20241023 Schlussbericht vom 11. April 2024 i.S. Ricardo AG und TX Group AG -(Nach Zugangsgewährung gemäss BGÖ ungeschwärzt (Art. 2 VBGÖ))

Zitiert

BGE 142 III 263, BGE 138 II 346, BGE 136 II 508, BGE 134 I 140, BGE 133 I 77, + 7 weitere

Quelle
entscheidsuche.ch

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB

Feldeggweg 1, 3003 Bern Tel. 058 463 74 84, Fax 058 465 99 96 www.edoeb.admin.ch

Schlussbericht

vom 11. April 2024

des

Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB)

betreffend die Bearbeitung von Personendaten von Ricardo-Nutzerinnen und -Nutzern durch Ricardo AG und TX Group AG (alt: Tamedia AG)

gemäss Artikel 29 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG; SR 235.1)

basiert auf der Sachverhaltsfeststellung vom 28. Februar 2020 mit Ergänzungen und Korrekturen vom 12. Mai und 26. September 2023

2/52

Inhaltsverzeichnis

Einführung ........................................................................................................................................ 4 1.1 Ausgangslage ...................................................................................................................... 4 1.2 Entwicklungen im Sachverhalt seit Eröffnung der Sachverhaltsabklärung ......................... 4 1.3 Chronologie ......................................................................................................................... 6 1.4 Gesetzliche Grundlage ........................................................................................................ 7 1.5 Umfang der Sachverhaltsabklärung .................................................................................... 8 2. Feststellungen .................................................................................................................................. 9 2.1 Plattformen von Ricardo und Bedingungen zu deren Nutzung ........................................... 9 2.2 Änderung der Datenschutzerklärung von Ricardo .............................................................. 9 2.3 Umfang und Zweck der Bearbeitung personenbezogener Daten ..................................... 10 2.3.1 Daten, die beim Besuch der Portale erfasst werden ......................................................... 10 2.3.2 Daten, die bei der Registrierung eines Benutzerkontos erfasst werden ........................... 11 2.3.3 Daten, die bei der Nutzung als registrierter Nutzer erfasst werden .................................. 11 2.3.4 Informationen zu Einkäufen und Vertragsschlüssen ......................................................... 12 2.3.5 Daten aus der Teilnahme an Gewinnspielen und Wettbewerben ..................................... 12 2.3.6 Nutzerumfragen und Marktforschung ................................................................................ 13 2.3.7 Standortinformationen ....................................................................................................... 13 2.4 Datenbearbeitungen .......................................................................................................... 14 2.4.1 Mitteilung über die «Datenweitergabe» und deren Zwecke .............................................. 14 2.4.2 Datenbearbeitungen gemäss Datenschutzerklärung vom 9. Juli 2015 ............................. 14 2.4.3 Datenbearbeitungen gemäss Datenschutzerklärung vom 11. Februar 2020 ................... 15 2.4.4 Aktuelle Nutzung und Weitergabe gemäss Ausführungen von Ricardo ........................... 17 2.4.4.1 Zentrale IT-Dienstleistungen der Tamedia AG (neu: TX Group AG) ............................ 17 2.4.4.2 Verknüpfung der Ausgabedaten/Segmente innerhalb der Tamedia (TX) Gruppe ........ 17 2.4.4.3 Datenverarbeitung und -Aufbereitung Ricardo/Tamedia AG (neu: TX Group AG) / DAS AG 18

2.4.5 Anonymisierung/Pseudonymisierung ................................................................................ 20 2.5 Information und Widerspruchsmöglichkeiten .................................................................... 20 2.5.1 Information und Ablauf bei einer neuen Anmeldung/Registrierung bei Ricardo ............... 20 2.5.2 Information über die Änderung der Datenschutzerklärung an die Ricardo-Mitglieder .. 20 2.5.2.1 Datenschutzerklärung vom 27. Juli 2017 ..................................................................... 20 2.5.2.2 Datenschutzerklärung vom 25. Mai 2018 und folgende Versionen ............................. 21 2.5.3 Konkrete Widerspruchsmöglichkeiten und Umsetzung ..................................................... 23 2.6 Relevante Neuerungen zum Sachverhalt nach der Gründung der SMG AG .................... 23 2.6.1 Neu geltende Datenschutzerklärung ................................................................................. 24 2.6.2 CMP ................................................................................................................................... 27 3. Datenschutzrechtliche Beurteilung ................................................................................................ 28 3.1. Bearbeitung von Personendaten und Anwendbarkeit des DSG ....................................... 28 3.1.1. Datenbearbeitungen bei Ricardo und weitere Datenverwendung durch TX Group .......... 28 3.1.2. Begriff Personendaten ....................................................................................................... 28 3.1.3. Vorliegen eines eindeutigen Personenbezugs .................................................................. 29 3.2. Bearbeiten von Persönlichkeitsprofilen ............................................................................. 30 3.2.1. Begriff Persönlichkeitsprofil ............................................................................................... 31 3.2.2. Bearbeitung von Persönlichkeitsprofilen der Ricardo-Nutzenden ..................................... 31 3.3. Ricardo und TX Group als Datenverantwortliche .............................................................. 32 3.4. Bestehen einer Persönlichkeitsverletzung ........................................................................ 33

3/52

3.4.1. Einhaltung der Bearbeitungsgrundsätze (Art. 12 Abs. 2 lit. a DSG) ................................. 33 3.4.2. Bearbeitung der Daten einer Person gegen deren ausdrücklichen Willen (Art. 12 Abs. 2 lit. b DSG) 42

3.4.3. Persönlichkeitsverletzung aufgrund von Datenbearbeitungen, die die Persönlichkeit wesentlich beeinträchtigen ................................................................................................................ 43

3.4.4. Fazit zu den verorteten Persönlichkeitsverletzungen ........................................................ 43 3.5. Rechtfertigungsgründe ...................................................................................................... 44 3.6. Empfehlungen ................................................................................................................... 50 4. Verfahren........................................................................................................................................ 51 4.1. Rechtliches Gehör und weiteres Vorgehen ....................................................................... 51 4.2. Stellungnahmen der Ricardo AG und der TX Group AG .................................................. 51 4.3. Veröffentlichung des Schlussberichts mit Empfehlungen ................................................. 52

4/52

  1. Einführung 1.1 Ausgangslage

  2. Die Tamedia-Gruppe - seit dem 20. Dezember 2019 TX-Gruppe - führte seit Februar 2016 bei zugehörigen Unternehmen schrittweise eine neue, einheitliche Datenschutzerklärung ein. Diese sollte den internen Datenaustausch innerhalb der Gruppe ermöglichen, damit das Online-Erlebnis sowie die Sicherheit verbessert werden. Die Auktionsplattform Ricardo - betrieben von der zur TX-Gruppe gehörenden Gesellschaft Ricardo AG 1 (nachfolgend Ricardo) - hat diese Datenschut- zerklärung im Juli 2017 eingeführt.

  3. Die bestehenden Kunden wurden am 12. Juli 2017 per E-Mail über die Änderung der Daten- schutz-Bestimmungen informiert. Der EDÖB hat Meldungen bzw. Beschwerden von betroffenen Personen erhalten, wonach das Vorgehen von Ricardo nicht transparent sei. Die Betroffenen würden zur Zustimmung, insbesondere zur Datenweitergabe zu Marketingzwecken, genötigt, in- dem ein allfälliger Widerspruch die Auflösung der Mitgliedschaft zur Folge hätte.

  4. Mit Schreiben vom 19. Juli 2017 hat der EDÖB Ricardo gebeten darzulegen, wie sie mit dem ge- wählten Vorgehen die Freiwilligkeit der Einwilligung sicherstellt bzw. über welchen Rechtferti- gungsgrund Ricardo verfügt, um die über den ursprünglichen Zweck hinausgehenden Datenbear- beitungen zu rechtfertigen.

  5. Am 27. Juli 2017 beantwortete der Datenschutzverantwortliche (DPO) von Ricardo das Schreiben des EDÖB, wobei er diese Funktion sowohl bei Ricardo als auch bei der Tamedia AG (neu: TX Group AG) und der gesamten Tamedia-Gruppe (neu: TX-Gruppe) wahrnimmt.

  6. Nach der Stellungnahme von Ricardo sah sich der EDÖB dazu veranlasst, die Angelegenheit ge- nauer zu untersuchen. Er eröffnete mit Schreiben vom 4. September 2017 ein formelles Verfah- ren zur Abklärung des Sachverhalts.

1.2 Entwicklungen im Sachverhalt seit Eröffnung der Sachverhaltsabklärung 6. Im März 2018 stellte der EDÖB den Sachverhalt in einer ersten Fassung fest. Gegenstand waren die im Juli 2017 neu eingeführte Datenschutzerklärung, die diesbezügliche Mitteilung an die Ri- cardo-Mitglieder (d.h. Nutzerinnen und Nutzer, die über einen Account verfügen) sowie Ergeb- nisse aus diversen Abklärungen mit Ricardo. Die Abklärungen bezogen sich auf die von Ricardo beschriebenen Datenbearbeitungen, insbesondere auf den erwähnten Datenaustausch innerhalb der Tamedia-Gruppe zu Marketing- und Sicherheitszwecken. 7. Ricardo nahm zu dieser ersten Fassung am 29. März 2018 Stellung und kündigte eine neue Da- tenschutzerklärung mit diversen Änderungen zur Anpassung an die DSGVO 2 an. Am 25. Mai 2018 hat Ricardo die angepasste Datenschutzerklärung eingeführt. Insbesondere sollte damit dem Datenaustausch innerhalb der Tamedia-Gruppe ab diesem Datum widersprochen werden können. 8. Der EDÖB analysierte in der Folge die überarbeiteten Datenschutzbestimmungen und klärte den Sachverhalt neu ab, um die aktualisierte Sachlage zu berücksichtigen. Die Bearbeitungen von Ricardo-Daten bei der Tamedia AG (insbesondere bei den Abteilungen TDA und DAS 3 ) - d.h. die Datenaufbereitung bzw. die «Aggregierung- und Anonymisierungsprozesse» sowie die Datenver- knüpfung und Segmentierung - wurden näher abgeklärt. 9. Im März 2019 wurde die Datenschutzerklärung von Ricardo bzw. die standardisierte Datenschut- zerklärung der Tamedia AG erneut aktualisiert 4 . Zudem wurde im Rahmen einer Reorganisation

1 Ricardo.ch AG bis zum 25. November 2019. 2 Datenschutz-Grundverordnung der Europäischen Union (EU). 3 Tamedia Data Analytics (TDA) und Digital Advertising Services (DAS). 4 Datenschutzerklärung Ricardo/Tamedia AG vom 30. März 2019.

5/52

die Geschäftseinheit Digital Advertising (DAS) per 1. März 2019 in die selbständige Tochterge- sellschaft Digital Ad Services AG (DAS AG) ausgelagert. 10. Die Ergebnisse der Abklärung sowie die beschriebenen Entwicklungen und Feststellungen mach- ten eine Ausweitung des Verfahrens auf die Tamedia AG notwendig. Die Tamedia AG wurde per 20. Dezember 2019 in die TX Group AG (nachfolgend: TX Group) umfirmiert, und auch Ricardo hat eine Namensänderung erfahren. 5 Daher wurde auch die Datenschutzerklärung vom 11. Feb- ruar 2020 an diese neue Namensgebung angepasst. 11. Am 26. November 2021 informierte der DPO von Ricardo bzw. TX Group den EDÖB über die Gründung der Joint Venture SMG Swiss Marketplace Group AG (nachfolgend: SMG) per 11. No- vember 2021: eine gemeinsam von der TX Group AG, Ringier AG, Mobiliar AG und General At- lantic gehaltene Gesellschaft. Der EDÖB bat Ricardo und TX Group darum, ihm alle relevanten Informationen für die vorliegende Sachverhaltsabklärung mitzuteilen, bzw. offenzulegen, welche Neuerungen oder Änderungen bezüglich der Datenbearbeitungen bzw. Datenflüsse oder bei den Datenverantwortlichkeiten die Umstrukturierung mit sich bringen würde. 6

  1. Mit Schreiben vom 10. Februar 2022 nahm die TX Group dazu Stellung und teilte mit, die an der gegenständlichen Datenbearbeitung beteiligten Akteure würden aus Sicht der betroffenen Nutzer unverändert bleiben. Zudem würden «bis auf Weiteres» keine Daten von Nutzern der ehemaligen TX Markets Produkte mit den Produkten der Scout24 oder mit anderen SMG Aktionären geteilt. Die Geschäftsbereiche der ehemaligen TX Markets Produkte und jenen von Scout24 seien nach wie vor getrennte Geschäftsbereiche, zwischen welchen keine Daten ausgetauscht würden. Es wurde dem EDÖB noch im Rahmen einer Skype-Besprechung im März 2022 zugesichert, dass die Dateninhaber bzw. die Datenverantwortlichen nach der Umstrukturierung immer noch die Gleichen sind (d.h. die Ricardo AG und die TX Group AG) und dass die neuen Akteure (d.h. die Gesellschaften der SMG und deren Aktionäre) keinen Zugriff auf die Nutzerdaten von Ricardo in irgendeiner Form – auch nicht aggregiert oder pseudonymisiert - erhalten bzw. am Datenaus- tausch teilnehmen würden.
  2. In Anbetracht der Ausführungen seitens Ricardo/TX Group, dass die Datenbearbeitungen, Daten- flüsse und Datenverantwortlichkeiten nach der Umstrukturierung unverändert bleiben, wurde folg- lich festgehalten, dass die Sachverhaltsabklärung aus verfahrensrechtlicher Sicht keine Anpas- sung bzw. Ausdehnung erfahren musste.
  3. Nichtsdestotrotz kamen in diesem Zusammenhang für die vorliegende Sachverhaltsabklärung re- levanten Neuerungen vor, welche eine Ergänzung der Sachverhaltsfeststellung erforderlich mach- ten, namentlich die Aufschaltung der neuen Datenschutzerklärung der SMG und der Einsatz einer Consent Management Plattform auf den Webseiten der Gruppe. Diese Neuerungen werden unter Ziff. 2.6 näher beschrieben.
  4. Im Rahmen ihrer Stellungnahme vom 29. Juni 2023 betreffend die Sachverhaltsfeststellung mit Ergänzungen vom 12. Mai 2023 führte Ricardo bzw. SMG aus, dass ein Datenaustausch nunmehr zwischen Ricardo und den anderen SMG-Gesellschaften stattfinde. Der EDÖB stellte auch fest, dass Ziff. 3.9. und 5.1 der Datenschutzerklärung von SMG mittlerweile per 15. Mai 2023 um einen Absatz entsprechend ergänzt wurde. Somit passte der EDÖB den Sachverhalt erneut an, um fest- zuhalten, dass die Ausführungen in Rz. 12 f. offenbar nicht mehr der aktuellen Sachlage entspre- chen.
  5. Der EDÖB hat am 18. Juli 2023 und erneut am 31. August 2023 Ricardo/SMG und die TX Group aufgefordert, Stellung zum ergänzten Sachverhalt zu nehmen. Dabei haben sie präzisiert, dass an die Datenbearbeitung der «TX Group Daten-Angebote» auch die Plattformen, welche mit der Um- strukturierung im November 2021 aus der TX Group AG in die Swiss Marketplace Group AG (SMG) gewechselt haben (bspw. Ricardo, tutti, Carforyou, Homegate), angeschlossen seien. 7 TX Group

5 Seit 25. November 2019 neu Ricardo AG; vgl. Stellungnahme Ricardo/TX Group vom 16. Januar 2020 sowie Datenschutzer- klärung Ricardo/TX Group vom 11. Februar 2020. 6 Schreiben EDÖB 22.12.2021 / 21.01.2022. 7 Vgl. Schreiben TX Group vom 14. September 2023.

6/52

hielt diesbezüglich Folgendes fest: «Abgesehen von der gesellschaftsrechtlichen Umstrukturierung haben sich die Datenbearbeitung und die Datenflüsse im Rahmen der ’TX Group Daten-Angebote’ jedoch nicht geändert. 8 ». Betreffend den «Datenaustausch innerhalb der SMG», welcher in Ziff. 3.9. und 5.1 der Datenschutzerklärung von SMG vorgesehen wird, hat SMG klargestellt, dass dieser mit den Datenbearbeitungen, welche im Rahmen der «TX Group Daten-Angebote» durchgeführt wer- den, nichts zu tun habe. Auch wenn beide Datenbearbeitungen u.a. den Zweck der Profilbildung für die Steuerung gezielter Werbung haben, handele es sich dabei um «zwei technisch wie auch orga- nisatorisch voneinander getrennte Datenbearbeitungen bzw. -weitergaben» 9 . 17. Der EDÖB stellte also fest, dass eine weitere bisher nicht im Rahmen der vorliegenden Sachver- haltsabklärung untersuchte Datenbearbeitung stattfindet. Angesichts des fortgeschrittenen Stands des vorliegenden Verfahrens, hat der EDÖB aus verfahrensökonomischen Gründen darauf verzich- tet , den Sachverhalt in Bezug auf den «Datenaustausch innerhalb SMG» weiter abzuklären und das Verfahren formell auf die Swiss Marketplace Group AG (SMG) oder auf deren Gesellschaften aus- zudehnen. Sollte sich dies als notwendig erweisen, besteht immer noch die Möglichkeit, auf der Grundlage des inzwischen revidierten Gesetzes eine neue Untersuchung einzuleiten und diesen Datenaustausch auf seine Datenschutzkonformität hin zu überprüfen.

1.3 Chronologie 12.07.2017 Mitteilung Änderung Datenschutzerklärung an Ricardo-Mitglieder 19.07.2017 Schreiben EDÖB an Ricardo (Vorabklärung) 27.07.2017 Erste Stellungnahme Ricardo 04.09.2017 Eröffnung Sachverhaltsabklärung durch den EDÖB und Zustellung eines Fragen- kataloges an Ricardo 27.09.2017 Fristerstreckungsgesuch Ricardo 06.11.2017 Beantwortung Fragenkatalog durch Ricardo 06.12.2017 Sitzung mit Vertretern von Ricardo und EDÖB 09.03.2018 Versand Sachverhaltsfeststellung an Ricardo 29.03.2018 Stellungnahme Ricardo zur Sachverhaltsfeststellung 09.05.2018 Mitteilung neue Datenschutzerklärung per 25. Mai 2018 durch Ricardo 25.05.2018 Neue Datenschutzerklärung (Anpassung an DSGVO) 08.10.2018 Ergänzungsfragen betreffend die neue Datenschutzerklärung von 2018 08.11.2018 Fristerstreckungsgesuch Ricardo 08.01.2019 Antwort Ricardo zu den Ergänzungsfragen 18.02.2019 Schreiben EDÖB (Klärungsfragen) 20.03.2019 Antwort Ricardo 30.03.2019 Neue Datenschutzerklärung 08.11.2019 Versand der aktualisierten Sachverhaltsfeststellung an Ricardo/Tamedia AG und formelle Eröffnung der Sachverhaltsabklärung bei Tamedia AG 16.12.2019 Frist Stellungahme Ricardo/Tamedia AG – Fristerstreckung wird gewährt 20.12.2019 Umfirmierung der Tamedia AG in die TX Group AG (nachfolgend: TX Group) 16.01.2020 Stellungnahme Ricardo/ TX Group 11.02.2020 Neue Datenschutzerklärung 28.02.2020 Versand der Sachverhaltsfeststellung an Ricardo/TX Group 25.03.2020 Erneute Stellungnahme Ricardo/TX Group zur Sachverhaltsfeststellung vom 28. Februar 2020 (Diese wurde anschliessend entsprechend angepasst) 28.05.2021 Schreiben an DPO Ricardo/TX Group (mit Ergebnis unserer rechtlichen Auswer- tung) und Einladung zur Skype-Besprechung

8 Ibidem. Vgl. auch Schreiben vom 10. Februar 2022 sowie vom 25. Juli 2023. 9 Vgl. Schreiben TX Group vom 14. September 2023; vgl. auch Schreiben Ricardo AG/SMG vom 14. September 2023

7/52

29.06.2021 Zusendung der rechtlichen Auswertung (Zusammenfassung) bzw. Ausführungen zu unseren rechtlichen Erwägungen und zum verorteten Verbesserungsbedarf 15.07.2021 Skype-Besprechung: Austausch betreffend die rechtliche Auswertung des EDÖB und Darstellung von Neuerungen seitens Ricardo/TX Group (insb. Consent Ma- nagement Plattform, CMP) 03.08.2021 Schreiben Ricardo/TX Group betreffend die Anwendung und Einstellung der CMP 18.08.2021 Zustellung «Legitimate interest assessment» und Löschkonzept der TX Group 31.08.2021 Zustellung der internen Guideline der TX Group zur Konfiguration einer CMP 11.11.2021 Gründung der Joint Venture Swiss Marketplace Group AG (SMG) 26.11.2021 DPO der TX Group informiert den EDÖB über die Gründung der SMG 22.12.2021/ Schreiben des EDÖB: Bitte um relevante Informationen betr. die Umstrukturierung 21.01.2022 und ihre Auswirkungen auf die Sachverhaltsabklärung 10.02.2022 Schreiben der TX Group: Erläuterungen betreffend die neue Organisationsstruktur der SMG, keine Veränderungen der Datenverarbeitungen & Datenflüsse, Darstel- lung von eingeführten datenschutzrechtlichen Massnahmen (Datenschutzerklärung SMG, Datenschutzhinweise für TX-Daten-Angebote, Einführung von CMP) 23.03.2022 Skype-Besprechung betr. Auswirkungen der Umstrukturierung auf die laufende Sachverhaltsabklärung 12.05.2023 Zustellung ergänzter Sachverhaltsfeststellung an Ricardo/TX Group 07.06.2023 Die von TX Group beantragte Fristerstreckung wird bis zum 30.06.2023 gewährt 29.06.2023 Stellungnahme von Ricardo /SMG und TX Group zur ergänzten Sachverhaltsfeststellung vom 12. Mai 2023 18.07.2023 Versand der ergänzten Sachverhaltsfeststellung an Ricardo /TX Group mit Korrek- turen und Ergänzungen nach den Stellungnahmen vom 29. Juni 2023 25 .07.2023 Stellungnahmen Ricardo /SMG und TX Group zur neu ergänzten Sachverhaltsfest- stellung 27.07.2023 Telefonisches Gespräch mit

DPO Ricardo/SMG) 31.08.2023 Schreiben des EDÖB: Bitte um Stellungnahme zu scheinbaren Widersprüchen zwi- schen Bestimmungen der Datenschutzerklärung und Ausführungen von Ricardo und TX Group 14.09.2023 Antwort Ricardo/SMG und TX Group 26 .09.2023 Anpassung und Zustellung der Sachverhaltsfeststellung aufgrund der Stellungnah- men vom 25. Juli und 14. September 2023 11 .04.2024 Versand des Schlussberichts an Ricardo und TX Group 1.4 Gesetzliche Grundlage 18. Seit dem 1. September 2023 gilt das neue Bundesgesetz vom 25. September 2020 über den Da- tenschutz (nachfolgend «nDSG», SR 235.1). Gemäss Art. 70 nDSG gilt das neue Gesetz nicht für Untersuchungen des EDÖB, die im Zeitpunkt des Inkrafttretens hängig sind. Diese Fälle unterste- hen dem bisherigen Recht, weshalb der EDÖB seine rechtliche Beurteilung gestützt auf das Bun- desgesetz vom 19. Juni 1992 über den Datenschutz vorgenommen hat. Mit Blick auf die Fortführung von Datenbearbeitungen, die Gegenstand dieser Sachverhaltsabklärung sind, finden sich in einzel- nen Kapiteln jedoch punktuelle Hinweise darauf, in wie weit die Bestimmungen des nDSG gegen- über dem alten Recht Änderungen vorsehen. 19. Art. 1 bis 15 des Bundesgesetzes vom 19. Juni 1992 über den Datenschutz (DSG, SR 235.1) und Art. 1 bis 12 der Verordnung vom 14. Juni 1993 zum Bundesgesetz über den Datenschutz (VDSG, SR 235.11) sind auf das Bearbeiten von Personendaten durch private Personen anwendbar. Ge- mäss Art. 29 Abs. 1 lit. a DSG kann der EDÖB von sich aus oder auf Meldung Dritter hin einen Sachverhalt näher abklären, wenn Bearbeitungsmethoden geeignet sind, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen (sog. Systemfehler). Gemäss Art. 29 Abs. 2 DSG

8/52

kann er dabei Akten herausverlangen, Auskünfte einholen und sich Datenbearbeitungen vorführen lassen. Aufgrund seiner Abklärungen kann er empfehlen, das Bearbeiten zu ändern oder zu unter- lassen (Art. 29 Abs. 3 DSG). Wird eine solche Empfehlung nicht befolgt oder abgelehnt, kann er die Angelegenheit dem Bundesverwaltungsgericht (BVGer) auf dem Klageweg zum Entscheid vorlegen (Art. 29 Abs. 4 DSG i. V. m. Art. 35 lit. b des Verwaltungsgerichtsgesetzes vom 17. Juni 2005 [VGG, SR 173.32]).

1.5 Umfang der Sachverhaltsabklärung 20. Das vorliegende Verfahren konzentriert sich insbesondere auf die Weitergabe der Daten der Ri- cardo-Nutzenden an TX Group (alt: Tamedia) und deren Verwendung bzw. Verknüpfung mit Daten aus weiteren Quellen zum Zweck der zielgerichteten Werbung, sowie auf die bestehenden Wider- spruchsmöglichkeiten. Dabei wurde insbesondere die Information, welche an die Ricardo-Mitglieder bzw. Nutzenden in der Datenschutzerklärung sowie in den diversen Mitteilungen von Ricardo erteilt wurde, näher geprüft. Wie bereits unter den Ziffern 11 ff. ausgeführt, machte die veränderte Sach- lage eine Ausdehnung der ursprünglich nur bei Ricardo durchgeführten formellen Sachverhaltsab- klärung auf die Tamedia AG (neu: TX Group AG) notwendig. Aus verfahrensökonomischen Grün- den verzichtet der EDÖB darauf, den Sachverhalt in Bezug auf den „Datenaustausch innerhalb SMG“ weiter abzuklären bzw. das Verfahren formell auf die Swiss Marketplace Group AG (SMG) oder auf deren Gesellschaften auszudehnen.

  1. Der EDÖB hat in seiner Sachverhaltsfeststellung vom 28. Februar 2020 (siehe unten, Ziff . 2.1 bis 2.5) Änderungen der Datenschutzerklärung und in der Sachlage bis zum 28. Februar 2020 be- rücksichtigt. Er stützte sich dabei auf die Datenschutzerklärungen von Ricardo (insb. Version vom

  2. Februar 2020), auf die Stellungnahmen von Ricardo und TX Group (alt: Tamedia) und die dem EDÖB zugestellten Unterlagen sowie auf die Erkenntnisse aus der gemeinsamen Sitzung vom 6. Dezember 2017. 10

  3. Weitere Unterlagen, welche nach dem 28. Februar 2020 dem EDÖB zugestellt wurden (insb. Legi- timate Interest Assessment) sowie durch die TX Group zwischenzeitlich eingeführte «datenschutz- rechtliche Massnahmen» (Aufschaltung Datenschutzerklärung, Einsatz einer Consent Manage- ment Plattform auf der Website von Ricardo) und Erkenntnisse aus den Sitzungen vom 15. Juli 2021 und 23. März 2022 wurden ebenfalls berücksichtigt (siehe dazu Ziff . 2.6). Weitere Entwick- lungen wurden ab der Zustellung der Sachverhaltsfeststellung mit Ergänzungen am 12. Mai 2023 nicht mehr berücksichtigt, abgesehen von den Korrekturen und Ergänzungen, die aufgrund der Stellungnahmen der Ricardo AG und der TX Group AG vom 29. Juni 2023, 31. August 2023 und

  4. September 2023 vorgenommen wurden.

10 Die Thematik der Erhebung und Verwendung der IBAN-Nummer wurde dabei separat mit Ricardo besprochen und ist von der vorliegenden Sachverhaltsabklärung ausgenommen.

9/52

  1. Feststellungen

  2. Die unterstehenden Feststellungen beziehen sich auf den Sachverhalt vom 28. Februar 2020 bzw. auf die Datenschutzerklärung vom 11. Februar 2020 (Ziff. 2.1.-2.5) und berücksichtigen die Neuerungen, die sich zwischenzeitlich mit der Aufschaltung einer neuen Datenschutzerklärung und Einführung einer Consent-Management-Plattform 11 ergeben haben (s. Ziff. 2.6). 2.1 Plattformen von Ricardo und Bedingungen zu deren Nutzung

  3. Ricardo betreibt unter den Domainnamen ricardo.ch und autoricardo.ch 12 Plattformen für den Handel mit Produkten aller Art. Mitglieder können über diese Plattformen Produkte erwerben oder verkaufen und hierbei aus drei verschiedenen Angebotsarten auswählen: Auktionen, Angebote zu Fixpreisen und Auktionen mit einem Sofort-Kaufen-Preis.

  4. Wer auf den Plattformen von Ricardo Produkte anbieten oder erwerben möchte, muss sich grundsätzlich registrieren 13 . Die Registrierung ist kostenlos. Das Verkaufen auf ricardo.ch ist kos- tenpflichtig 14 . Die folgenden Gebühren entstehen beim Verkaufen auf ricardo.ch: Einstellgebüh- ren: gratis; optionale Promotionsgebühren: freiwillige Gebühren, um die Sichtbarkeit der Ange- bote zu erhöhen; Abschlussgebühren: Abschlusskommission (Erfolgsprovision) nach einem er- folgreichen Verkauf 15 . 2.2 Änderung der Datenschutzerklärung von Ricardo

  5. Am 27. Juli 2017 wurde die bisherige Datenschutzerklärung von Ricardo durch eine neue abge- löst 16 . Damit sollte der Datenaustausch unter den Tamedia-Unternehmen ermöglicht werden. Die neue Datenschutzerklärung sollte als gemeinsame Basis für Unternehmen der Tamedia-Gruppe gelten. Seitdem wurde die Datenschutzerklärung mehrmals aktualisiert (siehe dazu Rz. 29-30).

  6. Die neuen Datenschutzerklärungen von Ricardo beziehen sich sowohl auf Datenbearbeitungen von Ricardo, als auch auf Datenbearbeitungen von den Gesellschaften der TX-Gruppe (alt: Ta- media-Gruppe) sowie verbundenen Unternehmen. Sie ist Standard bei allen Gesellschaften der TX-Gruppe, die untereinander Daten austauschen. Damit können relevante Angebote und Dienstleistungen und auf die jeweiligen Bedürfnisse zugeschnittene Werbung angezeigt werden. Mit dem Datenaustausch soll auch die Sicherheit für die Mitglieder verbessert werden, um bei- spielsweise Online-Betrug besser vorzubeugen 17 . Zudem sieht sich die TX Group «als Schweizer Gruppenunternehmung der Medienbranche einer harten, internationalen Konkurrenz ausgesetzt. Es ist für die Gruppe und ihre einzelnen Firmen aus wirtschaftlicher Sicht von grosser Bedeutung,

11 Siehe Rz. 14 und 22. 12 Seit Mitte Dezember 2019 ist das Erfassen neuer Inserate auf autoricardo.ch nicht mehr möglich. Es wird stattdessen auf die Dienste der Partner-Plattformen tutti.ch, carforyou.ch sowie ricardo.ch verwiesen. Weiter ist geplant, die Plattform autori- cardo.ch im ersten Quartal 2020 aus dem Netz zu nehmen (Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020). 13 Eine Ausnahme: Bei autoricardo.ch kann der Käufer ein in einer Kleinanzeige inseriertes Fahrzeug erwerben, ohne registriert zu sein. 14 Siehe https://help.ricardo.ch/hc/de/articles/115002854885-Gebühren-für-das-Verkaufen und Gebührenreglement vom 13.09.2018 (neues Gebührenmodell, siehe https://www.ricardo.ch/de/login?return_url=%2Fde%2Fpricing). 15 Bei erfolgreichem Verkauf wird 9% des Verkaufspreises (max. Fr. 190 CH) bezahlt (Erfolgsprovision). Siehe Gebührenregle- ment vom 13.09.2018. 16 Siehe Datenschutzerklärung vom 12. Juli 2017 (gültig ab 27. Juli 2017), auf der Webseite von Ricardo, unter der Rubrik „AGB & Reglemente“. 17 V gl. auch Ziffer 2.5.

10/52

ihre digitalen Produkte und Dienstleistungen relevant und bedarfsgerecht ausgestalten zu kön- nen, um ihren Nutzern auf diese Weise einen Mehrwert zu bieten und sich gegenüber der Markt- konkurrenz abzugrenzen. Dazu ist sie auf die gruppenweite Datennutzung angewiesen». 18

  1. Folgendes steht in der Einleitung der Datenschutzerklärung von Ricardo: Diese Datenschutzerklärung von ricardo.ch, ein Angebot der ricardo.ch AG, informiert Sie darüber, wie wir und die Gesellschaften der TX-Gruppe sowie verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen); nachfolgend insgesamt auch «Wir») mit Daten umgehen, welche über Sie bearbeitet werden, sei es bei der Nutzung unserer Webseiten und mobilen Applikationen (nach- folgend auch «digitalen Angebote» oder «Portale» genannt; hier finden Sie eine vollständige Liste) oder auf andere Weise. 19

  2. Zweck der unterdessen neu geltenden Datenschutzerklärung vom 25. Mai 2018 war eine Anpas- sung an die DSGVO. Insbesondere sollten Widerspruchsmöglichkeiten bezüglich Datenaus- tausch bzw. – Weitergabe innerhalb der Tamedia-Gruppe geschaffen werden.

  3. Mit der Aktualisierung per 30. März 2019 wurde eine neue Ziffer ( Ziff. 12) betreffend Standortin- formationen eingeführt. Per 11. Februar 2020 wurde die Datenschutzerklärung nochmals aktuali- siert. Die Aktualisierung wurde aufgrund der Umfirmierungen von Ricardo und der Tamedia- Gruppe (neu: TX-Gruppe) notwendig. Inhaltlich wurden jedoch in dieser letzten Fassung keine Änderungen vorgenommen. Die vorliegenden Feststellungen (Ziff. 2.1.-2.5) beziehen sich prinzi- piell auf diese Fassung vom 11. Februar 2020. 2.3 Umfang und Zweck der Bearbeitung personenbezogener Daten 20

  4. Nachfolgend wird beschrieben, welche Daten gemäss der Datenschutzerklärung von Ricardo bzw. standardisierten Datenschutzerklärung der TX Group 21 sowie der Stellungnahme von Ri- cardo/TX Group (alt: Tamedia) bearbeitet werden können, und zu welchen Zwecken dies gesche- hen kann.

2.3.1 Daten, die beim Besuch der Portale erfasst werden 32. Beim Besuch der Portale (bei Ricardo: „ricardo.ch“ oder „autoricardo.ch“) werden Log-Daten/Traf- fic -Daten systembedingt erfasst: IP-Adresse, Browsertyp, Internet Service Provider, aufgerufene digitale Angebote, Referenz/Exit-Seiten, Zeitpunkt und Dauer des Besuchs. 33. In der Datenschutzerklärung von Ricardo/TX Group steht dazu folgendes: Wenn Sie ohne weitere Angaben von Ihnen unsere digitalen Angebote verwenden, protokolliert die von uns eingesetzte Webserver-technologie automatisch allgemeine technische Besuchsinformationen in so- genannten Log-Dateien. Dazu zählen unter anderem die IP-Adresse des verwendeten Geräts, von wel- chem aus der Besuch erfolgt, Angaben zum Browsertyp, zum Internet Service Provider und zum verwen- deten Betriebssystem, welche digitalen Angebote bei uns aufgerufen wurden, Referenz/Exit-Seiten, der Zeitpunkt und die Dauer des Besuchs. Die Erhebung und Verarbeitung dieser Informationen erfolgt zum Zweck, die Nutzung der Webseiten zu ermöglichen (Verbindungsaufbau), die Sicherheit und Stabilität unserer Systeme und Angebote zu ge- währleisten und zu erhöhen, die Nutzung unserer Angebote und Dienste zu analysieren, allgemeine geo- graphische Informationen zu erheben und die Optimierung unseres Internetangebotes zu ermöglichen (Marketingmassnahmen, zielgruppenspezifische Werbung etc.), sowie zu internen statistischen Zwecken.

18 V gl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 19 Datenschutzerklärung von Ricardo/TX Group vom 11. Februar 2020. 20 S iehe Ziff. 1 der Datenschutzerklärung von Ricardo/TX Group («Umfang und Zweck der Bearbeitung personenbezogener Daten»). 21 Datenschutzerklärung vom 11. Februar 2020.

11/52

Eine Identifikation des Benutzers findet dabei nicht statt. Ebenso wird grundsätzlich keine Verbindung zwi- schen diesen automatisch gesammelten Informationen und bei uns gespeicherten Personendaten herge- stellt. Ausnahme von dieser Grundregel kann jedoch dann bestehen, wenn Sie bei einem unserer Portale bereits ein registriertes Benutzerkonto haben. 22

  1. Zudem werden beim Besuch der Portale Cookies sowie Tracking- und Analyse-Tools eingesetzt:

Darüber hinaus setzen wir beim Besuch unserer Portale Cookies und Analyse-Tools (bspw. Google Analy- tics) ein. 23

2.3.2 Daten, die bei der Registrierung eines Benutzerkontos erfasst werden 35. Bei der Registrierung eines Benutzerkontos ist die Eingabe bestimmter Personendaten erforder- lich. Bei Ricardo werden folgende Daten erfasst: Geschlecht, Anrede, Vor- und Nachname, Ad- resse (vollständige Postadresse, PLZ, Ort), E-Mail-Adresse, Geburtsdatum, Telefonnummer, In- formation zu abonnierten Newslettern oder sonstiger Werbung, Sprache, Benutzername (durch das Mitglied freiwillig definiert). 24 Seit September 2019 werden bei der Registrierung für ein priva- tes Konto bloss noch E-Mail-Adresse und Passwort erhoben. Bevor eine Nutzerin oder ein Nutzer auf Ricardo kaufen bzw. verkaufen kann, muss sie/er sodann folgende Personendaten erfassen: Vor- und Nachnahme, Geburtsdatum, Adresse (Strasse, PLZ, Ort), Telefonnummer, Identitätsdo- kument (optional), Sprache, Benutzername (wird automatisch generiert). Im Benutzerkonto kön- nen Nutzer ausserdem optional eine Anrede angeben, den automatisch generierten Benutzerna- men anpassen oder ihre Benachrichtigungspräferenzen (inkl. Newsletter) verwalten. 25

  1. Was den Zweck der Erfassung dieser Daten anbelangt, steht in der standardisierten Datenschut- zerklärung von Ricardo/TX Group folgendes: Die Daten verwenden wir zur Abwicklung und Administration unserer digitalen Angeboten, zur Überprü- fung der eingegebenen Daten auf Plausibilität, d.h. zur Begründung, inhaltlichen Ausgestaltung, Abwick- lung und Änderung der mit Ihnen abgeschlossenen Vertragsverhältnisse über Ihr Benutzerkonto sowie im Falle kostenpflichtiger Dienste zur ordnungsgemässen Rechnungsstellung. 26

2.3.3 Daten, die bei der Nutzung als registrierter Nutzer erfasst werden 37. Die standardisierte Datenschutzerklärung von Ricardo/TX Group hält folgendes fest: Während der Nutzung des Portals durch die registrierten Nutzer erheben wir Daten aus statistischen Gründen, um die reibungslose Funktionsfähigkeit des Portals zu ermöglichen sowie zur Analyse, Optimie- rung und Personalisierung der Nutzung unserer Angebote und Dienste. So sammeln wir Daten darüber, ob und wie Sie unsere digitalen Angebote nutzen, insbesondere welche Funktionen und welche Werbung Sie wie wahrnehmen. 27

  1. Bei Ricardo werden bei der Nutzung des Portals durch registrierte (und eingeloggte) Nutzer fol- gende Daten erfasst: Sofort-Käufe (BINs), Gebote bei Auktionen (Bids), Bestellungen (Orders), Angebotene Produkte auf ricardo.ch (listings), Kontaktaufnahmen bei Classified-Produkten (contact forms), Fragen und Antworte bei Angeboten (Questions & Answers) („Customer activity around articles“) 28 .
  2. Wie Ricardo/TX Group in ihrer Stellungnahme vom 16. Januar 2020 mitgeteilt hat, würden diese oben genannten Daten von Ricardo selber für eigene Marketing- und Werbezwecke verwendet.

22 Ziff. 1 Bst. a der Datenschutzerklärung vom 11. Februar 2020 («Beim Besuch unserer Portale»). 23 Ziff. 1 Bst. a der Datenschutzerklärung vom 11. Februar 2020. 24 Vgl. Schreiben Ricardo vom 6. November 2017. 25 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 26 Ziff. 1 Bst. b der Datenschutzerklärung vom 11. Februar 2020. 27 Ziff. 1 Bst. c der Datenschutzerklärung vom 11. Februar 2020. 28 Schreiben Ricardo vom 6. November 2017.

12/52

Dies habe mit der Erhebung von Nutzungsdaten und deren Austausch in der Gruppe jedoch nichts zu tun. 29

  1. Wenn ein registrierter Besucher sich über sein Benutzerkonto eingeloggt hat, werden die Nutzer- daten mit den Konto-Daten zusammengeführt.

2.3.4 Informationen zu Einkäufen und Vertragsschlüssen 41. Die standardisierte Datenschutzerklärung von Ricardo/TX Group hält folgendes fest: Wenn Sie auf unserer Seite ein Produkt kaufen, respektive einen kostenpflichtigen Dienst beziehen, ist die Angabe von Daten wie beispielsweise Vor- und Nachnamen, Adresse (vollständige Postadresse, PLZ, Ort) und allenfalls weiteren Daten zwingend, da wir diese für die Abwicklung des Vertrages mit Ihnen benöti- gen. Wenn Sie zum Kauf eines Produkts respektive eines kostenpflichtigen Dienstes eine Online-Zah- lungsoption wie etwa Kreditkarte oder PayPal wählen, erfolgt die Bezahlung über das Online-Zahlungssys- tem des jeweiligen Anbieters. Die Bearbeitung von Personen- und Zahlungsdaten erfolgt in diesem Fall direkt über den Anbieter des jeweiligen Zahlungssystems. Wir kennen und speichern Ihre Zahlungsdaten nicht. Es gelten jeweils zusätzlich die Datenschutzbestimmungen des jeweiligen Anbieters des Online-Zah- lungssystems. Soweit Sie registriert sind und über ein Benutzerkonto verfügen, können wir Ihre Daten im Benutzerkonto für den nächsten Einkauf / Vertragsschluss speichern. Wir speichern auf jeden Fall alle Informationen zu ihren aktuellen und bisherigen Einkäufen und Vertrags- schlüssen, d.h. die Produkte, die Dienstleistungen, die Anzahl Produkte und Dienstleistungen pro Einkauf, den Zahlungsbetrag. Wir sind berechtigt, diese Information für Marketing- und Analysezwecke verwenden zu dürfen. Weitere Informationen zu Marketing- und Analysezwecken finden Sie weiter unten in Ziffer 4. 30

  1. Wie Ricardo/TX Group in ihrer Stellungnahme vom 16. Januar 2020 mitgeteilt hat, würden diese Daten (d.h. Informationen zu Einkäufen und Vertragsschlüssen, also die Produkte, die Dienstleis- tungen, die Anzahl Produkte und Dienstleistungen pro Einkauf, den Zahlungsbetrag) von Ricardo selber für eigene Marketing- und Werbezwecke verwendet. Die entsprechenden Datenbearbei- tungen würden aber mit dem gruppenweiten Datenaustausch nichts zu tun haben 31 .
  2. Die neue Datenschutzerklärung vom Juli 2017 hielt explizit fest, dass sich «aus der Analyse des Nutzer- und Kaufverhaltens» «sensitive Personendaten oder Persönlichkeitsprofile» ergeben können 32 . In der aktualisierten Datenschutzerklärung vom Mai 2018 wurde dieser Hinweis gestri- chen, da dies nicht den tatsächlichen Bearbeitungen entspreche. 33

2.3.5 Daten aus der Teilnahme an Gewinnspielen und Wettbewerben 44. In der Datenschutzerklärung 34 wird erwähnt, dass personenbezogene Daten auch bei der Teil- nahme an Gewinnspielen und Wettbewerben bearbeitet werden können und gegebenenfalls für Direktmarketing und Marktforschung verwendet und weitergegeben werden:

29 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 30 Ziff. 1 Bst. d der Datenschutzerklärung vom 11. Februar 2020. 31 Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020. 32 Ziff. 1 Bst. d der Datenschutzerklärung vom 12/27. Juli 2017. 33 Vgl. Schreiben Ricardo vom 29. März 2018. Siehe auch Schreiben Ricardo/Tamedia vom 6. November 2017: «Bei Ricardo werden einzig E-Mail-Adresse, Name, Anrede, Geburtsdatum und Postleitzahl analysiert (...) Bei dieser Analyse wird ein Daten- subjekt einzig in ein aggregiertes, nicht mehr personenbezogenes Profil mit folgenden Attributen eingeteilt: Alter [+/- 10], Ge- schlecht und Postleitzahl». 34 Datenschutzerklärung vom 11. Februar 2020.

13/52

Wir verwenden die von Ihnen angegebenen Daten zur Organisation und Durchführung der Veranstaltun- gen sowie zur Benachrichtigung und/oder Publikation der Gewinner auf unseren Portalen, mittels direkter Benachrichtigung oder auf sozialen Netzwerken. Wenn Sie uns dies ermöglicht haben, können wir Ihre Daten gemäss Ziffer 2 und 4 verwenden und auch gemäss Ziffer 3 weitergeben. 35

2.3.6 Nutzerumfragen und Marktforschung 45. Ergebnisse aus Nutzerumfragen (bestehend «aus aggregierten und anonymen Daten») können nach der Datenschutzerklärung 36 «zur Verbesserung der Nutzererfahrung» verwendet werden: Wir verwenden die von Ihnen angegebenen Daten ausschliesslich zur Verbesserung der Nutzererfahrung und zur Weiterentwicklung unserer Produkte. Die Ergebnisse bestehen ausschliesslich aus aggregierten und anonymen Daten. Wenn Sie zugestimmt haben, können Sie auch durch andere Gesellschaften der TX- Gruppe sowie verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unter- nehmen) kontaktiert werden, um beispielsweise an anderen Nutzerumfragen teilzunehmen. 37

2.3.7 Standortinformationen 46. Gemäss der Datenschutzerklärung von Ricardo/TX Group 38 werden Standortdaten über be- stimmte Mobile-Applikationen verwendet (eine aktuelle Liste befindet sich auf der Website www.tamedia.ch ). Falls Sie mit einem Mobilgerät unsere Mobile-Applikationen benutzen (eine Liste aller betreffenden Mo- bile-Applikationen finden Sie hier), können wir unter Verwendung von GPS-Signaldaten Informationen über den Standort Ihres Mobilegeräts (Längen- und Breitengrad, Angaben zur horizontalen Genauigkeit) erfassen. Wir verwenden die Standortdaten dazu, Ihr Nutzererlebnis zu steigern, indem wir Ihnen über die Mobile- Applikation(en) (eine Liste aller betreffenden Mobile-Applikationen finden Sie hier) auf Ihrem Mobilegerät standortbezogene Onlinewerbung und andere standortbezogene digitale Inhalte anzeigen (ortsbasierte Wetterangaben & Nachrichten; Darstellung von ungefähren Nutzerstandorten). Sofern rechtlich erforder- lich, fragen wir Sie nach Ihrer Zustimmung, bevor wir Ihre Standortdaten für die genannten Anwendungen erheben. Wir können in diesem Zusammenhang die Dienstleistungen von anderen Unternehmen innerhalb und ausserhalb der TX-Gruppe in Anspruch nehmen (« Auftragsdatenverarbeiter »). Soweit zur Erbringung der betreffenden Dienstleistungen erforderlich, können wir Ihre Standortdaten an diese Unternehmen weiter- geben. Eine Liste der betreffenden Unternehmen finden Sie hier. Wir stellen durch die Auswahl der Auf- tragsdatenbearbeiter und durch geeignete vertragliche Vereinbarungen sicher, dass der Schutz Ihrer Da- ten während der gesamten Bearbeitung sichergestellt ist. Sie haben auch nach erteilter Zustimmung jederzeit die Möglichkeit, die Erhebung, Bearbeitung und Wei- tergabe Ihrer Standortdaten zu deaktivieren. Wenn Sie keine standortbasierte Onlinewerbung und Inhalte erhalten möchten, können Sie den Zugriff auf Ihren Standort entweder ablehnen oder die Ortungsdienste in den Einstellungen Ihres Mobilegeräts jederzeit deaktivieren. Um die Ortungsdienste zu deaktivieren, folgen Sie bitte den Anleitungen der Gerätehersteller:

Über die Mobile-Applikation von Ricardo werden aktuell keine Standortdaten erfasst. 40

35 Ziff. 1 Bst. e der Datenschutzerklärung vom 11. Februar 2020. 36 Datenschutzerklärung vom 11. Februar 2020. 37 Ziff. 1 Bst. f der Datenschutzerklärung vom 11. Februar 2020. 38 Datenschutzerklärung vom 11. Februar 2020. 39 Ziff. 12 der Datenschutzerklärung vom 11. Februar 2020. 40 vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020.

14/52

2.4 Datenbearbeitungen 47. Nachfolgend wird beschrieben, welche Datenbearbeitungen betreffend die Ricardo-Daten ge- mäss der Datenschutzerklärung stattfinden sollen bzw. gemäss der Beschreibung von Ricardo tatsächlich stattfinden – und zu welchen Zwecken.

2.4.1 Mitteilung über die «Datenweitergabe» und deren Zwecke 48. Mit einem Datenaustausch innerhalb der Tamedia-Gruppe (neu: TX Group) sollen die Daten der Ricardo- bzw. Tamedia-Benutzer zu Marketingzwecken sowie zu Sicherheitszwecken bearbeitet werden. Siehe dazu Ziff. 2.2, Rz. 26ff. Die Ricardo-Mitglieder wurden per E-Mail und auf der Website von ricardo.ch wie folgt informiert: «Mit der neuen Datenschutzerklärung können wir Ihnen für Sie relevante Angebote und Dienstleistungen anzeigen und Ihr Online-Erlebnis sowie die Sicherheit unserer Angebote verbessern. Damit erhöht sich der Schutz vor Online-Betrug und -Missbrauch.» 41

«Warum gibt es überhaupt eine interne Weitergabe bei Tamedia? Ein wichtiger Grund für die Weitergabe ist die Verbesserung der Sicherheit für die Mitglieder, um beispielsweise Online-Betrug besser vorzubeu- gen. Dies wird ermöglicht, indem Informationen bei Verdachtsfällen zwischen den Online-Plattformen von Tamedia ausgetauscht werden können. Zudem möchten wir in Zukunft für Sie relevantere und auf Ihre Bedürfnisse zugeschnittene Werbung anzeigen.» 42

  1. Der Datenaustausch innerhalb der Gruppe bzw. die Weitergabe zu Sicherheitszwecken (z.B. Missbrauchsbekämpfung) wurde nicht explizit in der Datenschutzerklärung vorgesehen. Aus der Sicht von Ricardo/TX-Group wird die gruppenweite Datenaufbereitung als Dienstleistung in der Gruppe zentral erbracht, was aus Perspektive der Datensicherheit verschiedene Vorteile mit sich bringe (u.a. Reduktion des Sicherheitsrisikos und Missbrauchspotenzial). 43 Es wurde jedoch nicht dargelegt, wie die entsprechenden Abläufe und Prozesse sich von den Abläufen Datenverarbei- tung bzw. Datenaufbereitung zu Marketingzwecken (z.B. Segmentierung) unterscheiden. 44 Dazu nimmt Ricardo/TX Group wie folgt Stellung: «Angefügt werden kann zudem, dass es namentlich auf unseren digitalen Marktplätzen immer wieder zu Missbrauchsfällen kommt, wobei davon aus- gegangen werden muss, dass die fehlbaren Nutzer auch Plattform übergreifend agieren. Es ent- spricht einem faktischen Bedürfnis, solche Nutzer ausfindig zu machen und unseren anderen Kunden prophylaktisch vor entsprechenden Missbräuchen zu schützen. Auch dazu kann ein gruppeninterner Datenaustausch hilfreich sein, wobei es anzufügen gilt, dass wir aktuell keine solche Prozesse unterhalten. Dies erklärt auch, weshalb Ihnen entsprechende Prozesse und Ab- läufe bislang nicht gesondert dargelegt wurden». 2.4.2 Datenbearbeitungen gemäss Datenschutzerklärung vom 9. Juli 2015
  2. Nach einer älteren Version der Datenschutzerklärung (gültig ab 9. Juli 2015 45 ) konnte Ricardo die personenbezogenen Daten der Mitglieder «für Marketing-Massnahmen wie z.B den Versand von E-mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter, E-Mails zu Infor- mationszwecken) verarbeiten und nutzen».
  3. Dazu durfte Ricardo die Daten auch «an Hilfspersonen im In- und Ausland sowie verbundene Un- ternehmen und Gruppengesellschaften weitergeben, die für [Ricardo 46 ] werben» – also an Dritte,

41 Mitteilung an alle Ricardo-Mitglieder per E-Mail vom 12. Juli 2017. 42 FAQ «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018», im Mai 2018 auf ricardo.ch aufgeschaltet. 43 Vgl. Schreiben von Ricardo/Tamedia vom 20. März 2019 sowie Stellungnahme Ricardo/TX-Group vom 16.01.2020. 44 Siehe dazu Frage 4 des EDÖB vom 18. Februar 2019 und entsprechende Antwort Ricardo/Tamedia vom 20. März 2019. 45 Datenschutzerklärung vom 9. Juli 2015, veröffentlicht auf der Webseite von Ricardo (Rubrik „AGB & Reglemente»). 46 Im Text: « für uns selber ».

15/52

die für die eigenen Werbezwecke von Ricardo Personendaten bearbeiten. Diese verpflichteten sich vertraglich zur Nichtweitergabe der Personendaten. 52. Weiter gab es in der Datenschutzerklärung einen expliziten Hinweis auf die Opt-out-Möglichkeit („Auf Ihren Wunsch verzichten wir auf die Verwendung Ihrer Daten zu Werbezwecken“) mit ent- sprechenden Kontaktdaten 47 . 53. Darüber hinaus wurde auch auf die Erhebung der Surfdaten beim Besuch der Webseite sowie die Nutzung von Cookies und die Web-Analyse u.a. anhand Google Analytics hingewiesen, auch hier mit der Anleitung, wie diese Funktionen deaktiviert werden können 48 . 2.4.3 Datenbearbeitungen gemäss Datenschutzerklärung vom 11. Februar 2020 54. In der Datenschutzerklärung vom 11. Februar 2020 wird festgehalten, dass die darin aufgeführten Daten zu Marketingzwecken genutzt werden können und an Unternehmen der TX-Gruppe oder an verbundene Unternehmen weitergegeben werden können 49 : 55. Direktmarketing und Online-Werbung Mit Ihrer Registrierung oder der Bestellung als Gast auf einem unserer Portale (hier finden Sie eine voll- ständige Liste) können wir Ihre Personendaten auch für personalisierte Werbemassnahmen nutzen. Dies betrifft sowohl die Personalisierung von Werbung per E-Mail, wie beispielsweise E-Mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter), per Telefon, Post, Telefax, Textnachrichten, Bild- nachrichten sowie auf Instant Messaging Diensten als auch die Auslieferung von personalisierten Inhalten und Werbung auf unseren Portalen. Hierfür können wir automatisiert uns bekannte Informationen über Ihr Nutzungsverhalten auf unseren Portalen auswerten, damit wir vermeiden können, dass Sie unpas- sende Werbung erhalten. Diese Bearbeitungen entnehmen Sie Ziffer 4.

(...) Wir sind berechtigt, Dritte mit der technischen Abwicklung von Werbemassnahmen und der Werbung für uns selbst zu beauftragen und sind berechtigt, Ihre Daten zu diesem Zweck weiterzugeben (vgl. unten Ziff. 3). 50

  1. Weitergabe von Daten an Dritte Wir arbeiten mit anderen Unternehmen oder Personen zusammen beziehungsweise beauftragen andere Unternehmen oder Personen mit der Bearbeitung und Speicherung von Daten. Diese könnten Zugang zu Ihren personenbezogenen Daten oder Nutzungsdaten erhalten, jedoch nur soweit es zur Erledigung ihrer Aufgaben erforderlich ist. Wir können von Ihnen erfasste Angaben und im Rahmen unserer Nutzungsmessungen gemäss Ziff. 1 oben erhobene Daten zu Ihrer Person, resp. Ihrem Nutzerkonto entweder an Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (eine aktuelle Liste aller betreffenden Unternehmen finden Sie hier) zur Auswertung, Verbesserung und bedarfsgerechten Ausgestaltung unserer Dienste, respektive der Dienste der verbundenen Unternehmen, zur Kundenpflege, zur Personalisierung und zu Marketing- zwecken nutzen und weitergeben. Die Datenbearbeitungen durch andere Unternehmen der TX-Gruppe oder der mit der TX-Gruppe verbun- denen Unternehmen sind nachfolgend in Ziffer 4 beschrieben. 51

47 Ziff. 14 der Datenschutzerklärung vom 9. Juli 2015 („Nutzung zu Werbezwecken“). 48 Ziff. 5 bis 7 der Datenschutzerklärung vom 9. Juli 2015. 49 Datenschutzerklärung vom 11. Februar 2020, Ziff. 2 «Direktmarketing und Online-Werbung» und Ziff. 3 «Weitergabe von Da- ten an Dritte». 50 Ziff. 2 der Datenschutzerklärung vom 11. Februar 2020. 51 Ziff. 3 der Datenschutzerklärung vom 11. Februar 2020.

16/52

  1. Die Unternehmen der TX-Gruppe sowie verbundene Unternehmen, die nach der Datenschutzer- klärung untereinander Daten austauschen, sind folgende 52 :

  1. Diese Weitergabe «erfolgt grundsätzlich mit pseudonymisierten oder anonymisierten Daten». Die umgesetzten technischen und organisatorischen Massnahmen sollen sicherstellen, dass eine personenbezogene Identifizierung nicht mehr möglich ist: Eine Weitergabe an Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) gemäss vorliegender Ziffer 3 erfolgt grundsätzlich mit pseudonymisierten oder anonymisierten Daten. D. h., dass die Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr Ihnen zugeordnet werden können. Wir stellen innerhalb der Unter- nehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollstän- dige Liste aller betreffenden Unternehmen) vertraglich und mittels technischer und organisatorischer Massnahmen sicher, dass eine personenbezogene Identifizierung nicht mehr möglich ist. 53

  2. Die Datenbearbeitungen durch andere Unternehmen der TX-Gruppe oder mit der TX-Gruppe ver- bundenen Unternehmen zu Marketing- und Analysezwecken werden in Ziffer 4 der Datenschut- zerklärung beschrieben: Die Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen (hier finden Sie eine vollständige Liste aller betreffenden Unternehmen) haben das Ziel, die Ihnen angebotenen digitalen Ange- bote kontinuierlich zu verbessern und bedarfsgerechter und sicherer auszugestalten. Dazu können laufend unter Einsatz verschiedener Analysetools nutzerspezifische historische und zukünf- tige Daten, über die wir verfügen, miteinander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, aggregiert, pseudonymisiert und anonymisiert werden. Zur Verbesserung unserer Datenbasis können wir öffentlich erhältliche Daten oder Daten von Drittanbietern hinzuziehen. Die Erkenntnisse aus Ihrer Nutzung unseres Angebotes können im Rahmen der Analyse des Nutzerverhaltens bei anderen teil- nehmenden Unternehmen genutzt und verwertet werden. Eine solche Datenbearbeitung erfolgt vor allem mit pseudonymisierten oder anonymisierten Daten. Die Bearbeitung erfolgt insbesondere zum Zweck, Ihnen gemäss Ziffer 2 personalisierte Werbung zukommen zu lassen oder auf einem unserer Portale anzu- zeigen sowie die Sicherheit unserer Portale zu verbessern. 54

52 Diese Liste der «Unternehmen der TX-Gruppe, die untereinander Daten austauschen» wird laufend auf der Website von TX- Group aktualisiert (entsprechender Verweis in der Datenschutzerklärung von Ricardo): https://www.tamedia.ch/tl_files/con- tent/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf (Version vom 01.10.2019), https://tx.group/tl_files/con- tent/Group/Datschutzerklaerung/Tamedia_Unternehmen_DE.pdf ( Version vom 15.01.2021). 53 Ziff. 3 der Datenschutzerklärung vom 11. Februar 2020. 54 Ziff. 4 der Datenschutzerklärung vom 11. Februar 2020 («Bearbeitung Ihrer Personendaten zu Marketing- und Analysezwe- cken»).

17/52

  1. Es können somit laufend unter Einsatz verschiedener Analysetools «nutzerspezifische historische und zukünftige Daten, über die TX-Gesellschaften verfügen, miteinander verknüpft und das Nut- zerverhalten angebotsübergreifend analysiert, aggregiert, pseudonymisiert und anonymisiert wer- den.» Zudem können zur Verbesserung der Datenbasis von TX Group öffentlich erhältliche Daten oder Daten von Drittanbietern hinzugezogen werden 55 . 2.4.4 Aktuelle Nutzung und Weitergabe gemäss Ausführungen von Ricardo
  2. Seit der Einführung der neuen Datenschutzerklärung im Juli 2017 und unseren ersten Abklärun- gen 56 hat sich die Sachlage bezüglich Datenweitergabe und Datenaustausch entwickelt, wie nachfolgend gezeigt wird. Insbesondere erfolgt mittlerweile 57 eine Verknüpfung bzw. Anreiche- rung der Datensegmente aus verschiedenen Quellen – was bisher nicht der Fall war 58 .
  3. Die aktuellen Datenbearbeitungen können aufgrund der neu verfügbaren Informationen und er- folgten Abklärungen 59 wie folgt beschrieben werden: 2.4.4.1 Zentrale IT-Dienstleistungen der Tamedia AG (neu: TX Group AG)
  4. Die Tamedia AG (neu: TX Group AG) bzw. die Abteilung Tamedia Data Analytics (nachfolgend: «TDA») erbringt für die Gruppengesellschaften der Tamedia (TX)-Gruppe – darunter Ricardo – zentral technische Dienstleistungen für Sicherheitszwecke sowie Marketingzwecke, unter ande- rem, um die auf den verschiedenen Webportalen der Tamedia (TX)-Gruppe ausgestrahlte digitale Werbung zielgruppenspezifischer auszugestalten. Nach Angaben von Ricardo werden die Dienst- leistungen von Tamedia (TX Group) zentral erbracht, um Ressourcen zu sparen bzw. diese effizi- enter einzusetzen und bei den von den verschiedenen Gruppengesellschaften angebotenen Leis- tungen gleichbleibende Qualität und (einheitliche) Sicherheitsstandards zu gewährleisten und die digitalen Plattformen anhand zielgruppengerechter digitaler Werbung besser vermarkten zu kön- nen.
  5. Dabei werden bestimmte, von den Gruppengesellschaften erhobene Stamm- und Nutzungsdaten von registrierten und nicht registrierten Nutzern zur Verarbeitung und Datenaufbereitung an die Tamedia (TX Group) AG (Abteilung TDA) übermittelt. Die durch die TDA erzeugten und zu ein- heitlichen Segmenten gegliederten Ausgabedaten werden von der Digital Ad Services AG (DAS) zur Vermarktung der Gruppen-eigenen digitalen Plattformen bzw. zur Auslieferung digitaler Wer- beinhalte verwendet.

2.4.4.2 Verknüpfung der Ausgabedaten/Segmente innerhalb der Tamedia (TX) Gruppe 65. TDA erstellt die Segmentierung sowohl für Ricardo als auch für die anderen Gesellschaften der Tamedia (TX) Gruppe. Dies erlaubt eine Anreicherung der Datensegmente von Ricardo mit wei- teren Daten der anderen Gruppengesellschaften.

Die von der TDA aufbereiteten Daten und aus

55 Gemäss Ricardo/Tamedia (neu: TX Group) findet bis anhin keine solche Anreicherung statt (Schreiben Ricardo vom Januar 2019). 56 Vgl. Sachverhaltsfeststellung vom März 2018. 57 Vgl. Schreiben Ricardo vom März 2019. 58 «Datenbearbeitungen, insbesondere die Verknüpfung oder die Veredelung der Profildaten mit anderen Daten finden aktuell nicht statt. In Zukunft könnte dies aber durchaus eine Option werden» (vgl. Schreiben vom 6. November 2017). «Weder die Be- nutzerdaten von Ricardo noch die aus der Aggregierung resultierenden Segmente werden an Dritte weitergegeben, sei es in- nerhalb oder ausserhalb der Tamedia-Gruppe. Sie werden auch nicht mit weiteren Daten oder Segmenten aus anderen Quellen zusammengeführt. Diese strikte Trennung gilt auch für die verwendeten Cookies» (vgl. Sachverhaltsfeststellung vom März 2018). 59 Siehe Schreiben von Ricardo vom Januar und März 2019. Siehe auch Vertrag IT-Dienstleistungen vom 19. Dezember 2018.

18/52

verschiedenen Quellen zusammengestellten Datensegmente werden anschliessend an die Digi- tal Ad Services AG (DAS AG) für die

digitale Werbeauslieferung 60 übermittelt 61 . Digitale Werbein- halte werden den nach der Segmentzuweisung potentiell interessierten Nutzern beim Besuch der Webseiten oder bei der Nutzung der Anwendungen der Tamedia (TX) -Gruppe ausgespielt. Mit der bedarfsgerechten Ausgestaltung und Auslieferung der digitalen Werbung soll den betreffen- den Nutzern ein Mehrwert geboten und die Attraktivität der Portale für bestehende und potentielle Werbekunden gesteigert werden. 66. Die detaillierten Abläufe und Prozesse werden nachfolgend beschrieben. 2.4.4.3 Datenverarbeitung und -Aufbereitung Ricardo/Tamedia AG (neu: TX Group AG)/DAS AG 67. Bei der Registrierung bei Ricardo wird dem Nutzer automatisiert eine User Identifikationsnummer (UID) zugewiesen, welche Ricardo anhand eines Ricardo-eigenen Algorithmus zu einem Hash- wert (mit Salt 62 ) umwandelt (BID). Die Umwandlung der UID zu BID erfolgt in der Verantwortung und auf den Systemen von Ricardo. 68. Dieser Hashwert (BID) wird zusammen mit den folgenden Kundenstammdaten (Kundendaten) einmal pro Nacht als Batch an TDA übermittelt:

  • (BID)
  • E-Mail-Adresse
  • Name, Vorname
  • Adresse
  • Geburtsdatum
  • Anrede/Geschlecht
  1. TDA wandelt diese Angaben in Echtzeit und ohne sie auf einem eigenen System zu speichern in folgende «Ausgabedaten» um:
  • BID
  • Quellenangabe: Die Herkunft (Ricardo) der übermittelten Daten wird anhand einer Quellenan- gabe festgehalten.
  • Hashwert der E-Mail-Adresse: Auf Basis der E-Mailadresse erzeugt TDA anhand eines TDA- eigenen Algorithmus automatisiert einen Hashwert. Hier wird auch die Salt-Methode verwen- det.
  • Geschlecht: Aus Name und Nachname wird das Geschlecht (männlich oder weiblich) abgelei- tet und festgehalten.
  • Alter: Aus dem Geburtsdatum wird das Alter abgeleitet und in einer Rahmengrösse von 10 Jahren festgehalten (Alterssegmentierung: +/- 10 Jahre).
  • Geografische Angaben: Aus der Adresse werden die geografischen Angaben Land, Kanton und ZIP-Code abgeleitet und festgehalten.

  1. Diese Umwandlung erfolgt auf einem unabhängigen, gesicherten und getrennt unterhaltenen System von Tamedia (TX Group). Tamedia (TX Group) und Ricardo sind zudem vertraglich ver- pflichtet, die von ihnen angewandten Algorithmen gegenüber dem anderen Vertragspartner sowie gegenüber Dritten geheim zu halten und nicht weiterzugeben. 63

  2. Darüber hinaus übermittelt Ricardo dem TDA folgende Angaben über das Nutzungsverhalten von Usern («Nutzungsdaten»), welche Ricardo von allen Usern (registriert oder nicht) entweder beim Surfen auf der Ricardo-Webseite (per Mobile oder Desktop) oder bei der Benutzung der Mobile Applikation von Ricardo erhebt:

60 Im Rahmen einer Reorganisation wurde die Geschäftseinheit Digital Advertising (DAS) per 1. März 2019 in die selbständige Tochtergesellschaft Digital Ad Services AG (DAS AG) ausgelagert (vgl. Schreiben Ricardo, 20. März 2019). 61 Vgl. Schreiben Ricardo vom 20. März 2019. 62 Um eine Entschlüsselung der Ausgabedaten (Bruteforcing) zu verhindern, fügt Ricardo dem Eingabewert (UID) vor der Um- wandlung eine zufällige Zeichenfolge hinzu (sog. Salt). 63 Vgl. Vertrag für die Erbringung von IT-Leistungen vom 17. Dezember 2018 zwischen ricardo.ch AG und Tamedia AG.

19/52

  • BID (falls registrierter und eingeloggter Nutzer) / Session ID (falls nicht registrierter und/oder nicht eingeloggter Nutzer)
  • Angaben zum Browsertyp, Betriebssystem, Internet Service Provider
  • Aufgerufene Webseiten (Referenz-/Exit-Seiten) aufgerufenen digitale Angebote
  • Zeitpunkt und Dauer des Besuchs

  1. In der Datenschutzerklärung wird festgehalten, dass alle Informationen zu den aktuellen Einkäu- fen und Vertragsschlüssen (Produkte, Dienstleistungen, Zahlungsbetrag) gespeichert und für Marketing und Analysezwecke verwendet werden dürfen (vgl. Ziffer 2.3.4 vorstehend) – unter an- derem mit Verweis auf Ziffer 4 der Datenschutzerklärung. Nach den Aussagen von Ricardo/TX Group würden diese Daten jedoch von Ricardo selber für eigene Marketing- und Werbezwecke verwendet. Die entsprechenden Datenbearbeitungen würden mit dem gruppenweiten Datenaus- tausch nichts zu tun haben. 64

  2. Im Rahmen eines automatisierten Aggregierungsprozesses führt TDA die oben genannten Aus- gabedaten und Nutzungsdaten zu einheitlichen Segmenten zusammen, indem die Nutzungsda- ten und auf Basis der Nutzungsdaten Affinitäten und andere Prognosen den Ausgabedaten (also: BID, Quellenangabe, E-Mail-Adresse-Hashwert, Geschlecht, Alter +/- 10, Land/Kanton/ZIP-Code) zugewiesen werden (Segmentierung). Auf Basis des Hashwerts der E-Mail-Adresse führt TDA die Verknüpfung und Konsolidierung der Ausgabedaten durch und sorgt auf diese Weise für eine Verbesserung der Qualität der Datenbasis und Segmente. Dies bedingt, dass der E-Mail-Hash- wert in allen Fällen gleich erzeugt wird, weshalb das «Hashing» der E-Mail-Adressen als Be- standteil der IT-Dienstleistung zentral von TDA durchgeführt wird.

  3. Dieses Ergebnis, basierend auf den von der TDA aufbereiteten Daten und aus verschiedenen Quellen zusammengestellten Datensegmente (s. oben) wird von TDA an die DAS AG übermittelt, welche anhand aller Datensegmente zentral auf den Webseiten der einzelnen Tamedia (TX)- Gruppengesellschaften zielgruppenspezifisch digitale Werbung vermarktet und ausliefert. Ge- mäss der Website von Tamedia stehen, neben «soziodemografische Merkmale», aktuell etwa hundert Segmente («Interessen und Kaufabsichten») zur Verfügung. 65 Zudem kann die Werbung auch inhaltsbezogen, nach den Wetterbedingungen oder der Geolokalisierung erfolgen.

  4. TDA wendet dabei vor der Übermittlung an DAS einen «k-50-Anonymisierungsfilter» an, der si- cherstellt, dass die Anzahl Personen pro Segment nicht unter den Schwellenwert von 50 fällt.

  5. Die Auslieferung digitaler Werbung erfolgt auf der Basis von Cookies. Die Segmente sind in der Data Management Platform ("DMP") von DAS hinterlegt. Das Cookie («third party cookie») ent- hält die «Ad-lD» sowie die entsprechenden «Segment-lDs». Diese Segmente basieren auf den bei den Gesellschaften der Tamedia (TX)-Gruppe erhobenen Informationen. Über diese Ad-Id kann der Ad-Server die Zuordnung der betreffenden Ad-lD zu den für die aktiven Kampagnen de- finierten Segmenten vornehmen. Mit anderen Worten: Der Abgleich Cookie zu Segment und die Ausspielung zielgruppenorientierter, digitaler Werbung wird über die im Cookie hinterlegten ID's (Ad-lD, Segment-lD's) gesteuert. 66

  6. Die Zuweisung des Cookies im Browser findet automatisiert beim Aufruf einer Webseite durch den betreffenden User statt. Ruft ein Nutzer eine (Tamedia-)Website auf, werden diese Informati- onen ausgelesen, und basierend darauf wird automatisiert eine Zuordnung zu einem bestimmten zielgruppenspezifischen Segment vorgenommen. Auf Basis dieser Segmentszuordnung wird dann Werbung digital ausgeliefert.

64 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 65 Aktuell stehen nach Tamedia-Website etwa hundert Segmente zur Verfügung: Neben den “sozio-demografische Segmente sind auch insbesondere «Interessen und Kaufabsichten»-Segmente zu finden, zum Beispiel “Moto seekers”, “Family car resear- chers”, “Watch lovers”, “Music instrument buyers”, “Animal accessories seekers”, “DIY buyers”, “Family product buyers”, “Toys”. Weitere Segmente in den Bereichen Automotive, Fashion & Beauty, Sport, Entertainment, Lifestyles, Techies, Online-Shopper, Business Finance, Real Estate. Diese Segmente basieren einerseits auf den bei den Tamedia-Gesellschaften (u.a. Ricardo) registrierten Daten, andererseits auf der Nutzung der Tamedia-Webseiten, inkl. der Plattformen von Ricardo s. https://www.ta- media.ch/de/werbung/data-targeting/ueberischt und https://www.tamedia.ch/de/werbung/data-targeting/produkte (letztens be- sucht am 11.09.2019). 66 Vgl. Schreiben Ricardo/Tamedia vom März 2019.

20/52

2.4.5 Anonymisierung/Pseudonymisierung 78. Ricardo/Tamedia (TX Group) weist darauf hin, dass die Weitergabe innerhalb der Tamedia (TX)- Gruppe im Auftrag geschieht und die aggregierten Daten für Tamedia (TX Group) keinen Rück- schluss mehr auf eine bestimmte oder bestimmbare Person zulassen würden. Für Tamedia (TX Group) stellen diese Daten folglich nicht mehr Personendaten dar, und deren Bearbeitung fällt nicht unter das DSG. Ricardo beschreibt die «Ausgabedaten» und die «Nutzungsdaten» sowie die daraus erstellten (einheitlichen) Segmente als «anonym» und geht davon aus, dass diese nicht personenbezogen im Sinne des DSG sind (BID / Ad-Id als «anonymer Identifikator»). 79. Mit anderen Worten: Aufgrund der beschriebenen Anonymisierungs- und Aggregierungsprozess bzw. den technischen und organisatorischen Massnahmen geht Ricardo davon aus, dass eine Reidentifizierung der Ricardo-Kunden oder Nutzer zu keinem Zeitpunkt möglich ist. Bei der Aus- lieferung von digitalen Werbeinhalten bzw. zielgruppenspezifischer Werbung finde keine Identifi- zierung der betreffenden Person statt, und somit würden keine personenbezogenen Daten ver- wendet. 67

  1. Im Vertrag für die Erbringung von IT-Leistungen vom 17. Dezember 2018 zwischen ricardo.ch AG und Tamedia AG wird «Sandboxing» erwähnt. Auf was dies sich genau bezieht bzw. wie dies konkret umgesetzt wird, wurden jedoch nicht beschrieben. 68

2.5 Information und Widerspruchsmöglichkeiten 2.5.1 Information und Ablauf bei einer neuen Anmeldung/Registrierung bei Ricardo 81. Um sich als neues Mitglied zu registrieren, muss der Nutzer bei der ersten Anmeldung/Registrie- rung auf ricardo.ch oder autoricardo.ch die AGB und die Datenschutzerklärung vollumfänglich ak- zeptieren 69 . Auf dem Anmeldeformular weist ein Text unter dem Anmeldebutton darauf hin, dass Beides mit der Anmeldung akzeptiert wird. Beide Dokumente werden verlinkt.

2.5.2 Information über die Änderung der Datenschutzerklärung an die Ricardo-Mitglieder 82. Ricardo-Mitglieder wurden über die neu geltende Datenschutzerklärung in deren Fassung von 2017 und 2018 per E-Mail informiert 70 . Zusätzliche Informationen wurden mit der neuen Daten- schutzerklärung auf der Website von ricardo.ch aufgeschaltet.

2.5.2.1 Datenschutzerklärung vom 27. Juli 2017 83. Ricardo hat seine bestehenden Mitglieder am 12. Juli 2017 per E-Mail über die Änderungen der Datenschutzerklärung informiert. Der Mitteilung war unter anderem zu entnehmen, dass mit der neuen Datenschutzerklärung für die Nutzer relevante Angebote und Dienstleistungen angezeigt und so das Online-Erlebnis wie auch die Sicherheit verbessert werden können. 84. Weiter wurde ausgeführt, dass bestehende Nutzer mit der Weiterverwendung ihres Accounts ab demselben Tag die neue Datenschutzerklärung automatisch akzeptiert haben. 85. Die Information lautete wie folgt:

67 Vgl. Schreiben Ricardo/Tamedia vom Januar 2019. 68 Vgl. Vertrag für die Erbringung von IT-Leistungen vom 17. Dezember 2018 zwischen ricardo.ch AG und Tamedia AG. 69 Mittlerweile (ab März 2020) muss die Datenschutzerklärung nicht mehr akzeptiert werden, aber in Kenntnis genommen wer- den. 70 Die Ergänzung der Datenschutzerklärung in der Fassung vom 30. März 2019 wurde den Ricardo-Kunden nicht separat (per E-Mail) kommuniziert, da Letztere von den dabei neu eingeführten Datenbearbeitungen (Ziffer 12: «Standortinformationen») inhaltlich nicht betroffen sind. Über die Mobile-Applikation von Ricardo werden keine Standortdaten erfasst. (Vgl. Stellungnahme Ricardo/TX-Group vom 16.01.2020).

21/52

Gerne informieren wir Sie über die neue Datenschutzerklärung von ricardo.ch, welche am 12. Juli 2017 in Kraft treten wird. ZUR DATENSCHUTZERKLÄRUNG Wieso wurde die Datenschutzerklärung geändert? Die Datenschutzerklärung wurde innerhalb der Mediengruppe Tamedia harmonisiert, um den internen Datenaustausch zu ermöglichen. Was genau ändert sich? Mit der neuen Datenschutzerklärung können wir Ihnen für Sie relevante Angebote und Dienstleistungen anzeigen und Ihr Online-Erlebnis sowie die Sicherheit unserer Angebote verbessern. Damit erhöht sich der Schutz vor Online-Betrug und -Missbrauch. Indem Sie die Dienstleistungen von ricardo.ch oder autoricardo.ch am oder nach dem 12. Juli 2017 ver- wenden, akzeptieren Sie die neue Datenschutzerklärung automatisch. Falls Sie damit nicht einverstanden sind, können Sie innert 14 Tagen per E-Mail an datenschutz@ricardo.ch oder schriftlich per Post wider- sprechen. Der Widerspruch hat eine Auflösung der Mitgliedschaft zur Folge. Wir danken Ihnen für Ihre Treue! Ihr ricardo.ch-Team 71

Mittels Klicks auf einen Link konnte auf die neue Datenschutzerklärung zugegriffen werden. 86. Die seit dem 27. Juli 2017 geltende Datenschutzerklärung (und damit auch die Datenweitergabe innerhalb der Tamedia-Gruppe) galt als automatisch akzeptiert, wenn das Mitglied die Dienstleis- tungen von ricardo.ch oder autoricardo.ch ab dem 12. Juli 2017 weiterhin verwendete oder der Datenschutzerklärung nicht innert 14 Tagen (bis zum 27. Juli 2017) widersprach. Der Wider- spruch hatte eine Auflösung der Mitgliedschaft zur Folge. 87. Ricardo teilte denjenigen, die der neuen Datenschutzerklärung auch nur hinsichtlich der Bearbei- tungen für personenbezogene Analyse- und Marketingzwecke widersprochen haben, denn auch mit, dass ihr Benutzerkonto geschlossen wurden. Gemäss Ricardo war dieser Ausschluss jedoch nicht beabsichtigt 72 . 88. Eine Deaktivierung des Nutzungsdaten-Trackings (bei Tamedia) war/ist zu diesem Zeitpunkt mit- tels einem Opt-out-Cookie jedoch möglich. (vgl. konkrete Umsetzung, nachfolgend unter Ziffer 2.5.3). Ein Widerspruch zum Datenaustausch innerhalb Tamedia war hingegen nicht möglich.

  1. Nachdem sich der EDÖB mit Schreiben vom 19. Juli 2017 kritisch zum Umstand geäussert hat, dass die Änderung der Datenschutzerklärung am Tage der Mitteilung in Kraft treten sollte, teilte Ricardo mit, der 12. Juli 2017 sei irrtümlicherweise als Einführungsdatum angegeben worden. Richtig sei der 27. Juli 2017. Im Sinne einer Klarstellung sei das Dokument „Zusammenfassung der Datenschutzerklärung ricardo.ch AG am 21. Juli 2017 auf der Webseite von Ricardo (unter der Rubrik „AGB & Reglemente“) aufgeschaltet worden. Denjenigen Mitgliedern, die sich in der Zwischenzeit an den Kundendienst von ricardo.ch gewendet haben, wurde das korrekte Einfüh- rungsdatum mitgeteilt.

2.5.2.2 Datenschutzerklärung vom 25. Mai 2018 und folgende Versionen 90. Am 9. Mai 2018 wurden die Ricardo-Mitglieder per Mail auf die neue ab 25. Mai 2018 geltende Datenschutzerklärung aufmerksam gemacht.

71 E-Mail Ricardo vom 12. Juli 2017. 72 Schreiben Ricardo vom März 2018: „Sollten Mitglieder einzig auf Grund eines Widerspruchs dagegen unter den neuen Daten- schutzerklärung 12./27. Juli 2017 ausgeschlossen worden sein, war dies nicht beabsichtigt“.

22/52

Wir aktualisieren die Datenschutzerklärung von ricardo.ch per 25. Mai 2018, um mit der neuen strengeren EU-Verordnung zum Schutz von personenbezogenen Daten (DSGVO) Schritt zu halten. Damit erhalten Sie mehr Kontrolle über Ihre Daten. Die wichtigste Neuerung der Datenschutzerklärung besteht darin, dass Sie neu die Möglichkeit haben, gewissen Datenbearbeitungen zu widersprechen. (...) 73

  1. In der Datenschutzerklärung vom 25. Mai 2018 sowie in den folgenden Versionen steht nun Fol- gendes: Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen. Ein solcher Widerspruch schliesst die Erhebung von Personendaten nicht gänzlich aus. Unter folgendem Link 74 können Sie die Erfassung Ihrer Nutzungsdaten durch uns verhindern. Der Widerspruch schliesst le- diglich aus, dass erhobene Personendaten nicht anonymisiert für Marketingzwecke bearbeitet und zu die- sem Zweck auch an andere Unternehmen weitergeleitet und von diesen analysiert werden können. Um die Erhebung von Personendaten gänzlich auszuschliessen oder zumindest zu reduzieren müssen die in Ziffer 10 erwähnten Schritte betreffend Deaktivierung von Cookies befolgt werden. Dies kann zur Folge haben, dass Sie die von Ihnen bezogenen Dienste nicht mehr weiter beziehen oder nutzen können. 75

  2. Das Dokument «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018» 76 diente dazu, die häufig gestellten Fragen zur entsprechenden Änderung darzustellen. Nach allgemeinen Fra- gen und Antworten über die DSGVO wurden die «wichtigsten Änderungen der Datenschutzerklä- rung» aufgelistet. Insbesondere wurde auf eine neue Opt-out-Möglichkeit hingewiesen: «Neu ha- ben Sie die Möglichkeit, der Weitergabe Ihrer Daten zu Marketing und Werbezwecken zu wider- sprechen.». Der Grund des Datenaustausches innerhalb der Tamedia wurde wie folgt erklärt: Warum gibt es überhaupt eine interne Weitergabe bei Tamedia? Ein wichtiger Grund für die Weitergabe ist die Verbesserung der Sicherheit für die Mitglieder, um bei- spielsweise Online-Betrug besser vorzubeugen. Dies wird ermöglicht, indem Informationen bei Verdachts- fällen zwischen den Online-Plattformen von Tamedia ausgetauscht werden können. Zudem möchten wir in Zukunft für Sie relevantere und auf Ihre Bedürfnisse zugeschnittene Werbung anzeigen. Wenn Sie dies aber nicht möchten, können Sie uns das hier mitteilen. 77

  3. Demnach sollte also ab dem 25. Mai 2018 neu möglich sein, dem Datenaustausch innerhalb der Tamedia-Gruppe zu widersprechen. Durch Anklicken auf den oben aufgeführten Link, konnte der eingeloggte Nutzer an einer Sektion der Seite help.ricardo.ch mittels der Option «Abmeldung Da- tenaustausch Tamedia» und Eingabe der E-Mail-Adresse das entsprechende Opt-out vorneh- men. Zu dieser Widerspruchsmöglichkeit, welche in der Zwischenzeit nicht mehr angeboten wird, führte der Datenschutzverantwortliche von Ricardo/TX Group in seiner Stellungnahme vom 25. März 2020 folgendes aus: «Inwiefern (...) ab 25. Mai 2018 ein Opt-out unter Angabe der E-Mail- Adresse über «Abmeldung Datenaustausch Tamedia unter Help Ricardo» möglich war, entzieht sich meiner Kenntnis».

  4. In seiner Stellungnahme vom 16. Januar 2020 zum Sachverhalt führte Ricardo/TX Group aus, die in der Datenschutzerklärung erwähnte Widerspruchsmöglichkeit per E-Mail 78 betreffe die Daten- nutzung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesellschaften

73 Vgl. E-Mail von Ricardo vom 9. Mai 2018. 74 Verweis auf https://www.tamedia.ch/de/datenschutzerklaerung/nutzungsdaten. 75 Vgl. Ziff. 6 der Datenschutzerklärung vom 11. Februar 2020 («Anspruch auf Auskunft, Berichtigung, Löschung und Be- schwerde»). 76 Am 25.09.2018 besucht; das betreffende Dokument befindet sich nicht mehr auf der Website von ricardo.ch. 77 Dokument «Zusammenfassung der Datenschutzerklärung per 25. Mai 2018». 78 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen». Datenschutzerklärung, Ziffer. 6.

23/52

selber. Dabei gehe es um Datenbearbeitungen, die mit der gruppenweiten Datennutzung nichts zu tun haben. 79

2.5.3 Konkrete Widerspruchsmöglichkeiten und Umsetzung 95. Gemäss Ricardo und TX Group stehen den Nutzern somit die folgenden Widerspruchsmöglich- keiten zur Verfügung 80 :

  • Widerspruch zu den Marketing-Massnahmen von Ricardo per E-Mail: Die in der Datenschut- zerklärung erwähnte Widerspruchsmöglichkeit per E- Mail 81 betrifft lediglich die Datennut- zung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesellschaf- ten selber. Ein Widerspruch zum Datenaustausch innerhalb der Gruppe per E- Mail sei hin- gegen - nicht möglich. Ricardo/TX Group hielt dazu fest, dass dies nicht durchsetzbar wäre, weil TX Group (TDA) die E-Mail-Adressen der betreffenden Nutzer nicht bekannt sei. 82

  • Widerspruch Nutzungsdaten-Tracking durch Einsatz eines Opt-out-Cookies: Über einen in der Datenschutzerklärung angegebenen Link wird den Nutzern der Plattformen der Tame- dia/TX-Group geboten, dem Nutzungsdaten-Tracking innerhalb der Gruppe zu widerspre- chen (dieser Link/URL der Tamedia/TX Group wird in der Datenschutzerklärung unter Ziff. 6 Anspruch auf Auskunft, Berichtigung, Löschung und Beschwerde sowie unter Ziff. 10 «Tra- cking und Analyse-Tools» angegeben).

  1. Konkret werden die oben umschriebenen Widerspruchsmöglichkeiten aktuell wie folgt umgesetzt:

  • Ein Widerspruch per E-Mail hat zur Folge, dass ein betreffender Nutzer für Marketingmass- nahmen durch Ricardo (bspw. Newsletter) gesperrt wird bzw. die ihn betreffenden Daten für diesen Zweck nicht mehr verwendet werden. Der Nutzer bekommt keine Werbe-Mitteilungen mehr. Die Einstellungen betreffend den Newsletter können auch im Benutzer-Konto geän- dert werden (An-/ Abmeldung). Weitere Marketingmassnahmen von Ricardo und welche Auswirkung ein allfälliges Widerspruchsbegehren auf sie hätte sind nicht bekannt.

  • Über den angegebenen Link der TX Group kann das Opt-out-Cookie auf dem Endgerät des Nutzers installiert werden. So kann die Erhebung von Nutzungsdaten durch Tracking-Coo- kies unterbunden werden: Das eingesetzte Opt-out-Cookie wird bei jedem künftigen Besuch der Plattformen der TX Group (u.a. Ricardo) erkannt 83 . Das Opt-out-Cookie dient dazu, dass die Nutzungsdaten, welche in der Regel zusammen mit dem BID, das einem bestimmten re- gistrierten Ricardo-Nutzer zugeteilt wurde, erhoben werden, nunmehr mit einem auf null (0) gesetzten BID erhoben werden. Somit können die Angaben zum Browsertyp, Betriebssys- tem, Internet Service Provider, aufgerufene Webseiten (Referenz-/Exit-Seiten), aufgerufenen digitale Angebote sowie Zeitpunkt und Dauer des Besuchs keinem registrierten Nutzer mit- tels Verknüpfung des BIDs zugeordnet werden. 84 Dies hat als Folge, die Lieferung von auf Nutzungsdaten-Tracking basierten Werbung zu verunmöglichen.

2.6 Relevante Neuerungen zum Sachverhalt nach der Gründung der SMG AG 97. Im Rahmen der Umstrukturierung wurde die für die Ricardo-Nutzer geltende Datenschutzerklä- rung überarbeitet. Mit der Einführung von Consent-Management-Plattformen (CMP) sollen die Ricardo-Nutzer die Cookies-Einstellungen verwalten können.

79 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 80 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 81 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe gemäss 2 und 4 jederzeit per E-Mail widersprechen». Datenschutzerklärung, Ziffer. 6. 82 Vgl. Stellungnahme Ricardo/TX-Group 16.01.2020. 83 Werden ein anderer Browser oder ein anderes Gerät verwendet oder die Cookies gelöscht, muss der Deaktivierungsvorgang erneut durchgeführt werden, um das Nutzungsdatentracking zu unterbinden. 84 Vgl. Schreiben Ricardo/Tamedia AG vom Januar und März 2019.

24/52

2.6.1 Neu geltende Datenschutzerklärung 98. Der EDÖB stellte fest, dass die Datenschutzerklärung im Zuge der Umstrukturierung überarbei- tet wurde und dass eine neue Datenschutzerklärung für die Plattformen von Ricardo (sowie sämtliche SMG-Portale) gilt bzw. auf der Website von Ricardo aufgeschaltet wurde. Die Ri- cardo-Nutzer wurden mittels eines Informationsbanners auf den Landingpages darüber infor- miert, dass sich die Datenschutzerklärung geändert hat. 85 Für die sogenannten «TX Daten-An- gebote» (Portalen der TX Group wie zum Beispiel ricardo.ch, carforyou.ch, tutti.ch, home- gate.ch, 20minuten.ch, immostreet.ch, etc.) wurden zudem eigene, separate Datenschutzhin- weise erarbeitet, welche die betroffenen Nutzer darüber informieren sollen, welche Daten und zu welchen Zwecken im Rahmen der TX Daten-Angebote (inkl. die Angebote von Ricardo) be- arbeitet werden. 86

  1. Wenn die Ricardo-Nutzenden auf die aktuelle Datenschutzerklärung auf der Website (unter der Rubrik Datenschutz oder AGB) klicken, bekommen sie die standardisierte Datenschutzerklä- rung der SMG Swiss Marketplace Group AG 87 angezeigt: Diese Datenschutzerklärung informiert Sie darüber, wie SMG Swiss Marketplace Group AG und die Gesellschaften der SMG Swiss Marketplace Group (SMG Swiss Marketplace Group AG, Casasoft AG, Anibis Vertrieb GmbH, CAR FOR YOU AG, Immostreet.ch SA, Ricardo AG, Acheter-Louer.ch & Publimmo Sàrl, Nhat Viet Group Co. Ltd, IAZI, In- formations- und Ausbildungszentrum für Immobilien AG; nachfolgend gemeinsam "wir, "uns", "unsere", "SMG und SMG Gruppe“), bei der Nutzung unserer Webseiten, Plattformen, Portale oder mobilen Applikationen (nachfolgend gemeinsam "Angebot") sowie im Rahmen einer Zusammenarbeit mit Ihren personenbezogenen Daten umgehen, an wen wir Ihre Daten gegebenenfalls weitergeben können und welche Rechte Ihnen im Hinblick auf die Verwendung Ihrer Daten gegenüber uns zustehen. Die SMG Gruppe wird gemeinsam von der Schweizerischen Mobiliar Versicherungsgesellschaft, Bundesgasse 35, 3001 Bern ("Mobiliar"), der TX Group AG, Werdstrasse 21, 8004 Zürich ("TX Group"), der Ringier AG, Brühlstrasse 5, 4800 Zofingen ("Ringier") und der General Atlantic SC B.V., Raamplein 1, 1016XK Amsterdam, Niederlande ("Gene- ral Atlantic") gehalten (nachfolgend gemeinsam die "Aktionäre").
  2. In der Datenschutzerklärung werden die SMG bzw. die SMG Gruppe als Datenverantwortliche genannt (Kapitel 1: Wer ist verantwortlich für die Bearbeitung Ihrer Daten?):

SMG bzw. die SMG Gruppe sind verantwortlich für die Bearbeitung Ihrer Daten, die im Rahmen unserer Angebote oder Zusammenarbeit mit Ihnen gesammelt oder erhalten oder für andere Zwecke, wie in dieser Datenschutzerklä- rung definiert, bearbeitet werden. 101. Unter einem weiteren Kapitel (3. Umfang, Zweck und Rechtsgrundlage der Bearbeitung Ihrer Daten) wird beschrieben, zu welchen Zwecken die Daten bei der Nutzung der Angebote der SMG Gruppe «grundsätzlich» bearbeitet werden.

  1. In den zehn folgenden Unterkapitel der Datenschutzerklärung werden die Datenbearbeitungen sowie die «Rechtsgrundlage» je nach Zweck ausgeführt. Bezüglich der Rechtsgrundlage wird auf die DSGVO verwiesen. Für die Datenerhebung bzw. Nutzung und Verknüpfung der Daten zur Auswertung des Nutzerverhaltens und zu personenbezogenen Werbezwecken (personali- sierte Marketingmassnahme) bzw. die vorliegende Angelegenheit ist der folgende Abschnitt ins- besondere relevant:

3.9 Marketing- und Analysezwecke Mit Ihrer Registrierung oder der Bestellung als Gast über eines unserer Angebote können wir Ihre Daten auch für personalisierte Werbemassnahmen von uns sowie von mit uns verbunden Unternehmen, von Dritten und von unseren Aktionären verwenden. Personalisierte Werbemassnahmen umfassen insbesondere die Personalisierung von Werbung mittels digitaler Werbeanzeigen auf unseren Web-Angeboten und Mobile-Applikationen, per E- Mail, wie beispielsweise E-Mails mit allgemeinen Informationen oder werbendem Charakter (Newsletter), per

85 Vgl. Schreiben TX Group vom 10. Februar 2022. 86 Vgl. Schreiben TX Group vom 10. Februar 2022. 87 Die Datenschutzerklärung der SMG Swiss Marketplace Group AG vom 11. November 2021 ist Bestandteil des vorliegenden Sachverhalts.

25/52

Telefon, Post, Telefax, Textnachrichten, Bildnachrichten sowie auf Instant Messaging Diensten. Am Ende jedes von der uns versendeten E-Mails findet sich ein Link, über den Sie den Newsletter jederzeit abbestellen können. Den Newsletter können Sie auch jederzeit per E-Mail an kundendienst@ricardo.ch abbestellen. Wir schicken Ihnen nur Newsletter, sofern diese ähnlichen Angebote betreffen oder Sie ausdrücklich zugestimmt haben. Ansonsten liegt die Auslieferung von personalisierten Inhalten und Werbung, z.B. auf unseren Portalen oder Portalen von mit uns verbundenen Unternehmen, in unserem berechtigten Interesse gemäss anwendbarem Datenschutzrecht, Ihnen unsere Produkte oder Dienste anzubieten, die Sie interessieren könnten sowie unsere Angebote optimal zu vermarkten. Sofern eine vorgängige Einwilligung, insbesondere zur Bearbeitung Ihrer Daten durch mit uns verbundene Unternehmen oder durch unsere Aktionäre notwendig ist, holen wir diese vorgängig ein. Dazu können laufend unter Einsatz verschiedener Analysetools nutzerspezifische historische und zukünftige Da- ten, über die wir verfügen, miteinander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, ag- gregiert, pseudonymisiert und anonymisiert werden. Zur Verbesserung unserer Datenbasis können wir öffentlich erhältliche Daten oder Daten von Drittanbietern hinzuziehen. Die Erkenntnisse aus Ihrer Nutzung unseres Ange- botes können im Rahmen der Analyse des Nutzerverhaltens bei anderen teilnehmenden Unternehmen genutzt und verwertet werden. Eine solche Datenbearbeitung erfolgt grundsätzlich mit pseudonymisierten oder anonymi- sierten Daten. Sie können dieser Bearbeitung Ihrer Daten jederzeit widersprechen in dem Sie sich per E-Mail an kundendienst@ricardo.ch wenden. 103. Der letzte Absatz entspricht der Formulierung der früheren Datenschutzerklärung (vgl. Rz. 56). Hier wird auch eine Widerspruchsmöglichkeit per E-Mail an den Kundendienst von Ricardo ex- plizit erwähnt. Gestützt auf die Aussagen der TX Group, dass die Datenbearbeitungen nach dem 28. Februar 2020 grundsätzlich nicht geändert wurden, wird davon ausgegangen, dass die in der Datenschutzerklärung erwähnte Widerspruchsmöglichkeit per E-Mail nach wie vor 88

die Datennutzung für Marketing-Massnahmen durch Ricardo bzw. die betreffenden Gruppengesell- schaften selber betrifft. Dabei geht es um «Datenbearbeitungen, die mit der gruppenweiten Da- tennutzung nichts zu tun haben» 89 . Ein Widerspruch per E-Mail zum Datenaustausch innerhalb der Gruppe ist nach wie vor nicht möglich.

  1. Im Kapitel 5. wird die Weitergabe an Dritte thematisiert. Weitergabe Ihrer Daten an Dritte Wir arbeiten mit anderen Unternehmen oder Personen zusammen beziehungsweise beauftragen andere Unter- nehmen oder Personen mit der Bearbeitung und Speicherung von Daten gemäss dieser Datenschutzerklärung. [...] I Weitergabe an Unternehmen der SMG Gruppe Sofern mit den oben in Kapitel 3 beschriebenen Zwecken vereinbar oder rechtlich zulässig, können Ihre Daten sowie Nutzungsdaten zu Ihrer Person resp. Ihrem Benutzerkonto, an Unternehmen der SMG Gruppe zur Auswer- tung, Verbesserung und bedarfsgerechten Ausgestaltung unserer Angebote, zur Kundenpflege, zur Personalisie- rung und zu Marketingzwecken genutzt und weitergegeben werden. Sofern hierzu Ihre Einwilligung notwendig ist, holen wir diese vorgängig bei Ihnen ein. Eine solche Einwilligung kann jederzeit widerrufen werden. Wenn keine Einwilligung notwendig ist, beruht die Weitergabe Ihrer Daten auf unserem berechtigten Interesse oder dem berechtigten Interessen eines Unternehmens der SMG Gruppe oder mit der SMG Gruppe verbundene Unternehmen und Joint Ventures der SMG Gruppe, gemäss anwendbarem Da- tenschutzrecht die Nutzung unserer Webseiten zu ermöglichen (Verbindungsaufbau), die Sicherheit und Stabilität unserer Systeme und Angebote zu gewährleisten und zu erhöhen, die Nutzung unserer Angebote zu analysieren, statistisch auszuwerten, anzupassen und zu verbessern, Ihnen Werbung anzuzeigen oder zu schicken sowie die Optimierung unseres Internetangebots zu ermöglichen. [Neuer Abschnitt seit dem 15. Mai 2023:] [Zudem betreiben wir auf verschiedenen Plattformen eine automatisierte Bewertung des Nutzerverhaltens, um- daraus ein Profil der jeweiligen Nutzer zu erstellen (Kapitel 3.9). Dieses teilen wir im Falle Ihrer Einwilligung mit-

88 V gl. Rz 94/95. 89 V gl. Stellungnahme Ricardo/TX-Group 16.01.2020.

26/52

den zur SMG Gruppe gehörenden Plattformen, um ein übergreifendes Profil zu erstellen, das die verschiedenen- Plattformen für die Steuerung von Werbung, für Marketing und für Analysen nutzen können. Namentlich sind dies folgende Plattformen: ImmoScout24, Homegate, Immostreet.ch, home.ch, Publimmo, Acheter-Louer.ch, CASA- SOFT, IAZI, AutoScout24, MotoScout24, CAR FOR YOU, anibis.ch, tutti.ch, Ricardo, FinanceScout24.] II Weitergabe an Aktionäre der SMG Gruppe Wir können Ihre Daten an die Aktionäre der SMG Gruppe [...] weitergeben. Die Aktionäre dürfen ihrerseits die Daten ihren gehaltenen Tochtergesellschaften weitergeben, sofern sie Ihre Daten nur zu den gleichen Zwecken bearbeiten (nachfolgend beschrieben), wie dies die Aktionäre selber tun dürfen. Eine Weitergabe erfolgt zur Auswertung, Verbesserung und bedarfsgerechten Ausgestaltung der Produkte und Dienste unserer Aktionäre, zur Personalisierung, zu Marketingzwecken sowie zur Betrugs- und Missbrauchsbe- kämpfung. Eine Weitergabe der Daten wie hierin beschrieben erfolgt nur, sofern dies rechtlich zulässig ist oder wir Ihre Einwilligung vorab bei Ihnen eingeholt haben. Eine solche Einwilligung kann jederzeit widerrufen werden. Die TX Group AG unterhält eine Reihe von Daten- Angeboten zugunsten anderer Unternehmen (angeschlossene Unternehmen). Die SMG Gruppe bezieht bei der TX Group AG ebenfalls solche Leistungen. Diese Daten-Angebote können das Nutzererlebnis auf Plattformen von angeschlossenen Unternehmen personalisieren (z.B. durch Emp- fehlungen von Inhalten), Betrugs-Aktivitäten auf Plattformen besser erkennen, auf den eigenen Plattformen ziel- gruppenspezifische Werbung anzeigen («ad targeting») oder personalisierte Werbung auf den Plattformen weite- rer anderer angeschlossenen Unternehmen anzeigen («ad retargeting»). Weitere Informationen über die Verar- beitung Ihrer Daten durch die TX Group Daten-Angebote finden Sie hier. 105. Wenn man auf «hier» klickt, gelangt man auf eine Webseite der TX Group «Datenschutzhin- weise zu den TX-Daten-Angeboten» 90

: Die TX Group AG unterhält eine Reihe von Daten-Angeboten zugunsten von Unternehmen (nachfolgend «ange- schlossene Unternehmen» sowie «TX Daten-Angebote»). TX Group AG kann den angeschlossenen Unternehmen in diesem Rahmen aggregierte, nicht personenbezogene Daten zur Verfügung stellen (im Folgenden jeweils «Da- ten» genannt), d.h. bestimmte Aussagen über grössere Nutzergruppen. Diese Unternehmen können durch die Verwendung solcher Daten das Nutzererlebnis auf ihren Plattformen personalisieren (z.B. durch Empfehlungen von Inhalten), Betrugs-Aktivitäten auf Plattformen besser erkennen, auf den eigenen Plattformen zielgruppenspe- zifische Werbung anzeigen («ad targeting») oder personalisierte Werbung auf den Plattformen weiterer anderer angeschlossenen Unternehmen anzeigen («ad retargeting»). Diese Personalisierung des Nutzererlebnisses durch die angeschlossenen Unternehmen erfolgt in der Regel auf nicht-personenbezogener Basis, d.h. ohne die von der TX Group AG erhaltenen Angaben einzeln bekannten Nutzern zuzuordnen. Soweit ein angeschlossenes Unterneh- men von der TX Group AG erhaltene Daten demgegenüber Ihnen persönlich zuordnet (z.B. wenn Sie sich durch eine Registrierung identifiziert haben), untersteht die entsprechende Datenbearbeitung separaten Datenschutzer- klärungen des betreffenden Unternehmens (Ziff. 3). In diesen Datenschutzhinweisen informieren wir Sie aus Transparenzgründen über den Umgang mit solchen Da- ten im Rahmen der TX Daten-Angebote. Sie gelten für alle Nutzer der Plattformen der angeschlossen Unterneh- men. 106. Diese Datenschutzhinweise sollen über den Umgang mit den Daten, welche im Rahmen der TX Daten-Angebote bearbeitet werden, informieren. Diese zusätzliche Datenschutzerklärung soll für alle Nutzer der Plattformen der angeschlossenen Unternehmen 91 , somit auch für die Ri- cardo-Nutzer, gelten. 107. In der Einleitung der Datenschutzerklärung der SMG steht dazu: «Wir können Ihnen zusätzliche Datenschutzerklärungen zur Verfügung stellen, wenn wir dies für sinnvoll halten. Solche zusätz- lichen Datenschutzerklärungen ergänzen diese Datenschutzerklärung und müssen mit dieser zusammengelesen werden».

90 Vgl. URL https://tx.group/de/datenschutzerklaerung/datenschutzhinweise-zu -den-tx-daten-angeboten. Diese Seite (besucht am 11.04.2023) ist auch Bestandteil des vorliegenden Sachverhalts. 91 Liste angeschlossener Unternehmen TX Data Services (09.11.2021): Tamedia Publikationen Deutschschweiz AG, Tamedia Finanz und Wirtschaft AG, Tamedia Publications romandes SA, Tamedia Basler Zeitung AG, Tamedia ZRZ AG, Tamedia Espace AG, Tamedia Abo Services AG, SMG Swiss Marketplace Group AG, CAR FOR YOU AG, ImmoStreet.ch S.A., Ricardo AG, Goldbach NeXT AG, Goldbach Publishing AG, Jaduda GmbH, Neo Advertising SA, Swiss Radioworld AG.

27/52

  1. Unter dem Kapitel 10. «Welche Rechte haben Sie in Bezug auf Ihre Daten?» ist das «Wider- spruchsrecht» wie folgt erläutert:

Widerspruchsrecht Sie können der Bearbeitung Ihrer Daten zu Marketing- und Analysezwecken sowie der Weitergabe Ihrer Daten innerhalb der SMG Gruppe gemäss Kapitel 3.9 jederzeit per E-Mail an kundendienst@ricardo.ch widersprechen. Ein solcher Widerspruch schliesst die Erhebung von personenbezogenen Daten nicht gänzlich aus, sondern nur für Marketing- und Analysezwecke sowie für die Weitergabe Ihrer Daten innerhalb der SMG Gruppe gemäss Kapitel 3.9. Darüber hinaus können Sie jeglicher Datenbearbeitung, die auf einem berechtigten Interesse von uns beruht, per E-Mail an kundendienst@ricardo.ch widersprechen, wenn Sie Gründe, die sich aus ihrer besonderen Situa- tion ergeben, darlegen können. Für TX Group Daten-Angebote: Über den Link «Voreinstellungen verwalten» in der Fusszeile der Hauptseite dieser Webseite bzw. in den Einstellungen der Mobile App gelangen Sie zum Cookie Preference Center. Um die Bearbei- tung Ihrer Daten durch die TX Group Daten-Angebote (vgl. Kapitel 5.3 [sic] 92 und weiterer Technologien zu deakti- vieren, können Sie alle im Cookie Preference Center aufgelisteten Bearbeitungszwecke, zu denen eine Datenbear- beitung durch die TX Group Daten-Angebote unterbunden werden soll, ausschalten. Zusätzlich haben Sie die Mög- lichkeit, im Cookie Preference Center in der Liste der Lieferanten die TX Group AG zu deaktivieren. Detaillierte Informationen zu den Bearbeitungszwecken finden Sie im Cookie Preference Center. Nach der Vornahme Ihrer Cookie-Einstellungen wird ein Cookie in Ihrem Browser bzw. auf Ihrem Endgerät gespeichert. Wenn Sie den Brow- ser wechseln, ein anderes Gerät verwenden oder Ihre Cookies löschen, müssen Sie den Deaktivierungsvorgang erneut durchführen. 2.6.2 CMP 109. Im Sommer 2021 informierte der DPO der TX Group den EDÖB über die schrittweise Einfüh- rung von Consent Management Plattformen auf den Portalen der TX Group (z.B. Ricardo, Carforyou, Tutti, 20 Minuten, Homegate). Dadurch sollen die Nutzer «ihre Privatsphäre-Einstel- lungen» verwalten können und «insbesondere auch die Datenbearbeitungen im Zusammen- hang mit den TX Daten-Angeboten unterbinden». 93

  1. Im Anhang 1 wird dargelegt, wie die CMP auf dem Portal ricardo.ch aktuell aussieht. Gemäss TX Group liegt die Einführung der CMP in der Verantwortung der einzelnen Unternehmen und wird von diesen im Rahmen der von Ihnen erwähnten Vorgaben (OneTrust, TCF/IAB) oder Empfehlungen generischer Natur (TX Group) 94

autonom umgesetzt, weshalb die CMP-Lösung nicht gleich bzw. einheitlich erfolgen soll. 95

92 Falscher Verweis, richtig wäre 5.2. 93 Schreiben TX Group vom 10. Februar 2022. 94 Vgl. interne Guideline zur Konfiguration einer Consent Management Plattform. 95 Schreiben Ricardo/TX Group vom 3. August 2021.

28/52

  1. Datenschutzrechtliche Beurteilung 3.1. Bearbeitung von Personendaten und Anwendbarkeit des DSG

  2. Das Bundesgesetz vom 19. Juni 1992 über den Datenschutz ist auf das Bearbeiten von Perso- nendaten durch private Personen anwendbar (Art. 2 Abs. 1 lit. a DSG). Unter «Bearbeiten» wird jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivie- ren oder Vernichten von Daten verstanden (Art. 3 lit. e DSG). Als «Personendaten» im Sinne von Art. 3 lit. a DSG gelten alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Liegen keine Personendaten vor, kommt das DSG nicht zur Anwendung. Das nDSG sieht diesbezüglich keine Änderungen vor, abgesehen davon, dass unter Personen neu nur noch natürliche Personen verstanden werden. 3.1.1. Datenbearbeitungen bei Ricardo und weitere Datenverwendung durch TX Group

  3. Bei der Benützung der Auktionsplattformen von Ricardo.ch werden verschiedene Daten zu di- versen Zwecken erfasst, weitergegeben, verarbeitet und analysiert (siehe dazu Ziffer 2.3 und 2.4 der Sachverhaltsfeststellung 96 ).

  4. Die Erfassung der Daten bei der Anmeldung sowie weitere Bearbeitungen von Daten der Ri- cardo-Kunden durch Ricardo stellen zweifellos Bearbeitungen von Personendaten im Sinne von Art. 2 DSG i.V.m. Art. 3 Bst. a und e DSG dar.

  5. Wie im Sachverhalt ausgeführt, übermittelt Ricardo der TX Group AG Nutzungsdaten 97 aller Nutzerinnen und Nutzer, zusammen mit einer pseudonymisierten Identifikationsnummer (BID oder Ad-ID). Bei registrierten Nutzern werden zusätzlich E-Mail-Adresse, Name, Vorname, Ad- resse, Geburtsdatum 98 weitergegeben. Diese personenbezogenen Daten werden umgehend in Ausgabedaten umgewandelt und erst dann im System der TX Group gespeichert. Auf der Basis der erhaltenen Daten führt TX Group eine Segmentierung durch. Die Verknüpfung der Daten aus allen Quellen ermöglicht die Anreicherung der Datensegmente von Ricardo mit weiteren Daten der anderen angeschlossenen Unternehmen. 99

  6. Was die in Ausgabedaten umgewandelten Stammkundendaten, die Nutzungsdaten sowie die daraus erstellten einheitlichen Segmente anbelangt, bestreitet Ricardo/TX Group die Qualifika- tion als Personendaten. Sie vertreten den Standpunkt, dass diese Daten nicht mehr als Perso- nendaten gelten würden, da sie aufgrund der angewendeten technischen und organisatorischen Massnahmen (insbesondere die Aggregierung und Anonymisierung/Pseudonymisierung der Daten) keinen Rückschluss mehr auf eine bestimmte oder bestimmbare Person zulassen wür- den und eine Re-Identifizierung der Ricardo-Kunden oder Nutzer zu einem späteren Zeitpunkt unmöglich wäre. Diese Daten seien folglich anonymisierte Daten (BID und Ad-ID als «ano- nyme» Identifikatoren), so dass deren Bearbeitung durch Tamedia (TX Group) zum Zweck der zielgerichteten Werbung nicht in den Anwendungsbereich des DSG falle. Die Zustellung von digitalen Werbeinhalten bzw. zielgruppenspezifischer Werbung an die durch den «anonymen» Identifikator (Ad-ID) vertretenen Nutzer stelle auch keine Bearbeitung von Personendaten im Sinne des DSG dar. 3.1.2. Begriff Personendaten

96 Die detaillierten Abläufe und Prozesse von der Erfassung bis zur Ausspielung der personalisierten Werbung werden insbe- sondere im Ziffer 2.4.4.3 des Sachverhalts beschrieben. 97 Vgl. Sachverhalt, Rz 71 98 Vgl. Sachverhalt, Rz 69 99 Vgl. Sachverhalt, Rz 73

29/52

  1. Personendaten (bzw. «Daten» im Sinne des Datenschutzgesetzes) sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 3 lit. a DSG). Die gesetzliche Defi- nition des Begriffs «Personendaten» erfasst demnach alle Informationen, die mit einer natürli- chen oder juristischen Person in Verbindung gebracht werden können. Der Wortlaut von Art. 3 Bst. a DSG ist folglich extensiv auszulegen (BLECHTA, in: Basler Kommentar, Datenschutzge- setz/Öffentlichkeitsgesetz, 3. Aufl. 2014, N. 7 zu Art. 3 DSG).

  2. Bestimmbar ist eine Person, wenn sie zwar allein durch die Daten nicht eindeutig identifiziert wird, aus den Umständen, das heisst dem Kontext einer Information aber auf sie geschlossen werden kann (Botschaft DSG, BBl 1988 II 413, S. 444). Auf welche Weise der Bezug zur be- troffenen Person, mithin die Identifizierung, hergestellt wird, wie etwa anhand eines Schlüssels, einer AHV-Nummer, eines Aktenzeichens oder auch einer Kundennummer, ist grundsätzlich ohne Bedeutung (BLECHTA, a.a.O., N. 10 zu Art. 3 DSG).

  3. Zur Annahme der Bestimmbarkeit der Person genügt jedoch nicht jede theoretische Möglichkeit deren Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfah- rung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor (BBl 1988 II 444 f.; so z.B. die komplizierte Analyse einer Statis- tik, mithilfe welcher eine Information einer bestimmten Person zugeordnet werden könnte). Dies ist im konkreten Fall zu prüfen, wobei insbesondere auch die Möglichkeiten der Technik mitbe- rücksichtigt werden müssen (BELSER, in: Basler Kommentar, Datenschutzgesetz, 2. Aufl. 2006, N. 6 zu Art. 3 DSG; ROSENTHAL, Handkommentar DSG, N. 24 f. zu Art. 3 DSG).

  4. Der Aufwand für eine Identifizierung hängt massgeblich vom Interesse und den Mitteln des Inte- ressenten ab. Hierzu sind die Mittel einzubeziehen, die grundsätzlich jedermann zugänglich sind, sowie jene Mittel, über die der Datenbearbeiter zusätzlich verfügt, sei es aufgrund seines besonderen Wissens, sei es aufgrund der ihm zugänglichen Informationsquellen (z.B. eine in- terne Datenbank) oder aufgrund anderer Umstände. Zu prüfen ist weiter, welches Interesse der Datenbearbeiter an einer Identifizierung hat, um festzustellen, ob nach allgemeiner Lebenser- fahrung damit gerechnet werden muss, dass er den konkret zur Identifizierung erforderlichen Aufwand auf sich nehmen würde. Dieses Interesse kann sich im Laufe der Zeit ebenso ändern wie die Mittel, die dem Datenbearbeiter zur Identifikation zur Verfügung stehen (ROSENTHAL, Handkommentar DSG, N. 26 zu Art. 3 DSG).

  5. Anonymisierung und Pseudonymisierung von Personendaten sind Bearbeitungsmethoden, die die Verschleierung der Identität der betroffenen Person bezwecken. Von einer Anonymisierung der Daten kann man ausgehen, wenn keine Partei in der Lage ist, eine Person aus einem Da- tenbestand herauszugreifen, eine Verbindung zwischen zwei Datensätzen eines Datenbestands (oder zwischen zwei unabhängigen Datenbeständen) herzustellen oder durch Inferenz Informa- tionen aus einem solchen Datenbestand abzuleiten. 100 Wenn andererseits immer noch die Mög- lichkeit einer Re-Identifizierung der Daten durch Herausgreifen, Verknüpfung und Inferenz be- steht, spricht man von pseudonymisierten Daten. 101

  6. Pseudonymisierte Daten stellen insofern Personendaten nach Art. 3 Bst a DSG dar, als sie ohne unangemessenen Aufwand re-identifiziert werden können (vgl. BLECHTA, a.a.O., N. 11 - 12 zu Art. 3 DSG). 3.1.3. Vorliegen eines eindeutigen Personenbezugs

3.1.3.1. Erstellung eines pseudonymisierten Identifikators zwecks Personalisierung 122. Um die Ausgabe- und Nutzungsdaten der Ricardo-Nutzenden mit Daten aus anderen Quellen verknüpfen zu können, werden sogenannte Identifikatoren verwendet. Auf diese Weise können Daten, die bei den Ricardo-Nutzenden erhoben wurden, mit Daten von anderen Unternehmen (TX-Daten-Angeboten) verknüpft werden, die sich ebenfalls auf diese Nutzenden beziehen.

100 Siehe Stellungnahme 5/2014 der Artikel-29-Datenschutzgruppe zu Anonymisierungstechniken. 101 Ibidem.

30/52

  1. Ricardo übermittelt der TX Group AG bzw. dem Kompetenzzentrum der TX Group (TDA) Stammkundendaten (E-Mail-Adresse, Name/Vorname, Adresse, Geburtsdatum und Anrede) sowie Nutzungsdaten, das heisst, Informationen über die Nutzung der Plattformen von Ricardo zusammen mit dem BID - einem Hashwert der UID 102 . Die TX Group AG generiert aus der E- Mail-Adresse einen eindeutigen Hashwert und aggregiert die an sie übermittelten Stammkun- dendaten mit dem BID unter diesem pseudonymisierten Hashwert. Zudem wird jedem Ricardo Nutzenden eine Ad-ID (Werbe-ID) zugeordnet.
  2. Die Verwendung dieser eindeutigen Identifikatoren ermöglicht der TX Group bzw. dem Werbe- vermarktungsunternehmen einem Nutzenden personalisierte Werbung anzuzeigen, die auf die bearbeiteten aggregierten Informationen basiert. Der Bezug zwischen den aggregierten Daten und dem einzelnen Nutzenden bleibt trotz der Pseudonymisierung bestehen, da andernfalls das Ziel - die Personalisierung der angezeigten Werbung auf Basis des getrackten Nutzungsverhal- tens - nicht erreicht werden könnte. 3.1.3.2. Interesse und technische Möglichkeit, pseudonymisierte Daten einer Person zuzuordnen
  3. Für die Datenverknüpfung und die Werbeauslieferung muss TX Group nicht an die «bürgerliche Identität» des Nutzers gelangen: ein Pseudonym genügt. Deshalb ist nicht davon auszugehen, dass TX Group in Zusammenhang mit der Erfüllung dieses Zweckes ein Interesse hat, die Per- sonen hinter dem Identifikator (BID, Hashwert E-Mail-Adresse oder Werbe-ID) bei den Datenbe- arbeitungen im Zusammenhang mit Werbezwecken zu re-identifizieren bzw. an ihre «bürgerli- che Identität» zu gelangen. Die TX Group hätte im Hinblick auf die Erfüllung eines anderen Zwecks ein Interesse an dieser Re-Identifizierung, konkret zur Aufdeckung von Missbrauch. Ge- mäss TX Group 103 soll es bei Missbrauchsfällen möglich sein, fehlbare Nutzer, die plattform- übergreifend agieren, durch einen gruppeninternen Datenaustausch ausfindig zu machen. Dass aktuell keine entsprechenden Prozesse stattfinden, spielt für die Feststellung der Bestimmtheit der Nutzer und mithin die Qualifizierung der Daten als Personendaten keine Rolle.
  4. Das Interesse an einer Re-Identifizierung ist zudem nicht das einzige Kriterium für die Annahme eines Personenbezugs (siehe Rz. 117ff). Personendaten können bereits vorliegen, wenn TX Group über die Mittel verfügt, um diese Daten ohne unangemessenen Aufwand einer Person zuzuordnen. Dies ist eben vorliegend der Fall (siehe Rz. 123-124). 3.1.3.3. Fazit
  5. Zusammenfassend kann festgehalten werden, dass vorliegend ein eindeutiger Personenbezug vorliegt und sich die Identität der betroffenen Person ohne unverhältnismässigen Aufwand durch Ricardo und TX Group feststellen lässt. Bei den von TX Group bearbeiteten Daten han- delt es sich somit um Personendaten im Sinne des DSG: Ricardo gibt Personendaten an TX Group weiter und diese müssen auch nach den technischen Massnahmen bzw. dem Aggregie- rung- und Pseudonymisierungsprozess als Personendaten für die TX Group betrachtet werden. Somit gelten für deren Bearbeitung die Vorgaben des DSG. 3.2. Bearbeiten von Persönlichkeitsprofilen
  6. Das DSG knüpft an die Bearbeitung von Persönlichkeitsprofilen besondere Rechtsfolgen an: Ist für die Bearbeitung von Personendaten die Einwilligung erforderlich, muss diese bei einer Bear- beitung von Persönlichkeitsprofilen ausdrücklich erfolgen (Art. 4 Abs. 5 DSG). Auch gilt eine In- formationspflicht beim Beschaffen von Persönlichkeitsprofilen (Art. 14 DSG).
  7. Der Grund für diesen erhöhten Schutz des Gesetzes liegt darin, dass die Bearbeitung oder die Erstellung von Persönlichkeitsprofilen die Persönlichkeit der betroffenen Personen besonders stark berühren. Die Erstellung von Persönlichkeitsprofilen ist insbesondere durch die Auswer-

102 UID: User Identifikationsnummer (vgl. Rz. 67) 103 Vgl. Sachverhalt, Rz. 49.

31/52

tungsmöglichkeiten der automatischen Datenverarbeitung und durch die Verknüpfung automati- sierter Datenbestände immer leichter und häufiger geworden. Oftmals haben die Betroffenen keine Kenntnis vom Bestehen eines Profils, können demzufolge weder die Richtigkeit noch die Verwendung kontrollieren und werden dadurch der Freiheit beraubt, sich so darzustellen, wie sie dies wollen (BBl 1988 II 447). 3.2.1. Begriff Persönlichkeitsprofil 130. Gemäss Art. 3 lit. d DSG stellt ein Persönlichkeitsprofil «eine Zusammenstellung von Daten dar, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Gemäss der Botschaft zum DSG ist ein Persönlichkeitsprofil eine Zusammenstellung einer grös- seren Zahl von Daten über die Persönlichkeitsstruktur, die beruflichen Fähigkeiten und Aktivitä- ten oder auch die ausserberuflichen Beziehungen und Tätigkeiten, die ein Gesamtbild oder ein wesentliches Teilbild der betreffenden Person ergibt. Entscheidend ist, dass die systematische Zusammenstellung von an sich nicht besonders schützenswerten Daten (z.B. über Lesege- wohnheiten, Reise- und Freizeitaktivitäten) eine Beurteilung wesentlicher Aspekte der Persön- lichkeit zulässt (BBl II 1988 447). 131. Nach der Rechtsprechung des Bundesgerichts werden Persönlichkeitsprofile bearbeitet, wenn eine Vielzahl an sich nicht besonders schützenswerter Daten so zusammengestellt wird, dass eine Beurteilung wesentlicher Aspekte der Persönlichkeit ermöglicht wird. Auch Datensammlun- gen über das Konsumverhalten sind geeignet, mindestens ein Teilbild der betroffenen Person zu ergeben. Dabei spielt sowohl die Menge und der Inhalt der personenbezogenen Informatio- nen eine Rolle, als auch die zeitliche Dimension der Informationen. Personendaten, die über einen längeren Zeitraum zusammengetragen werden und dadurch gleichsam ein biografisches Bild ergeben, sind eher als Persönlichkeitsprofil zu qualifizieren als Daten, die eine blosse Mo- mentaufnahme darstellen (BVerG A-4232/2015 Urteil vom 18. April 2017, E. 5.2.1). 3.2.2. Bearbeitung von Persönlichkeitsprofilen der Ricardo-Nutzenden 132. Die von TX Group durchgeführten Datenbearbeitungen zielen darauf ab, mit Hilfe von Algorith- men Korrelationen zwischen den bei den Nutzenden erhobenen Daten herzustellen, um das Verhalten und die Vorlieben einer Person zu analysieren und vorauszusagen. Es stellt sich dementsprechend die Frage, ob die Zusammenstellung dieser Daten die Beurteilung wesentli- cher Aspekte der Persönlichkeit der Ricardo-Nutzenden ermöglicht oder geeignet ist, mindes- tens ein Teilbild von ihnen zu ergeben. 133. Vorliegend werden Kunden- und Nutzungsdaten von Ricardo-Nutzenden unter Einsatz von Analysetools mit Daten weiterer Unternehmen der TX-Gruppe oder verbundenen Unternehmen systematisch miteinander verknüpft, mit dem Zweck, das Nutzerverhalten angebotsübergreifend zu analysieren (Vgl. Rz. 59ff. und 102). Diese Personendaten werden über einen längeren Zeit- raum zusammengetragen. 104 Zur Verbesserung der Datenbasis können auch öffentlich erhältli- che Daten oder Daten von Drittanbietern hinzugezogen werden. Durch die Verknüpfung von Datensätzen aus verschiedenen Quellen erreichen die miteinander verknüpften Personendaten eine Informationsdichte, die Verhaltensmuster erkennen lassen. 134. Die Erkenntnisse aus der Analyse der verknüpften Daten über das Konsumverhalten ermöglicht TX Group zumindest ein Teilbild der Personen der Nutzenden der Plattformen der TX Group zu erstellen. Diese Verknüpfung erlaubt also eine «Beurteilung wesentlicher Aspekte der Persön- lichkeit einer natürlichen Person» 105 . Folglich bearbeitet TX Group Persönlichkeitsprofile. 135. Im nDSG wurde die Begrifflichkeit des «Persönlichkeitsprofils» durch die Begrifflichkeit des «Pro- filings» ersetzt. Gemäss Art. 5 lit. f umfasst die Bearbeitungsform des Profilings «jede Art der

104 In den Datenschutzerklärungen, welche aktuell für die Ricardo-Nutzenden gelten, steht zur Datenaufbewahrung folgendes: «Bei Analysen Ihrer Daten speichern wir Ihre Daten so lange bis die Analyse abgeschlossen ist oder Sie der weiteren Bearbei- tung widersprochen haben» (Datenschutzerklärung SMG) sowie «Wir bearbeiten Daten so lange, wie es unsere Bearbeitungs- zwecke [...] es verlangen» (Datenschutzerklärung zu den TX-Daten-Angeboten). 105 Vgl. Rechtsprechung Moneyhouse.

32/52

automatisierten Bearbeitung von Personendaten, die darin besteht, dass diese Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesund- heit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Orts- wechsel dieser natürlichen Person zu analysieren oder vorherzusagen». 136. Im Rahmen der parlamentarischen Arbeiten hat der Gesetzgeber von 2020 das «Profiling» in lit. g. von Art. 5 nDSG durch die qualifizierte Bearbeitungsform des «Profilings mit hohem Risiko» ergänzt, welche in der Vorlage des Bundesrats noch nicht vorgesehen war. Dabei handelt es sich um ein «Profiling, das ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffe- nen Person mit sich bringt, indem es zu einer Verknüpfung von Daten führt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.» Es ist augenschein- lich, dass sich der Gesetzgeber von 2020 mit dieser Formulierung an die Definition des altrecht- lichen «Persönlichkeitsprofils» angelehnt hat und dieses weitgehend übernimmt (so R UDIN, in: Baeriswyl/Pärli/Blonski (Hrsg.), Stämpflis Handkommentar um DSG, 2. Aufl. Art. 5 N 52). 137. Obwohl beide Begrifflichkeiten eine automatisierte Form der Bearbeitung voraussetzen, ist deren Bedeutung nicht deckungsgleich. Während es sich beim altrechtlichen Persönlichkeitsprofil um das Ergebnis einer Datenbearbeitung handelt, bezeichnet «Profiling» eine besondere Form der Bearbeitung. Aus dem logischen Zusammenhang zwischen dem Resultat und der Form einer Bearbeitung wiederum lässt sich in Anlehnung an die einschlägige Lehre ableiten, dass automa- tisierte Bearbeitungen, die im Ergebnis zu einem altrechtlichen «Persönlichkeitsprofil» führen, das eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer Person erlaubt, im Regelfall auch die Qualifikationsmerkmale des «Profilings mit hohem Risiko» erfüllen (in diesem Sinne S TENGEL/LODERER unter Berufung auf Daniel Rosenthal u.a., in: Bieri/Powell (Hrsg.), Kommentar DSG, Ausg. 2023 Art. 5 N 16 f.). 138. Wie oben dargelegt, lassen die von der TX Group AG bearbeiteten Persönlichkeitsprofile eine Beurteilung wesentlicher Persönlichkeitsaspekte zu, wie sie auch für das «Profiling mit hohem Risiko» nach neuem Recht kennzeichnend ist. Ob im konkreten Fall denn auch von einem sol- chen «Profiling mit hohem Risiko» auszugehen ist, kann der EDÖB indessen offenlassen, da sich die vorliegende Sachverhaltsabklärung nach altem Recht beurteilt.

3.3. Ricardo und TX Group als Datenverantwortliche 139. Gemäss Art. 3 lit. i DSG gelten als Verantwortliche oder Inhaber einer Datensammlung, private Personen oder Bundesorgane, die über den Zweck und den Inhalt der Datensammlung ent- scheiden. 140. Datenbearbeitungen, welche durch das Kompetenzzentrum der TX Group AG für die Erfüllung von Bearbeitungszwecken, die Ricardo bestimmt hat, durchgeführt werden, sind als Auftragsda- tenbearbeitungen im Sinne von Art. 10a DSG anzusehen. Die vorliegend geprüfte Datenerfas- sung und Weiterbearbeitung, welche TX Group AG für die Erfüllung der Zwecke der TX Group und der angeschlossenen Unternehmen vornimmt, stellt jedoch eine Datenbearbeitung dar, wo- für die TX Group datenschutzrechtlich verantwortlich bzw. mitverantwortlich ist. 141. In den für Ricardo-Nutzenden aktuell geltenden Datenschutzerklärungen 106 sind die Datenver- antwortlichkeiten wie folgt definiert: Standardisierte Datenschutzerklärung der SMG: «SMG bzw. die SMG Gruppe sind verantwort- lich für die Bearbeitung Ihrer Daten, die im Rahmen unserer Angebote oder Zusammenarbeit mit Ihnen gesammelt oder erhalten oder für andere Zwecke, wie in dieser Datenschutzerklärung definiert, bearbeitet werden.» Datenschutzerklärung der TX Group: «Für die Datenerhebung im Rahmen der TX Daten-Ange- bote sind die TX Group AG und die angeschlossenen Unternehmen gemeinsam verantwortlich.

106 Vgl. Sachverhalt, Rz. 98ff.

33/52

Für die Aggregierung der über die TX Daten-Angebote erhobenen Nutzerdaten und die Gestal- tung der TX Daten-Angebote ist die TX Group AG verantwortlich. Für die Bearbeitung der durch die TX Daten-Angebote erhaltenen Daten ist das angeschlossene Unternehmen selbständig verantwortlich». 142. Obwohl dies aus der Datenschutzerklärung nicht klar hervorgeht 107 , sind für die vorliegend un- tersuchten Datenbearbeitungen 108 sowohl Ricardo (als angeschlossenes Unternehmen) als auch TX Group für die Einhaltung des DSG verantwortlich. Dies haben Ricardo und TX Group im Rahmen der Abklärungen auch mehrfach bestätigt 109 .

3.4. Bestehen einer Persönlichkeitsverletzung 143. Gemäss Art. 12 DSG darf ein Verantwortlicher, der Personendaten bearbeitet, dabei die Per- sönlichkeit der betroffenen Personen nicht widerrechtlich verletzen. Insbesondere darf er nicht Personendaten entgegen den Grundsätzen der Artikel 4, 5 Absatz 1 und 7 Absatz 1 bearbeiten und ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bear- beiten.

3.4.1. Einhaltung der Bearbeitungsgrundsätze (Art. 12 Abs. 2 lit. a DSG) 144. Die Bearbeitung von Personendaten muss gemäss den Bearbeitungsgrundsätzen von Art. 4, 5 Abs. 1 und 7 Abs. 1 DSG erfolgen. Eine Verletzung dieser Bearbeitungsgrundsätze stellt eine Persönlichkeitsverletzung gemäss Art. 12 Abs. 2 lit. a DSG dar.

3.4.1.1. Erkennbarkeit der Datenbearbeitungen zu Marketingzwecken (Grundsatz der Trans- parenz, Treu und Glauben)

3.4.1.1.1. Anforderungen an der Transparenz nach DSG 145. Die Bearbeitung von Personendaten hat gemäss Art. 4 Abs. 2 DSG nach Treu und Glauben zu erfolgen. Nach Art. 4 Abs. 4 DSG müssen die Beschaffung von Personendaten und insbeson- dere der Zweck ihrer Bearbeitung für die betroffene Person erkennbar sein. 146. Der Grundsatz der Transparenz dient dazu, den betroffenen Personen zu ermöglichen, be- wusste Entscheidungen über ihr informationelles Selbstbestimmungsrecht zu treffen. Wenn die Bearbeitungszwecke nicht präzis genug bestimmt werden oder nicht in einer klaren und eindeu- tigen Form beschrieben werden, kann eine betroffene Person weder die durchgeführten Daten- bearbeitungen kontrollieren, noch ihre datenschutzrechtlichen Ansprüche vernünftig ausüben. So die Botschaft: «Die in Artikel 4 Absatz 4 verlangte Transparenz (...) verleiht dem Recht, die Bearbeitung zu untersagen (Art. 12 Abs. 2 Bst. b DSG), ebenfalls eine neue Dimension. Das Recht, sich der Bearbeitung zu widersetzen, muss so lange blosse Theorie bleiben, als die be- troffenen Personen sich über eine Datenbeschaffung und ihre wesentlichen Rahmenbedingun- gen gar nicht im Klaren sind. Die Transparenz der Beschaffung und die Information der betroffe- nen Person bilden somit den eigentlichen Eckpfeiler des ganzen Datenschutzsystems.» (BBl 2003 2101, S. 2126) 147. Vor diesem Hintergrund sind die Informationen, welche der Inhaber der Datensammlung in ei- ner konkreten Situation der betroffenen Person erteilen muss, damit die Datenbeschaffung so-

107 Vgl. Zur Erkennbarkeit der Datenverantwortlichen, siehe 3.4.1.2., Rz. 171 sowie Rz. 180. 108 Nachdem im Rahmen weiterer Abklärungen im Sommer 2023 festgestellt wurde, dass neu doch ein „Datenaustausch inner- halb der SMG“ stattfindet, der aber angeblich nichts mit den bisher untersuchten Datenbearbeitungen (Angebote) zu tun habe, verzichtete der Beauftragte aus verfahrensökonomischen Gründen darauf, das Verfahren formell auf die Swiss Market- place Group AG (SMG) bzw. deren Gesellschaften auszudehnen. Dazu vgl. Sachverhalt Rz. 11ff, insbesondere 16ff. 109 Vgl. Rz. 12f sowie Rz. 16.

34/52

wie die Rahmenbedingungen der Datenbearbeitung erkennbar sind, nach den Umständen so- wie den Grundsätzen der Verhältnismässigkeit und von Treu und Glauben zu beurteilen (Art. 4 Abs. 2 DSG). 148. Wenn die Datenbeschaffung und ihr Zweck aus den Umständen klar erkennbar sind, muss keine besondere Information erfolgen. Wenn eine Beschaffung aufgrund der Umstände hinge- gen weniger deutlich erkennbar ist, muss die betroffene Person umso eher in geeigneter Art und Weise auf die Erhebung und ihre wesentlichen Rahmenbedingungen aufmerksam gemacht werden. Wenn eine Information erforderlich ist, setzen die Grundsätze der Verhältnismässigkeit und von Treu und Glauben voraus, dass diese aus der Perspektive einer zum Zielpublikum der Plattform gehörenden, verständigen Durchschnittsperson nach Treu und Glauben hinreichend sind, um ihnen eine zumutbare Möglichkeit zu gewähren, davon Kenntnis zu nehmen. 149. Es ist jeweils zu prüfen, ob die Informationen für eine durchschnittliche, verständige Person hin- reichend klar und bestimmt sind, um sich ein Bild davon zu machen und gestützt darauf eine Entscheidung über die Erklärung der Einwilligung oder eines Widerspruchs zu fällen (vgl. Bot- schaft DSG 2017, S. 7050). Neben dem explizit zu nennendem Zweck ist die Identität des Ver- antwortlichen oder, falls Daten weitergegeben werden sollen, die Kategorie von möglichen Da- tenempfängern bekanntzugeben (Botschaft DSG 2003, S. 2125). 150. Gemäss der Botschaft ist es aber möglich, dass unter Umständen weitere Angaben gemacht werden müssen: «Erfordert es der Grundsatz von Treu und Glauben, muss der Inhaber der Da- tensammlung indessen noch weitere Informationen liefern, beispielsweise darüber, ob die Be- antwortung der gestellten Fragen freiwillig oder obligatorisch ist und über die Folgen einer Ver- weigerung der verlangten Angaben» (BBl 2003 2131). Um seiner Informationspflicht nachzu- kommen muss der Verantwortliche alles unternehmen, was von ihm nach den Umständen ver- nünftigerweise verlangt werden kann (BBl 2003 2101, S. 2132). 151. Das DSG kennt neben dem Transparenzgebot des Art. 4 Abs. 4 DSG auch eine Informations- pflicht des Verantwortlichen beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen: Der Inhaber der Datensammlung ist verpflichtet, die betroffene Per- son über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeits- profilen zu informieren (vgl. Art. 14 Abs. 1 DSG). 152. Je einschneidender die Datenbearbeitung in Bezug auf die Persönlichkeitsrechte ist, desto hö- here Anforderungen sind an die Transparenz zu stellen. Die Informationspflicht nach Art. 14 DSG setzt voraus, dass die Information ausdrücklich bereitgestellt wird und dass der Inhaber der Datensammlung der betroffenen Person alle Informationen zukommen lässt, die für eine Bearbeitung nach dem Grundsatz von Treu und Glauben und der Verhältnismässigkeit erforder- lich sind, insbesondere die Identität des Inhabers der Datensammlung, den Zweck des Bearbei- tens und die Kategorien allfälliger Datenempfänger. 153. Bei besonders einschneidenden oder unerwarteten Bearbeitungen ist die betroffene Person «gesondert aufmerksam» zu machen. 110

  1. Das nDSG geht indes weiter, indem es die Verantwortlichen verpflichtet, die Betroffenen ange- messen über die Beschaffung von Personendaten zu informieren, auch dann, wenn die Daten nicht bei der betroffenen Person beschafft werden (vgl. Art. 19 nDSG). Die Verantwortlichen ha- ben bei der Beschaffung den betroffenen Personen diejenigen Informationen mitzuteilen, die er- forderlich sind, damit sie ihre Rechte nach dem nDSG geltend machen können und eine transpa- rente Datenbearbeitung gewährleistet ist (vgl. Art. 19 Abs. 2 nDSG).

3.4.1.1.2. Einhaltung der Transparenz und Informationspflichten im vorliegenden Fall

110 Das Erfordernis eines gesonderten Hinweises bzw. die Ungewöhnlichkeitsregel wird aus dem Vertrauensprinzip und Verhält- nismässigkeitsprinzip abgeleitet. Das Erfordernis eines gesonderten Hinweises ergibt, die betroffene Person im Sinne der Rechtsprechung zur Ungewöhnlichkeit «gesondert aufmerksam» zu machen ist (vgl. Lukas Bühlmann/Michael Schüepp, Infor- mation, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Datenschutzrecht, in: Jusletter 15. März 2021, S. 22).

35/52

  1. Vorliegend soll geprüft werden, ob die Datenbearbeitungen bzw. die Weitergabe der Ricardo- Nutzerdaten an die TX Group sowie die danach durchgeführte plattformübergreifende Daten- verknüpfung zum Zweck der personalisierten Werbung der TX Group bzw. der angeschlosse- nen Unternehmen aus der Perspektive des Ricardo-Mitglieds bzw. eines durchschnittliches Ri- cardo-Nutzers erkennbar sind.

  2. Ricardo AG, TX Group AG und alle Gesellschaften der Tamedia/TX-Gruppe bzw. angeschlos- sene Unternehmen sind für den jeweilig anderen als «Dritte» zu qualifizieren. Die Beziehung der Ricardo-Plattform zu Tamedia bzw. zu TX Group ist für die meisten Ricardo-Nutzenden nicht per se bekannt. Ein Ricardo-Mitglied kann grundsätzlich nicht erwarten, dass die Daten aus seiner Nutzung der Ricardo-Auktionsplattform mit Daten aus seiner Nutzung von anderen Plattformen wie homegate.ch, anibis.ch oder 20 Minuten bzw. einer Tamedia-Zeitung verknüpft werden. Er kann auch nicht ohne eine angemessene Information damit rechnen, dass die Da- ten, welche er bei der Registrierung bei Ricardo angegeben hat, mit den Daten von seinen an- deren TX-Accounts verglichen und miteinander verknüpft werden können.

  3. TX Group bearbeitet im Zusammenhang mit dem Tracking zu Marketing- und Sicherheitszwe- cken Persönlichkeitsprofile (siehe Ziff. 3.2.2), somit untersteht sie der Informationspflicht nach Art. 14 DSG, welche den Grundsatz der Transparenz ergänzt und eine ausdrückliche Informa- tion durch den Verantwortlichen über die Beschaffung der Daten, den Zweck ihrer Bearbeitung, die Identität des Inhabers der Datensammlung sowie die Kategorien der allfälligen Datenemp- fänger voraussetzt.

  4. Vorliegend muss geprüft werden, ob die bereitgestellten Informationen deutlich und angemes- sen sind, um die Erkennbarkeit der Datenbearbeitung zu gewährleisten.

  5. Die Erkennbarkeit der im Juli 2017 eingeführten Datenbearbeitungen, deren Zwecke (sowie der allfälligen Widerspruchsmöglichkeiten), der Identität des Verantwortlichen und der allfälligen Da- tenempfänger wird im Folgenden aus den verschiedenen Perspektiven der Betroffenen (sei es ein bestehendes Mitglied von Ricardo oder ein potentieller Neukunde) geprüft. a) Mitteilung vom 12. Juli 2017 und Datenschutzerklärung vom 12./26. Juli 2017

  6. Die damals bestehenden Ricardo-Mitglieder wurden mittels einer E-Mail-Mitteilung am 12. Juli 2017 über die bevorstehende Änderung der Datenschutzerklärung bzw. über die Datenweiter- gabe innerhalb der Tamedia-Gruppe informiert. Den Ricardo-Mitgliedern wurde mitgeteilt, die neue Datenschutzerklärung gelte als automatisch akzeptiert, wenn ein Mitglied die Dienstleis- tungen von ricardo.ch verwenden würde. Ein allfälliger Widerspruch würde eine Auflösung der Mitgliedschaft zu Folge haben. Bei denjenigen Mitgliedern, welche den Bearbeitungen für per- sonenbezogene Analyse- und Marketingzwecke widersprochen haben, wurde das Benutzer- konto tatsächlich deaktiviert. 111

  7. In der Mitteilung wurden die Sicherheitszwecke des Datenaustausches innerhalb der Tamedia- Gruppe hervorerhoben 112 (vgl. Sachverhaltsfeststellung, 2.5.2.1). Hingegen bestand kein ein- deutiger Hinweis auf eine Datenweitergabe oder Datenaustausch zu Marketingzwecken oder personalisierte Werbung. Auch wurde keineswegs auf die Bearbeitung von Persönlichkeitsprofi- len hingewiesen, obwohl diese in der revidierten Datenschutzerklärung explizit vorgesehen war 113 . Der Datenaustausch innerhalb der Gruppe zu Sicherheitszwecken, insbesondere die erwähnte Missbrauchsbekämpfung, welche prominent in der Mitteilung erwähnt wurde, war da- gegen nicht in der Datenschutzerklärung vorgesehen.

111 Sachverhalt, Rz. 85-87 112 „Mit der neuen Datenschutzerklärung können wir Ihnen für Sie relevante Angebote und Dienstleistungen anzeigen und Ihr Online-Erlebnis sowie die Sicherheit unserer Angebote verbessern. Damit erhöht sich der Schutz vor Online-Betrug und -Miss- brauch.“; „...Der Widerspruch hat eine Auflösung der Mitgliedschaft zur Folge“. 113 Der entsprechende Hinweis wurde jedoch nachträglich bzw. in der im Mai 2018 revidierten Datenschutzerklärung gelöscht (vgl. Sachverhalt, Rz. 43).

36/52

  1. Im Rahmen der Sachverhaltsabklärung wurde allerdings deutlich, dass die neu eingeführten Datenbearbeitungen, insbesondere die Datenverknüpfung von Daten aus verschiedenen Quel- len, in erster Linie Marketing bzw. personalisierten Werbungzwecken dienen sollen. Dieses Vor- gehen verstösst gegen den Grundsatz von Treu und Glauben.

  2. Das Hervorheben der Sicherheitszwecke, die gegenüber den Marketing- bzw. Werbezwecken lediglich eine marginale Rolle spielten 114 , sowie die mangelnde Information betreffend die Mar- ketingzwecke der Datenbearbeitungen führt dazu, dass die betroffenen Mitglieder nicht ange- messen über die neu eingeführten Datenbearbeitungen informiert worden sind und somit nur bedingt in der Lage waren, gestützt auf diese Mitteilung und die Datenschutzerklärung eine Ent- scheidung über ihr informationelles Selbstbestimmungsrecht zu treffen.

  3. Auch waren die Rahmenbedingungen der Datenbearbeitung zu Marketingzwecken (inklusive die Widerspruchsmöglichkeiten) nicht hinreichend erkennbar. Bei denjenigen Mitgliedern, wel- che den Bearbeitungen für personenbezogene Analyse- und Marketingzwecke widersprochen haben, wurde das Benutzerkonto deaktiviert. 115 Allerdings war in dieser ersten Fassung der Da- tenschutzerklärung die Möglichkeit einer Deaktivierung des Online-Trackings durch Tamedia erwähnt ( Das entsprechende URL war jedoch nicht verlinkt). Dies erweckte den Eindruck, dass ein Widerspruch möglich war. Diese Widerspruchsmöglichkeit beschränkte sich zudem auf die zukünftigen Nutzungsdaten (Einsatz eines Opt-out-cookies). Es bestand also in der Tat keine Möglichkeit, dem Datenaustausch bzw. der Datenverknüpfung innerhalb Tamedia zu Marketing- zwecken insgesamt zu widersprechen. 116 Dieses Vorgehen verstösst ebenfalls gegen den Grundsatz von Treu und Glauben. b) Mitteilung vom 9. Mai 2018 betreffend die Datenschutzerklärung vom 25. Mai 2018

  4. Ricardo.ch kündigte am 9. Mai 2018 den registrierten Kunden eine aktualisierte und an die EU- DSGVO angepasste Datenschutzerklärung an, welche ab dem 25. Mai 2018 gelten sollte. In der entsprechenden Mitteilung wurden die Sicherheitszwecke erneut hervorgehoben 117 . Was die Rahmenbedingungen der Datenbearbeitung anbelangt, wurde diesmal explizit auf eine «neue» Widerspruchsmöglichkeit des Datenaustauschs innerhalb der Tamedia hingewiesen. Insbesondere sollte demnach den Mitgliedern «eine einfache Möglichkeit zur Verfügung gestellt werden, um die Datenweitergabe innerhalb der Tamedia-Gruppe zu unterbinden» (Abmeldung Datenaustausch Tamedia). 118

  5. Gemäss der im Mai 2018 revidierten Datenschutzerklärung konnte der Analyse des Nutzerver- haltens bzw. der angebotsübergreifenden Datenverknüpfung per E-Mail an Ricardo widerspro- chen werden: «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken so- wie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe [...] jederzeit per E-Mail widerspre- chen». 119 Nach den Erkenntnissen dieser Sachverhaltsabklärung hat ein per E-Mail eingereich- tes Widerspruchsbegehren jedoch keine solche Auswirkung. 120

  6. Die Tatsache, dass Ricardo-Nutzer über die Widerspruchsmöglichkeit gegen die Weitergabe bzw. Datenverknüpfung innerhalb der TX Group zu Werbezwecken informiert wurden und diese wider Erwarten nicht umgesetzt wird , stellt einen Verstoss gegen den Grundsatz von Treu und Glauben dar. Vor diesem Hintergrund kann festgehalten werden, dass die Rahmenbedingungen

114 Jedenfalls wurden keine entsprechenden Prozesse unterhalten, vgl. Sachverhalt Rz. 49. 115 Vgl. Sachverhalt, Rz. 87. 116 Vgl. Datenschutzerklärung vom 27. Juli 2017 bzw. Sachverhalt, Rz. 94-96. 117 „Warum gibt es überhaupt eine interne Weitergabe bei Tamedia? Ein wichtiger Grund für die Weitergabe ist die Verbesserung der Sicherheit für die Mitglieder, um beispielsweise Online-Betrug besser vorzubeugen. Dies ermöglicht, indem Informationen bei Verdachtsfällen zwischen den Online-Plattformen von Tamedia ausgetauscht werden können. Zudem möchten wir in Zu- kunft für Sie relevantere und auf Ihre Bedürfnisse zugeschnittene Werbung anzeigen...“ (vgl. Sachverhalt, Rz. 92). 118 Vgl. Sachverhalt, Rz. 91ff., insb. Rz. 92-93. 119 Vgl. Sachverhalt, Rz. 91. 120 Vgl. Sachverhalt, Rz. 93.

37/52

der Datenbearbeitung zu Marketingzwecken nicht hinreichend erkennbar waren und somit der Grundsatz der Transparenz verletzt wurde. c) Information bei einer neuen Anmeldung 168. Bei den ersten Abklärungen erfolgte eine neue Anmeldung durch das Akzeptieren der AGB und der Datenschutzerklärung von Ricardo. Dabei gab es keinen besonderen bzw. expliziten Hin- weis auf eine Datenweitergabe an die TX Group oder auf ein plattformübergreifendes Tracking bei der TX Group für Werbezwecke. Aktuell müssen neue Mitglieder beim Erstellen eines Ri- cardo-Konto die AGB durch Ankreuzen akzeptieren und von der Datenschutzerklärung von Ri- cardo nur Kenntnis nehmen. Bei der Anmeldung gibt es weiterhin keinen besonderen bzw. ex- pliziten Hinweis auf eine Datenweitergabe an die TX Group oder auf ein plattformübergreifen- des Tracking bei der TX Group für Werbezwecke. 121

  1. Somit werden neue Mitglieder grundsätzlich durch die Datenschutzerklärung

(bzw. die Daten- schutzerklärungen) informiert, dass eine Weitergabe an TX Group und eine Datenverknüpfung bzw. ein plattformübergreifendes Tracking auf Basis von Daten aus allen weiteren angeschlos- senen TX-Unternehmen (sogenannte TX-Angebote) stattfinden. Die Angemessenheit dieser In- formationen wird folgend geprüft (Buchstaben d und e). Seit der Einführung des CMP werden die Nutzer ebenfalls mittels Banner über die Bearbeitung ihrer Daten informiert (siehe Buch- stabe f). d) Standardisierte Datenschutzerklärung der TX-Gruppe am Beispiel der Datenschutzerklä- rung vom 11. Februar 2020 170. Wie im Sachverhalt dargestellt, führte die Tamedia-Gruppe bzw. seit Ende 2019 die TX Group bei zugehörigen Unternehmen eine einheitliche Datenschutzerklärung ein 122 . Die standardi- sierte Datenschutzerklärung sollte für alle Unternehmen der Gruppe gelten, die untereinander Daten austauschen - insbesondere auch Ricardo. Die Datenschutzerklärung wurde mehrfach aktualisiert, jedoch - abgesehen vom möglichen Widerspruch gegen den gruppeninternen Da- tenaustausch - ohne wesentliche inhaltliche Änderungen. Für die vorliegende Abklärung wird die Datenschutzerklärung vom 11. Februar 2020 herangezogen. 171. Die (standardisierte) Datenschutzerklärung bezieht sich sowohl auf Datenbearbeitungen von Ricardo, als auch auf Datenbearbeitungen von Gesellschaften der TX-Gruppe (alt: Tamedia) sowie verbundenen Unternehmen. 123 Obwohl die Ricardo AG und die TX Group AG bzw. Ge- sellschaften der Tamedia/TX-Gruppe bzw. «verbundene Unternehmen» nicht gemeinsam die Verantwortung für die Datenbearbeitungen tragen, werden sie mit «wir» in der Datenschutzer- klärung bezeichnet 124 . Es ist somit nicht klar, welche Datenbearbeitungen durch welche Unter- nehmen durchgeführt werden können bzw. wer für die Datenbearbeitungen jeweils verantwort- lich ist. 172. Im Ziffer 3 der Datenschutzerklärung wird die Weitergabe an Dritte erläutert. Nach deren Wort- laut können «die von Ihnen erfassten Angaben und im Rahmen unserer Nutzungsmessungen gemäss Ziff. 1 oben erhobene Daten zu Ihrer Person» genutzt und an Unternehmen der TX Group oder an verbundene Unternehmen «zur Auswertung, Verbesserung und bedarfsgerech- ten Ausgestaltung unserer Dienste, respektive der Dienste der verbundenen Unternehmen, zur Kundenpflege, zu Personalisierung und zu Marketingzwecken» weitergegeben werden. 125 Eine

121 Vgl. Sachverhalt Rz. 81. 122 Vgl. Sachverhaltsfeststellung, Rz. 1. Zur Momentaufnahme der Sachverhaltsfeststellung vom 28. Februar 2020 und bis die Umstrukturierung im November 2021 war Ricardo AG Teil der TX Group. 123 Vgl. Sachverhalt, Rz. 27. 124 «Diese Datenschutzerklärung von ricardo.ch, ein Angebot der ricardo.ch AG, informiert Sie darüber, wie wir und die Gesell- schaften der TX-Gruppe sowie verbundene Unternehmen (...); nachfolgend insgesamt auch «Wir») mit Daten umgehen, welche über Sie bearbeitet werden (...)», Sachverhalt, Rz. 28. 125 V gl. Ziffer 1 der Datenschutzerklärung und Ziffer 3 der Datenschutzerklärung

38/52

solche Weitergabe soll «grundsätzlich mit pseudonymisierten oder anonymisierten Daten» erfol- gen; zudem werde «mittels technischer und organisatorischer Massnahmen» sichergestellt, «dass eine personenbezogene Identifizierung nicht mehr möglich ist». Für Datenbearbeitungen durch andere Unternehmen der TX-Gruppe oder mit der TX-Gruppe verbundene Unternehmen wird auf Ziffer 4 («Bearbeitung Ihrer Personendaten zu Marketing und Analysezwecken») ver- wiesen. Zu Marketing und Analysezwecken der Unternehmen der TX-Gruppe oder der mit der TX-Gruppe verbundenen Unternehmen dürften demzufolge «laufend unter Einsatz verschiede- ner Analysetools nutzerspezifische historische und zukünftige Daten über die wir verfügen, mit- einander verknüpft und das Nutzerverhalten angebotsübergreifend analysiert, aggregiert, pseu- donymisiert und anonymisiert werden. Zur Verbesserung unserer Datenbasis können wir öffent- lich erhältliche Daten oder Daten von Drittanbietern hinzuziehen». Die Erkenntnisse aus der Analyse sollen bei den teilnehmenden Unternehmen genutzt und verwertet werden können, wo- bei eine solche Datenbearbeitung «vor allem mit pseudonymisierten oder anonymisierten Da- ten» erfolgt. 126

  1. Nach den Erkenntnissen der vorliegenden Sachverhaltsabklärung ist eindeutig, dass damit die Datenbearbeitungen gemäss Rz. 63 ff. gemeint sind. Durchschnittlichen Ricardo-Nutzern kann jedoch nicht zugemutet werden, aus diesen Informationen zu entnehmen, dass ihre Stammda- ten mit Daten, welche durch ihre Nutzung der Ricardo-Plattform sowie anderer Plattformen er- hoben werden und Daten aus anderen Quellen derart verknüpft und personenbezogen bearbei- tet werden, dass TX Group erlaubt, Rückschlüsse über wesentliche Teilaspekte ihrer Persön- lichkeit zu ziehen. Die Informationspflicht nach Art. 14 DSG verlangt, dass explizit informiert wird, dass Persönlichkeitsprofile erstellt werden. Mit diesen Informationen ist diese Pflicht nicht erfüllt.
  2. Zudem sollen nach dem Datenschutzerklärung alle Daten, welche Ricardo erfasst, an Unter- nehmen der TX Group oder an verbundene Unternehmen für unterschiedliche Zwecke weiter- gegeben werden können. Dementsprechend könnte die Verhaltensanalyse durch TX Group möglicherweise alle Nutzer- und Kundendaten von Ricardo bzw. Personendaten der Ricardo- Kunden und -Nutzer erfassen. Gemäss Ausführungen von Ricardo und TX Group werden in der Tat jedoch nicht alle Daten zur Analyse und Marketingzwecken verwendet. TX Group bestimmt, welche Daten zur Analyse und Segmentierung verwendet bzw. aggregiert werden sollen. Infor- mationen zu Einkäufen und Vertragsschlüssen würden beispielsweise nicht zu den Marketing- und Analysezwecken der TX Group verwendet, obwohl diese Möglichkeit in der Datenschutzer- klärung aufgeführt wird 127 . Die Datenschutzerklärung spiegelt somit nicht die Datenbearbeitun- gen wider, die nach den Angaben von Ricardo und TX Group durchgeführt werden können und die Informationen in der Datenschutzerklärung erlauben einem Ricardo-Nutzer nicht, die mögli- chen Datenbearbeitungen durch Ricardo und TX-Group zu erkennen.
  3. Im vorliegenden Fall können die fraglichen Bearbeitungen als besonders einschneidend (siehe Ziff. 3.2.2) als auch als unerwartet (Rz. 156) qualifiziert werden, weshalb die betroffenen Perso- nen auf diese besonders einschneidenden und unerwarteten Datenbearbeitungen «gesondert aufmerksam» gemacht werden müssen. Die in der Datenschutzerklärung vorliegend erteilte In- formation über die Datenweitergabe an die TX Group und das plattformübergreifende Tracking erlaubt ihnen nicht, ihre Betroffenenrechte auszuüben, weil die Rahmenbedingungen dieser Da- tenbearbeitungen nicht transparent und erkennbar sind. Dieses Vorgehen vermag den Anforde- rungen an die Transparenz nicht zu genügen.
  4. Aus den oben genannten Gründen erlaubt die Datenschutzerklärung den Nutzern nicht, sich ei- nen Überblick über die tatsächlich durchgeführten Datenbearbeitungen zu verschaffen. Daher genügen die Informationen in der Datenschutzerklärung vom 11. Februar 2020 den Anforderun- gen an die Transparenz nach Art. 4 Abs. 4 DSG i.V.m. Art. 14 DSG nicht. Wenn Ricardo-Nutzer

126 Vgl. Ziffer 4 der Datenschutzerklärung. 127 Vgl. Sachverhalt, Rz. 41-42.

39/52

davon ausgehen müssen, dass alle möglichen Datenbearbeitungen zu allen möglichen Zwe- cken durchgeführt werden können, dann wird ausserdem der Grundsatz von Treu und Glauben verletzt. 177. W as die Erkennbarkeit der Widerspruchsmöglichkeiten betrifft, weist diese Datenschutzerklä- rung die gleichen Mängel auf, die wir bereits unter Rz. 166f. bei der Datenschutzerklärung vom 25. Mai 2018 festgestellt haben. 178. Die Formulierung «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der TX-Gruppe [...] jederzeit per E- Mail widerspre- chen» wurde beibehalten, obwohl ein per E-Mail eingereichtes Widerspruchsbegehren keine solche Auswirkung hat. Dies verstösst gegen den Grundsatz von Treu und Glauben. Zudem ist nicht deutlich, dass die bestehende Widerspruchsmöglichkeit (Einsatz eines Opt-out-cookies) sich auf die zukünftigen Nutzungsdaten beschränkt. e) Einführung der standardisierten Datenschutzerklärungen der SMG und der TX Group per 11. November 2021 179. Seit dem 11. November 2021 gilt für die Ricardo-Nutzer eine standardisierte Datenschutzerklä- rung der SMG Swiss Marketplace Group AG. Ergänzend dazu sollen die Datenschutzhinweise der TX Group für die TX-Angebote (inklusive ricardo.ch) gelten. Die standardisierte Datenschut- zerklärung der SMG mit Verweis auf diejenige der TX Group ersetzen die Datenschutzerklärung von Ricardo vom 11. Februar 2020. 180. Was die Erkennbarkeit der Verantwortlichen und Empfänger betrifft, weist diese Datenschutzer- klärung die gleichen Mängel auf, die bereits unter Ziff. 170 f f. bei der standardisierten Daten- schutzerklärung der TX-Group festgestellt wurden: Die (standardisierte) Datenschutzerklärung der SMG-Gruppe informiert, «wie SMG Swiss Marketplace Group AG und die Gesellschaften der SMG Swiss Marketplace Group [...] nachfolgend gemeinsam "wir, "uns", "unsere", "SMG und SMG Gruppe“, bei der Nutzung der SMG-Angebote sowie im Rahmen einer Zusammenar- beit mit Ihren personenbezogenen Daten umgehen». Darüber hinaus sieht die neue Daten- schutzerklärung von Ricardo (SMG) eine Datenweitergabe an die Gesellschaften der SMG 128

und eine Weitergabe an die Aktionäre der SMG (inklusive deren Tochtergesellschaften) 129 , da- runter die TX Group, zur Personalisierung und zu Marketingzwecken vor. 130

  1. Auch die Übersichtlichkeit der TX-Plattformen bzw. «TX-Daten-Angebote», also der am Daten- austausch beteiligten Plattformen, ist zu bemängeln. Die «Liste angeschlossener Unterneh- men» ist nur nach einer aufmerksamen und aufwändigen Lektüre der Datenschutzbestimmun- gen auffindbar 131 . Zudem werden auf der Liste nicht mehr die teilnehmenden Plattformen bzw. TX-Daten-Angebote (z.B. tutti.ch, homegate.ch, 20min.ch, etc.) erwähnt 132 , sondern die Firmen der datenverantwortlichen Unternehmen, die miteinander Daten austauschen können, was die Erkennbarkeit durch eine durchschnittliche betroffene Person erschwert 133 . Hinzu kommt, dass mit der der standardisierten Datenschutzerklärung der SMG und den «datenschutzhinweisen»

128 D .h. SMG Swiss Marketplace Group AG, Casasoft AG, Anibis Vertrieb GmbH, CAR FOR YOU AG, Immostreet.ch SA, Ri- cardo AG, Acheter-Louer.ch & Publimmo Sàrl, Nhat Viet Group Co. Ltd, IAZI, Informations- und Ausbildungszentrum für Immo- bilien AG. 129 D.h. die Schweizerische Mobiliar Versicherungsgesellschaft, die TX Group AG, Ringier AG, General Atlantic. 130 vgl. Datenschutzerklärung der Swiss Marketplace Group AG (SMG), 3.9. Marketing- und Analysezwecke und 5.1 und 5.2. Weitergabe Ihrer Daten an Dritte. 131 Datenschutzerklärung SMG, 5.2. «Weitere Informationen über die Verarbeitung Ihrer Daten durch die TX Group Daten-Ange- bote finden Sie hier», verlinkt mit einem URL, welcher zur Website der TX Group führt (« Datenschutzhinweise zu den TX Daten- Angeboten» - tx.group). 132 In einer früheren Version der Datenschutzerklärung der TX Group waren alle Plattformen ausgeführt, vgl. Sachverhalt, Rz. 57. 133 Gemäss Stand 09.11.2021: Tamedia Publikationen Deutschschweiz AG, Tamedia Finanz und Wirtschaft AG, Tamedia Publi- cations romandes SA, Tamedia Basler Zeitung AG, Tamedia ZRZ AG, Tamedia Espace AG, Tamedia Abo Services AG, SMG Swiss Marketplace Group AG, CAR FOR YOU AG, ImmoStreet.ch S.A., Ricardo AG, Goldbach NeXT AG, Goldbach Publishing AG, Jaduda GmbH, Neo Advertising SA, Swiss Radioworld AG.

40/52

der TX Group, welche komplementär für alle Ricardo-User gelten sollen, die durchgeführten Da- tenbearbeitungen noch unübersichtlicher geworden sind. Mit den zahlreichen Verweisen (es wird in einem Abschnitt eines Unterkapitels auf eine ergänzende Datenschutzerklärung der TX Group verweist und umgekehrt), ist es für den Ricardo-Nutzenden nicht nachvollziehbar, wie die Datenschutzerklärungen einzuordnen sind bzw. welche Datenschutzbestimmungen jeweils gel- ten. Dies führt dazu, dass die betroffenen Personen nicht in der Lage sind, zu erkennen, was die Rahmenbedingungen der durchgeführten Datenbearbeitungen sind. 182. Es kann ausserdem nicht vom Ricardo-Nutzer erwartet werden, dass er die ganze Datenschut- zerklärung studiert, um auf die Informationen über die TX-Daten-Angebote und entsprechenden URL-Link zu gelangen; diese sollten im Vordergrund stehen. 183. Damit beheben die standardisierten Datenschutzerklärungen der SMG und der TX Group die Transparenzmängel, welche in der Datenschutzerklärung von Ricardo vom 11. Februar 2020 festgestellt wurden, nicht 134 . Diese Mängel werden durch diese sogar verschärft. 184. Zudem lassen die Datenschutzbestimmungen der SMG offen, auf welchen Rechtfertigungs- grund (bzw. «Rechtsgrundlage») eine solche Weitergabe sich an Dritte zur Personalisierung und Marketingzwecken stützen würde. 135 Dies ist insofern ein Problem, als die betroffenen Per- sonen ihre Rechte nicht wahrnehmen können, wenn sie die Grundlage, auf die sich der für die Verarbeitung Verantwortliche stützt, nicht kennen. Dadurch erfüllen Datenverantwortlichen nicht ihre Transparenz- bzw. Informationspflicht gegenüber den Ricardo-Nutzenden. 185. Darüber hinaus wird die Kenntnisnahme auch dadurch erschwert, dass sich die Datenschutzer- klärungen nur auf das DSGVO beziehen und nicht auf das DSG, obwohl dieses vorliegend pri- mär anwendbar ist. Eine unmissverständliche Information über die für den Verantwortlichen gel- tende Datenschutzgesetzgebung ist unerlässlich, um den Nutzern zu ermöglichen, ihre Rechts- ansprüche zu kennen und durchzusetzen. f) Einsatz eines Consent Management Plattforms auf ricardo.ch 186. Im Zusammenhang mit dem Einsatz einer Consent management Plattform 136 stellt sich vorlie- gend die Frage, ob sich die Transparenz in Bezug auf die durchgeführten Datenbearbeitungen zu Marketingzwecken der Ricardo AG und der TX Group AG verbessert hat, sodass keine Per- sönlichkeitsverletzung mehr besteht. 137

  1. Die CMP, welche auf der Website von ricardo.ch aufgeschaltet ist, veranschaulicht bestimmte Datenerhebungen und Datenbekanntgaben an Dritte 138 . Klickt man auf den Link «alle Lieferan- ten», findet man eine Liste von 961 Datenlieferanten 139 . Dadurch soll die Erhebung von Nut- zungsdaten zu den angegebenen Zwecken besser erkennbar sein, wobei die Erkennbarkeit zu relativieren ist, da die TX Group nur einer der 961 angegebenen Datenlieferanten («vendors» ) ist . Hinzu kommt, dass es für den durchschnittlichen Nutzer von Ricardo nicht leicht zu erken- nen ist, was der Unterschied zwischen «Cookies für Marketingzwecke» und «Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen» ist .

134 S iehe oben unter Rz. 171ff. 135 Weitergabe an Unternehmen der SMG Gruppe: „Sofern [...] Ihre Einwilligung notwendig ist, holen wir diese vorgängig bei Ihnen ein. [...] Wenn keine Einwilligung notwendig ist, beruht die Weitergabe Ihrer Daten auf unserem berechtigten Interesse oder dem berechtigten Interesse eines Unternehmens der SMG Gruppe oder mit der SMG Gruppe verbundene Unternehmen und Joint Ventures der SMG Gruppe [...] Ihnen Werbung anzuzeigen oder zu schicken“. Weitergabe an Aktionäre der SMG Gruppe: „Eine Weitergabe der Daten [...] erfolgt nur, sofern dies rechtlich zulässig ist oder wir Ihre Einwilligung vorab bei Ihnen eingeholt haben.“ 136 Siehe dazu Rz. 109f. 137 Nachfolgend wird auch geprüft, ob eine (gültige) Einwilligung im Sinne des DSG mittels CMP eingeholt wird. 138 Vgl. Einsatz CMP auf ricardo.ch, siehe Anhang 1. 139 Vgl. Anhang 1

41/52

  1. Was die Verwaltung der Voreinstellungen anbelangt, bekommt der Nutzer den Eindruck, dass er für alle Cookies, die nicht als «unbedingt erforderlich» (welche «immer aktiv» bleiben) ge- kennzeichnet sind, eine echte Wahlmöglichkeit hat. Neben der Möglichkeit, alle Cookies zuzu- lassen («alle zulassen») gibt es bei den aktuellen Einstellungen eine Möglichkeit, alle Cookies abzulehnen («alle ablehnen»). Auch besteht die Option, granuläre Entscheide zu treffen («meine Auswahl bestätigen»). Bei all diesen Cookies sind die Buttons auf «off» voreingestellt.
  2. Beim Aufruf der Schaltfläche «Personalisierte Anzeigen und Inhalte, Anzeigen und Inhaltsmes- sungen, Erkenntnisse über Zielgruppen und Produktentwicklungen», fällt jedoch auf, dass, ob- wohl die Auswahl dieser Cookies deaktiviert («off») ist, sich unter dem Text eine Schaltfläche mit dem Text «Den Berechtigten Interessen Widersprechen» befindet. Klickt man darauf, er- scheint der Text «Widerspruch übernommen». Diese Einstellung ist verwirrend, da nicht klar ist, ob die Datenbearbeitung trotz einer inaktiven Auswahl («off») stattfindet, solange man den Inte- ressen nicht widersprochen hat.
  3. Folglich konnte mittels CMP zwar die Transparenz betreffend die Bearbeitung von Nutzungsda- ten zu den angegebenen Zwecken etwas verbessert werden, indem die Besucherinnen und Be- sucher der Webseite spezifisch auf die Datenbearbeitungen hingewiesen werden, wenn sie die Webseite aufrufen, allerdings wurde die Transparenz in Bezug auf die durchgeführten Datenbe- arbeitungen zu Marketingzwecken der Ricardo AG und der TX Group AG nicht genügend ver- bessert. Es besteht weiterhin eine Persönlichkeitsverletzung in Bezug auf den Grundsatz der Erkennbarkeit und von Treu und Glauben.

3.4.1.1.3. Bearbeitung trotz Widerspruch zu Marketingzwecken (Grundsatz der Treu und Glau- ben) 191. Im vorliegenden Fall haben die Ricardo-Nutzer die Möglichkeit, das «Nutzungsdaten-Tracking» der TX Group zu «deaktivieren». Dies verhindert jedoch nur die Erfassung von neuen Daten. Eine Analyse, Datenverknüpfung und Segmentierung anhand aller Daten, die bereits erfasst worden sind (z.B. Stammdaten bzw. Ausgabedaten, die bereits erhobenen Nutzungsdaten), fin- den trotz Widerspruch statt. Die Auslieferung von gezielter Werbung erfolgt aufgrund aller Da- ten, die bisher erfasst worden sind - möglicherweise auch aus anderen Quellen als Ricardo - und weiterhin zur Verfügung stehen. Da aus den Informationen an die Kunden nicht klar hervor- geht, welche Auswirkungen ein möglicher Widerspruch hat, könnte ein Nutzer, der von dieser Möglichkeit Gebrauch gemacht hat, nach Treu und Glauben erwarten, dass seine Daten nicht weiter bearbeitet werden. Dies stellt einen Verstoss gegen den Grundsatz von Treu und Glau- ben. 192. Die per 25. Mai 2018 revidierte Datenschutzerklärung sollte zudem den Ricardo-Mitgliedern eine einfache Möglichkeit anbieten, «die Datenweitergabe innerhalb der Tamedia-Gruppe zu unterbinden». Mit Abmeldung Datenaustausch Tamedia wurde den Mitgliedern «eine einfache Möglichkeit zur Verfügung gestellt, um die Datenweitergabe innerhalb der Tamedia-Gruppe zu unterbinden». Eine entsprechende Anpassung der Datenschutzerklärung wurde vorgenom- men 140 . Nach Angaben von Ricardo betrifft die Widerspruchsmöglichkeit nur die Datennutzung für die Marketingmassnahmen von Ricardo. 141 Auch dieser Umstand verstösst gegen Treu und Glauben.

3.4.1.2. Grundsatz der Verhältnismässigkeit 193. Nach Art. 4 Abs. 2 DSG muss das Bearbeiten von Personendaten verhältnismässig sein (Ver- hältnismässigkeitsprinzip). Verhältnismässig ist eine Datenbearbeitung, wenn sie zur Errei- chung des angestrebten Zwecks geeignet, erforderlich und für die betroffene Person zumutbar ist (Maurer-Lambrou/Steiner, DSG 4 N9; Rosenthal, DSG 4, N 20f; vgl. auch BGE 134 I 140, E.

140 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der Tamedia-(TX-) Gruppe gemäss Ziffer 2 und 4 jederzeit per E-Mail widersprechen» Datenschutzerklärung, Ziffer 6; vgl. Sachver- halt, Rz 91ff. 141 S iehe dazu Sachverhaltsfeststellung, vgl. Rz 94.

42/52

6.2.). Gefordert wird ein vernünftiges Verhältnis zwischen dem Zweck des Bearbeitens und der damit verbundenen Beeinträchtigung der Persönlichkeit (Botschaft DSG, BBl 1988 II S. 450). 194. Ausdruck des Verhältnismässigkeitsprinzips ist das Gebot der Datenminimierung, wonach nur diejenigen Daten beschafft und bearbeitet werden dürfen, die für einen Zweck auch tatsächlich benötigt werden. Dies gilt auch in zeitlicher Hinsicht: Daten dürfen nur solange aufbewahrt wer- den, wie dies zur Erreichung des Zwecks geeignet und erforderlich ist (Speicherbegrenzung). Gemäss der Rechtsprechung des Bundesgerichts stellt eine längere Aufbewahrungsdauer be- reits per se einen schwerwiegenden Eingriff in das Selbstbestimmungsrecht dar und erhöht die Gefahr einer missbräuchlichen Verwendung der gespeicherten Daten (BGE 133 I 77 E. 5.3). Darum muss auch die Speicherdauer aufgrund des Verhältnismässigkeitsgrundsatzes begrenzt werden. 195. F ür die Beurteilung der Zumutbarkeit der Datenbearbeitung ist massgebend zu prüfen, ob zwi- schen den Datenbearbeitungen und dem damit verbundenen Eingriff in die Privatsphäre der Ri- cardo-Kunden/User ein angemessenes Verhältnis besteht (Verhältnismässigkeit im engeren Sinne; vgl. BGE 138 II 346 E. 9.2 S. 362). Im Rahmen einer Interessenabwägung ist daher zu prüfen, inwieweit das Interesse der TX Group an der Erhebung und Auswertung grosser Daten- mengen zur Erstellung von Profilen für personalisierte Werbung, das Interesse der Betroffenen an einem möglichst geringen Eingriff in ihre informationelle Selbstbestimmung überwiegt. 196. Ob ein «vernünftiges» Verhältnis besteht, beurteilt sich entsprechend den allgemeinen Daten- schutzgrundsätzen nach objektiven Gesichtspunkten (Rosenthal, Handkommentar, Art. 4 N 22; BGE 125 II 473 E. 4b S. 476). Dabei gilt zu berücksichtigen, dass es sich hier um ein Tracking handelt, das nicht nur auf die Kunden oder Nutzer der Ricardo-Plattform ausgerichtet ist und sich aus deren Daten speist, sondern plattformübergreifend erfolgt; das heisst, Daten werden aus allen Plattformen der TX Group miteinander verknüpft. Bei der Interessenabwägung ist auch zu berücksichtigen, dass Massnahmen implementiert wurden, um den Eingriff in die Per- sönlichkeit zu minimieren (z.B. das Pseudonymisierung-Verfahren).

  1. Da eine Prüfung der gegenseitigen Interessen unter dem Gesichtspunkt der Verhältnismässig- keit im engeren Sinne unter Art. 4 Abs. 2 DSG i.V.m. Art. 12 Abs. 2 lit. a DSG inhaltlich sehr eng mit der Prüfung des Rechtfertigungsgrundes des überwiegenden Interesses bei Art. 13 Abs. 2 DSG zusammenhängt, erscheint es indes zweckmässiger, die im Rahmen der Interessenabwä- gung und der Verhältnismässigkeitsprüfung massgebenden Gesichtspunkte auf der Stufe der Rechtfertigungsgründe gesamthaft zu prüfen und auf eine Aufspaltung zu verzichten (BGE 138 II 346 E. 9.3 S. 362 f.; BGE 136 II 508 E. 5.2.5 S. 521). Die Interessenabwägung wird also im Rahmen der Prüfung des Rechtfertigungsgrunds überwiegendes privates Interesse durchge- führt (Art. 13 Abs. 1 DSG).

3.4.2. Bearbeitung der Daten einer Person gegen deren ausdrücklichen Willen (Art. 12 Abs. 2 lit. b DSG) 198. Gemäss Art. 12 Abs. 2 lit. b DSG dürfen keine Personendaten ohne Rechtfertigungsgrund bear- beitet werden, wenn die betroffene Person ihren ausdrücklichen Widerspruch zur Datenbearbei- tung eingelegt hat. Wird eine Bearbeitung gegen den ausdrücklichen Willen der betroffenen Person und ohne Rechtfertigungsgrund durchgeführt, gilt die Datenbearbeitung als rechtswidrig (v gl. BVerG A-7040/2009, Urteil vom 30.03.2011, E. 8.2.). 199. Widerspricht also ein Nutzer der Datenverknüpfung zu Werbezwecken und wird dieser Wider- spruch nicht berücksichtigt, liegt eine Persönlichkeitsverletzung vor. 200. Mit der per 25. Mai 2018 neu geltenden Datenschutzerklärung sollte insbesondere dem Daten- austausch bzw. der Datenverknüpfung innerhalb der Tamedia-Gruppe widersprochen werden können. Insbesondere wurde den Mitgliedern «eine einfache Möglichkeit zur Verfügung gestellt, um die Datenweitergabe innerhalb der Tamedia-Gruppe zu unterbinden». Eine entsprechende

43/52

Anpassung der Datenschutzerklärung wurde vorgenommen 142 . Diese Möglichkeit, die Daten- weitergabe bzw. dem Datenaustausch innerhalb der Gruppe insgesamt zu unterbinden, wurde bzw. wird jedoch nicht umgesetzt. 143 Ein allfälliger Widerspruch gegen die bei der TX Group durchgeführte Datenverknüpfung wird bzw. wurde somit nicht beachtet, die Daten werden in diesen Fällen entgegen dem ausdrücklich geäusserten Willen der betroffenen Person weiterbe- arbeitet, so dass eine Persönlichkeitsverletzung im Sinne von Art. 12 Abs. 2 lit. b DSG vorliegt. 3.4.3. Persönlichkeitsverletzung aufgrund von Datenbearbeitungen, die die Persönlichkeit we- sentlich beeinträchtigen 201. Nach bundesgerichtlicher Rechtsprechung kann eine Persönlichkeitsverletzung vorliegen, wenn die Beeinträchtigung der Persönlichkeit eine gewisse Intensität aufweist, namentlich wenn die Datenbearbeitung einen solchen Eingriff in die Persönlichkeit der betroffenen Person darstellt, dass die Entfaltung der Persönlichkeit beeinträchtigt werden kann (siehe Rechtsprechung des Bundesgerichts i. S. Google Street View (BGE 138 II 346 E. 8.3 S. 360) und des Bundesge- richts i.S. Videoüberwachung in einem Mieterhaus (BGE 142 III 263 E. 2.2.2). 202. Durch die Kombination von Daten können Informationen aus verschiedenen Quellen zusam- mengeführt und daraus neue Erkenntnisse gewonnen werden (Datenanreicherung). Beim Tra- cking können mithilfe von KI-Technologien beliebige Daten auf beliebige Weise und in beliebi- ger Menge verarbeitet und kombiniert werden, was je nach Kontext und Verwendung die Per- sönlichkeit einer betroffenen Person beeinträchtigen bzw. verletzen kann. Das Bundesgericht 144

umschreibt diese Intensität dahingehend: «Da mit Hilfe elektronischer Datenverarbeitung perso- nenbezogene Informationen in beliebigem Umfang gespeichert, verknüpft und reproduziert wer- den können, lassen sich auch an sich harmlose Informationen, die ohne Weiteres der Öffent- lichkeitssphäre zuzurechnen wären, zu eigentlich schützenswerten Persönlichkeitsprofilen ver- dichten». 203. Persönlichkeitsprofile sind somit grundsätzlich geeignet, die betroffenen Personen die Entfal- tung ihrer Persönlichkeit wesentlich zu beeinträchtigen, weshalb sie nur unter bestimmten Vo- raussetzungen erstellt und bearbeitet werden dürfen (siehe Rechtsprechung Bundesverwal- tungsgerichts i.S. Moneyhouse, Vgl. BVerG A-4232/2015 vom 18.04.2017 E. 5.2.1.). 204. Bei einer Bearbeitung von Persönlichkeitsprofilen im Rahmen der Kundenverhaltensanalyse, wie sie durch Ricardo resp. die TX Group vorgenommen wird (vgl. unsere Ausführungen dazu unter 3.2.2), wird die in der Rechtsprechung umschriebene Intensität der Beeinträchtigung der Persönlichkeit erreicht. 205. Die Bearbeitung von Persönlichkeitsprofilen im Rahmen der Kundenverhaltensanalyse führt aufgrund der Intensität der Beeinträchtigung der Persönlichkeit vorliegend zu einer Persönlich- keitsverletzung. 3.4.4. Fazit zu den verorteten Persönlichkeitsverletzungen 206. Zusammenfassend lässt sich feststellen, dass im Zusammenhang mit den vorliegend unter- suchten Datenbearbeitungen Persönlichkeitsverletzungen verortet wurden: 207. Zum einen wurden Verstosse gegen die Bearbeitungsgrundsätze (Art. 12 Abs. 2 lit. a DSG) festgestellt: ein plattformübergreifendes Tracking bzw. eine umfangreiche Datenanreicherung aus verschiedenen Quellen deutet auf einen Verstoss der Verhältnismässigkeit hin; eine irrefüh- rende Kommunikation über die Zwecke der neu eingeführten Datenbearbeitungen auf einen Verstoss des Grundsatzes der Treu und Glauben; intransparente und nicht nachvollziehbare

142 «Sie können der Verarbeitung Ihrer Daten zu Marketing- und Werbezwecken sowie der Weitergabe Ihrer Daten innerhalb der Tamedia-(TX-) Gruppe gemäss Ziffer 2 und 4 jederzeit per E-Mail widersprechen» Datenschutzerklärung, Ziffer 6; vgl. Sachver- halt, Rz 82ff. 143 Die Widerspruchsmöglichkeit betrifft jetzt nur die Datennutzung für Marketingmassnahmen von Ricardo (siehe dazu Sachver- haltsfeststellung, vgl. Rz 86). 144 BGE 138 II 346 E. 8.2 S. 359

44/52

Informationen über Datenbearbeitungen und Widerspruchsmöglichkeiten auf einen Verstoss der Transparenz. 208. Auch stellte der EDÖB fest, dass Datenbearbeitungen möglicherweise gegen den ausdrückli- chen Willen der betroffenen Personen (Art. 12 Abs. 2 lit. b DSG) erfolgten. 209. Zudem führt die Bearbeitung von Persönlichkeitsprofilen im Rahmen der Kundenverhaltensana- lyse aufgrund der Intensität der Beeinträchtigung der Persönlichkeit zu einer Persönlichkeitsver- letzung. 210. Aus diesen Gründen stellen die fraglichen Datenbearbeitungen der Ricardo/TX Group, also die Weitergabe und das plattformübergreifende Tracking durch TX Group (inklusive Datenverknüp- fung mit weiteren Daten aus verschiedenen Quellen) zwecks zielgerichteter Werbung, eine Per- sönlichkeitsverletzung im Sinne vom Art. 12 DSG dar. 211. Das nDSG sieht bei der Begrifflichkeit der Persönlichkeitsverletzung keine Änderungen vor.

3.5. Rechtfertigungsgründe 212. Eine Persönlichkeitsverletzung im Sinne vom Art. 12 DSG kann gemäss Art. 13 Abs. 1 DSG durch eine Einwilligung der betroffenen Person, durch ein überwiegendes privates oder öffentli- ches Interesse oder durch ein Gesetz gerechtfertigt werden. 213. Das nDSG sieht bei den gesetzlichen Rechtfertigungsgründen keine Änderungen vor. 3.5.1. Rechtfertigung einer Persönlichkeitsverletzung aufgrund eines Verstosses gegen die Bearbeitungsgrundsätze 214. Wie hier oben ausgeführt, wurden vorliegend unter anderem Verstosse gegen den Grundsatz von Treu und Glauben und die Erkennbarkeit verortet. Gemäss Bundesgericht ist eine Rechtfer- tigung der Bearbeitung von Personendaten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG nicht generell ausgeschlossen. Rechtfertigungsgründe können jedoch in einem solchen Fall nur mit grosser Zurückhaltung bejaht werden (BGE 136 II 508 E. 5.2.4 und 6.3.1; vgl. auch BGE 138 II 346). Überwiegende private oder öffentliche Interessen können also nicht leichthin für eine Rechtfertigung einer Persönlichkeitsverletzung wegen Verletzung der Be- arbeitungszwecke angenommen werden, da dadurch die Einhaltung der Bearbeitungsgrund- sätze ausgehöhlt würden. 215. Angesichts der Tatsache, dass angemessene Information über die durchgeführten Datenbear- beitungen eine Grundbedingung des informationellen Selbstbestimmungsrechts ist, kann das Interesse von Ricardo bzw. TX Group an das durchgeführte Tracking die Verletzung des Trans- parenzgrundsatzes und von Treu und Glauben im Zusammenhang mit der Bereitstellung von angemessenen Informationen über die von ihnen durchgeführten Datenbearbeitungen nicht rechtfertigen. Eine gültige Einwilligung ist auch ausgeschlossen, soweit die Betroffenen nicht angemessen informiert wurden. Dies ist umso mehr der Fall, als Persönlichkeitsprofile bearbei- tet werden (vgl. Art. 14 DSG). Somit sind die in diesem Zusammenhang herbeigeführten Per- sönlichkeitsverletzungen als widerrechtlich zu beurteilen. 216. Verstösse gegen die Verhältnismässigkeit stellen Persönlichkeitsverletzungen dar, die - wenn auch nur sehr zurückhaltend - grundsätzlich durch einen Rechtfertigungsgrund gerechtfertigt werden können. Diese werden im Rahmen der von Ricardo und TX Group angeführten Recht- fertigungsgründe nachfolgend näher geprüft. 3.5.2. Rechtfertigung durch ein überwiegendes privates Interesse

45/52

  1. Im Rahmen der Sachverhaltsabklärung teilte Ricardo bzw. TX Group dem EDÖB mit, dass die untersuchten Datenbearbeitungen auf einem «berechtigten Interesse» bzw. auf einem überwie- genden privaten Interesse der TX Group – und nicht auf der Einwilligung 145
  • beruhen 146 . Diese Position wurde noch im Rahmen einer Besprechung mit dem Datenschutzverantwortlichen von Ricardo/TX Group im Sommer 2021 bestätigt. Dieser erklärte, dass die TX Group eine Interes- senabwägung durchgeführt habe und diese in einem sogenannten «Legitimate Interest Assess- ment» (LIA) dokumentiert sei 147 . Die TX Group kam dabei zum Schluss, dass sie bzw. die betei- ligten Unternehmen über ein überwiegendes privates Interesse (bzw. ein «berechtigtes Inte- resse») an der Bearbeitung von Verhaltensdaten zum Zwecke des Ad-Targetings verfügen wür- den.
  1. Eine persönlichkeitsverletzende Datenbearbeitung kann durch ein überwiegendes privates Inte- resse nach Art. 13 Abs. 1 DSG gerechtfertigt werden, wenn die berechtigten Interessen an der Datenbearbeitung im konkreten Fall überwiegen. Ob ein überwiegendes privates Interesse vor- liegt, beurteilt sich aufgrund einer Interessenabwägung im Einzelfall (Botschaft DSG 2017, S. 7073). Die Interessenabwägung muss unter Berücksichtigung aller Umstände des konkreten Falles zu einer Abwägung der einander widersprechenden, berechtigten Interessen bzw. der auf dem Spiel stehenden Güter ermittelt werden (Rosenthal, Art. 13 Abs. 1, N12; BSK DSG- Rampini, Art. 13, N 24). Dazu müssen die Interessen der betroffenen Person sowie die berech- tigten privaten Interessen an der Datenbearbeitung ermittelt und gegenüberstellt werden. Auf einer Seite gilt das Recht der betroffenen Person, in ihrer Persönlichkeit geschützt zu sein und über ihre Daten selbständig verfügen zu können. Auf der anderen Seite steht das Interesse (u.a. des Datenverantwortlichen) an der Datenbearbeitung (Botschaft DSG 2017, S. 7073; Rampini, BSK DSG, Art. 13 N 20). Bei der Interessenabwägung können grundsätzlich alle kon- kreten schützenswerten Interessen in Frage kommen (BGE 138 II 346 E. 10.3 S. 364 f.).
  2. In der Interessenabwägung müssen im vorliegenden Fall somit die Interessen an der Weiter- gabe der Daten sowie an der Datenverknüpfung bzw. Datenanreicherung den Interessen der betroffenen Person gegenüberstellt werden. Inwieweit ein privates überwiegendes Interesse die festgestellten Persönlichkeitsverletzungen zu rechtfertigen vermag, wird folgend geprüft. 3.5.2.1. Gegenüberstellung der bestehenden Interessen
  3. Auf einer Seite haben TX Group wie auch die anderen teilnehmenden Unternehmen (u.a. Ri- cardo) ein Interesse daran, die Vorlieben ihrer bestehenden oder potenziellen Kunden zu ken- nen, um ihre Produkte oder Dienstleistungen gezielter bewerben zu können. Diese Interessen sind hauptsächlich wirtschaftlicher Natur: die Kombination von Daten aus verschiedenen Quel- len bzw. die gruppenweite Datennutzung bedeuten für die TX-Gruppe einen höheren Mehrwert, da eine solche personalisierte Werbung mehr Umsatz generiert als nicht personalisierte Wer- bung. Wobei eine personalisierte oder relevante Werbung auch einen Vorteil für die Nutzer und Nutzerinnen der Plattformen mit sich bringen kann.
  4. Auf der anderen Seite steht dem das Recht auf informationelle Selbstbestimmung der betroffe- nen Personen entgegen: die Nutzer und Nutzerinnen der Ricardo-Plattform haben ein Interesse daran, ihre Privatsphäre bzw. ihre Persönlichkeit zu schützen und ihr Konsumverhalten für sich selber zu behalten bzw. Kontrolle über ihre Daten zu haben. 3.5.2.2. Schlussfolgerungen des «Legitimate Interest Assessment»

145 Bei der Vorabklärung im Juli 2017 wurde die Position vertreten, dass die neu eingeführten Datenbearbeitungen durch die Einwilligung der Ricardo-Mitglieder gerechtfertigt seien (cf. Schreiben Ricardo vom 27. Juli 2017). 146 V gl. Schreiben vom 21. Juni 2019. 147 “ Legitimate Interest Assessment (LIA) regarding Behavioural Tracking of Users on TX Group Company Platforms for the TX Group Companies partaking in the TX Data Pipeline as controlling parties”; vgl. Beilage zum Schreiben vom 18. August 2021. Das Assessment erfolgte auf der Grundlage der Leitlinie der Information Commissioner's Office (ICO) ( "legitimate interest guide- lines of the ICO").

46/52

  1. Nach TX Group liege das berechtigte Interesse am Verhaltenstracking der Nutzer auf den Platt- formen der TX Group bzw. an der automatisierten Erhebung von Nutzungsdaten auf ihren Platt- formen insbesondere in der möglichst effizienten Finanzierung der Plattformen. Da viele der Plattformen ganz oder teilweise kostenlos genutzt werden, seien sie im Grunde auf Einnahmen aus Werbung angewiesen.
  2. Gemäss Einschätzung der TX Group seien die Auswirkungen des durchgeführten Tracking auf die Privatsphäre der betroffenen Personen gering. Die Daten würden zwar automatisiert und in grösserem Umfang erhoben, jedoch ohne schwerwiegende Auswirkungen auf die Rechte und Freiheiten eines Nutzers. Das damit verbundene Risiko für die Privatsphäre würde zudem durch diverse Schutzmassnahmen «gegengewichtet», unter anderem durch die Pseudonymisierung, indem die Verhaltensdaten eines Nutzers einem pseudonymen Nummernschild (BID) zugeord- net würden.
  3. Im Hinblick auf den Grundsatz der Verhältnismässigkeit, insb. die Erforderlichkeit, prüfte die TX Group im Rahmen der Legitimate Interest Assessment, ob es weniger eingreifende bzw. mil- dere Möglichkeiten geben würde, welche die Zwecke erreichen könnten. Die geprüften Alterna- tiven (kontextbezogene Werbung, Bearbeitung der Daten auf Plattformbasis, Datenminimie- rung) wurden verworfen 148 . Gemäss TX Group seien die verfügbaren Alternativen weniger effi- zient und wettbewerbsfähig.
  4. TX Group ist zudem der Ansicht, dass die Betroffenen mit dem durchgeführten Tracking rech- nen könnten, da sie in einer direkten Kundenbeziehung zu TX Group stehen würden (First Party Tracking) und mittels Privacy Policy und Cookie-Layer transparent über die Datenbearbeitun- gen informiert würden 149 . Da die Plattform kostenlos angeboten werde (‘if it’s free, you are the product’ is a widely-known concept), impliziere die Empfehlung an die Betroffenen per se, dass sie auf irgendeiner Bearbeitung ihrer Verhaltensdaten auf der Plattform beruhe 150 .
  5. Zudem würden die Nutzer ihre Rechte als Betroffene «direkt» ausüben können, indem sie der Datenbearbeitung per E-Mail oder über den Opt-out-Link, der sich in der Datenschutzerklärung befinde, widersprechen könnten. 3.5.2.3. Bewertung des «Legitimate Interest Assessment» durch den EDÖB
  6. Der EDÖB prüfte das Legitimate Interest Assessment der TX Group und bewertete die für die Interessenabwägung massgeblichen Elemente in Bezug auf den konkreten Sachverhalt.
  7. Was die Art der verarbeiteten Daten anbelangt, werden im vorliegenden Fall soziodemografi- sche Daten als auch Nutzungsdaten bearbeitet, welche umfangreiche Rückschlüsse auf eine Person, einschliesslich ihrer Vorlieben und Interessen, erlauben. Betreffend die Art und Weise der Bearbeitung werden im vorliegenden Fall grössere Mengen Personendaten automatisiert gesammelt bzw. bearbeitet. Das Ricardo-Nutzerprofil kann mit Daten bzw. Segmenten aus wei- teren Plattformen der TX Group und Unternehmen, welche an deren Data Pipeline teilnehmen, weitgehend angereichert werden. Dieses plattformübergreifende Tracking bzw. diese Datenver-

148 Eine kontextbezogene Werbung generiere weniger Einnahmen und erfülle somit nicht den Zweck die Plattformen «auf die effizienteste Weise» zu finanzieren. Die Bearbeitung der Informationen auf Plattformbasis erweise sich nicht als der beste und effektivste Weg, um das Ziel zu erreichen, ein Produkt so attraktiv wie möglich zu gestalten und die Dienste und Plattformen wettbewerbsfähig zu betreiben. Die effektive Nutzung der Verarbeitung hänge mit der Quantität und Qualität der Daten zusam- men. Eine Minimierung der Datenmenge würde angeblich dem Zweck der Verarbeitung zuwiderlaufen und sich negativ auf die Qualität der Ergebnisse auswirken. (vgl. LIA, S. 4-5) 149 “The data is collected directly from the data subject (first party tracking). There is a clear customer-to-service provider rela- tionship. This facilitates a direct and transparent information to the data subject about the data collection activities of the TX plat- forms via privacy policies, terms of use and consent/transparency modules.” (LIA, S. 2) 150 “Apart from the transparent information about the processing via the privacy policy, reasonable data subjects might expect the collection of their online behaviour by online platforms for the purpose of developing platform functionality and serving tar- geted advertisements - as the platform is offered for free (‘if it’s free, you are the product’ is a widely-known concept) - the rec- ommended which is displayed to data subjects implies in itself that it is based on some sort of processing of their behavioral data on the platform.” (LIA, S. 3)

47/52

knüpfung aus unterschiedlichen Quellen kann wie unter 3.2.2 ausgeführt ein Persönlichkeitspro- fil ergeben. Die Daten werden automatisiert und in grossem Umfang erhoben, und die Auswir- kungen auf die Rechte und Freiheiten der Nutzer sind, auch im kommerziellem bzw. Werbung- bereich nicht unerheblich: die «verhaltensorientierte Online-Werbung» (Online behavioural ad- vertising) birgt in Bezug auf die Privatsphäre und die Autonomie der Verbraucher die Gefahr, die Privatsphäre zu beeinträchtigen, sowie die Wahlfreiheit der Verbraucher einzuschränken und psychologische Eigenschaften und Schwachstellen auszunutzen 151 . Auf Ricardo werden auch Produkte angeboten und erworben, die zumindest teilweise einen Rückschluss auf beson- ders schützenswerte Personendaten ermöglichen wie bspw. die Gesundheit. Je länger und je mehr eine Person auf Ricardo bestellt, desto aussagekräftiger ist deren Persönlichkeitsprofil durch das Kundenkonto. Persönlichkeitsprofile sind gemäss Bundesverwaltungsgericht geeig- net, die Entfaltung der Persönlichkeit wesentlich zu beeinträchtigen (vgl. BVerG A-4232/2015 vom 18.04.2017, E. 5.2.1.). 229. Bezüglich der vernünftigen Erwartungen der betroffenen Personen können vorliegend die Ri- cardo-Mitglieder nicht erwarten, dass ihr Verhalten auch bei anderen Plattformen der TX Group (oder bei weiteren Webseiten) getrackt werden kann. Diesbezüglich wurden (namentlich in der Datenschutzerklärung sowie bei der Kommunikation von Ricardo) Transparenzmängel verortet und in diesem Bericht bereits thematisiert (vgl. Ziff. 3.4.1.1.2). Anders als TX Group behauptet, besteht weder eine «direkte» noch eine «klare» Beziehung zwischen den Ricardo-Kunden und der TX Group. Die Kundendaten der Ricardo-Mitglieder werden über die Registrierung durch Ricardo erhoben. Ricardo gibt dann diese Daten an die TX Group weiter und die TX Group ver- wendet die mittlerweile von ihr pseudonymisierten und teils aggregierten Daten für die Anrei- cherung der Datenbasis der TX Group zwecks personalisierter Werbung. 230. Auch das Argument der TX Group, die Betroffenen könnten vernünftigerweise erwarten, dass ihr Online-Verhalten über die Plattformen der TX Group erfasst werde, da die Plattform kosten- los angeboten werde («’if it’s free, you are the product’ is a widely-known concept»), greift nicht durch. Das Verkaufen auf ricardo.ch ist kostenpflichtig (vgl. Rz. 25 des Sachverhalts). 231. Bei der Interessenabwägung soll auch die Stellung des für die Verarbeitung Verantwortlichen und der betroffenen Person berücksichtigt werden. Erwähnt sei in diesem Kontext die notori- sche Tatsache, dass Ricardo zu den Marktleadern der Auktionsplattformern der Schweiz ge- hört. Daraus folgt, dass für eine grosse Anzahl von Personen durch die Bekanntheit und Beliebtheit Ricardo erste Anlaufstelle ist, um Produkte zu erwerben und anzubieten. Demzu- folge ist das Verhältnis der betroffenen Personen mit Ricardo und TX Group asymmetrisch. Diese haben eine starke bzw. dominante Marktposition in der Schweiz. 3.5.2.4. Fazit 232. Im vorliegenden Fall ist zwar ein wirtschaftliches Interesse an einem plattformübergreifenden Tracking zum Zwecke des Advertising Targeting und retargeting nachvollziehbar und als schüt- zenswert anzuerkennen, dennoch konnten Ricardo und TX Group in diesem Zusammenhang kein überwiegendes privates Interesse nachweisen. Die Interessen der Nutzer bzw. der be- troffenen Personen an der Kontrolle über ihre Daten bzw. an ihrem Recht auf informationelle Selbstbestimmung überwiegen vorliegend die wirtschaftlichen Interessen der TX Group und der weiteren Unternehmen.

151 Siehe unter anderem Michèle Burnier / Nando Lappert / Simon Winkler, Consumer manipulation through online behavioural advertising, in: Jusletter 2 August 2021, inklusive der zahlreichen Verweise; vgl. auch „Briefing Regulating targeted andbehav- ioural advertising in digital services (europa.eu)“. unter https://www.europarl.europa.eu/Reg- Data/etudes/BRIE/2021/696967/IPOL_BRI(2021)696967_EN.pdf

48/52

3.5.3. Rechtfertigung durch eine Einwilligung 233. Da im vorliegenden Fall kein überwiegendes privates Interesse die fraglichen Datenbearbeitun- gen rechtfertigen konnte bzw. kann, ist nun zu prüfen, ob sich Ricardo bzw. TX Group auf die Einwilligung der betroffenen Personen stützen konnten bzw. können (und wenn ja, unter wel- chen Bedingungen). 234. Im Rahmen der Vorabklärung im Sommer 2017 stellte sich Ricardo auf den Standpunkt, dass mit der neuen Datenschutzerklärung eine gültige Einwilligung von den einzelnen Mitgliedern von ricardo.ch eingeholte werde 152 . Diese Position wurde in der Folge von Ricardo und TX Group verworfen und der Rechtfertigungsgrund des berechtigten Interesses wurde vorgebracht (siehe 3.5.2). Mit dem Einsatz einer Consent management platform (CMP) auf ricardo.ch geht Ricardo davon aus, dass die fraglichen Datenbearbeitungen durch die Einwilligung der Ricardo- Nutzer nun gerechtfertigt werden. 235. Inwieweit die damit eingeholte Einwilligung die festgestellten Persönlichkeitsverletzungen (vgl. Ziff. 3.4 und 3.4.4), worunter die Bearbeitung von Persönlichkeitsprofilen im Rahmen der Kun- denverhaltensanalyse (vgl. Ziff. 3.4.3), rechtfertigen vermag, wird folgend geprüft. 3.5.3.1 Anforderungen an eine wirksame Einwilligung 236. Die Anforderungen an eine Einwilligung sind im Art. 4 Abs. 5 DSG festgehalten: «Ist für die Be- arbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt». Bei der Be- arbeitung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen muss die Einwilligung zudem ausdrücklich erfolgen». Wenn die Anforderungen an eine gültige Einwil- ligung nicht erfüllt sind, ist die Einwilligungserklärung rechtsunwirksam. 237. Die betroffene Person muss über alle Informationen im konkreten Fall verfügen, die erforderlich sind, damit sie eine (freie) Entscheidung treffen kann

(Botschaft DSG 2003, S. 2127). Für eine wirksame datenschutzrechtliche Einwilligung muss die Bearbeitung, insbesondere deren Ge- genstand, Umfang und Zweck, hinreichend bestimmt sein (Botschaft DSG 2017, S. 7027). 238. Die Einwilligung muss freiwillig erfolgen. Dies bedeutet insbesondere, dass die betroffene Per- son über mögliche negative Folgen oder Nachteile informiert sein muss, die sich aus der Ver- weigerung ihrer Zustimmung ergeben können. Die alleinige Tatsache, dass eine Verweigerung einen Nachteil für die betroffene Person nach sich zieht, kann dagegen die Gültigkeit der Zu- stimmung nicht beeinträchtigen. Dies ist nur dann der Fall, wenn dieser Nachteil keinen Bezug zum Zweck der Bearbeitung hat oder diesem gegenüber unverhältnismässig ist (BBl 2003 1963, S. 2001 ff., 2127). 239. In der Rechtsprechung zu Helsana+ führt das Bundesverwaltungsgericht ausserdem aus, dass es nicht genügt, wenn die Einwilligung breit und ohne Einschränkungen formuliert ist, weil dadurch der Inhaber der Datensammlung eine über den notwendigen Zweck der Datenbearbei- tung hinausgehende Einwilligung einholen würde. Zudem würde eine Einwilligung, die auf meh- rere Bestimmungen verteilt ist (z.B. Nutzungsbedingungen und Datenschutzerklärung), welche die Nutzerinnen und Nutzer durch Anklicken einer Schaltfläche genehmigen würden, den Vo- raussetzungen einer angemessenen Information für die Gültigkeit einer Einwilligung nach Art. 4 Abs. 5 DSG nicht entsprechen. Dies, weil dieses Vorgehen es den betroffenen Personen er- schwert zu erkennen, in welche Datenbearbeitungen sie einwilligen (BVerG, Urteil vom 19. März 2019, A-3548/2018, E. 4.8.4). In diesem Zusammenhang wird eine Information über die Datenkategorien und die Bearbeitungszwecke, welche gestützt auf die Einwilligung der betroffe- nen Personen erfolgen, vorausgesetzt. 240. Soll die Einwilligung mittels AGB erhoben werden, dann gilt ebenfalls die Ungewöhnlichkeitsre- gel. Demnach gelten einzelne AGB-Klauseln dann nicht als Vertragsbestandteil, wenn sie so ungewöhnlich sind, dass der Kunde nicht mit ihnen gerechnet hat und aus seiner Sicht zur Zeit

152 Vgl. Schreiben vom 27. Juli 2017

49/52

des Vertragsschlusses vernünftigerweise auch nicht rechnen musste. Bei besonders einschnei- denden oder unerwarteten Bearbeitungen ist die betroffene Person also «gesondert aufmerk- sam» zu machen (Erfordernis eines gesonderten Hinweises). 153

  1. Der in der Art. 4 Abs. 5 DSG Begriff «ausdrücklich» bezieht sich sowohl auf den Inhalt (Gegen- stand der Einwilligung) als auch auf die Form (Art und Weise der Willenserklärung) (vgl. Epiney, S. 103; Heuberger, S. 197 Rz. 324; Vasella, Rz. 41). Nur eine aktive affirmative Handlung kann somit als hinreichende Ausdrucksform betrachtet werden. Die Zustimmung zu einer Datenschut- zerklärung muss durch eine aktive Handlung erfolgen. «Stillschweigen» kann nicht als «aus- drückliche» Einwilligung gelten (Botschaft DSG 2017, S. 7028). Mit Blick auf den «Inhalt» ist zu- sätzlich erforderlich, dass die in Frage stehende Datenbearbeitung in der Datenschutzerklärung klar umschrieben wird. Mithin muss inhaltliche Klarheit über die Datenbearbeitung und damit die Tragweite der Einwilligung bestehen. 3.5.3.2 Einwilligung im vorliegenden Fall
  2. Die Gültigkeit einer Einwilligung (Art. 4 Abs. 5 DSG) ist eng mit dem Grundsatz der Erkennbar- keit verbunden (Art. 4 Abs. 4 DSG). Die Einwilligung kann nur die Datenbearbeitungen rechtfer- tigen, über welche die Nutzenden vor der Erteilung der Einwilligung angemessen informiert wer- den.
  3. Wie bereits unter Ziff. 3.4.1.1.2 festgehalten, wurden bzw. werden die betroffenen Personen nicht angemessen über die zu rechtfertigenden Datenbearbeitungen informiert. Somit kann nicht davon ausgegangen werden, dass sie konkludent eine Einwilligung zu den fraglichen Da- tenbearbeitungen erteilen, wenn sie die Plattform nutzen. Zudem muss die Einwilligung aus- drücklich erfolgen, soweit Persönlichkeitsprofile im vorliegenden Fall bearbeitet werden (vgl. 3.2.2).
  4. Aktuell soll bei ricardo.ch eine Einwilligung mittels einer Consent Management Plattform (CMP) eingeholt werden (vgl. Rz. 234). Die Umsetzung der CMP wurde bereits in Bezug auf die Trans- parenz geprüft. Wie festgehalten (vgl. Rz. 190), müssen Anpassungen vorgenommen werden, um sicherzustellen, dass die betroffenen Personen mittels CMP über die zu rechtfertigenden Datenbearbeitungen angemessen informiert werden.
  5. Eine mittels CMP erteilte «Zustimmung» kann nur die Datenbearbeitungen rechtfertigen, die im Zusammenhang mit den darin beschriebenen Datenerhebungen stehen. Es ist denkbar, dass die CMP eingesetzt wird, um eine umfassende Zustimmung einzuholen. Wichtig ist aber sicher- zustellen, dass ein Widerrufsmöglichkeit besteht und technisch umgesetzt wird. Denkbar ist ausserdem auch eine Anpassung des Anmeldeformulars (bei einer Konto-Eröffnung) bzw. eine Kommunikation beim nächsten Einloggen (für bestehende Ricardo-Mitglieder).
  6. Die Daten der Mitglieder, die nicht in die Bearbeitung ihrer Daten zum Zweck der Anzeige per- sonalisierter Werbung bzw. plattformübergreifender Datenverknüpfung eingewilligt haben, dür- fen allerdings nicht zu diesen Zwecken weiterbearbeitet werden. 3.5.4. Fazit
  7. Die Datenweitergabe der Ricardo-Daten und das plattformübergreifende Tracking zwecks ziel- gerichteter (personenbezogener) Werbung der an der TX-Daten-Angebote angeschlossenen Unternehmen stellt eine Persönlichkeitsverletzung dar, welche nur durch die Einwilligung der Nutzenden der Datenbearbeitungen gerechtfertigt werden kann. Eine Einwilligung setzt voraus, dass die Betroffene angemessenen informiert werden und freiwillig der Datenbearbeitung zu- stimmen können. Handelt es sich, wie im vorliegenden Fall, um die Bearbeitung von Persönlich- keitsprofilen, muss die Einwilligung zudem ausdrücklich erfolgen.

153 Vgl. Lukas Bühlmann/Michael Schüepp, Information, Einwilligung und weitere Brennpunkte im (neuen) Schweizer Daten- schutzrecht, in: Jusletter 15. März 2021.

50/52

3.6. Empfehlungen In Bezug auf die Transparenz und Informationspflicht (vgl. Ziff. 3.4.1.1) sowie auf das Widerspruchs- recht (vgl. Ziff. 3.4.2) und gestützt auf Art. 29 Abs. 3 DSG erlässt der EDÖB gegenüber der Ricardo und der TX Group AG die folgenden Empfehlungen (A) Die Ricardo AG passt die Ricardo-Plattform dergestalt an, dass die Nutzerinnen und Nutzer eindeu- tig über die Datenbearbeitungen informiert werden.

Die Ricardo AG hat die Ricardo-Plattform dahingehend anzupassen, dass:

  1. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, zu welchen Zwecken welche Perso- nendaten bearbeitet werden;

  2. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, ob und wenn ja, welche Datenbear- beitungen zu Persönlichkeitsprofilen führen;

  3. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, welche Plattformen am Tracking bzw. an der Datenverknüpfung zu Werbezwecken beteiligt sind;

  4. für die Ricardo-Nutzerinnen und Nutzer klar erkennbar ist, für welche Datenbearbeitungen sich die Ricardo AG auf welche Rechtfertigungsgründe beruft und wie den Datenbearbeitungen al- lenfalls widersprochen werden kann.

  5. die Datenschutzerklärung leicht auffindbar, nachvollziehbar und übersichtlich ist. Eine nahelie- gende Umsetzungsmöglichkeit ist der mehrstufige Informationsansatz: Auf der obersten Ebene geben knappe und leicht verständliche Informationen einen ersten Überblick über die wesentli- chen Aspekte der Datenbearbeitung; über einen Link kann dann die ausführliche Datenschut- zerklärung aufgerufen werden;

  6. die Datenschutzerklärung, falls auf die gesetzlichen Grundlagen verwiesen wird, soweit an- wendbar, auf die Bestimmungen des anwendbaren Datenschutzgesetzes (DSG) verweist, und nicht nur auf diejenigen der DSGVO;

  7. die Datenschutzerklärung die tatsächlich durchgeführten Datenbearbeitungen wiedergibt bzw. aufführt;

  8. die Datenschutzerklärung je nach Rechtfertigungsgrund der Datenbearbeitung die korrekte Lö- schung bzw. Widerspruchsmöglichkeit beschreibt und ihre Praxis bezüglich der Löschung bzw. Widerspruchsbegehren diesbezüglich korrekt umgesetzt wird;

  9. für die Nutzerinnen und Nutzer in der Consent Management Plattform (CMP) nachvollziehbar und erkennbar ist, welche Datenbearbeitungen zu welchen Zwecken stattfinden, sowie die je- weiligen Widerspruchsmöglichkeiten. Ricardo hat sicherzustellen, dass keine Datenbearbeitun- gen stattfinden, wenn die Auswahl in der CMP auf «inaktiv» gesetzt ist.

In Bezug auf die Einwilligung als Rechtfertigungsgrund hält der EDÖB fest, dass sich Ricardo in Bezug auf die Persönlichkeitsverletzungen (vgl. Ziff. 3.4) auf einen Rechtfertigungsgrund zu stützen

51/52

hat. Da vorliegend kein überwiegendes privates Interesse die Datenbearbeitungen zu Werbezwe- cken zu rechtfertigen vermag (vgl. Ziff. 3.5.2) und keine rechtsgültige Einwilligung der betroffenen Personen vorliegt (vgl. Ziff. 3.5.3), sind die geprüften Datenbearbeitungen im vorliegenden Fall wi- derrechtlich. Sofern sich Ricardo nicht auf den Rechtfertigungsgrund der Einwilligung stützen kann, dürfen keine Daten an TX Group zu den Werbezwecken weitergegeben werden. Falls die rechtlichen Anforderungen entsprechend erfüllt sind, kann jedoch eine Einwilligung die Datenbearbeitungen ins- künftig rechtfertigen. Dabei muss Ricardo Massnahmen ergreifen, damit die Betroffenen eine rechts- gültige Einwilligung erteilen können.

Der EDÖB erlässt gestützt auf Art. 29 Abs. 3 DSG gegenüber der Ricardo AG und der TX Group AG somit die folgenden

Empfehlungen (B)

  1. Die Ricardo AG passt die Ricardo-Plattform dergestalt an, dass sie inskünftig die Einwilligung der Ricardo-Nutzer und Nutzerinnen zu den durch Ricardo AG und TX Group durchgeführten Bearbeitungen zu Werbezwecken der TX-Daten-Angebote-Unternehmen einholt, bevor sie Nutzungsdaten erhebt und Personendaten an die TX Group AG zu diesen Zwecken weitergibt. Diese muss nach angemessener Information (vgl. Empfehlung A), freiwillig und ausdrücklich erfolgen. Die Einwilligung kann beispielsweise durch die einmalige Anzeige eines Popups beim nächsten Login, durch eine Anpassung des Anmeldeformulars oder mittels CMP (jeweils durch Setzen eines Häkchens) eingeholt werden. Da das plattformübergreifende Tracking nur mit Einwilligung der Nutzerinnen und Nutzer erfolgen darf, soll der Button mit dem Text «be- rechtigten Interessen widersprechen» nicht angezeigt werden.

  2. Die TX Group AG löscht die bestehenden Daten von Ricardo-Nutzer und -Nutzerinnen, welche zu Werbezwecken der TX-Daten-Angebote-Unternehmen bereits erfasst worden sind, sofern keine rechtsgültige Einwilligung der Ricardo-Nutzer und -Nutzerinnen vorliegt bzw. eingeholt wurde.

  3. Verfahren 4.1. Rechtliches Gehör und weiteres Vorgehen

  4. Mit Schreiben vom 11. April 2024 hat der EDÖB der Ricardo AG sowie der TX Group AG den vorliegenden Schlussbericht mit Empfehlungen vorgelegt. Die Ricardo AG sowie die TX Group AG wurden aufgefordert, innerhalb von 30 Tagen nach Erhalt zum Bericht Stellung zu nehmen und mitzuteilen, ob sie die Empfehlungen annehmen oder ablehnen.

  5. Bei vollständiger oder teilweiser Annahme der Empfehlungen wird der EDÖB der Ricardo AG bzw. der TX Group AG eine Frist zur Stellungnahme zur Umsetzung der Empfehlungen inkl. Umsetzungsfrist setzen. Sollte sich aufgrund dieser Stellungnahme ein Abstimmungsbedarf er- geben, kann der EDÖB die Ricardo AG und die TX Group AG zu gegebener Zeit zu Gesprä- chen einladen.

  6. Soweit die Empfehlungen nicht angenommen werden, kann der EDÖB sie dem Bundesverwal- tungsgericht zum Entscheid vorlegen (Art. 29 Abs. 4 DSG).

4.2. Stellungnahmen der Ricardo AG und der TX Group AG

52/52

  1. Mit Schreiben vom 8. Juli 2024 haben die Ricardo AG und die TX Group AG innerhalb der er- streckten Frist ihre Stellungnahmen eingereicht.

  2. Sowohl die Ricardo AG als auch die TX Group AG machen im Wesentlichen geltend, dass sich die Empfehlungen des EDÖB auf einen nicht mehr existierenden Sachverhalt und ein nicht mehr geltendes Gesetz beziehen würden. Die Empfehlungen des EDÖB seien daher gegen- standslos und die Sachverhaltsabklärung somit abzuschreiben. Die Ricardo AG und die TX Group AG erklären, die Empfehlungen des EDÖB weder anzunehmen noch abzulehnen. In ma- terieller Hinsicht seien die Empfehlungen inhaltlich haltlos. Die Parteien weisen die Feststellung von Verstössen gegen das DSG zurück und bestreiten die rechtlichen Schlussfolgerungen der Sachverhaltsabklärung: Bei den an die TX Group AG übermittelten Daten handle es sich nicht um Personendaten, weshalb das DSG auf die vorliegend untersuchten Datenbearbeitungen nicht anwendbar sei. Zudem würden bei der TX Group AG keine Persönlichkeitsprofile bearbei- tet. Die allgemeinen Datenschutzgrundsätze, insbesondere die Erkennbarkeit der Datenbear- beitungen, seien eingehalten, so dass keine Persönlichkeitsverletzung vorliege. Obwohl kein Rechtfertigungsgrund für die vorliegenden Datenbearbeitungen erforderlich wäre, würde eine Einwilligung der Ricardo-Nutzer eingeholt bzw. ein überwiegendes privates Interesse vorliegen.

4.3. Veröffentlichung des Schlussberichts mit Empfehlungen 253. Es besteht ein allgemeines Interesse daran, die Öffentlichkeit für die vorliegende Art der Daten- bearbeitung zu sensibilisieren sowie über die Feststellungen und Empfehlungen des EDÖB zu informieren. Gestützt auf Art. 30 Abs. 2 DSG wird der EDÖB deshalb den vorliegenden Schlussbericht in angepasster Form auf seiner Website (www.edoeb.admin.ch) veröffentlichen.

  1. Die Veröffentlichung des vollständigen Berichts inklusive Empfehlungen steht unter dem Vorbe- halt, dass aus Sicht der Ricardo AG bzw. der TX Group AG keine vertraulichen Daten offenge- legt werden, welche Geschäftsgeheimnisse preisgeben oder die Wettbewerbsfähigkeit beein- flussen könnten. Die Ricardo AG sowie die TX Group AG wurden deshalb aufgefordert, den Be- richt auf solche Inhalte zu prüfen und gegenüber dem EDÖB innert der 30-tägigen Frist (Ziff.
  1. schriftlich Stellung zu nehmen.
  1. Die Ricardo AG und die TX Group AG haben den Bericht auf solche vertraulichen Inhalte ge- prüft und Schwärzungen beantragt, die der EDÖB vollumfänglich übernommen hat.

Der Beauftragte: Die zuständige Juristin:

Adrian Lobsiger Odile Rossier

Zitate

Gerichtsentscheide

Quelldetails
Rechtsraum
Schweiz
Region
Federal
Verfugbare Sprachen
Deutsch
Zitat
CH_EDÖB_001
Gericht
Ch Edoeb
Geschaftszahlen
CH_EDÖB_001, 20241023 Schlussbericht vom 11. April 2024 i.S. Ricardo AG und TX Group AG -(Nach Zugangsgewährung gemäss BGÖ ungeschwärzt (Art. 2 VBGÖ))
Entscheidungsdatum
11.04.2024
Zuletzt aktualisiert
24.03.2026
Originalquelle
https://entscheidsuche.ch/docs/CH_EDOEB/CH_ED%C3%96B_001_20241023-Schlussberi_2024-04-11.pdf