicht angenom-
25/36
men haben. Die betroffenen Personen haben damit die Möglichkeit, klar und deutlich zum Ausdruck zu bringen, ob sie mit der Datenbearbeitung im Zusammenhang mit Bicicletta einverstanden sind. Die Zustimmung erfolgt zudem i.S.v. Art. 4 Abs. 5 Satz 1 DSG freiwillig, da die betroffenen Personen sich ohne Nachteile gegen die Bearbeitung ihrer Daten zwecks Bicicletta aussprechen können. Folglich liegt in diesen Fällen eine ausdrückliche Einwilligung i.S.v. Art. 4 Abs. 5 Satz 2 DSG vor.
Alle anderen Kunden, welche bereits vor dem 12. Oktober 2014 die TNB akzeptiert hatten, hatten diese Wahlmöglichkeit auf der Zwischenseite von E-Finance nicht unmittelbar. Die Erklärung erfolgte zwar auch freiwillig i.S.v. Art. 4 As. 5 Satz 1 DSG, da die betroffenen Personen sich jederzeit nach- träglich von Bicicletta abmelden können („Opt-Out“; vgl. Ziff. 20 TNB E-Finance und vorne Ziff. 5.5.3 dieses Schlussberichtes mit Anmerkungen). Wie im letzten Satz von Ziff. 20 der TNB zu E-Finance informiert wird, geht PostFinance bis zur Verzichtserklärung einer betroffenen Person vom Einver- ständnis des Privatkunden aus. Die Einwilligung zur Datenbearbeitung im Zusammenhang mit Bicic- letta darf sich aber eben nicht implizit ergeben. Mit der globalen Akzeptanz der neuen TNB zu E- Finance geht daher nicht ausdrücklich die Zustimmung der betroffenen Personen zur Datenbearbei- tung im Zusammenhang mit Bicicletta einher. Für Kunden, welche vor dem 12. Oktober 2014 die TNB in der beschriebenen Form akzeptiert haben, liegt deshalb keine ausdrückliche Einwilligung i.S.v. Art. 4 Abs. 5 Satz 2 DSG vor.
Des Weiteren sieht Art. 14 DSG eine erweitere Informationspflicht bei der Beschaffung von Persön- lichkeitsprofilen vor. In diesem Fall muss der Inhaber der Datensammlung die betroffene Person aktiv über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen informieren. Dabei ist der betroffenen Person nach Art. 14 Abs. 2 DSG mindestens mitzuteilen, a. der Inhaber der Datensammlung, b. der Zweck des Bearbeitens, c. die Kategorien der Datenempfänger, wenn eine Datenbekanntgabe vorgesehen ist. Zu prüfen ist zunächst, ob mit Ziff. 25 der Allgemeinen Geschäftsbedingungen (AGB) zu PostFinance, die für alle PostFinance-Kunden gilt, angemessen i.S.v. Art. 14 DSG informiert wird (vgl. Ziff. 6 der Sachverhaltsfeststellung vom 11. März 2015). Hier wird u.a. die Zustimmung des Kunden eingeholt, dass PostFinance die ihr zur Verfügung stehenden Kundendaten mit technischen Mitteln auswerten darf. Und weiter: „Die Analyse dient der laufenden Verbesserung der Dienstleistungen und im Verhältnis zum einzelnen Kunden zur Auslösung von Be- treuungshinweisen [...] und deren Unterbreitung von bedürfnisgerechten Angeboten.“ Im Vordergrund steht hier die Erwähnung von „bedürfnisgerechten Angeboten“. In den Antworten zu den Ergänzungs- fragen vom EDÖB vom 5. Dezember 2014 führt PostFinance dazu sinngemäss aus, dass damit ban- kenspezifische Produkte und Dienstleistungen gemeint sind. Kunden sollen mit „spezifischen Markt- bearbeitungsmassnahmen über Sparpotenziale und eine optimierte Dienstleistungsnutzung informiert werden“ können. Bei Bicicletta geht es allerdings um die Analyse von Transaktionsdaten mit dem Ziel, E-Finance-Kunden zielgerichtete Werbung von Dritten (Geschäftskunden) anzuzeigen. Ziff. 25 der AGB zu PostFinance genügt deshalb nicht als Information i.S.v. Art. 14 DSG. Spezifisch informiert wird aber in Ziff. 11 und Ziff. 20 der TNB zu E-Finance, welche auf der Zwischenseite nach dem Log- In verlinkt sind und vom Kunden eingesehen werden können. Die Funktionsweise von Bicicletta wird hier genügend transparent dargestellt (vgl. auch Ziff. 5.5.3 dieses Schlussberichtes); auch gehen der Inhaber der Datensammlung und der Zweck der Bearbeitung direkt aus den Informationen oder aus den Umständen hervor. Der Kunde versteht, dass seine Transaktionsdaten analysiert werden, um ihm
26/36
zielgerichtete Werbung von Drittanbietern auf dem E-Finance-Portal aufzuschalten, falls er Bicicletta nutzen will. Es wird ihm auch genügend transparent mitgeteilt, wie Bicicletta funktioniert. PostFinance kommt damit seiner Informationspflicht gemäss Art. 14 DSG genügend nach.
Zusammenfassend liegt für E-Cockpit – vor dem Hintergrund, dass den Kunden keine echte Handlungsalternative gegeben ist – wegen fehlender Verzichtsmöglichkeit keine gültige Einwil- ligung i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor.
Da in Bicicletta Persönlichkeitsprofile bearbeitet werden, muss die Einwilligung gemäss Art. 4 Abs. 5 Satz 2 DSG ausdrücklich sein. Diese liegt für Kunden, welche ab dem 12. Oktober 2014 auf der Zwischenseite nach dem Einstieg in E-Finance Bicicletta gewählt haben, vor. Für alle anderen Kunden gilt, dass die globale Akzeptanz der neuen TNB zu E-Finance keine ausdrück- liche Zustimmung zu Bicicletta mitumfasst. Für die Beschaffung von Persönlichkeitsprofilen sieht Art. 14 DSG zudem eine erweiterte Informationspflicht vor, welcher PostFinance aber genügend nachkommt.
5.11 Auskunftsrecht 5.11.1 Ausgangslage Gemäss Art. 8 DSG kann jede Person vom Inhaber einer Datensammlung Auskunft darüber verlan- gen, ob Daten über sie bearbeitet werden. Der Inhaber der Datensammlung muss der betroffenen Person mitteilen:
alle über sie in der Datensammlung vorhandenen Daten einschliesslich der verfügbaren An- gaben über die Herkunft der Daten; den Zweck und gegebenenfalls die Rechtsgrundlagen des Bearbeitens sowie die Kategorien der bearbeiteten Personendaten, der an der Sammlung Beteiligten und der Datenempfänger.
Lässt der Inhaber der Datensammlung Personendaten durch einen Dritten bearbeiten, so bleibt er auskunftspflichtig. Der Dritte ist auskunftspflichtig, wenn er den Inhaber nicht bekannt gibt oder dieser keinen Wohnsitz in der Schweiz hat. Die Auskunft ist in der Regel schriftlich, in Form eines Ausdrucks oder einer Fotokopie sowie kostenlos zu erteilen. Der Bundesrat regelt die Ausnahmen.
Wird die Auskunft verweigert, eingeschränkt oder aufgeschoben, muss nach Art. 9 Abs. 4 DSG hierfür ein Grund angegeben werden.
Bis zum Zeitpunkt der Sachverhaltsfeststellung sind bei PostFinance keine Auskunftsbegehren einge- gangen, welche spezifisch auf E-Cockpit oder Bicicletta abzielen. Ein allgemein abgefasstes Muster für eine Auskunftserteilung liegt dem EDÖB vor. Es werden darin die verschiedenen Angaben i.S.v. Art. 8 DSG gemacht. Es ist vorgesehen, dieses Schreiben, auf den jeweiligen Auskunftsersuchenden
27/36
angepasst, als Antwort zuzustellen. Dem Schreiben wird zusätzlich das Datenblatt der Stammdaten des Kunden (Basisdaten) beigelegt (ein Muster liegt dem EDÖB vor).
5.11.2 Beurteilung aus Sicht des EDÖB Was die Auskunftserteilung von E-Cockpit-Daten anbelangt, hat der E-Finance-Kunde über das Onli- ne-Portal jederzeit die Möglichkeit, die in E-Cockpit kategorisierten Daten einzusehen und erkennt die von PostFinance bearbeiteten Kategorien. In diesem Sinne ist diese Datenbearbeitung für den Kun- den transparent (vgl. Art. 4 Abs. 4 DSG) und muss dem Kunden nicht separat mit der Auskunftsertei- lung detailliert mitgeteilt werden. Die Angaben, welche in der schriftlichen Auskunftserteilung von PostFinance gemacht werden, sind i.S.v. Art. 8 DSG für E-Cockpit deshalb genügend.
Die Zuordnung der Privatkunden in entsprechende Affinitäten resp. die Zuordnung zu einer bestimm- ten Branche, in einer bestimmten Branche stellen wesentliche Komponenten im Zusammenhang mit der Datenbearbeitung von Biciclet- ta dar. Die den Transaktionen, z.B. im E-Cockpit, detail- liert einsehbar. Der Kunde hat hier die Möglichkeit, die Suchfunktion so einzustellen, dass er über einen beliebigen Zeitraum sowohl seine Kaufhäufigkeit als auch die Kaufbeträge einsehen kann. Die- se Datenbearbeitung erfolgt insofern für den Kunden transparent (vgl. Art. 4 Abs. 4 DSG). Die Daten werden in der höchstens kurzfristig gespeichert (vgl. Ziff. 9.8 dieses Schlussberichtes). Die Affinitäten werden mittels Algorithmen berechnet, aller- dings erst, wenn eine entsprechende Anfrage eines Geschäftskunden von PostFinance erfolgt. Sie ändern sich folglich ständig, und die Berechnungen werden anschliessend wieder gelöscht. PostFi- nance hat bewusst auf eine Historisierung oder Aufbewahrung dieser Daten verzichtet, was unter dem Aspekt der Verhältnismässigkeit (Art. 4 Abs. 2 DSG) zu begrüssen ist. Mit der schriftlichen Aus- kunftserteilung gibt PostFinance auf allgemeine Weise über die Funktionsweise von Bicicletta bzw. die Verwendung dieser Daten i.S.v. Art. 8 DSG Auskunft. Sofern im Zeitpunkt des Auskunftsgesuches berechnete Daten im Zusammenhang mit Bicicletta in der -Datenbank über die betroffene Person vorhanden sind, müssen diese Daten mit der schriftlichen Auskunftserteilung bekannt gegeben wer- den (vgl. Art. 8 Abs. 2 lit. a DSG). Die genaue Berechnungsweise, wie PostFinance zu diesen Ergeb- nissen gekommen ist, muss nicht bekannt gegeben werden, da diese Information als Geschäftsge- heimnis und deshalb als Einschränkungsgrund i.S.v. Art. 9 Abs. 4 DSG zu verstehen ist. Es genügt, dass PostFinance hier auf allgemeine Weise Auskunft gibt.
Das vorgesehene Verfahren und die Form der Auskunftserteilung von PostFinance entsprechen den Anforderungen von Art. 8 DSG i.V.m. Art. 1 VDSG.
Zusammenfassend entsprechen die Angaben in der schriftlichen Auskunftserteilung bezüglich E-Cockpit und Bicicletta den Anforderungen von Art. 8 DSG. Sofern im Zeitpunkt der Aus- kunftserteilung berechnete Daten im Zusammenhang mit Bicicletta in der -Datenbank über den auskunftsersuchenden Kunden vorhanden sind, sind diese Daten mit der schriftlichen Auskunftserteilung bekannt zu geben (vgl. Art. 8 Abs. 2 lit. a DSG). Das vorgesehene Verfah-
28/36
ren, die Form und der Inhalt der Auskunftserteilung von PostFinance entsprechen den Anfor- derungen von Art. 8 DSG i.V.m. Art. 1 VDSG.
5.12 Datenbekanntgabe an Dritte 5.12.1 Ausgangslage Nach Art. 3 lit. f DSG ist unter Bekanntgabe das Zugänglichmachen von Personendaten wie das Ein- sichtgewähren, Weitergeben oder Veröffentlichen zu verstehen. Mit Dritten ist hier jede andere Person oder Stelle im In- und Ausland gemeint.
5.12.2 Beurteilung aus Sicht des EDÖB E-Cockpit-Daten stehen ausschliesslich den betroffenen Privatkunden zur Verfügung, welche E- Cockpit in ihrem E-Finance-Bereich nutzen wollen. Die Daten werden nicht an Dritte i.S.v. Art. 3 lit. f DSG bekannt gegeben.
Gemäss PostFinance werden den Geschäftskunden in Bicicletta zu keinem Zeitpunkt Kundendaten angezeigt, welche Rückschlüsse auf einen bestimmten Kunden ermöglichen würden. Der Geschäfts- kunde könne auch zu keinem Zeitpunkt erkennen, an welchen Privatkunden eine Gutschrift für ein eingelöstes Angebot erfolgt sei (vgl. dazu und zu weiteren Details des Verfahrens Ziff. 9.7 der Sach- verhaltsfeststellung vom 11. März 2015). PostFinance will bis zum Start von Bicicletta noch weitere Sicherheitsüberlegungen in die Applikation miteinfliessen lassen, um Rückschlüsse auf konkrete Per- sonen zu verhindern. So soll es in der vom Geschäftskunden gewählten Branche und der ausgewähl- ten geografischen Eingrenzung genügend Konkurrenten geben. Auch soll die Mindestanzahl der Kun- den, welche den Selektionskriterien entsprechen, genügend hoch sein (je nach Branche). PostFi- nance wird diese Standards nach der ersten Testphase von Bicicletta definieren und bis zur Einfüh- rung umgesetzt haben. Der EDÖB stellt fest, dass nach heutiger Beurteilung von Bicicletta keine Be- kanntgabe von Personendaten i.S.v. Art. 3 lit. f DSG stattfindet.
Sowohl bei E-Cockpit als auch bei Bicicletta findet keine Bekanntgabe von Personendaten an Dritte i.S.v. Art. 3 lit. f DSG statt.
5.13 Anmeldung der Datensammlung
5.13.1 Ausgangslage
Nach Art. 11a Abs. 3 DSG müssen private Personen Datensammlungen anmelden, wenn:
29/36
Ausnahmen von der Anmeldepflicht von Datensammlungen finden sich in Art. 11a Abs. 5 DSG.
PostFinance gibt im Rahmen von E-Cockpit und Bicicletta aus heutiger Sicht keine Personendaten an Dritte bekannt (vgl. Ziff. 5.12 dieses Schlussberichtes). Da in Bicicletta Persönlichkeitsprofile bearbei- tet werden, wird nachfolgend geprüft, ob die Datenbank von Bicicletta angemeldet werden muss.
5.13.2 Beurteilung aus Sicht des EDÖB Eine Datensammlung ist gemäss Art. 3 lit. g DSG jeder Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Die Resultate aus den Berechnun- gen werden in die PAS-Datenbank übermittelt, ebenso die Stammdaten der Privatkunden zur demo- grafischen Selektion. Die PAS-Datenbank ist somit eine Datensammlung gemäss Art. 3 lit. g DSG, da sie einen Bestand von Personendaten enthält, der nach betroffenen Personen erschliessbar ist. Diese Datensammlung enthält Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG (vgl. Ziff. 5.4.3 dieses Schlussbe- richtes). Nach Art. 11a Abs. 3 DSG ist die Datenbank im Zusammenhang mit Bicicletta daher grund- sätzlich anzumelden. PostFinance hat jedoch eine datenschutzverantwortliche Person i.S.v. Art. 11a Abs. 5 lit. e DSG bezeichnet, weshalb eine Anmeldepflicht entfällt.
Da einerseits keine Daten im Zusammenhang mit E-Cockpit und Bicicletta an Dritte weiterge- geben werden und PostFinance eine datenschutzverantwortliche Person i.S.v. Art. 11a Abs. 5 lit. e DSG bezeichnet hat, entfällt die Anmeldepflicht nach Art. 11a Abs. 3 DSG.
An einer Sitzung zwischen der PostFinance und dem EDÖB und mit Schreiben vom 25. März und vom 13. Mai 2015 noch vor Abschluss dieses Schlussberichtes hat Letzterer seine datenschutzrechtli- chen Bedenken erläutert. PostFinance hat daraufhin mit Schreiben vom 2. April und vom 18. Mai 2015 einige Verbesserungsvorschläge gemacht und deren Umsetzung zugesichert. In den nachfolgenden Ausführungen wird auf diese, wo nötig, detaillierter eingegangen.
Ausgehend von diesem Gesamtbild erlässt der EDÖB zuhanden von PostFinance seine Gesamtbeur- teilun. Bezugnehmend auf die jeweiligen rechtlichen Beurteilungen wird im Folgenden dargelegt, in welchen Punkten die durch die PostFinance im Rahmen von E-Cockpit und Bicicletta durchgeführten
30/36
Datenbearbeitungen verbesserungsbedürftig sind und welche Änderungen vorgenommen werden müssen. Die von PostFinance zugesicherten Änderungsvorschläge wurden anschliessend bereits aufgenommen.
6.1 Daten als Personendaten Sowohl bei E-Cockpit als auch bei Bicicletta werden der Privatkunden von E-Finance bearbeitet. Diese Daten sind bestimmten Personen zuge- ordnet und als solche als Personendaten i.S.v. Art. 3 lit. a DSG zu verstehen.
6.2 Daten als besonders schützenswerte Personendaten E-Cockpit analysiert die der Privatkunden von E-Finance anhand der und teilt sie automatisch einer bestimmten Kategorie zu. Der EDÖB hat festgestellt, dass diese Daten grundsätzlich unabhängig von E-Cockpit bearbeitet werden und sie ausschliesslich den einzel- nen Privatkunden in ihrem E-Finance-Bereich zur Verfügung stehen. PostFinance wertet die Daten nicht für eigene oder fremde Zwecke aus. Es kann festgehalten werden, dass PostFinance mit E- Cockpit in der derzeitigen Ausgestaltung keine besonders schützenswerte Personendaten für eigene Zwecke i.S.v. Art. 3 lit. c DSG bearbeitet.
Bicicletta hat als Grundlage die innerhalb von E-Cockpit bearbeiteten und kategorisierten Daten. Die E-Cockpit-Daten werden in Bicicletta weiterverwendet, um mittels Algorithmen die Wahrscheinlichkeit zu berechnen, ob ein Privatkunde einer bestimmten Zielgruppe angehört, um ihm Angebote von Drit- ten in seinem E-Finance-Bereich anzuzeigen. Es kann festgehalten werden, dass mit den heute be- kannten Kategorien von Daten innerhalb von Bicicletta keine besonders schützenswerte Personenda- ten für eigene Zwecke i.S.v. Art. 3 lit. c DSG bearbeitet werden.
6.3 Daten als Persönlichkeitsprofile Im Zusammenhang mit E-Cockpit bearbeitet PostFinance keine Persönlichkeitsprofile i.S.v. Art. 3 lit. d DSG, solange die Daten ausschliesslich für die Kunden im Zusammenhang mit den Funktionen von E- Cockpit gespeichert werden und sie weder von PostFinance noch von Dritten weiterverarbeitet wer- den. Im Unterschied dazu werden in Bicicletta diese E-Cockpit-Daten analysiert mit dem Ziel, den betroffenen Personen zielgerichtete Werbung in E-Finance einzublenden, weshalb hier von einem Persönlichkeitsprofil gemäss Art. 3 lit. d DSG anzugehen ist.
31/36
6.4 Bearbeitung nach Treu und Glauben / Transparenz PostFinance informiert über die Neuerungen im Zusammenhang mit E-Cockpit und Bicicletta seit dem 12. Oktober 2014 auf der Zwischenseite nach dem Log-In in E-Finance, und die neuen TNB zu E- Finance sind verlinkt. Diese Mittel sind geeignet, um die betroffenen Personen zu erreichen, und für sie genügend sichtbar. In Ziff. 19 und 20 der TNB wird über den Zweck von E-Cockpit und Bicicletta informiert. Zusammenfassend erfolgt die Datenbearbeitung bei E-Cockpit und Bicicletta nach dem Grundsatz von Treu und Glauben gemäss Art. 4 Abs. 2 und ist für die betroffene Person genügend erkennbar.
Hinsichtlich der Abmeldungen von Bicicletta („Opt-Out“) werden die Privatkunden in Ziff. 20 der TNB informiert. Gemäss PostFinance können sich die Kunden nach der Lancierung von Bicicletta innerhalb von E-Finance bei den „Einstellungen“ von Bicicletta wieder abmelden. Eine Information über dieses Vorgehen wird in der Produktebeschreibung von Bicicletta online unter www.postfinance.ch Erwäh- nung finden. Insofern erfolgt die Datenbearbeitung bei Bicicletta nach dem Grundsatz von Treu und Glauben i.S.v. Art. 4 Abs. 2 DSG und der nachträgliche Verzicht („Opt-Out“) ist für die betroffenen Personen genügend transparent.
6.5 Verhältnismässigkeit der Datenbearbeitung 6.5.1 Verhältnismässigkeit in inhaltlicher Hinsicht In der neuen Benutzeroberfläche von E-Finance sind die Funktionen von E-Cockpit im Zuge der Neu- gestaltung der Plattform vollständig integriert worden, d.h. E-Cockpit bildet neu einen festen Bestand- teil für alle Privatkunden von E-Finance, der sich nicht abschalten lässt. Es hat sich aber gezeigt, dass E-Cockpit für eine funktionierende E-Banking-Benutzeroberfläche nicht zwingend erforderlich ist. Die feste Einbindung von E-Cockpit in E-Finance ohne Verzichtsmöglichkeit ist daher inhaltlich i.S.v. Art. 4 Abs. 2 DSG nicht notwendig.
Bei Bicicletta werden aus PostFinance-Zahlungsverkehrsdaten Erkenntnisse gezogen, anhand derer Drittanbieter im E-Finance-Portal den Privatkunden gezielte Angebote in Form von Rabatten unter- breiten können. Bicicletta ist für reine Marketingfunktionen konzipiert worden. Die Datenbearbeitung in diesem Zusammenhang ist für die Funktion von E-Finance nicht notwendig und daher i.S.v. Art. 4 Abs. 2 DSG inhaltlich nicht notwendig.
6.5.2 Verhältnismässigkeit in zeitlicher Hinsicht Für die Funktionen von E-Cockpit und für Bicicletta erscheint die Speicherung der Daten für die Dauer der Kundenbeziehung resp. bis maximal zehn Jahre als sinnvoll und i.S.v. Art. 4 Abs. 2 DSG zeitlich verhältnismässig.
32/36
6.6 Zweck der Datenbearbeitung Solange sich die Datenbearbeitung von E-Cockpit auf die Funktionen Darstellung, Archivierung und Recherche beschränkt, liegt sie noch innerhalb des Zwecks von E-Finance, die Abwicklung des Bank- geschäftes über Datenleitungen zu ermöglichen. Auch die Zusatzfunktionen wie Definition von Spar- zielen und Budgets oder Meldungen bewegen sich noch in diesem Bereich. Es kann deshalb festge- halten werden, dass E-Cockpit in der heute beschriebenen Form den Zweckbindungsgrundsatz von Art. 4 Abs. 3 DSG nicht verletzt.
Bicicletta hat den Zweck, dem entsprechenden Kunden zielgruppenspezifische Angebote von Dritten (Geschäftskunden) zu unterbreiten. Diese Datenbearbeitung stellt eine Zweckänderung i.S.v. Art. 4 Abs. 3 DSG dar. Insofern wird durch die Bearbeitung der PostFinance-Kundendaten im Zusammen- hang mit Bicicletta der Zweckbindungsgrundsatz nach Art. 4 Abs. 3 DSG verletzt (zur Rechtfertigung durch Einwilligung der betroffenen Personen vgl. Ziff. 6.7 dieses Schlussberichtes).
6.7 Rechtfertigung der Persönlichkeitsverletzung Kunden wurden resp. werden auf einer Zwischenseite nach dem Log-In in E-Finance auf die neuen TNB aufmerksam gemacht. Die TNB sind per Link einsehbar und müssen durch Setzen eines Häk- chens akzeptiert werden.
Auf der Zwischenseite wird informiert, dass u.a. die bisher separaten TNB zu E-Cockpit neu in die TNB zu E-Finance integriert wurden, wo v.a. in Ziff. 19 über die Datenbearbeitung im Zusammenhang mit E-Cockpit informiert wird. Mit diesen Massnahmen erfolgt die Information zu E-Cockpit grundsätz- lich angemessen. Ein Verzicht auf E-Cockpit ist jedoch nicht möglich. Will ein betroffener Kunde der Datenbearbeitung von E-Cockpit nicht zustimmen, muss er von E-Finance ausscheiden, da er die neuen TNB zu E-Finance nur als Ganzes annehmen kann. Ein Ausscheiden hat zur Folge, dass der Kunde keinen elektronischen Zugang mehr zu seinen PostFinance-Konten hat. Bei Ablehnung der neuen E-Finance-TNB stehen für die Kunden damit keine zumutbaren Handlungsalternativen zur Ver- fügung. Da für E-Cockpit keine Verzichtsmöglichkeit gegeben ist, liegt keine Freiwilligkeit und folglich keine gültige Einwilligung i.S.v. Art. 4 Abs. 5 Satz 1 DSG vor.
PostFinance hat noch vor Abschluss dieses Schlussberichtes mit Schreiben vom 2. April 2015 bestä- tigt, eine Verzichtsmöglichkeit betreffend E-Cockpit einzuführen. Nach der Einführung der Verzichts- möglichkeit ist die Freiwilligkeit zur Datenbearbeitung im Zusammenhang mit E-Cockpit gegeben und die Einwilligung i.S.v. Art. 4 Abs. 5 Satz 1 DSG gültig.
Vom Erlass einer Empfehlung i.S.v. Art. 29 Abs. 3 DSG kann daher abgesehen werden.
33/36
Bei der Datenbearbeitung im Zusammenhang mit Bicicletta werden nach Ansicht des EDÖB Persön- lichkeitsprofile bearbeitet. Die Einwilligung muss in diesem Fall nach Art. 4 Abs. 5 Satz 2 DSG aus- drücklich erfolgen und dem Inhaber der Datensammlung obliegt eine erweitere Informationspflicht nach Art. 14 DSG. Der Informationspflicht gemäss Art. 14 DSG kommt PostFinance in Ziff. 11 und Ziff. 20 der TNB zu E-Finance genügend nach. Die Funktionsweise von Bicicletta wird hier transparent dargestellt. Seit dem 12. Oktober 2014 haben die E-Finance-Kunden auf der Zwischenseite nach dem Einstieg in E-Finance die Wahlmöglichkeiten, entweder die TNB zu akzeptieren und von Angebote von Dritten zu profitieren oder die TNB zu akzeptieren, jedoch auf die Analyse von Personendaten zu Marketingzwecken und damit auf Angebote von Dritten zu verzichten. Diese Wahlmöglichkeiten wird allen Kunden zur Verfügung gestellt, welche bis zum 12. Oktober 2014 noch nicht in E-Finance einge- stiegen sind resp. die neuen TNB zu E-Finance noch nicht angenommen haben. Alle anderen Kun- den, welche bereits vor dem 12. Oktober 2014 die TNB akzeptiert hatten, hatten diese Wahlmöglich- keiten auf der Zwischenseite von E-Finance nicht unmittelbar. Die Erklärung erfolgte zwar auch freiwil- lig i.S.v. Art. 4 As. 5 Satz 1 DSG, da die betroffenen Personen sich jederzeit nachträglich von Biciclet- ta abmelden können („Opt-Out“; vgl. Ziff. 20 TNB E-Finance und vorne Ziff. 5.5.3 dieses Schlussbe- richtes mit Anmerkungen). Mit der globalen Akzeptanz der neuen TNB zu E-Finance geht aber nicht ausdrücklich die Zustimmung der betroffenen Personen zur Datenbearbeitung im Zusammenhang mit Bicicletta einher. Daher dürfen die Daten von den betroffenen Personen nicht ohne weiteres für Bicic- letta verwendet werden.
PostFinance teilt die Rechtsauffassung des EDÖB bezüglich Bicicletta nicht. Trotzdem hat sie mit Schreiben vom 2. April 2015 bestätigt, bei denjenigen Kunden, die den TNB zu E-Finance ohne unmit- telbare Online-Wahlmöglichkeit zugestimmt haben (also vor dem 12. Oktober 2014), die Einwilligung nochmals einzuholen und nur bei entsprechender Einwilligung eine Datenanalyse zwecks Drittange- boten zu machen. Der EDÖB erachtet dieses Vorgehen als angemessen, zumal bis zum jetzigen Zeitpunkt keine Datenanalysen gemacht wurden und deren erstmalige Durchführung somit in jedem Fall erst nach Vorliegen der nachträglich eingeholten Einwilligung erfolgt.
Vom Erlass einer Empfehlung i.S.v. Art. 29 Abs. 3 DSG kann daher abgesehen werden.
6.8 Datenrichtigkeit In E-Cockpit wird den Anforderungen an die Datenrichtigkeit gemäss Art. 5 Abs. 1 DSG genüge getan, da zusammengefasst die Daten ausschliesslich den jeweiligen Kunden zur Verfügung stehen und diese selbständig Korrekturen anbringen können.
Den berechneten Ergebnissen in Bicicletta ist eine gewisse Ungenauigkeit inhärent, Art. 5 Abs. 1 DSG wird verletzt. PostFinance wird daher angehalten, alle angemessenen Massnahmen zu treffen, die Berechnungen ständig zu verbessern und um falsche Daten laufend zu berichtigen oder zu vernich- ten.
34/36
6.9 Datensicherheit Die von PostFinance getroffenen technischen und organisatorischen Massnahmen sind geeignet, die E-Cockpit- und die Bicicletta-Daten gegen unbefugtes Bearbeiten i.S.v. Art. 7 Abs. 1 DSG i.V.m. Art. 8 ff VDSG zu sichern.
6.10 Auskunftsrecht Die Angaben bezüglich E-Cockpit, welche in der schriftlichen Auskunftserteilung von PostFinance gemacht werden, entsprechen den Anforderungen von Art. 8 DSG.
In Bicicletta stellen die Berechnung der Affinitäten der Privatkunden resp. die Zuordnung zu einer be- stimmten Branche, in einer be- stimmten Branche wesentliche Komponenten im Zusammenhang mit der Datenbearbeitung dar. Diese Informationen werden jedoch grundsätzlich nicht in der Datenbank gespeichert, da sie sich ständig ändern. Falls im Zeitpunkt der Auskunftserteilung berechnete Daten im Zusammenhang mit Bicicletta in der PAS-Datenbank vorhanden sind, sind diese Daten mit der schriftlichen Auskunftserteilung be- kannt zu geben (vgl. Art. 8 Abs. 2 lit. a DSG). Die genaue Berechnungsweise, wie PostFinance zu diesen Ergebnissen gekommen ist, muss nicht bekannt gegeben werden, da diese Information als Geschäftsgeheimnis und deshalb als Einschränkungsgrund i.S.v. Art. 9 Abs. 4 DSG zu verstehen ist.
Das vorgesehene Verfahren, die Form und der Inhalt der Auskunftserteilung von PostFinance ent- sprechen den Anforderungen von Art. 8 DSG i.V.m. Art. 1 VDSG.
6.11 Datenbekanntgabe an Dritte E-Cockpit-Daten stehen ausschliesslich den betroffenen Privatkunden zur Verfügung, welche E- Cockpit in ihrem E-Finance-Bereich nutzen wollen. Die Daten werden nicht an Dritte i.S.v. Art. 3 lit. f DSG bekannt gegeben.
Betreffend Bicicletta werden gemäss PostFinance den Geschäftskunden zu keinem Zeitpunkt Kun- dendaten angezeigt, welche Rückschlüsse auf einen bestimmten Kunden ermöglichen würden. Im heutigen Zeitpunkt ist auch davon auszugehen, dass der Geschäftskunde zu keinem Zeitpunkt erken- nen kann, an welchen Privatkunden eine Gutschrift für ein eingelöstes Angebot erfolgt ist (vgl. dazu und zu weiteren Details des Verfahrens Ziff. 9.7 der Sachverhaltsfeststellung vom 11. März 2015). Somit erfolgt nach heutiger Beurteilung auch in Bicicletta keine Bekanntgabe von Personendaten i.S.v. Art. 3 lit. f DSG.
35/36
6.12 Anmeldung der Datensammlung E-Cockpit erfüllt keine der Voraussetzungen zur Anmeldepflicht gemäss Art. 11a Abs. 3 DSG. Da im Zusammenhang mit Bicicletta regelmässig Persönlichkeitsprofile bearbeitet werden, ist die Daten- sammlung nach Art 11a Abs. 3 lit. a DSG grundsätzlich anmeldepflichtig. PostFinance hat jedoch eine datenschutzverantwortliche Person i.S.v. Art. 11a Abs. 5 lit. e DSG bezeichnet, weshalb die Anmelde- pflicht entfällt.
Der EDÖB gelangt zu einer kritischen Gesamtbeurteilung der Datenbearbeitung im Zusammenhang mit E-Cockpit und Bicicletta. Er ist in seiner Kontrolle auf Sachverhalte gestossen, welche aus daten- schutzrechtlicher Sicht einer Verbesserung resp. Änderung bedürfen. Vorbehältlich der Umsetzung der von PostFinance mit Schreiben vom 2. April 2015 und 18. Mai 2015 zugesicherten Verbesserung kann auf Empfehlungen im Sinne von Art 29. Abs. 3 DSG verzichtet werden.
7.2 Verfahren und weiteres Vorgehen Der vorliegende Kontrollbericht enthält eine Reihe von Feststellungen, welche vom EDÖB auf Basis der durchgeführten Kontrolle verfasst wurden. Der vorliegende Kontrollbericht wird PostFinance zur Kenntnisnahme zugestellt.
Vorbehältlich der von PostFinance mit Schreiben vom 2. April und 18. Mai 2015 zugesicherten Ver- besserungen ist die Sachverhaltsabklärung im Zusammenhang mit E-Cockpit und Bicicletta soweit abgeschlossen. Eine Nachkontrolle der Verbesserungen zu einem späteren Zeitpunkt wird ausdrück- lich vorbehalten.
Es besteht ein grundsätzliches Interesse daran, die Öffentlichkeit für die vorliegende Art der Datenbe- arbeitung zu sensibilisieren und sie insbesondere über die erfolgte Datenschutzkontrolle bei PostFi- nance und die diesbezüglichen Ergebnisse zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB daher den vorliegenden Kontrollbericht in einer angepassten Version publizieren. Selbstver-
36/36
ständlich erfolgt die Publikation unter dem Vorbehalt, dass keine aus Sicht von PostFinance vertrauli- chen Daten, welche Geschäftsgeheimnisse offenbaren oder die Konkurrenzfähigkeit beeinflussen könnten, bekannt gegeben werden. PostFinance wird daher aufgefordert, den Schlussbericht auf sol- che vertraulichen Inhalte hin zu überprüfen und dem EDÖB mit Frist von 30 Tagen entsprechend schriftliche Rückmeldung zu erstatten.
Mit freundlichen Grüssen
Eidgenössischer Datenschutz- und Verfahrensleitender Jurist Öffentlichkeitsbeauftragter
Hanspeter Thür Philipp Gisin